SET加密技術在B2C電子商務中的應用研究

魏娟

（江西服裝學院服裝商貿分院，江西南昌330201）

SET加密技術在B2C電子商務中的應用研究

魏娟

（江西服裝學院服裝商貿分院，江西南昌330201）

在安全的電子商務系統中，要確保在互聯網上交易的機密性、數據的完好性、隱私性、身份的合法性與抗否認性，電子商務協議是不是完備，已經成為提供安全保障的關鍵因素.本文就將對SET(SecureElectronicTransaction)協議應用于B2C電子商務中進行討論.

SET加密技術；B2C電子商務；應用研究

電子商務作為一種全新的商業模式，近年來得到了飛速發展，據《第37次中國互聯網絡發展狀況統計報告》顯示，到2015年12月止我國網民數量人數有6.88億人，而網購用戶就占到了4.13億.作為一種全新的商業模式，人們幾乎是把所有東西都掛到了網上去賣，據商務部統計數據顯示2015年我國電子商務零售交易額是3.88萬億元，相比同期具有33.3%的高增長率，許多經濟專家和學者認為這是新的經濟增長點.但是電子商務是基于互聯網為基礎，由于Intemet本身具有的開放性、無時空性、病毒性、共享性等特征，使得電子商務交易平臺為網絡犯罪與電子欺詐行為提供了溫床，也給信息安全帶造成了巨大威脅.怎么樣保障電子商務活動的安全顯得尤為重要.

1 SET協議概述

SET安全電子交易協議是VisaMasterCard聯合某些大公司進行聯合推出的，是一種關于信用卡在互聯網上實時支付的電子商務交易系統的安全協議.該協議的的購物系統組成，包括顧客、支付網關、商家、收單銀行與發卡銀行共同組成.實現的功能主要是解決用戶、商家和銀行間通過信用卡在互聯網上實時支付，以確保支付信息的機密、支付過程的完整完好、持卡人身份的合法和可操作性.SET中的核心技術主要有公開密鑰加密、數字簽名、數字信封、數字證書等，是互聯網上比較常用的加密方法，包含了密鑰加密系統和公鑰加密系統，密鑰系統又叫做對稱密碼系統，最典型的對稱加密算法就是著名的愷撒(Caesar)密碼，加密與解密使用相同的密鑰，發送者與接收者一定要有相同的鑰匙，如圖1.

圖1 對稱密鑰系統下加密機解密過程

典型的加密算法涵蓋了DES、IDEA、TripleDES、RC5、RC4.那么算法的具體過程是:假設密鑰的數字是3位，保持26個拼音字母順序不做調整，就有a,b,c,……,z相對對應d, e,f,……,c.假若明文是ady那么其密文就是dgb.dgb密文就是ady明文的逆運算，這類算法的缺點就是容易被破解，由于字母只有26個，容易被人用窮舉法運算得到密鑰.所以，密鑰的保護就非常重要了，假設有第三方截獲該密鑰，就會導致信息失密.

公鑰加密系統又叫做非對稱密碼系統，加密和解密使用兩個不同的密鑰，一個公開密鑰(public key)和一個私有密鑰(private key)，用戶可以向任何人公開他的公開密鑰，得到公開密鑰的任何人都可以進行數據加密，而且加密好的數據只有私有密鑰的擁有者才可以對數據進行解密，這就保證了私有密鑰只有自己知道，其他人是不會知道的.典型的加密算法為RSA、SEEK、PGP與EU等類型.具體操作過程如下.一是數字信封.首先是SET里利用DES算法對生成的對稱密鑰進行加密數據，并把對稱密鑰用接收者的公鑰給予加密工作，通常這個完成叫做消息的“數字信封”，再把其和數據全部都發送給接受者，接受者開始會用他的私鑰對數字信封做解密工作，以達到獲取對稱密鑰目的，最后用對稱密鑰解密開數據?二是數字簽名.由于公鑰和私鑰間存在的數學關系，利用公開密鑰加密的數據只能用私有密鑰解開，反之亦然.SET里是采用RSA算法來實現.數據發送者用私有密鑰加密數據，并發送給接收者，接收者得到信息后，利用發送者給的公鑰解開數據，然后就可以確定該數據來自誰了，這樣就確保了發送者對發送的數據具有不可抵賴性.假設信息在中途有所改變，那么接受者就可以對收到消息的新的摘要和原摘要進行對比，這樣就可以查看是否存在改變.三是雙重簽名.SET中為了確保消費者的銀行卡、帳號等重要信息需要對商家進行隱蔽，采用了一種雙重簽名技術.尤其是網絡的交易過程中，就會存在持卡人向商家轉錢的過程，商家就會轉發讓持卡人向銀行的支付指令，在這過程中，為了避免商家對持卡人的信息進行竊取，或者是跟蹤銀行持卡人的行為，同時又不影響銀行對持卡人和商家所發信息的合理的驗證，就只有當商家同意銀行卡持卡人的購買的要求后，才讓銀行付費給商家.所以SET中利用采用雙重簽名技術解決這問題.

2 SET加密技術在B2C電子商務中的應用

2.1 B2C電子商務的認識

B2C電子商務是企業針對個人通過Internet技術或者各種商務網絡平臺進行的電子商務活動的總稱，直接面向消費者進行產品、服務和信息的交換，如企業為消費者個人提供在線咨詢、在線商品購買等行為，以實現完成商務交易的過程.如圖2.

