电子商务安全协议SET[编辑]
电子商务安全协议是完成信息安全交换的共同约定的逻辑操作规则,是保证网上交易的机密性、数据完整性、身份的合法性和抗否认性的重要技术,协议是否完备成为它能否提供安全保障的关键。为了促进电子商务的发展,保障电子商务的安全,Internet电子商务安全协议的研究已成为热点。
SET(Secure Electronic Transaction)协议是VisaMasterCard联合其他一些大公司一起推出的基于开放的以信用卡为基础的电子商务协议。这个协议得到了CTE、IBM、Microsoft、Netscape等大公司的支持。但是,SET涉及的交易参与主体较多,从而导致协议比较复杂。目前SET协议的改进方案主要有:对SET协议进行简化、对SET协议进行扩展、以及安全控制分级模型等等。这些改进方案或者在增加SET安全性的同时降低了SET的执行效率,或者在提高了SET的执行效率的同时减弱了SET的安全性。而且SET不适合非数字商品交易局限性并没有根本解决。笔者在研究SET及其几种改进方案优缺点时,提出了在SET中引入TIP的思想,以改善SET协议的不足,使电子商务安全协议朝着高安全性、高效率的方向发展。
一、SET描述及安全性分析
(一)SET协议的描述
SET安全电子交易协议是一种基于消息流的协议。SET协议主要是为了解决用户、商家和银行之间通过信用卡在线支付而设计的,以保证支付信息的机密、支付过程的完整、持卡人的合法身份以及可操作性。SET中的核心技术主要有公开密钥加密、数字签名、数字信封、数字证书等。
SET协议的工作原理如图所示:
(二)SET协议的安全性分析
SET协议主要通过使用密码技术和数字证书方式来保证信息的机密性和安全性,它实现了电子交易的机密性、数据完整性、身份的合法性和不可否认性。 机密性(Confidentiality)在SET协议下,客户将支付信息PI和订单信息OI进行双重签名商家解密后得到OI,银行解密后得到PI,从而避免了商家访问客户的支付信息。
数据完整性(Data Integrity)SET协议通过使用Hash函数来保证数据完整性。报文发送后,Hash函数将为之产生一个惟一的报文摘要值,一旦报文中包含的数据被篡改,该值就会改变,从而被检测到,这样就保证了信息的完整性。 身份验证(Verification of Identity)身份认证,是电子商务中非常重要的环节,SET协议使用数字证书来确认商家、持卡客户、受卡行和支付网关的身份,为网上交易提供了一个完整的可信赖的环境。
不可否认性(Non-repudiation of Disputed char-ges)SET协议中数字证书的发布过程也包含了商家和客户在交易中存在的信息,因此,如果客户发出了一个商品的订单,在收到货物后它不能否认发出这个订单,同样,商家以后也不能否认收到过这个订单。
(三)SET协议的缺陷与不足
SET是一个完备的电子交易流程,较好地解决了基于信用卡基础上的电子交易各方之间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但是SET协议在实际运用中并不成功,它存在着一些不足,主要表现在以下几个方面:
1.SET协议非常复杂,成本很高,处理速度慢。SET交易过程需多次验证电子证书和数字签名,整个交易过程可能要花费很长时间,客户没有足够的耐心等待长时间的交易过程,从而影响了SET协议的广泛应用。
2.SET协议只满足“钱原子性”,而不满足“商品原子性”及“确认发送原子性”。
即当商家从支付网关得到客户正确支付后,SET协议不能保证商家一定会发货给客户,也不能保证发送给客户的商品就是客户订购的商品。
3.在SET协议下,客户的支付指令虽通过双重签名加密,理论上商家不可解密,但客户的支付指令(含信用卡号、密码)的信息仍然是由相对而言信誉并不可靠的网上商户转发给银行,仍存在着安全隐患,而且这样也容易引起客户心理上的不放心。
二、SET协议的几种改进方案
(一)对SET协议进行扩展
在电子商务交易过程中,网络纠纷层出不穷,这就需要对重要的数据进行保存。扩展的SET协议通过引入新的存储机制,将重要的数字保存在交易参与者之外的机构,这就是ESET(Extended SET)协议。其流程如图所示。
图中的ESI(Extended Storage Institution)即为设置的专门的存储机构,在ESET交易的过程中的第4、5、8步,ESI对重要的信息进行了第三方保存,这些保存的数据在产生纠纷时是可以作为证据采用的,因而可以避免一些纠纷中的取证难的问题。但是这种改进方案在本来就很复杂的SET协议上增加了新的环节,使协议的处理速度和执行效率进一步降低。
(二)安全控制分级模型
