?
?
一、概述
電子商務發展的核心問題是交易的安全性問題,這也是企業應用電子商務最擔心的問題,因此如何在開放的公用網上構筑安全的交易模式,一直是人們研究的熱點和大家關注的話題,要構筑一個安全的電子交易模式,應滿足以下五個方面,這也是OSI規定的五種標準的安全服務:
(1)數據保密:防止信息被截獲或非法存取而泄密。
(2)對象認證:通信雙方對各自通信對象的合法性、真實性進行確認,以防第三者假冒。
(3)數據完整性:阻止非法實體對交換數據的修改、插入、刪除及防止數據丟失。
(4)防抗抵賴:用于證實已發生過的操作,防止交易雙方對發生的行為抵賴。
(5)訪問控制:防止非授權用戶非法使用系統資源。
迄今為止,國內外已經出現了多種電子支付協議,目前有兩種安全在線支付協議被廣泛采用,即安全套接層SSL協議和安全電子交易SET協議,二者均是成熟和實用的安全協議。
二、SSL協議
SSL(Secure Socket Layer即安全套接層)協議是Netscape Communication公司推出在網絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。它是國際上最早應用于電子商務的一種由消費者和商家雙方參加的信用卡/借記卡支付協議。
1、SSL協議提供的服務主要有:
1)認證用戶和服務器,確保數據發送到正確的客戶機和服務器;
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
2、SSL協議的工作流程:
服務器認證階段:1)客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接;2)服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;3)客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;4)服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。
用戶認證階段:在此之前,服務器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶,客戶則返回(數字)簽名后的提問和其公開密鑰,從而向服務器提供認證。
從SSL協議所提供的服務及其工作流程可以看出,SSL協議運行的基礎是商家對消費者信息保密的承諾,這就有利于商家而不利于消費者。在電子商務初級階段,由于運作電子商務的企業大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。但隨著電子商務的發展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證,但是SSL協議仍存在一些問題,比如,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議并不能協調各方間的安全傳輸和信任關系。在這種情況下,Visa和MasterCard兩大信用卡公組織制定了SET協議,為網上信用卡支付提供了全球性的標準。
三、SET協議
SET(Secure Electonic Transcation 即安全電子交易協議)是美國Visa和MasterCard兩大信用卡組織等聯合于1997年5月31日推出的用于電子商務的行業規范,其實質是一種應用在Internet上、以信用卡為基礎的電子付款系統規范,目的是為了保證網絡交易的安全。SET妥善地解決了信用卡在電子商務交易中的交易協議、信息保密、資料完整以及身份認證等問題。SET已獲得IETF標準的認可,是電子商務的發展方向。
1、SET支付系統的組成
SET支付系統主要由持卡人(CardHolder)、商家(Merchant)、發卡行(Issuing Bank)、收單行(Acquiring Bank)、支付網關(Payment Gateway)、認證中心(Certificate Authority)等六個部分組成。對應地,基于SET協議的網上購物系統至少包括電子錢包軟件、商家軟件、支付網關軟件和簽發證書軟件。
2、SET協議的工作流程
1)消費者利用自己的PC機通過因特網選定所要購買的物品,并在計算機上輸入訂貨單、訂貨單上需包括在線商店、購買物品名稱及數量、交貨時間及地點等相關信息。
2)通過電子商務服務器與有關在線商店聯系,在線商店作出應答,告訴消費者所填訂貨單的貨物單價、應付款數、交貨方式等信息是否準確,是否有變化。
3)消費者選擇付款方式,確認訂單簽發付款指令。此時SET開始介入。
4)在SET中,消費看必須對訂單和付款指令進行數字簽名,同時利用雙重簽名技術保證商家看不到消費者的帳號信息。
5)在線商店接受訂單后,向消費者所在銀行請求支付認可。信息通過支付網關到收單銀行,再到電子貨幣發行公司確認。批準交易后,返回確認信息給在線商店。
6)在線商店發送訂單確認信息給消費者。消費者端軟件可記錄交易日志,以備將來查詢。
7)在線商店發送貨物或提供服務并通知收單銀行將錢從消費者的帳號轉移到商店帳號,或通知發卡銀行請求支付。在認證操作和支付操作中間一般會有一個時間間隔,例如,在每天的下班前請求銀行結一天的帳。
前兩步與SET無關,從第三步開始SET起作用,一直到第六步,在處理過程中通信協議、請求信息的格式、數據類型的定義等SET都有明確的規定。在操作的每一步,消費者、在線商店、支付網關都通過CA(認證中心)來驗證通信主體的身份,以確保通信的對方不是冒名頂替,所以,也可以簡單地認為SET規格充分發揮了認證中心的作用,以維護在任何開放網絡上的電子商務參與者所提供信息的真實性和保密性。
四、SET與SSL協議的比較
1、在認證要求方面,早期的SSL并沒有提供商家身份認證機制,雖然在SSL3.0中可以通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證,但仍不能實現多方認證;相比之下,SET的安全要求較高,所有參與SET交易的成員(持卡人、商家、發卡行、收單行和支付網關)都必須申請數字證書進行身份識別。
2、在安全性方面,SET協議規范了整個商務活動的流程,從持卡人到商家,到支付網關,到認證中心以及信用卡結算中心之間的信息流走向和必須采用的加密、認證都制定了嚴密的標準,從而最大限度地保證了商務性、服務性、協調性和集成性。而SSL只對持卡人與商店端的信息交換進行加密保護,可以看作是用于傳輸的那部分的技術規范。從電子商務特性來看,它并不具備商務性、服務性、協調性和集成性。因此SET的安全性比SSL高。
3、在網絡層協議位置方面,SSL是基于傳輸層的通用安全協議,而SET位于應用層,對網絡上其他各層也有涉及。
4、在應用領域方面,SSL主要是和Web應用一起工作,而SET是為信用卡交易提供安全,因此如果電子商務應用只是通過Web或是電子郵件,則可以不要SET。但如果電子商務應用是一個涉及多方交易的過程,則使用SET更安全、更通用些。
五、總結
SSL協議實現簡單,獨立于應用層協議,大部分內置于瀏覽器和Web服務器中,在電子交易中應用便利。但它是一個面向連接的協議,只能提供交易中客戶與服務器間的雙方認證,不能實現多方的電子交易中。SET在保留對客戶信用卡認證的前提下增加了對商家身份的認證,安全性進一步提高。由于兩協議所處的網絡層次不同,為電子商務提供的服務也不相同,因此在實踐中應根據具體情況來選擇獨立使用或兩者混合使用。