魏娟

（江西服裝學(xué)院服裝商貿(mào)分院，江西南昌330201）

SET加密技術(shù)在B2C電子商務(wù)中的應(yīng)用研究

魏娟

（江西服裝學(xué)院服裝商貿(mào)分院，江西南昌330201）

在安全的電子商務(wù)系統(tǒng)中，要確保在互聯(lián)網(wǎng)上交易的機(jī)密性、數(shù)據(jù)的完好性、隱私性、身份的合法性與抗否認(rèn)性，電子商務(wù)協(xié)議是不是完備，已經(jīng)成為提供安全保障的關(guān)鍵因素.本文就將對(duì)SET(SecureElectronicTransaction)協(xié)議應(yīng)用于B2C電子商務(wù)中進(jìn)行討論.

SET加密技術(shù)；B2C電子商務(wù)；應(yīng)用研究

電子商務(wù)作為一種全新的商業(yè)模式，近年來(lái)得到了飛速發(fā)展，據(jù)《第37次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，到2015年12月止我國(guó)網(wǎng)民數(shù)量人數(shù)有6.88億人，而網(wǎng)購(gòu)用戶(hù)就占到了4.13億.作為一種全新的商業(yè)模式，人們幾乎是把所有東西都掛到了網(wǎng)上去賣(mài)，據(jù)商務(wù)部統(tǒng)計(jì)數(shù)據(jù)顯示2015年我國(guó)電子商務(wù)零售交易額是3.88萬(wàn)億元，相比同期具有33.3%的高增長(zhǎng)率，許多經(jīng)濟(jì)專(zhuān)家和學(xué)者認(rèn)為這是新的經(jīng)濟(jì)增長(zhǎng)點(diǎn).但是電子商務(wù)是基于互聯(lián)網(wǎng)為基礎(chǔ)，由于Intemet本身具有的開(kāi)放性、無(wú)時(shí)空性、病毒性、共享性等特征，使得電子商務(wù)交易平臺(tái)為網(wǎng)絡(luò)犯罪與電子欺詐行為提供了溫床，也給信息安全帶造成了巨大威脅.怎么樣保障電子商務(wù)活動(dòng)的安全顯得尤為重要.

1 SET協(xié)議概述

SET安全電子交易協(xié)議是VisaMasterCard聯(lián)合某些大公司進(jìn)行聯(lián)合推出的，是一種關(guān)于信用卡在互聯(lián)網(wǎng)上實(shí)時(shí)支付的電子商務(wù)交易系統(tǒng)的安全協(xié)議.該協(xié)議的的購(gòu)物系統(tǒng)組成，包括顧客、支付網(wǎng)關(guān)、商家、收單銀行與發(fā)卡銀行共同組成.實(shí)現(xiàn)的功能主要是解決用戶(hù)、商家和銀行間通過(guò)信用卡在互聯(lián)網(wǎng)上實(shí)時(shí)支付，以確保支付信息的機(jī)密、支付過(guò)程的完整完好、持卡人身份的合法和可操作性.SET中的核心技術(shù)主要有公開(kāi)密鑰加密、數(shù)字簽名、數(shù)字信封、數(shù)字證書(shū)等，是互聯(lián)網(wǎng)上比較常用的加密方法，包含了密鑰加密系統(tǒng)和公鑰加密系統(tǒng)，密鑰系統(tǒng)又叫做對(duì)稱(chēng)密碼系統(tǒng)，最典型的對(duì)稱(chēng)加密算法就是著名的愷撒(Caesar)密碼，加密與解密使用相同的密鑰，發(fā)送者與接收者一定要有相同的鑰匙，如圖1.

圖1 對(duì)稱(chēng)密鑰系統(tǒng)下加密機(jī)解密過(guò)程

典型的加密算法涵蓋了DES、IDEA、TripleDES、RC5、RC4.那么算法的具體過(guò)程是:假設(shè)密鑰的數(shù)字是3位，保持26個(gè)拼音字母順序不做調(diào)整，就有a,b,c,……,z相對(duì)對(duì)應(yīng)d, e,f,……,c.假若明文是ady那么其密文就是dgb.dgb密文就是ady明文的逆運(yùn)算，這類(lèi)算法的缺點(diǎn)就是容易被破解，由于字母只有26個(gè)，容易被人用窮舉法運(yùn)算得到密鑰.所以，密鑰的保護(hù)就非常重要了，假設(shè)有第三方截獲該密鑰，就會(huì)導(dǎo)致信息失密.

