?
?
一、概述
電子商務(wù)發(fā)展的核心問(wèn)題是交易的安全性問(wèn)題,這也是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問(wèn)題,因此如何在開(kāi)放的公用網(wǎng)上構(gòu)筑安全的交易模式,一直是人們研究的熱點(diǎn)和大家關(guān)注的話題,要構(gòu)筑一個(gè)安全的電子交易模式,應(yīng)滿足以下五個(gè)方面,這也是OSI規(guī)定的五種標(biāo)準(zhǔn)的安全服務(wù):
(1)數(shù)據(jù)保密:防止信息被截獲或非法存取而泄密。
(2)對(duì)象認(rèn)證:通信雙方對(duì)各自通信對(duì)象的合法性、真實(shí)性進(jìn)行確認(rèn),以防第三者假冒。
(3)數(shù)據(jù)完整性:阻止非法實(shí)體對(duì)交換數(shù)據(jù)的修改、插入、刪除及防止數(shù)據(jù)丟失。
(4)防抗抵賴:用于證實(shí)已發(fā)生過(guò)的操作,防止交易雙方對(duì)發(fā)生的行為抵賴。
(5)訪問(wèn)控制:防止非授權(quán)用戶非法使用系統(tǒng)資源。
迄今為止,國(guó)內(nèi)外已經(jīng)出現(xiàn)了多種電子支付協(xié)議,目前有兩種安全在線支付協(xié)議被廣泛采用,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議,二者均是成熟和實(shí)用的安全協(xié)議。
二、SSL協(xié)議
SSL(Secure Socket Layer即安全套接層)協(xié)議是Netscape Communication公司推出在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。它是國(guó)際上最早應(yīng)用于電子商務(wù)的一種由消費(fèi)者和商家雙方參加的信用卡/借記卡支付協(xié)議。
1、SSL協(xié)議提供的服務(wù)主要有:
1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;
3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過(guò)程中不被改變。
2、SSL協(xié)議的工作流程:
服務(wù)器認(rèn)證階段:1)客戶端向服務(wù)器發(fā)送一個(gè)開(kāi)始信息“Hello”以便開(kāi)始一個(gè)新的會(huì)話連接;2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器;4)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。
用戶認(rèn)證階段:在此之前,服務(wù)器已經(jīng)通過(guò)了客戶認(rèn)證,這一階段主要完成對(duì)客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶,客戶則返回(數(shù)字)簽名后的提問(wèn)和其公開(kāi)密鑰,從而向服務(wù)器提供認(rèn)證。
從SSL協(xié)議所提供的服務(wù)及其工作流程可以看出,SSL協(xié)議運(yùn)行的基礎(chǔ)是商家對(duì)消費(fèi)者信息保密的承諾,這就有利于商家而不利于消費(fèi)者。在電子商務(wù)初級(jí)階段,由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司,因此這問(wèn)題還沒(méi)有充分暴露出來(lái)。但隨著電子商務(wù)的發(fā)展,各中小型公司也參與進(jìn)來(lái),這樣在電子支付過(guò)程中的單一認(rèn)證問(wèn)題就越來(lái)越突出。雖然在SSL3.0中通過(guò)數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證,但是SSL協(xié)議仍存在一些問(wèn)題,比如,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下,Visa和MasterCard兩大信用卡公組織制定了SET協(xié)議,為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。
三、SET協(xié)議
SET(Secure Electonic Transcation 即安全電子交易協(xié)議)是美國(guó)Visa和MasterCard兩大信用卡組織等聯(lián)合于1997年5月31日推出的用于電子商務(wù)的行業(yè)規(guī)范,其實(shí)質(zhì)是一種應(yīng)用在Internet上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范,目的是為了保證網(wǎng)絡(luò)交易的安全。SET妥善地解決了信用卡在電子商務(wù)交易中的交易協(xié)議、信息保密、資料完整以及身份認(rèn)證等問(wèn)題。SET已獲得IETF標(biāo)準(zhǔn)的認(rèn)可,是電子商務(wù)的發(fā)展方向。
1、SET支付系統(tǒng)的組成
SET支付系統(tǒng)主要由持卡人(CardHolder)、商家(Merchant)、發(fā)卡行(Issuing Bank)、收單行(Acquiring Bank)、支付網(wǎng)關(guān)(Payment Gateway)、認(rèn)證中心(Certificate Authority)等六個(gè)部分組成。對(duì)應(yīng)地,基于SET協(xié)議的網(wǎng)上購(gòu)物系統(tǒng)至少包括電子錢包軟件、商家軟件、支付網(wǎng)關(guān)軟件和簽發(fā)證書軟件。
