SET加密技术在B2C电子商务中的应用研究
2017-04-06魏娟
魏娟
(江西服装学院服装商贸分院,江西南昌330201)
SET加密技术在B2C电子商务中的应用研究
魏娟
(江西服装学院服装商贸分院,江西南昌330201)
在安全的电子商务系统中,要确保在互联网上交易的机密性、数据的完好性、隐私性、身份的合法性与抗否认性,电子商务协议是不是完备,已经成为提供安全保障的关键因素.本文就将对SET(SecureElectronicTransaction)协议应用于B2C电子商务中进行讨论.
SET加密技术;B2C电子商务;应用研究
电子商务作为一种全新的商业模式,近年来得到了飞速发展,据《第37次中国互联网络发展状况统计报告》显示,到2015年12月止我国网民数量人数有6.88亿人,而网购用户就占到了4.13亿.作为一种全新的商业模式,人们几乎是把所有东西都挂到了网上去卖,据商务部统计数据显示2015年我国电子商务零售交易额是3.88万亿元,相比同期具有33.3%的高增长率,许多经济专家和学者认为这是新的经济增长点.但是电子商务是基于互联网为基础,由于Intemet本身具有的开放性、无时空性、病毒性、共享性等特征,使得电子商务交易平台为网络犯罪与电子欺诈行为提供了温床,也给信息安全带造成了巨大威胁.怎么样保障电子商务活动的安全显得尤为重要.
1 SET协议概述
SET安全电子交易协议是VisaMasterCard联合某些大公司进行联合推出的,是一种关于信用卡在互联网上实时支付的电子商务交易系统的安全协议.该协议的的购物系统组成,包括顾客、支付网关、商家、收单银行与发卡银行共同组成.实现的功能主要是解决用户、商家和银行间通过信用卡在互联网上实时支付,以确保支付信息的机密、支付过程的完整完好、持卡人身份的合法和可操作性.SET中的核心技术主要有公开密钥加密、数字签名、数字信封、数字证书等,是互联网上比较常用的加密方法,包含了密钥加密系统和公钥加密系统,密钥系统又叫做对称密码系统,最典型的对称加密算法就是著名的恺撒(Caesar)密码,加密与解密使用相同的密钥,发送者与接收者一定要有相同的钥匙,如图1.
图1 对称密钥系统下加密机解密过程
典型的加密算法涵盖了DES、IDEA、TripleDES、RC5、RC4.那么算法的具体过程是:假设密钥的数字是3位,保持26个拼音字母顺序不做调整,就有a,b,c,……,z相对对应d, e,f,……,c.假若明文是ady那么其密文就是dgb.dgb密文就是ady明文的逆运算,这类算法的缺点就是容易被破解,由于字母只有26个,容易被人用穷举法运算得到密钥.所以,密钥的保护就非常重要了,假设有第三方截获该密钥,就会导致信息失密.
公钥加密系统又叫做非对称密码系统,加密和解密使用两个不同的密钥,一个公开密钥(public key)和一个私有密钥(private key),用户可以向任何人公开他的公开密钥,得到公开密钥的任何人都可以进行数据加密,而且加密好的数据只有私有密钥的拥有者才可以对数据进行解密,这就保证了私有密钥只有自己知道,其他人是不会知道的.典型的加密算法为RSA、SEEK、PGP与EU等类型.具体操作过程如下.一是数字信封.首先是SET里利用DES算法对生成的对称密钥进行加密数据,并把对称密钥用接收者的公钥给予加密工作,通常这个完成叫做消息的“数字信封”,再把其和数据全部都发送给接受者,接受者开始会用他的私钥对数字信封做解密工作,以达到获取对称密钥目的,最后用对称密钥解密开数据?二是数字签名.由于公钥和私钥间存在的数学关系,利用公开密钥加密的数据只能用私有密钥解开,反之亦然.SET里是采用RSA算法来实现.数据发送者用私有密钥加密数据,并发送给接收者,接收者得到信息后,利用发送者给的公钥解开数据,然后就可以确定该数据来自谁了,这样就确保了发送者对发送的数据具有不可抵赖性.假设信息在中途有所改变,那么接受者就可以对收到消息的新的摘要和原摘要进行对比,这样就可以查看是否存在改变.三是双重签名.SET中为了确保消费者的银行卡、帐号等重要信息需要对商家进行隐蔽,采用了一种双重签名技术.尤其是网络的交易过程中,就会存在持卡人向商家转钱的过程,商家就会转发让持卡人向银行的支付指令,在这过程中,为了避免商家对持卡人的信息进行窃取,或者是跟踪银行持卡人的行为,同时又不影响银行对持卡人和商家所发信息的合理的验证,就只有当商家同意银行卡持卡人的购买的要求后,才让银行付费给商家.所以SET中利用采用双重签名技术解决这问题.
2 SET加密技术在B2C电子商务中的应用
2.1 B2C电子商务的认识
B2C电子商务是企业针对个人通过Internet技术或者各种商务网络平台进行的电子商务活动的总称,直接面向消费者进行产品、服务和信息的交换,如企业为消费者个人提供在线咨询、在线商品购买等行为,以实现完成商务交易的过程.如图2.