公鑰加密系統(tǒng)又叫做非對(duì)稱(chēng)密碼系統(tǒng)，加密和解密使用兩個(gè)不同的密鑰，一個(gè)公開(kāi)密鑰(public key)和一個(gè)私有密鑰(private key)，用戶(hù)可以向任何人公開(kāi)他的公開(kāi)密鑰，得到公開(kāi)密鑰的任何人都可以進(jìn)行數(shù)據(jù)加密，而且加密好的數(shù)據(jù)只有私有密鑰的擁有者才可以對(duì)數(shù)據(jù)進(jìn)行解密，這就保證了私有密鑰只有自己知道，其他人是不會(huì)知道的.典型的加密算法為RSA、SEEK、PGP與EU等類(lèi)型.具體操作過(guò)程如下.一是數(shù)字信封.首先是SET里利用DES算法對(duì)生成的對(duì)稱(chēng)密鑰進(jìn)行加密數(shù)據(jù)，并把對(duì)稱(chēng)密鑰用接收者的公鑰給予加密工作，通常這個(gè)完成叫做消息的“數(shù)字信封”，再把其和數(shù)據(jù)全部都發(fā)送給接受者，接受者開(kāi)始會(huì)用他的私鑰對(duì)數(shù)字信封做解密工作，以達(dá)到獲取對(duì)稱(chēng)密鑰目的，最后用對(duì)稱(chēng)密鑰解密開(kāi)數(shù)據(jù)?二是數(shù)字簽名.由于公鑰和私鑰間存在的數(shù)學(xué)關(guān)系，利用公開(kāi)密鑰加密的數(shù)據(jù)只能用私有密鑰解開(kāi)，反之亦然.SET里是采用RSA算法來(lái)實(shí)現(xiàn).數(shù)據(jù)發(fā)送者用私有密鑰加密數(shù)據(jù)，并發(fā)送給接收者，接收者得到信息后，利用發(fā)送者給的公鑰解開(kāi)數(shù)據(jù)，然后就可以確定該數(shù)據(jù)來(lái)自誰(shuí)了，這樣就確保了發(fā)送者對(duì)發(fā)送的數(shù)據(jù)具有不可抵賴(lài)性.假設(shè)信息在中途有所改變，那么接受者就可以對(duì)收到消息的新的摘要和原摘要進(jìn)行對(duì)比，這樣就可以查看是否存在改變.三是雙重簽名.SET中為了確保消費(fèi)者的銀行卡、帳號(hào)等重要信息需要對(duì)商家進(jìn)行隱蔽，采用了一種雙重簽名技術(shù).尤其是網(wǎng)絡(luò)的交易過(guò)程中，就會(huì)存在持卡人向商家轉(zhuǎn)錢(qián)的過(guò)程，商家就會(huì)轉(zhuǎn)發(fā)讓持卡人向銀行的支付指令，在這過(guò)程中，為了避免商家對(duì)持卡人的信息進(jìn)行竊取，或者是跟蹤銀行持卡人的行為，同時(shí)又不影響銀行對(duì)持卡人和商家所發(fā)信息的合理的驗(yàn)證，就只有當(dāng)商家同意銀行卡持卡人的購(gòu)買(mǎi)的要求后，才讓銀行付費(fèi)給商家.所以SET中利用采用雙重簽名技術(shù)解決這問(wèn)題.

2 SET加密技術(shù)在B2C電子商務(wù)中的應(yīng)用

2.1 B2C電子商務(wù)的認(rèn)識(shí)

B2C電子商務(wù)是企業(yè)針對(duì)個(gè)人通過(guò)Internet技術(shù)或者各種商務(wù)網(wǎng)絡(luò)平臺(tái)進(jìn)行的電子商務(wù)活動(dòng)的總稱(chēng)，直接面向消費(fèi)者進(jìn)行產(chǎn)品、服務(wù)和信息的交換，如企業(yè)為消費(fèi)者個(gè)人提供在線咨詢(xún)、在線商品購(gòu)買(mǎi)等行為，以實(shí)現(xiàn)完成商務(wù)交易的過(guò)程.如圖2.