2、SET協(xié)議的工作流程
1)消費(fèi)者利用自己的PC機(jī)通過(guò)因特網(wǎng)選定所要購(gòu)買的物品,并在計(jì)算機(jī)上輸入訂貨單、訂貨單上需包括在線商店、購(gòu)買物品名稱及數(shù)量、交貨時(shí)間及地點(diǎn)等相關(guān)信息。
2)通過(guò)電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系,在線商店作出應(yīng)答,告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)、交貨方式等信息是否準(zhǔn)確,是否有變化。
3)消費(fèi)者選擇付款方式,確認(rèn)訂單簽發(fā)付款指令。此時(shí)SET開(kāi)始介入。
4)在SET中,消費(fèi)看必須對(duì)訂單和付款指令進(jìn)行數(shù)字簽名,同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的帳號(hào)信息。
5)在線商店接受訂單后,向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過(guò)支付網(wǎng)關(guān)到收單銀行,再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后,返回確認(rèn)信息給在線商店。
6)在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志,以備將來(lái)查詢。
7)在線商店發(fā)送貨物或提供服務(wù)并通知收單銀行將錢從消費(fèi)者的帳號(hào)轉(zhuǎn)移到商店帳號(hào),或通知發(fā)卡銀行請(qǐng)求支付。在認(rèn)證操作和支付操作中間一般會(huì)有一個(gè)時(shí)間間隔,例如,在每天的下班前請(qǐng)求銀行結(jié)一天的帳。
前兩步與SET無(wú)關(guān),從第三步開(kāi)始SET起作用,一直到第六步,在處理過(guò)程中通信協(xié)議、請(qǐng)求信息的格式、數(shù)據(jù)類型的定義等SET都有明確的規(guī)定。在操作的每一步,消費(fèi)者、在線商店、支付網(wǎng)關(guān)都通過(guò)CA(認(rèn)證中心)來(lái)驗(yàn)證通信主體的身份,以確保通信的對(duì)方不是冒名頂替,所以,也可以簡(jiǎn)單地認(rèn)為SET規(guī)格充分發(fā)揮了認(rèn)證中心的作用,以維護(hù)在任何開(kāi)放網(wǎng)絡(luò)上的電子商務(wù)參與者所提供信息的真實(shí)性和保密性。
四、SET與SSL協(xié)議的比較
1、在認(rèn)證要求方面,早期的SSL并沒(méi)有提供商家身份認(rèn)證機(jī)制,雖然在SSL3.0中可以通過(guò)數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證,但仍不能實(shí)現(xiàn)多方認(rèn)證;相比之下,SET的安全要求較高,所有參與SET交易的成員(持卡人、商家、發(fā)卡行、收單行和支付網(wǎng)關(guān))都必須申請(qǐng)數(shù)字證書進(jìn)行身份識(shí)別。
2、在安全性方面,SET協(xié)議規(guī)范了整個(gè)商務(wù)活動(dòng)的流程,從持卡人到商家,到支付網(wǎng)關(guān),到認(rèn)證中心以及信用卡結(jié)算中心之間的信息流走向和必須采用的加密、認(rèn)證都制定了嚴(yán)密的標(biāo)準(zhǔn),從而最大限度地保證了商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。而SSL只對(duì)持卡人與商店端的信息交換進(jìn)行加密保護(hù),可以看作是用于傳輸?shù)哪遣糠值募夹g(shù)規(guī)范。從電子商務(wù)特性來(lái)看,它并不具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。因此SET的安全性比SSL高。
3、在網(wǎng)絡(luò)層協(xié)議位置方面,SSL是基于傳輸層的通用安全協(xié)議,而SET位于應(yīng)用層,對(duì)網(wǎng)絡(luò)上其他各層也有涉及。
4、在應(yīng)用領(lǐng)域方面,SSL主要是和Web應(yīng)用一起工作,而SET是為信用卡交易提供安全,因此如果電子商務(wù)應(yīng)用只是通過(guò)Web或是電子郵件,則可以不要SET。但如果電子商務(wù)應(yīng)用是一個(gè)涉及多方交易的過(guò)程,則使用SET更安全、更通用些。
五、總結(jié)
SSL協(xié)議實(shí)現(xiàn)簡(jiǎn)單,獨(dú)立于應(yīng)用層協(xié)議,大部分內(nèi)置于瀏覽器和Web服務(wù)器中,在電子交易中應(yīng)用便利。但它是一個(gè)面向連接的協(xié)議,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,不能實(shí)現(xiàn)多方的電子交易中。SET在保留對(duì)客戶信用卡認(rèn)證的前提下增加了對(duì)商家身份的認(rèn)證,安全性進(jìn)一步提高。由于兩協(xié)議所處的網(wǎng)絡(luò)層次不同,為電子商務(wù)提供的服務(wù)也不相同,因此在實(shí)踐中應(yīng)根據(jù)具體情況來(lái)選擇獨(dú)立使用或兩者混合使用。