圖2 B2C電子商務系統結構

首先互聯網是作為B2C商務流程的基礎通信平臺，也是各方交易的一個橋梁，只有通過互聯網才能順利完成，其次是認證中心，認證中心包括對顧客、商家和銀行三方進行的身份驗證.第三是物流配送中心，該環節主要對商品的配送服務工作.第四是網上銀行，網上銀行實現了對個人消費者在網上購物的一個在線支付過程.第五是用戶，也就是個人消費者，用戶通過CA數字認證中心擁有了自己的合法身份，并在銀行申請了自己的支付卡，然后在互聯網上瀏覽各種商品信息，并在網上商場采購商品，然后進行在線支付的方式完成交易.第六是銷售企業，就是電子商務進行產品的銷售商，為個人消費者提供在線購物的場所.在整個交易中都是在網絡上進行的，由于Intemet本身具有的開放性、無時空性、病毒性、共享性等特征，如果沒有對整個系統進行加密技術處理，就好比建好的一棟房子沒有做任何防護措施，其安全性是不言而喻.只有做好加密技術，才能保證整個交易環節的安全性.

2.2 SET加密技術在B2C電子商務中的嫁接

首先是交易信息的加密.電子交易過程是一個復雜的過程，在B2C電子商務中除了下訂單、確認訂單和劃賬這個流程外，還涉及了消費者，企業，認證機構和金融機構等各個方面，需要各個方面協同才能完成.假設信息外泄或者不完整，就會導致交易失敗.SET通過使用密碼技術和數字證書方式來保證在大型通信網絡上交易信息安全傳輸證，而要對加密信息的破譯是微乎其微的，這樣可以確保信息的機密性、完整性和安全性.即使有人非法竊取同時破譯其有意義的信息，也無法修改進行加密了的任何密文信息.其次是數字簽名，也叫做電子簽名，該技術是電子商務的核心支撐技術，主要用符號和代碼組成電子密碼進行“簽名”，用來鑒別簽一個人的身份和對一項電文信息的認可，已經替代了書寫簽名或者印章證明了.數字簽名技術在B2C電子商務中應用表現：一是身份唯一性，首先，為了便于準確識別簽名者，依照規定一個電子簽名只能接連一個簽名者，其次，電子簽名之所以能有效規避了假冒簽名，是因為其創造的方式具有排他性，如此以來只有簽名者本身才能控制自己的電子簽名，這樣消費者就可以核實發送企業或者商家對報文信息的簽名.二是不可否認性.在在B2C電子商務中，由于電子方式的函件發出與收到幾乎是同時到達對方，發出的信息就不能否認，發送者以后也不可能以任何理由對報文信息的簽名進行抵賴.三是信息的完整性.SET加密技術應用在B2C電子商務中會對數據信息以外的任何改動都會被發現，原因是電子簽名與電子文件及資料存在一定的邏輯關聯，是不允許做任何改動的，這樣可以確保了電子文件與各種資料的完整性.數字簽名技術采用非對稱加密算法數字簽名，利用雙重加密來實現數據完整性與真實性，以達到防偽、防抵賴的作用.具體過程是報文信息發送方通過Hash算法加私有密鑰加密產生一段數字摘要.然后把數字簽名附在報信息原文后面，并用接收方的公鑰加密后發送給對方，接收方到附有數字簽名的報文信息以后用自己的私鑰對接收信息進行解密，再對原文用Hash函數產生一個新的摘要，然后用發送方的公鑰對數字簽名部分進行解密，并得到摘要，然后把新摘要和解密后的摘要比較是否完全一致，假設兩者一致，就說明傳送過程中信息沒有被破壞或者是被篡改，反之則不然.數字簽名是不可能利用復制功能對已有數字簽名或電子簽章仿造新的文件，在文檔驗證過程中，主要驗證文檔是不是被篡改，以及顯示證書與印章信息.

再次是數字證書和CA.數字證書是互聯網通訊中一個經證書授權中心數字簽名的包含公開密鑰擁有者信息和公開密鑰的文件，包括了各方身份信息的一系列數據.為保證使用數字簽名過程中公鑰使用者的真實有效性，這就需要一個第三方權威機構，也就是身份認證權威(CA)，又稱為證書授權（Certificate Authority）.當事人如果要使用公鑰密碼時，就可以向CA申請數字證書，數字證書就好比是由CA簽名的公鑰，數據傳送雙方利用交換數字證書，實現數字簽名，以確認網絡中組織或者是個人的身份.

總之，SET很好地解決了信用卡在B2C電子商務交易中的交易協議、交易的各種信息保密、持卡人身份的合法、資料完整和身份認證等多方面的問題.在SET加密技術中顧客進行交易，就需要對訂單與付款指令做數字簽名，并利用雙重簽名技術杜絕商家知道消費者的帳號信息，或者是跟蹤銀行持卡人的行為.當消費者的訂單得到了互聯網商店的接受后，然后商家就可以向消費者所屬銀行請求支付認可.信息經過支付網關送到收單銀行，然后到電子貨幣發行公司認可.得到交易批準后才開始以下的各種操作.在操作中，消費者、互聯網商店、支付網關都利用CA身份認證權威以確認驗證通信主體的身份，這樣就達到了避免通信的對方就是其本人，就可以安全的進行交易.

〔1〕張愷悌.基于SET協議的網絡電子支付系統的研究[D].西安工業大學,2013.

〔2〕王宏俊.基于密鑰交換與混沌序列密碼加密的傳輸技術研究[D].黑龍江大學,2014.

〔3〕曾鑫媛.基于SET協議的電子支付平臺的分析與設計[D].北京郵電大學,2012.

〔4〕楊娜.基于B2C的電子商務安全支付系統設計與實現[D].電子科技大學,2012.

〔5〕閆婷婷.基于第四方電子商務的統一支付平臺及其協議的研究[D].華南理工大學,2012.

F724.6

：A

：1673-260X（2017）03-0109-02

2016-11-02