姜正濤 王彤

摘 要：SET協(xié)議是電子商務(wù)安全交易的重要協(xié)議，結(jié)合信息安全課程建設(shè)的實踐，設(shè)計了SET協(xié)議教學(xué)內(nèi)容的教學(xué)目標，從學(xué)生易于理解的協(xié)議流程講解入手，過渡到SET協(xié)議流程所隱含的安全邏輯，使學(xué)生從中深刻體會安全協(xié)議的設(shè)計目標、原則、方法以及具體密碼技術(shù)的使用，有利于學(xué)生對SET協(xié)議整體方案與具體算法功能的理解。

關(guān)鍵詞：電子支付；SET協(xié)議；協(xié)議流程；雙重簽名

隨著互聯(lián)網(wǎng)的普及，基于互聯(lián)網(wǎng)的電子商務(wù)得到了長足的發(fā)展，電子商務(wù)是一種新的商務(wù)模式，促進了商業(yè)流通的發(fā)展。同時安全威脅是電子商務(wù)的達摩克利斯之劍，是電子商務(wù)應(yīng)用的主要障礙，是電子商務(wù)發(fā)展不得不面對的棘手問題。

SET（Secure Electronic Transaction，安全電子交易）是由Visa和MasterCard兩大信用卡組織聯(lián)合開發(fā)的電子商務(wù)安全協(xié)議。用來保證公共網(wǎng)絡(luò)上銀行卡支付交易的安全性，成為Internet上進行在線交易的電子付款系統(tǒng)規(guī)范協(xié)議。SET是一個通過使用X.509v3證書，為交易各方提供安全信道協(xié)議集，本身不是一個支付系統(tǒng)。它采用公鑰密碼體制和X.509數(shù)字證書標準，主要應(yīng)用于B to C模式中保障支付信息的安全性。SET協(xié)議本身比較復(fù)雜，設(shè)計比較嚴格，安全性高，它能保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。SET協(xié)議是PKI框架下的一個典型實現(xiàn)，也是一個基于可信的第三方認證中心的典型方案

SET協(xié)議是電子商務(wù)安全交易的重要協(xié)議，應(yīng)予以重點講解。該內(nèi)容是在學(xué)生基本掌握《信息安全技術(shù)》《密碼學(xué)》（尤其是學(xué)習(xí)了對稱密碼學(xué)、公鑰密碼學(xué)等內(nèi)容）的后繼學(xué)習(xí)內(nèi)容。本部分內(nèi)容學(xué)習(xí)的主要目標：（1）初步了解電子商務(wù)安全協(xié)議及安全系統(tǒng)的基本背景知識，主要包括信息安全基礎(chǔ)設(shè)施、電子商務(wù)安全管理、電子商務(wù)業(yè)務(wù)流程以及安全交易系統(tǒng)部分內(nèi)容。（2）理解將電子商務(wù)安全邏輯付諸密碼技術(shù)實現(xiàn)的核心思想與方法，包括電子商務(wù)安全體系框架、主體間的安全關(guān)系、信息流的保護、密碼技術(shù)的使用及實現(xiàn)的功能。（3）具有初步的電子商務(wù)安全技術(shù)實現(xiàn)、安全分析能力。

一、SET協(xié)議的原理

本部分內(nèi)容的學(xué)習(xí)目標：（1）通過電子商務(wù)安全的背景介紹，理解電子商務(wù)安全協(xié)議（SET）的設(shè)計目標；（2）思考電子商務(wù)中主要角色（銀行、商家、用戶等）的各自安全目標，深入掌握SET協(xié)議的流程與安全模塊的功能。

SET協(xié)議的主要目標：（1）交易信息在Internet上的傳輸時，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被他人竊聽。（2）SET協(xié)議使用了一種雙簽名技術(shù)，將訂單信息和個人賬號信息隔離，使商家只能看到訂貨信息，看不到消費者的賬戶信息。（3）解決多方認證問題。不僅對客戶的信用卡認證，而且要對在線商家認證，實現(xiàn)客戶、商家和銀行間的相互認證。（4）提供一個開放式的標準，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能?？稍诓煌能浻布脚_上執(zhí)行并被全球廣泛接受。

哪些數(shù)據(jù)內(nèi)容他人無法竊聽？為什么商家看不到賬務(wù)信息？如何實現(xiàn)雙向認證？它們使用了哪些技術(shù)？針對這幾個問題展開講解，有助于深入理解SET協(xié)議安全模塊的功能實現(xiàn)。

