?
?
一�、概述
電子商務(wù)發(fā)展的核心問題是交易的安全性問題�����,這也是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題,因此如何在開放的公用網(wǎng)上構(gòu)筑安全的交易模式�����,一直是人們研究的熱點和大家關(guān)注的話題���,要構(gòu)筑一個安全的電子交易模式���,應(yīng)滿足以下五個方面��,這也是OSI規(guī)定的五種標(biāo)準(zhǔn)的安全服務(wù):
(1)數(shù)據(jù)保密:防止信息被截獲或非法存取而泄密����。
(2)對象認(rèn)證:通信雙方對各自通信對象的合法性����、真實性進(jìn)行確認(rèn),以防第三者假冒��。
(3)數(shù)據(jù)完整性:阻止非法實體對交換數(shù)據(jù)的修改����、插入、刪除及防止數(shù)據(jù)丟失。
(4)防抗抵賴:用于證實已發(fā)生過的操作�,防止交易雙方對發(fā)生的行為抵賴��。
(5)訪問控制:防止非授權(quán)用戶非法使用系統(tǒng)資源����。
迄今為止�,國內(nèi)外已經(jīng)出現(xiàn)了多種電子支付協(xié)議,目前有兩種安全在線支付協(xié)議被廣泛采用���,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議,二者均是成熟和實用的安全協(xié)議���。
二��、SSL協(xié)議
SSL(Secure Socket Layer即安全套接層)協(xié)議是Netscape Communication公司推出在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)����。它是國際上最早應(yīng)用于電子商務(wù)的一種由消費(fèi)者和商家雙方參加的信用卡/借記卡支付協(xié)議���。
1���、SSL協(xié)議提供的服務(wù)主要有:
1)認(rèn)證用戶和服務(wù)器��,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器���;
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊?�。?span lang="EN-US">
3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。
2���、SSL協(xié)議的工作流程:
服務(wù)器認(rèn)證階段:1)客戶端向服務(wù)器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接;2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個主密鑰����,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器��;4)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個用主密鑰認(rèn)證的信息���,以此讓客戶認(rèn)證服務(wù)器。
用戶認(rèn)證階段:在此之前����,服務(wù)器已經(jīng)通過了客戶認(rèn)證�����,這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶��,客戶則返回(數(shù)字)簽名后的提問和其公開密鑰,從而向服務(wù)器提供認(rèn)證�。
從SSL協(xié)議所提供的服務(wù)及其工作流程可以看出,SSL協(xié)議運(yùn)行的基礎(chǔ)是商家對消費(fèi)者信息保密的承諾���,這就有利于商家而不利于消費(fèi)者���。在電子商務(wù)初級階段����,由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司���,因此這問題還沒有充分暴露出來����。但隨著電子商務(wù)的發(fā)展,各中小型公司也參與進(jìn)來,這樣在電子支付過程中的單一認(rèn)證問題就越來越突出����。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗證�,但是SSL協(xié)議仍存在一些問題���,比如����,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中����,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系����。在這種情況下��,Visa和MasterCard兩大信用卡公組織制定了SET協(xié)議���,為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)���。
三�����、SET協(xié)議
SET(Secure Electonic Transcation 即安全電子交易協(xié)議)是美國Visa和MasterCard兩大信用卡組織等聯(lián)合于1997年5月31日推出的用于電子商務(wù)的行業(yè)規(guī)范,其實質(zhì)是一種應(yīng)用在Internet上�����、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范��,目的是為了保證網(wǎng)絡(luò)交易的安全����。SET妥善地解決了信用卡在電子商務(wù)交易中的交易協(xié)議����、信息保密、資料完整以及身份認(rèn)證等問題���。SET已獲得IETF標(biāo)準(zhǔn)的認(rèn)可,是電子商務(wù)的發(fā)展方向�。
1��、SET支付系統(tǒng)的組成