安全控制分级模型的基本原理就是将SET的安全控制分为不同的级别,每种级别的安全性不一样。不同的消费者可以根据不同的交易情况和自身需求来选择不同的安全级别。如果消费者所购商品的交易额较小,他对银行、商家又充分的信任,为了提高交易速度,他就可以选择安全级别较低的交易方式;如果消费者所购商品的交易额较大,为了确保交易的安全,他就可以选择安全级别较高的交易方式。
级别越低,安全性就越差,但加解密的次数就少,完成整个SET交易的速度快、效率高;反之,级别越高,安全性就越高,其加解密的次数就多,就越复杂,完成整个SET交易的速度就慢,效率就低。
安全控制分级模型是从具体的实际出发,根据交易的性质、交易额的大小以及消费者对交易的效率和安全等方面的要求,来选择不同的安全级别,较好地满足了不同的消费对象。具有灵活性、实用性、可控性和操作容易等特点。但是这种方法只是一种权宜之计,并不能从根本上解决SET协议的缺陷。随着网络欺诈风险的不断增加,网上交易对电子商务安全协议的要求越来越高,SET协议需要向更安全,更实用的方向发展。 (三)基于单向身份认证的安全交易协议SETBOC
SETBOC协议采用单向身份认证的方式简化了
SET协议,同时保证了协议的安全性、交易各方私有信息的保密性。如图所示:
在传统的SET协议中,证书交换采用M→C→M→P方式,这种方式需要至少13次的验证证书和数字签名;而SETBOC中的证书交换流程采用了M→C→P方式,在这种单向认证方式下,仅需要7次验证证书和签名,提高执行速度大约2.1倍以上,大大地提高了工作效率。在SET协议中采用了双向签名来保证支付信息PI和订单信息OI的安全性,但数据还是要经过不安全的地方。而在SETBOC中,客户把支付信息PI发送给支付网关P,将订单信息OI发送给商家M,cedi保证了OI和PI的安全。
与SET协议相比,SETBOC协议的安全性和执行效率有了很大地提高,但SETBOC协议仍有一定的局限性。对于数字商品的交易,SETBOC协议在商家收到支付网关的付款成功的消息后,将数字产品的加密密钥发送给顾客,顾客再用该密钥解密从而得到数字产品。但对于非数字产品,SETBOC协议却不能保证“商品原子性”及“确认发送原子性”。即当商家从支付网关得到客户正确支付后,SET协议不能保证商家一定会发货给客户,也不能保证发送给客户的商品就是客户订购的商品。
三、TIP在电子商务安全协议中的应用
(一)TIP思想的引入
在电子商务的交易中,从事交易的买卖双方由于信息的不对称,使双方对彼此的商业信息处于非充分了解的状态,这就使得网上交易的开展充满了风险和不确定性。这类似于国际贸易中的商务活动。在网上虚拟的市场中进行交易的买卖双方与国际贸易中来自不同国家的交易双方类似。在国际贸易中,为了建立国际贸易交易双方的信任关系,形成了银行信用为中介的信用证项下的贸易方式,从而建立交易双方的基本信用。
由于电子商务的交易环节类似于国际贸易的交易过程,我们完全可以借鉴国际贸易中信用证方式下交易的成功经验,在网上交易的商家和消费者之间做一个信用的中转,从而在一定程度上缓解彼此对双方信用的猜疑,增加对网上购物的可信度,这就是第三方支付平台——TIP(Trusted Third Party)的基本思想。
(二)TIP的优势
TTP服务的推出有以下几点优势:
(1)TTP采用了与众多银行合作的方式,同时提供多种银行卡的网关接口,从而大大地方便了网上交易的进行,对于商家来说,不用安装各个银行的认证软件,从一定程度上简化了费用和操作;
(2)TTP作为中介方,可以促成商家和银行的合作。对于商家TIP平台可以降低运营成本,同时对于银行,可以直接利用第三方的服务系统提供服务,帮助银行节省网关开发成本;
(3)TTP平台能够提供增值服务,帮助商家网站解决实时交易查询和交易系统分析,提供方便及时的退款和终止支付服务;
(4)TIP平台可以对交易双方的交易进行详细的记录,从而防止交易双方对交易行为可能的抵赖,同时也为在后续交易中可能出现的纠纷问题提供相应的证据。
总之TTP平台是当前突破支付安全和交易信用双重问题中较理想的解决方案。
SET协议位于的应用层中,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准。SET协议安全性较好,已经成为网上交易安全通信协定的产业标准。但SET的证书格式比较复杂,使用成本高,而且其安全性在某些方面还存在着一些缺陷,在实际应用中并不理想。TTP平台是目前网上支付的趋势,而且在实际运用过程中,TTP平台也显示出强大的生命力。目前比较知名的支付平台有北京的首信易支付,深圳的NPS支付系统,阿里巴巴的支付宝体系等等。如果在SET技术中加入TTP平台的思想,不但可以大大地提高电子商务的安全性,也可以简化SET过程中繁琐的认证工作,提高执行效率,而且使得非数字商品的交易同数字商品一样,也可以满足商品交易的原则性。
电子商务 网络安全 协议
网络营销词典内容均由网友提供,仅供参考。如发现词条内容有问题,请发邮件至info # wm23.com。