基于SET的电子商务的安全协议的分析
摘要:研究SET协议及其几种改进方案,分析其优点,同时指出存在的一些缺陷及不足。第三方支付平台是目前网上支付的发展趋势,并得到了较为广泛的运用。在第三方支付平台的启示下,SET协议将会有更好、更完善的改进方案,从而促进电子商务的发展。关键词:电子商务;SET协议;TIP;安全性;
一、引言
电子商务安全协议是完成信息安全交换的共同约定的逻辑操纵规则,是保证网上交易的机密性、数据完整性、身份的正当性和抗否认性的重要技术,协议是否完备成为它能否提供安全保障的关键。为了促进电子商务的发展,保障电子商务的安全,Internet电子商务安全协议的研究已成为热门。
SET(Secure Electronic Transaction)协议是VisaMasterCard联合其他一些至公司一起推出的基于开放网络的以信用卡为基础的电子商务协议。这个协议得到了CTE、IBM、Microsoft、Netscape等至公司的支持。但是,SET涉及的交易参与主体较多,从而导致协议比较复杂。目前SET协议的改进方案主要有:对SET协议进行简化、对SET协议进行扩展、以及安全控制分级模型等等。这些改进方案或者在增加SET安全性的同时降低了SET的执行效率,或者在进步了SET的执行效率的同时减弱了SET的安全性。而且SET不适合非数字商品交易局限性并没有根本解决。笔者在研究SET及其几种改进方案优缺点时,提出了在SET中引进TIP的思想,以改善SET协议的不足,使电子商务安全协议朝着高安全性、高效率的方向发展。
二、SET描述及安全性分析
(一)SET协议的描述
SET安全电子交易协议是一种基于消息流的协议。SET协议主要是为了解决用户、商家和银行之间通过信用卡在线支付而设计的,以保证支付信息的机密、支付过程的完整、持卡人的正当身份以及可操纵性。SET中的核心技术主要有公然密钥加密、数字签名、数字信封、数字证书等。
SET协议的工作原理如图所示:
(二)SET协议的安全性分析
SET协议主要通过使用密码技术和数字证书方式来保证信息的机密性和安全性,它实现了电子交易的机密性、数据完整性、身份的正当性和不可否认性。 机密性(Confidentiality)在SET协议下,客户将支付信息PI和订单信息OI进行双重签名商家解密后得到OI,银行解密后得到PI,从而避免了商家访问客户的支付信息。
数据完整性(Data Integrity)SET协议通过使用Hash函数来保证数据完整性。报文发送后,Hash函数将为之产生一个惟一的报文摘要值,一旦报文中包含的数据被篡改,该值就会改变,从而被检测到,这样就保证了信息的完整性。 身份验证(Verification of Identity)身份认证,是电子商务中非常重要的环节,SET协议使用数字证书来确认商家、持卡客户、受卡行和支付网关的身份,为网上交易提供了一个完整的可信赖的环境。
不可否认性(Non-repudiation of Disputed char-ges)SET协议中数字证书的发布过程也包含了商家和客户在交易中存在的信息,因此,假如客户发出了一个商品的订单,在收到货物后它不能否认发出这个订单,同样,商家以后也不能否认收到过这个订单。
(三)SET协议的缺陷与不足
SET是一个完备的电子交易流程,较好地解决了基于信用卡基础上的电子交易各方之间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但是SET协议在实际运用中并不成功,它存在着一些不足,主要表现在以下几个方面:
1.SET协议非常复杂,本钱很高,处理速度慢。SET交易过程需多次验证电子证书和数字签名,整个交易过程可能要花费很长时间,客户没有足够的耐心等待长时间的交易过程,从而影响了SET协议的广泛应用。
2.SET协议只满足“钱原子性”,而不满足“商品原子性”及“确认发送原子性”。