SET支付系統(tǒng)主要由持卡人(CardHolder)、商家(Merchant)����、發(fā)卡行(Issuing Bank)、收單行(Acquiring Bank)��、支付網(wǎng)關(guān)(Payment Gateway)���、認(rèn)證中心(Certificate Authority)等六個部分組成�����。對應(yīng)地�,基于SET協(xié)議的網(wǎng)上購物系統(tǒng)至少包括電子錢包軟件���、商家軟件�、支付網(wǎng)關(guān)軟件和簽發(fā)證書軟件。
2���、SET協(xié)議的工作流程
1)消費(fèi)者利用自己的PC機(jī)通過因特網(wǎng)選定所要購買的物品,并在計算機(jī)上輸入訂貨單���、訂貨單上需包括在線商店、購買物品名稱及數(shù)量��、交貨時間及地點等相關(guān)信息�。
2)通過電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系,在線商店作出應(yīng)答�,告訴消費(fèi)者所填訂貨單的貨物單價�、應(yīng)付款數(shù)��、交貨方式等信息是否準(zhǔn)確��,是否有變化。
3)消費(fèi)者選擇付款方式�,確認(rèn)訂單簽發(fā)付款指令�。此時SET開始介入�����。
4)在SET中�,消費(fèi)看必須對訂單和付款指令進(jìn)行數(shù)字簽名��,同時利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的帳號信息。
5)在線商店接受訂單后�����,向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行,再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后��,返回確認(rèn)信息給在線商店����。
6)在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志��,以備將來查詢��。
7)在線商店發(fā)送貨物或提供服務(wù)并通知收單銀行將錢從消費(fèi)者的帳號轉(zhuǎn)移到商店帳號�����,或通知發(fā)卡銀行請求支付。在認(rèn)證操作和支付操作中間一般會有一個時間間隔���,例如,在每天的下班前請求銀行結(jié)一天的帳����。
前兩步與SET無關(guān)��,從第三步開始SET起作用,一直到第六步,在處理過程中通信協(xié)議���、請求信息的格式、數(shù)據(jù)類型的定義等SET都有明確的規(guī)定。在操作的每一步�����,消費(fèi)者��、在線商店、支付網(wǎng)關(guān)都通過CA(認(rèn)證中心)來驗證通信主體的身份�,以確保通信的對方不是冒名頂替��,所以,也可以簡單地認(rèn)為SET規(guī)格充分發(fā)揮了認(rèn)證中心的作用���,以維護(hù)在任何開放網(wǎng)絡(luò)上的電子商務(wù)參與者所提供信息的真實性和保密性。
四、SET與SSL協(xié)議的比較
1、在認(rèn)證要求方面�����,早期的SSL并沒有提供商家身份認(rèn)證機(jī)制�����,雖然在SSL3.0中可以通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗證��,但仍不能實現(xiàn)多方認(rèn)證;相比之下�����,SET的安全要求較高�,所有參與SET交易的成員(持卡人、商家��、發(fā)卡行����、收單行和支付網(wǎng)關(guān))都必須申請數(shù)字證書進(jìn)行身份識別。
2��、在安全性方面�����,SET協(xié)議規(guī)范了整個商務(wù)活動的流程,從持卡人到商家���,到支付網(wǎng)關(guān),到認(rèn)證中心以及信用卡結(jié)算中心之間的信息流走向和必須采用的加密���、認(rèn)證都制定了嚴(yán)密的標(biāo)準(zhǔn),從而最大限度地保證了商務(wù)性����、服務(wù)性���、協(xié)調(diào)性和集成性���。而SSL只對持卡人與商店端的信息交換進(jìn)行加密保護(hù)�,可以看作是用于傳輸?shù)哪遣糠值募夹g(shù)規(guī)范。從電子商務(wù)特性來看�����,它并不具備商務(wù)性�����、服務(wù)性����、協(xié)調(diào)性和集成性����。因此SET的安全性比SSL高。
3����、在網(wǎng)絡(luò)層協(xié)議位置方面,SSL是基于傳輸層的通用安全協(xié)議,而SET位于應(yīng)用層,對網(wǎng)絡(luò)上其他各層也有涉及�。
4�����、在應(yīng)用領(lǐng)域方面,SSL主要是和Web應(yīng)用一起工作���,而SET是為信用卡交易提供安全,因此如果電子商務(wù)應(yīng)用只是通過Web或是電子郵件����,則可以不要SET��。但如果電子商務(wù)應(yīng)用是一個涉及多方交易的過程,則使用SET更安全����、更通用些�����。
五、總結(jié)
SSL協(xié)議實現(xiàn)簡單���,獨(dú)立于應(yīng)用層協(xié)議,大部分內(nèi)置于瀏覽器和Web服務(wù)器中,在電子交易中應(yīng)用便利���。但它是一個面向連接的協(xié)議,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,不能實現(xiàn)多方的電子交易中���。SET在保留對客戶信用卡認(rèn)證的前提下增加了對商家身份的認(rèn)證,安全性進(jìn)一步提高。由于兩協(xié)議所處的網(wǎng)絡(luò)層次不同��,為電子商務(wù)提供的服務(wù)也不相同����,因此在實踐中應(yīng)根據(jù)具體情況來選擇獨(dú)立使用或兩者混合使用����。