安全电子交易协议的改进方案

摘要：随着计算机网络和通讯技术的发展，电子交易已经逐渐成为人们重要的交易方式。安全电子交易协议保证了在开放的互联网上，使用信用卡支付的购物安全。该文针对安全电子交易协议在其不足的方面做了一定讨论，提出了相应的改进方案。

关键词：安全电子交易协议；交易模型；交易软件；算法

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)13-3022-02

SET协议：Secure Electronic Transaction，即安全电子交易协议。该协议是安全电子交易中的重要部分，用于B to C商务模式上，保证在开放的互联网上，使用信用卡在线支付的购物安全。该协议较好的解决了顾客、卖家和银行的要求，已经成为在线电子商务中的广泛使用的交易模式。但该协议自身在安全和效率上还是存有一定的缺陷和不足的，对此提出以下改进方案。

1 SET的改进方案

1.1对支付模型的改进

该协议在设计上不能够保证非实体的电子产品在交易中的安全性，现在原SET交易模型中增加建立一个电子交易中心。交易的主要步骤如下：

1）用户浏览商店物品后选择需要购买物品并发出购买请求；商家响应买家购买家购物请求并向该买家发送数字证书；用户若对所要买商品的价格等无异议系统生成交易的订单消息，并把该次交易的订单消息和用户的数字证书发给卖家；

2）卖家接收到发来的订单消息后在证书链上查阅用户数字证书，使用买家公钥解密信息，确保是用户生成的订单信息。卖家通过随机产生的方式得到对称密钥，使用卖家随机生成的对称密钥加密数字商品，同时，卖家根据订单信息产生付款信息，并对付款信息用数字签名加密，最后把密钥和自己的数字证书发给电子交易中心，已加密的数字商品、签名的数字信息一起发给买家。

3）用户收到商家发来的消息后，使用卖家公钥解密付款信息，并验证确是由买家发出。用户随即按照解密得到的付款信息来生成相应的支付指令信息，并对支付指令信息做数字签名加密，最后，将签名的支付指令信息与用户自己的数字证书发送给电子交易中心去。

4）分别通过私钥解密和使用用户提供的公钥进行解密后，电子交易中心对商家发来的数字证书做验证，并同时产生相应的支付授权请求，该授权请求支付网关发给用户的发卡行，若用户具有相应的支付能力发卡行将此应付款拨入一个临时使用的账户中，并等待后续处理，同时发送消息告知收单行应付款项已经从用户卡中扣除并存入临时的信用账户中，收单行随后对此回应生成授权响应信息并发回给电子交易中心去。

5）电子交易中心收到授权响应信息后，得知买家已完成付款给商家，电子交易中心随机发送信息通知商家，商家随后查询自己银行信用卡账户中户款是否已划拨到账，并将该信息发回给电子交易中心。

6）卖家发送确认收款信息后，将加密数字商品的对称密钥先使用电子交易中心的私钥加密，然后再使用买家的公钥加密，最后将此加密信息发送给买家。

7）买家使用自己的私钥解密信息后，再使用电子交易中心的公钥解密，最后得到商家的对称密钥，使用商家的对称密钥即可解密得到购买的电子商品。并验证该商品是否与欲购商品一致，若一样则向中心发送买家确认信息，同意支付商品款项，则电子交易中心随后将已经划入临时设置的账户中的付款转到商家账户里，否则，买家发送信息给电子交易中心告知拒绝付款，电子交易中心收到买家信息后，就会将临时资金账户中的付款冻结，再做进一步处理，直到买家收到指定物品否则支付中心将临时账户中的资金再划到用户的账户中。

1.2身份认证过程做简化处理

使用以下几种方案可实现对身份认证过程的简化：

1）建立临时身份数字证书

由于在交易过程中需要在用户、卖家和支付网关间做多次传递和验证对方的数字证书从而造成时间上的较大耗费。故为减少这种不必要的时间开销，可以在通信双方在第一次做了相互的身份认证后，由通信双方商定建立一个临时使用的双方都同意的身份数字证书，这样就可大大减少在后面发生的数字证书传递和做验证的次数和时间。该临时身份证书应该规定一个使用期限，这个使用期限应该是根据交易中通信的双方根据此次交易而限定的，过期即失效，这样就可以在一定程度上提高该身份证书的可信任程度。