SET協(xié)議中的角色：（1）持卡人：即消費者，通過計算機與商家交流，持卡人通過由發(fā)卡機構(gòu)頒發(fā)的付款卡（例如，信用卡、借記卡）進行支付。SET協(xié)議可保證持卡人的個人賬號信息不被商家讀取。（2）商家：提供商品或服務(wù)。接受卡支付的商家必須和銀行有通信，以實現(xiàn)轉(zhuǎn)賬功能。（3）發(fā)卡機構(gòu)：它是一個金融機構(gòu)（如，銀行），為每一個建立了賬戶的顧客頒發(fā)付款卡。（4）收單銀行：支持在線交易，商家在銀行開設(shè)賬號，銀行為商家處理（認證）支付信息并實現(xiàn)銀行間（消費者發(fā)卡行與商家銀行）轉(zhuǎn)賬。（5）支付網(wǎng)關(guān)：銀行端的支付業(yè)務(wù)處理系統(tǒng)，處理商家提交的支付信息及消費者的支付指令。

基于SET的網(wǎng)上購物流程：①客戶通過網(wǎng)絡(luò)瀏覽器瀏覽在線商家的商品目錄，選擇要購買的商品。②填寫訂單，包括欲購商品名稱、規(guī)格、數(shù)量及交貨信息等，訂單通過因特網(wǎng)發(fā)送給商家；商家進行應(yīng)答，并告知貨物單價、應(yīng)付款數(shù)額和交貨方式。③消費者選擇付款方式，此時SET開始運行。④消費者發(fā)送給商家一個完整的訂單及其要求付款的指令。訂單和付款指令由消費者進行數(shù)字簽名；同時使用雙重簽名（Dual Signature）技術(shù)，確保商家看不到消費者的賬號信息。⑤商家接受訂單后，把支付信息傳送到收單銀行，收單銀行可以解密信用卡號，并通過認證驗證簽名；收單銀行向客戶開戶銀行（發(fā)卡銀行）請求支付；發(fā)卡銀行認可并簽證該筆交易，按合同將款項劃給收單銀行，并返回確認信息，經(jīng)收單銀行通過支付網(wǎng)關(guān)將該信息發(fā)給在線商家。⑥在線商家發(fā)送訂單確認信息給客戶，客戶端記錄交易日志，以備日后查考；在線商家發(fā)送商品或提供服務(wù)。

二、SET協(xié)議的功能

SET協(xié)議中采用的加密技術(shù)及實現(xiàn)的功能：

（1）數(shù)字信封。SET依靠密碼系統(tǒng)保證消息的安全傳輸。使用DES算法加密數(shù)據(jù)，然后將此對稱密鑰用接收者的公鑰加密，形成消息的“數(shù)字信封”，將其和數(shù)據(jù)一起送給接收者，接收者先用他的私鑰解密數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開數(shù)據(jù)。（2）數(shù)字簽名。數(shù)字簽名用于確定消息的來源，保證發(fā)送者對所發(fā)信息不能抵賴。（3）消息摘要。在SET協(xié)議中，原文通過SHA-1算法生成消息的文摘。（4）雙重簽名。使用雙重簽名技術(shù)，保證消費者的賬號等重要信息對商家隱蔽，這是數(shù)字簽名在SET協(xié)議中的新應(yīng)用。

通過本部分的學(xué)習(xí)，可進一步深入地理解密碼算法，尤其是加密、簽名算法在數(shù)據(jù)保密、認證性、防抵賴以及完整性方面的聯(lián)合應(yīng)用。

本文從教學(xué)實踐出發(fā)總結(jié)了SET協(xié)議的內(nèi)容講解過程，并嘗試首先講解SET的協(xié)議流程，然后講解SET協(xié)議每個模塊的功能，以及實現(xiàn)這些功能所用的算法，并進一步比較不同算法間的實現(xiàn)差異。這樣有助于增強學(xué)生對抽象的安全協(xié)議以及具體的密碼算法兩方面的理解與掌握。

參考文獻：

[1]易久.電子商務(wù)安全.北京郵電大學(xué)出版社，2011-11.

[2]蔣融融，熊麗榮.網(wǎng)絡(luò)安全協(xié)議的綜合教學(xué)實踐研究.計算機時代，2007（6）：68-69.

[3]谷瑞軍，姚娟.SET協(xié)議之雙重簽名教學(xué)探討.電子商務(wù)， 2009（12）.

（作者單位 中國傳媒大學(xué)理工學(xué)部計算機學(xué)院）

？誗編輯 代敏麗