摘要:在线交易的安全性和可靠性是基于因特网环境下的电子商务最关注的问题之一,支付环节的安全性是电子商务所关注的焦点。SET协议为使用信用卡进行在线交易的行为提供了安全规范。 一、电子商务交易的安全威胁与安全需求 1.安全威胁。电子商务交易的各环节中,容易受到以下的安全威胁,这些安全威胁通常都会造成比较严重的后果:一是信息的窃取与篡改,即网络上明文传输的数据被入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏。二是信息的假冒,即网络恶意攻击者通过冒充合法用户或者模拟虚假信息来实施欺诈行为。 2.安全需求。与安全威胁相对应,电子商务交易过程有以下的安全需求,分别是信息的保密性、完整性和不可抵赖性。电子商务信息的保密性,指的是在开放的互联网环境中,交易过程中的有关商务信息必须在相应的保密规范限定之下传输和访问。电子商务信息的完整性,指的是交易双方的信息不能被非法篡改和破坏。电子商务信息的不可抵赖性,指的是避免发生交易中的某一方在进行某种交易行为之后,否认自己曾经进行过该商务行为;或者某一方否认自己曾经接收到对方发出的交易信息。 二、SET交易安全模式分析 1.SET概述。SET是安全电子交易(Secure Electronic Transaction)的简称。其开发者是Visa和MasterCard两大信用卡公司,开发目的是为满足电子商务用户与商家之间在交易的支付阶段使用信用卡的安全性。 SET是一种基于信息流的安全协议,其目的是保证在用户、商家和银行之间在开放的网络环境之下进行安全可靠的信用卡交易。它的出现,使从前只能在银行之间进行的电子货币交易行为范围扩展到了普通用户的个人电脑领域。 2.SET核心机制。SET的技术核心是认证与加密,包括公开密匙加密、电子数字签名、电子信封、电子安全证书等。以加密技术为核心,结合其他技术体制,满足用户在电子商务交易中的保密性、完整性和不可抵赖性等安全需求。下面简要描述一下SET的主要安全措施。 (1)电子数字签名技术。这种方式结合了私钥和公钥体制,采用安全性高、管理方便的RSA算法,交易数据的发出者先将数据用私钥加密,而数据抵达接收方后,用发送者的公钥对数据进行解密还原。一个私钥严格关联着一个公钥,因此,数据发出者的信息只能被相应的接收者收到。这种方式是的发送方无法抵赖自己曾经发出过的交易数据信息。 (2)电子信封技术。交易信息数据的发出者将所发的信息用DES加密,然后再使用接收者的公钥把DES的对称密钥加密,这个过程叫做给信息加了电子数字信封。随后,交易信息的发出者将DES加密交易数据和电子信封本身一起发给交易数据的信息接收者。对方收到这些数据之后,用其自己的公钥打开电子信封,还原出发送者的DES对称密钥,接着用这个对称密钥去还原交易数据。这就确保了只有用交易信息接收者的密钥才可以查看电子信封,因此解接收者的身份就可以确定。 3.SET交易流程。 (1)交易流程的参与角色。基于SET安全协议的网络电子商务交易流程,几乎完全等同于现实物理世界的交易过程,唯一的不同点是交易发生环境为因特网。SET电子商务共有五个角色的参与:信用卡持有者、信用卡发放者、商家、支付网关、收款银行。①信用卡持有者:即电子商务交易中的持有信用卡的买主,使用基于SET安全协议的电子钱包。②信用卡发放者:为信用卡持有者提供电子钱包的机构,属于金融机构。其功能包括为信用卡持有者开户并且发放支付卡,即提供网络交易中买主对信用卡的申请与消费的管理。③商家:提供网络上的商店,将货品详细资料用某种形式在网络上提交给买主挑选。④支付网关:属于电子商务交易时的第三方。用于处理电子交易时的支付数据以及买主的支付请求。⑤收款银行:为电子商务交易双方建立相关账户,同时也担负着信用卡的认证等功能。 (2)交易流程的具体步骤。①买主上网操作,访问相关的网站,随后将挑选好的拟购买商品信息输入到相关条目中形成电子订货单。单据的内容包括商店名称、货物名称以及数量、交货地点和时间等。②网上商家随后将接收到来自服务器的买主购物信息,商家在线做出反馈,内容包括对买主所选的商品信息以及交货方式的确认等。③买主收到商家的反馈信息,确认自己所填的订购单据,并在付款表单上签署能证明自己身份的信息。④基于SET安全交易协议,买主所填写的定货单据和付款表单均需要数字签名。此环节由于使用了双重签名的技术体制,因此商家无法阅读到买主的信息,保证了买主的个人隐私信息不泄露。⑤网上的商家此时确认买主的订购单据,然后访问买主开户的银行请求支付。然后经过信用卡发放者的认证之后,将最终的确认信息返回给商家。⑥商家此时向买主发出订购单据的确认信息,提示买主记录。⑦商家按照预定的模式发货,同时收款银行将买主信用卡中的货币转移至商家本身的账户中。 在电子商务为用户带来诸多方便的同时,也不可避免地产生了许多安全问题,其中交易的安全性又是备受关注的。SET协议的目标是解决交易环节中各个参与者(用户、商家和银行)之间使用信用卡支付的安全问题。它应用于电子交易环节,可以有效地保证商务数据的保密性、一致性、完整性和不可抵赖性。
|