图2 B2C电子商务系统结构
首先互联网是作为B2C商务流程的基础通信平台,也是各方交易的一个桥梁,只有通过互联网才能顺利完成,其次是认证中心,认证中心包括对顾客、商家和银行三方进行的身份验证.第三是物流配送中心,该环节主要对商品的配送服务工作.第四是网上银行,网上银行实现了对个人消费者在网上购物的一个在线支付过程.第五是用户,也就是个人消费者,用户通过CA数字认证中心拥有了自己的合法身份,并在银行申请了自己的支付卡,然后在互联网上浏览各种商品信息,并在网上商场采购商品,然后进行在线支付的方式完成交易.第六是销售企业,就是电子商务进行产品的销售商,为个人消费者提供在线购物的场所.在整个交易中都是在网络上进行的,由于Intemet本身具有的开放性、无时空性、病毒性、共享性等特征,如果没有对整个系统进行加密技术处理,就好比建好的一栋房子没有做任何防护措施,其安全性是不言而喻.只有做好加密技术,才能保证整个交易环节的安全性.
2.2 SET加密技术在B2C电子商务中的嫁接
首先是交易信息的加密.电子交易过程是一个复杂的过程,在B2C电子商务中除了下订单、确认订单和划账这个流程外,还涉及了消费者,企业,认证机构和金融机构等各个方面,需要各个方面协同才能完成.假设信息外泄或者不完整,就会导致交易失败.SET通过使用密码技术和数字证书方式来保证在大型通信网络上交易信息安全传输证,而要对加密信息的破译是微乎其微的,这样可以确保信息的机密性、完整性和安全性.即使有人非法窃取同时破译其有意义的信息,也无法修改进行加密了的任何密文信息.其次是数字签名,也叫做电子签名,该技术是电子商务的核心支撑技术,主要用符号和代码组成电子密码进行“签名”,用来鉴别签一个人的身份和对一项电文信息的认可,已经替代了书写签名或者印章证明了.数字签名技术在B2C电子商务中应用表现:一是身份唯一性,首先,为了便于准确识别签名者,依照规定一个电子签名只能接连一个签名者,其次,电子签名之所以能有效规避了假冒签名,是因为其创造的方式具有排他性,如此以来只有签名者本身才能控制自己的电子签名,这样消费者就可以核实发送企业或者商家对报文信息的签名.二是不可否认性.在在B2C电子商务中,由于电子方式的函件发出与收到几乎是同时到达对方,发出的信息就不能否认,发送者以后也不可能以任何理由对报文信息的签名进行抵赖.三是信息的完整性.SET加密技术应用在B2C电子商务中会对数据信息以外的任何改动都会被发现,原因是电子签名与电子文件及资料存在一定的逻辑关联,是不允许做任何改动的,这样可以确保了电子文件与各种资料的完整性.数字签名技术采用非对称加密算法数字签名,利用双重加密来实现数据完整性与真实性,以达到防伪、防抵赖的作用.具体过程是报文信息发送方通过Hash算法加私有密钥加密产生一段数字摘要.然后把数字签名附在报信息原文后面,并用接收方的公钥加密后发送给对方,接收方到附有数字签名的报文信息以后用自己的私钥对接收信息进行解密,再对原文用Hash函数产生一个新的摘要,然后用发送方的公钥对数字签名部分进行解密,并得到摘要,然后把新摘要和解密后的摘要比较是否完全一致,假设两者一致,就说明传送过程中信息没有被破坏或者是被篡改,反之则不然.数字签名是不可能利用复制功能对已有数字签名或电子签章仿造新的文件,在文档验证过程中,主要验证文档是不是被篡改,以及显示证书与印章信息.
再次是数字证书和CA.数字证书是互联网通讯中一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件,包括了各方身份信息的一系列数据.为保证使用数字签名过程中公钥使用者的真实有效性,这就需要一个第三方权威机构,也就是身份认证权威(CA),又称为证书授权(Certificate Authority).当事人如果要使用公钥密码时,就可以向CA申请数字证书,数字证书就好比是由CA签名的公钥,数据传送双方利用交换数字证书,实现数字签名,以确认网络中组织或者是个人的身份.
总之,SET很好地解决了信用卡在B2C电子商务交易中的交易协议、交易的各种信息保密、持卡人身份的合法、资料完整和身份认证等多方面的问题.在SET加密技术中顾客进行交易,就需要对订单与付款指令做数字签名,并利用双重签名技术杜绝商家知道消费者的帐号信息,或者是跟踪银行持卡人的行为.当消费者的订单得到了互联网商店的接受后,然后商家就可以向消费者所属银行请求支付认可.信息经过支付网关送到收单银行,然后到电子货币发行公司认可.得到交易批准后才开始以下的各种操作.在操作中,消费者、互联网商店、支付网关都利用CA身份认证权威以确认验证通信主体的身份,这样就达到了避免通信的对方就是其本人,就可以安全的进行交易.
〔1〕张恺悌.基于SET协议的网络电子支付系统的研究[D].西安工业大学,2013.
〔2〕王宏俊.基于密钥交换与混沌序列密码加密的传输技术研究[D].黑龙江大学,2014.
〔3〕曾鑫媛.基于SET协议的电子支付平台的分析与设计[D].北京邮电大学,2012.
〔4〕杨娜.基于B2C的电子商务安全支付系统设计与实现[D].电子科技大学,2012.
〔5〕闫婷婷.基于第四方电子商务的统一支付平台及其协议的研究[D].华南理工大学,2012.
F724.6
:A
:1673-260X(2017)03-0109-02
2016-11-02
