资源描述:
《电子商务中set协议安全技术浅析论文》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、电子商务中SET协议安全技术浅析论文摘要电子商务的实施,其关键是要保证整个商务过程中交易的安全性,其中,安全电子交易协议(SET)是实现安全交易的一项重要保障。本文展示了SET协议的工作流程,介绍了SET中采用的公开密钥加密、双重签名、数字签名、数字信封等主要技术,并解析了这些技术实现安全电子交易的原理。关键词电子商务安全电子交易数字信封数字签名一、引言随着互联网的普及,基于互联网的电子商务得到了长足的发展,成为一种全新的商务模式.freelasterCard联合其他一些大公司一起推出的基于开放网络的以信用卡为基础的电子商务协议,这个协议得到
2、了CET、IBM、Microsoft、Netscape等大公司的支持,获得了长足的发展,进入了实用性阶段。二、SET协议浅析1.SET协议的描述SET安全电子交易协议是一种基于消息流的协议,该协议主要是为了解决用户、商家和银行之间通过信用卡在线支付而设计的,以保证支付信息的机密、支付过程的完整、持卡人的合法身份以及可操作性。SET中的核心技术主要有公开密钥加密、数字签名、数字信封、数字证书等。SET协议的工作原理和流程如下图所示:2.SET协议中采用的安全技术SET是在一些早期协议如MasterCard的SEPP以及VISA和Microsof
3、t的STT的基础上合并而成的,它定义了交易数据在卡用户、商家、发卡行、收单行之间的流通过程,也定义了各种支持这些交易的安全功能(数字签名、Hash算法、加密等)。为了进一步加强安全性,SET使用两组密钥对分别用于加密和签名。SET不希望商家得到顾客的账户信息,同时也不希望银行了解到交易内容,但又要求能对每一笔单独的交易进行授权。通过双签名(dualsignature)机制将订购信息同账户信息链在一起签名,SET巧妙地解决了这一矛盾。SET将对称密钥的快速、低成本和非对称密钥的有效性完美地结合在一起。考虑网上商店的情况,对于成千上万的消费者和商
4、家在INTER交换信息,要对每一个消费者通过某个渠道发放一个密钥,在现实中是不可取的。而用公开密钥,商家生成一个公共密钥对,任何一个消费者都可用商家公开发布的公钥与商家进行保密通信,具体介绍如下。(1)数字信封,SET依靠密码系统保证消息的可靠传输,在SET中,使用DES算法产生的对称密钥来加密数据,然后,将此对称密钥用接收者的公钥加密,称为消息的“数字信封”,将其和数据一起送给接收者,接收者先用他的私钥解密数字信封,..毕业得到对称密钥,然后使用对称密钥解开数据。(2)数字签名,由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密
5、的数据只能用另一个密钥解开。SET中使用RSA算法来实现。发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可确定消息来自于谁,这就保证了发送者对所发信息不能抵赖。(3)双重签名,为了保证消费者的帐号等重要信息对商家隐蔽,SET中采用了双重签名技术。在交易中持卡人发往银行的支付指令是通过商家转发的,为了避免在交易的过程中商家窃取持卡人的信用卡信息,以及避免银行跟踪持卡人的行为,侵犯消费者隐私,但同时又不能影响商家和银行对持卡人所发信息的合理的验证,只有当商家同意持卡人的购买请求后,才会让银行给商家负费,SET协议采用
6、双重签名来解决这一问题。3.SET协议主要特点(1)信息的保密性。SET的一个重要特点是持卡人的信用卡号码只提供给银行,而商家无法知道信用卡号码。SET利用DES密码算法提供信息的保密性。(2)数据完整性。从持卡人发往商家的支付信息包括订购信息、个人数据及支付指令。SET引入RSA数字签名及Sha-1杂凑函数确保这些消息的内容在传输过程中不被非法更改。(3)持卡人身份的鉴别。SET可以让商家鉴别持卡人是有效信用卡账号的合法用户。SET采用X.509V3数字证书和RSA数字签名达到这一目的。(4)商家的鉴别。SET是持卡人可以鉴别商家真实性,而
7、且可以验证商家能否接受信用卡支付。SET同样采用X.509V3数字证书和RSA数字签名实现这一功能。4.SET协议的安全性分析与总结SET协议主要通过使用密码技术和数字证书方式来保证信息的机密性和安全性,它实现了电子交易的数据完整性、机密性、身份的合法性和不可否认性。数据完整性(DataIntegrity)SET协议通过使用Hash函数来保证数据完整性。报文发送后,Hash函数将为之产生一个惟一的报文摘要值,一旦报文中包含的数据被篡改,该值就会改变,从而被检测到,这样就保证了信息的完整性。机密性(Confidentiality)在SET协议下
8、,客户将支付信息PI和订单信息OI进行双重签名商家解密后得到OI,银行解密后得到PI,从而避免了商家访问客户的支付信息。身份验证(VerificationOfIde