2）本地缓存证书

建立本地缓存证书，减少电子证书的验证时间。在一次交易中第一次发生对地区CA的验证后，就将这个已做验证的证书缓存，这样若在本次交易中再次做CA证书认证就首先如缓存中已做验证的证书比对，从而节省了对同一证书的反复认证，减少了在证书认证上的耗费时间。同时一次交易的时间一般都不长，这样会发生证书作废的几率也较低，所以也是较可行的。

1.3对加密算法上的改进

1）密钥长度的改进

交易过程中频繁使用了对称和非对称算法进行了数据加密，加密开销的时间在交易时间比重较大，如果每次对数据加密不是使用固定长度的密钥，而是可以根据安全性要求对不同的数据使用不同长度的密钥加密，如交易中金额不大，可以使用较短长度的密钥，否则就增大密钥长度来提高安全性，这样不是固定长度的密钥位数，就使得交易过程比较灵活，也更加符合实际对安全的要求，提高了交易效率。

2）使用椭圆曲线加密算法

在协议中使用计算更快的椭圆曲线加密算法也是一个有效途径。我们知道在SET交易中是通过RSA算法来完成数字签名和数字信封的，而RSA算法与椭圆曲线算法相比，显然没有椭圆曲线算法执行的快，椭圆曲线算法与RSA算法在计算复杂度上分别是完全指数级和亚指数级的，采用椭圆曲线算法可以实现更高的安全性要求。

1.4对交易软件做改进

我们知道SET交易是基于信用卡实现的，持卡买家如果需要进行交易就要先在用户计算机上安装一个客户端软件，即电子钱包软件，它是电子商务中进行网上购物常用的一种大小为几兆工具软件。它主要用来实现电子安全证书管理、辨认用户身份、发送交易信息、保存交易记录及在线交易等功能。但是电子钱包软件却由于所占空间较大，功能多杂使得用户在安装和使用过程中都遇到了很大不变。鉴于此，我设想提出电子钱包服务系统。用户在进行电子商务活动中，可以直接使用电子商务系统服务器上的电子钱包软件，该软件与用户银行帐号相连。或者直接从网络上调入使用。电子钱包服务器作为电子钱包系统的最核心部分，可以为客户实现电子钱包应具有的各功能，如储存和管理用户帐号信息、保存交易记录、发送用户的购买请求以及管理数字证书和私有密钥等。

2对改进后的SET协议安全性分析

1）改进后的交易流程中为了确保交易的安全、保密和不可否认性，使用了加密算法、数字签名、DS签名、身份认证等技术实现整个交易过程的安全可信。

2）简化身份认证过程，提高交易效率。通过设置临时身份数字证书，使用缓存证书，并且撤去CA认证机构等途径，有效的降低了交易时间，提高了交易速度。

3、灵活使用数据加密方式，根据需要变换加密密钥长度以及使用椭圆曲线加密技术，同时也设计使用组合的加密算法进行数据加解密，从而使交易过程更加灵活和人性化，也增强了交易过程的安全程度。

3）在改进的方案中用户可以直接登录电子商务系统服务器上的电子钱包软件完成原电子钱包客户端完成的各个功能，给用户在安装使用和维护上带来很大的便利，更有利于应用和推广。

3总结

以上对原有的SET协议做了一定程度的完善，改进了协议中存在的缺陷，更加满足实际需要。虽然SET协议到现在还是有其不尽人意的地方，但我相信，通过对协议在使用中遇到的问题做深入研究，协议会不断得到改进的，不断改进后的SET协议将会在安全电子商务中发挥越来越大的作用。

参考文献：

[1] SecureElectronic Transaction SPecification:BusinessDescriPtion.May,31,2007.

[2] International Telecommunication Union.ITU Internet Reports2005[R]:The Internet of Things,2005.

[3]张爱萍等.电子商务安全技术[M].北京:清华大学出版社,2010.

[4]刘文远.电子商务交易协议理论研究[M].黑尔滨:黑尔滨工业大学出版社,2007.