安全保证

　　电子商贸是当代网络技术和计算机应用技术发展的热点。而能否安全可靠地在网络上进行商贸数据交换又是电子商贸最为核心的问题。SET协议正是为了实现这一目的而推出的全球第一个基于安全数据交换的工业标准。

　　本节将系统地讨论SET的主要功能、作用、技术基础以及当前基于SET协议的电子商贸系统。

一、 SET及莫安全保障措施

　　在Internet上开发对所有公众开放的电子商贸系统，从技术角度来看，关键的技术问题有两个：一是信息传递的准确性；二是信息传递的安全可靠性。前者是各种数据交换协议已经解决了的问题；后者则是目前学术界、工商界和消费者最为关注的问题。为此，西方学者和企业界在这方面投入了大量的人力、物力。并于1996年提出了安全数据交换的SET（secure electronic transfer protocol）， SEPP（secure electronic payment protocol）等标准协议模式。这一系列工业化标准的推出，给原来已经十分火爆的电子商贸研究领域又注入了一针兴奋剂。1997年4月以IBM，Netscape，Marstercaed International，Visa以及美国数家大银行为首的一个巨大的国际合作集团联手推出了基于SET和SEPP的网络商贸（net commerce）系统。该系统所涉及的商贸范围包括：企业对企业、企业对消费者、商贸与支付等多个领域。基于安全网络数据交换协议的电子商贸系统的出现将会使现有企业经营模式和商贸流通模式从根本上发生改变。它不但是技术发展中的一件大事，而且是整个社会网络化、信息化进程中的一个飞跃，它对未来社会的发展是十分重要的。由于SET协议基于Internet的TCP／IP协议标准和WWW的技术规范，并以安全网络数据交换为宗旨。所以，它们一经提出就立刻受到普遍欢迎。根据1996年公布的SET标准草案和目前各种文献资料介绍来看，SET的主要安全保障来自如下三个方面。

　　一是将所有报文文本用非对称的方式加密（asymmetric cryptography）；

　　二是将两类保密键（private key and public key）的字长增加到512至2048字节；

　　三是采用联机动态的授权（authority）和认证检查（certificate），以确保交易过程的安全可 靠性。

　　这种不对称的加密过程将任何重要的信息通过加密，将普通文本数据加密为密码文本数据来传递和处理。然后处理结果达到接收方时再解密复原成普通文本数据。而这种动态授权认证方式则是充分利用Internet和Web和功能来完成。

　　基于上述三个方面保障措施的SET，从技术方面来看，可从如下几个方面确保我们在进行商贸业务和资金支付业务时信息的安全和可靠性。

　　（1）通过加密方式确保信息保密性（confidentiality of information by message encryption）；

　　（2）通过数字化签名确保数据的真实性（integrity of data by digital signature）；

　　（3）通过数字化签名和持卡人联机认证确保持卡人（信用卡等各种银行卡）账户的可靠性（cardholder account authentication by digital signature ang cardholder certificates）；

　　（4）通过数字化签名和商家认证确保商家的可靠性（merchant authentication by digital signature and merchant certificates）；

　　（5）通过特殊的协议和报文形式确保动态交互式系统的可操作性（inter operability by special protocaIs and message format）。

二、 SET工具主要支持的两大功能

　　SET协议是一个开放式的工业标准。它可支持多个对象（单位），在Internet TCP／IP基础上安全可靠地传送商贸和金融信息。任何人、任何系统都可以利用SET工具（SET toolkit）来实现商贸系统操作过程中的安全和保密问题。其中支付（payment）和认证（certificate）是SETtoolkit主要向系统开发者提供的两大主要功能。

　　从商贸业务的范围来看，目前的基于安全数据交换协议的电子商贸系统主要包括两类：一类是企业对企业的交易过程（business to business），另一类是商业对消费者的交易过程（business to consumer）。在这两类典型的业务处理过程中，后者目前在我国的应用可能还会受到一定的限制，但前者无论是对于我国电子商贸系统的发展还是对于我国网络应用技术的发展都是至关重要的。这样分析的主要原因是：

　　（l）企业对企业方式对国民经济发展，特别是搞活国有企业意义重大；

　　（2）这种方式一般交易发生次数较少，但金额和效益巨大，因而操作／效益比较高，社会容易接受这种高技术的、复杂和安全认证方式；

　　（3）我国的信用卡业务开展得不太普及，加之我国的信用卡在应用功能和范围上与国外的信用卡有较大的差距，因此在一个完全不同的业务处理背景下要研究该系统的应用是不太可能的。

　　当代网络技术和信息技术的发展都是由应用导向的，应用决定着技术发展的资金和方向，电子商贸是当今世界网络技术和信息系统应用技术发展的重点，因此发展电子商贸系统对于网络和信息系统自身的发展也有十分重要的意义。