基于SET协议的电子商务安全机制分析

本文发表于《信息网络安全》2006.10，欢迎转载，请注明作者和期刊名。

基于SET协议的电子商务安全机制分析

张鉴

国家信息中心网络安全部

 

摘要：安全是电子商务发展的核心问题。本文分析了电子商务面临的安全威胁和相应的安全需求，对当前最通用的安全交易标准SET协议的工作原理和流程、安全技术、及存在的缺陷进行了比较详细的分析和阐述，对于促进电子商务安全机制的研究和开发具有一定的现实意义。

关键字：电子商务      安全       SET协议

 

一、引言

 

       随着互联网的普及和发展，传统的商务活动也由传统的面对面的交易模式向电子交易模式转变。电子商务(electronic commerce，EC)是指交易各方通过电子方式进行的商业交易，包括了商务应用的各个方面。它以计算机网络为构架，以交易双方为主体，以银行支付和结算为手段，以客户数据库为依托，是一种全新的商业模式。电子商务的出现极大地方便了商业企业之间、商业企业与消费者之间、消费者与消费者之间的交易，为消费者提供便捷、快速服务的同时，也增强了企业竞争力，大大促进了经济发展和社会进步。

       但是由于电子商务是基于开放网络环境下的商务形式，这也带来了一系列的问题。开放程度越高，网络安全及支付安全问题就越凸现出来。与网络环境下的电子商务相对应的，就要有安全的支付方式去实现交易双方的终极目的作为电子商务安全的核心问题之一，电子支付系统的安全更需要采取一些特殊的安全措施来加以保障，以求做到机密性、完整性、真实性和不可抵赖性等各个方面。

 

二、电子商务安全需求

 

2.1 电子商务面临的安全威胁

 

       电子商务安全中普遍存在着以下几种安全威胁：

1)        窃取信息：由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

2)        篡改信息：当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。

3)        假冒：由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远程用户通常很难分辨。

4)        恶意破坏ÿ