圖2 B2C電子商務(wù)系統(tǒng)結(jié)構(gòu)

首先互聯(lián)網(wǎng)是作為B2C商務(wù)流程的基礎(chǔ)通信平臺(tái)，也是各方交易的一個(gè)橋梁，只有通過(guò)互聯(lián)網(wǎng)才能順利完成，其次是認(rèn)證中心，認(rèn)證中心包括對(duì)顧客、商家和銀行三方進(jìn)行的身份驗(yàn)證.第三是物流配送中心，該環(huán)節(jié)主要對(duì)商品的配送服務(wù)工作.第四是網(wǎng)上銀行，網(wǎng)上銀行實(shí)現(xiàn)了對(duì)個(gè)人消費(fèi)者在網(wǎng)上購(gòu)物的一個(gè)在線支付過(guò)程.第五是用戶(hù)，也就是個(gè)人消費(fèi)者，用戶(hù)通過(guò)CA數(shù)字認(rèn)證中心擁有了自己的合法身份，并在銀行申請(qǐng)了自己的支付卡，然后在互聯(lián)網(wǎng)上瀏覽各種商品信息，并在網(wǎng)上商場(chǎng)采購(gòu)商品，然后進(jìn)行在線支付的方式完成交易.第六是銷(xiāo)售企業(yè)，就是電子商務(wù)進(jìn)行產(chǎn)品的銷(xiāo)售商，為個(gè)人消費(fèi)者提供在線購(gòu)物的場(chǎng)所.在整個(gè)交易中都是在網(wǎng)絡(luò)上進(jìn)行的，由于Intemet本身具有的開(kāi)放性、無(wú)時(shí)空性、病毒性、共享性等特征，如果沒(méi)有對(duì)整個(gè)系統(tǒng)進(jìn)行加密技術(shù)處理，就好比建好的一棟房子沒(méi)有做任何防護(hù)措施，其安全性是不言而喻.只有做好加密技術(shù)，才能保證整個(gè)交易環(huán)節(jié)的安全性.

2.2 SET加密技術(shù)在B2C電子商務(wù)中的嫁接

首先是交易信息的加密.電子交易過(guò)程是一個(gè)復(fù)雜的過(guò)程，在B2C電子商務(wù)中除了下訂單、確認(rèn)訂單和劃賬這個(gè)流程外，還涉及了消費(fèi)者，企業(yè)，認(rèn)證機(jī)構(gòu)和金融機(jī)構(gòu)等各個(gè)方面，需要各個(gè)方面協(xié)同才能完成.假設(shè)信息外泄或者不完整，就會(huì)導(dǎo)致交易失敗.SET通過(guò)使用密碼技術(shù)和數(shù)字證書(shū)方式來(lái)保證在大型通信網(wǎng)絡(luò)上交易信息安全傳輸證，而要對(duì)加密信息的破譯是微乎其微的，這樣可以確保信息的機(jī)密性、完整性和安全性.即使有人非法竊取同時(shí)破譯其有意義的信息，也無(wú)法修改進(jìn)行加密了的任何密文信息.其次是數(shù)字簽名，也叫做電子簽名，該技術(shù)是電子商務(wù)的核心支撐技術(shù)，主要用符號(hào)和代碼組成電子密碼進(jìn)行“簽名”，用來(lái)鑒別簽一個(gè)人的身份和對(duì)一項(xiàng)電文信息的認(rèn)可，已經(jīng)替代了書(shū)寫(xiě)簽名或者印章證明了.數(shù)字簽名技術(shù)在B2C電子商務(wù)中應(yīng)用表現(xiàn)：一是身份唯一性，首先，為了便于準(zhǔn)確識(shí)別簽名者，依照規(guī)定一個(gè)電子簽名只能接連一個(gè)簽名者，其次，電子簽名之所以能有效規(guī)避了假冒簽名，是因?yàn)槠鋭?chuàng)造的方式具有排他性，如此以來(lái)只有簽名者本身才能控制自己的電子簽名，這樣消費(fèi)者就可以核實(shí)發(fā)送企業(yè)或者商家對(duì)報(bào)文信息的簽名.二是不可否認(rèn)性.在在B2C電子商務(wù)中，由于電子方式的函件發(fā)出與收到幾乎是同時(shí)到達(dá)對(duì)方，發(fā)出的信息就不能否認(rèn)，發(fā)送者以后也不可能以任何理由對(duì)報(bào)文信息的簽名進(jìn)行抵賴(lài).三是信息的完整性.SET加密技術(shù)應(yīng)用在B2C電子商務(wù)中會(huì)對(duì)數(shù)據(jù)信息以外的任何改動(dòng)都會(huì)被發(fā)現(xiàn)，原因是電子簽名與電子文件及資料存在一定的邏輯關(guān)聯(lián)，是不允許做任何改動(dòng)的，這樣可以確保了電子文件與各種資料的完整性.數(shù)字簽名技術(shù)采用非對(duì)稱(chēng)加密算法數(shù)字簽名，利用雙重加密來(lái)實(shí)現(xiàn)數(shù)據(jù)完整性與真實(shí)性，以達(dá)到防偽、防抵賴(lài)的作用.具體過(guò)程是報(bào)文信息發(fā)送方通過(guò)Hash算法加私有密鑰加密產(chǎn)生一段數(shù)字摘要.然后把數(shù)字簽名附在報(bào)信息原文后面，并用接收方的公鑰加密后發(fā)送給對(duì)方，接收方到附有數(shù)字簽名的報(bào)文信息以后用自己的私鑰對(duì)接收信息進(jìn)行解密，再對(duì)原文用Hash函數(shù)產(chǎn)生一個(gè)新的摘要，然后用發(fā)送方的公鑰對(duì)數(shù)字簽名部分進(jìn)行解密，并得到摘要，然后把新摘要和解密后的摘要比較是否完全一致，假設(shè)兩者一致，就說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或者是被篡改，反之則不然.數(shù)字簽名是不可能利用復(fù)制功能對(duì)已有數(shù)字簽名或電子簽章仿造新的文件，在文檔驗(yàn)證過(guò)程中，主要驗(yàn)證文檔是不是被篡改，以及顯示證書(shū)與印章信息.

再次是數(shù)字證書(shū)和CA.數(shù)字證書(shū)是互聯(lián)網(wǎng)通訊中一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息和公開(kāi)密鑰的文件，包括了各方身份信息的一系列數(shù)據(jù).為保證使用數(shù)字簽名過(guò)程中公鑰使用者的真實(shí)有效性，這就需要一個(gè)第三方權(quán)威機(jī)構(gòu)，也就是身份認(rèn)證權(quán)威(CA)，又稱(chēng)為證書(shū)授權(quán)（Certificate Authority）.當(dāng)事人如果要使用公鑰密碼時(shí)，就可以向CA申請(qǐng)數(shù)字證書(shū)，數(shù)字證書(shū)就好比是由CA簽名的公鑰，數(shù)據(jù)傳送雙方利用交換數(shù)字證書(shū)，實(shí)現(xiàn)數(shù)字簽名，以確認(rèn)網(wǎng)絡(luò)中組織或者是個(gè)人的身份.

總之，SET很好地解決了信用卡在B2C電子商務(wù)交易中的交易協(xié)議、交易的各種信息保密、持卡人身份的合法、資料完整和身份認(rèn)證等多方面的問(wèn)題.在SET加密技術(shù)中顧客進(jìn)行交易，就需要對(duì)訂單與付款指令做數(shù)字簽名，并利用雙重簽名技術(shù)杜絕商家知道消費(fèi)者的帳號(hào)信息，或者是跟蹤銀行持卡人的行為.當(dāng)消費(fèi)者的訂單得到了互聯(lián)網(wǎng)商店的接受后，然后商家就可以向消費(fèi)者所屬銀行請(qǐng)求支付認(rèn)可.信息經(jīng)過(guò)支付網(wǎng)關(guān)送到收單銀行，然后到電子貨幣發(fā)行公司認(rèn)可.得到交易批準(zhǔn)后才開(kāi)始以下的各種操作.在操作中，消費(fèi)者、互聯(lián)網(wǎng)商店、支付網(wǎng)關(guān)都利用CA身份認(rèn)證權(quán)威以確認(rèn)驗(yàn)證通信主體的身份，這樣就達(dá)到了避免通信的對(duì)方就是其本人，就可以安全的進(jìn)行交易.

〔1〕張愷悌.基于SET協(xié)議的網(wǎng)絡(luò)電子支付系統(tǒng)的研究[D].西安工業(yè)大學(xué),2013.

〔2〕王宏俊.基于密鑰交換與混沌序列密碼加密的傳輸技術(shù)研究[D].黑龍江大學(xué),2014.

〔3〕曾鑫媛.基于SET協(xié)議的電子支付平臺(tái)的分析與設(shè)計(jì)[D].北京郵電大學(xué),2012.

〔4〕楊娜.基于B2C的電子商務(wù)安全支付系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué),2012.

〔5〕閆婷婷.基于第四方電子商務(wù)的統(tǒng)一支付平臺(tái)及其協(xié)議的研究[D].華南理工大學(xué),2012.

F724.6

：A

：1673-260X（2017）03-0109-02

2016-11-02