| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
Internet的出现是人类历史中一次重大的变革,它改变了我们生活和工作的传统模式,打破了时间、地域的限制,使人类社会进入了信息时代。伴随着世界经济的持续发展和信息技术不断进步,经济全球化和信息网络化已经成为整个世界经济发展进程中不可逆转的大趋势。
全新的电子商务是在Internet的广阔联系与传统信息技术系统的丰富资源相互结合的背景下应运而生的一种相互关联的动态商务活动,这种基于Internet的电子商务给传统的交易方式带来了一场革命。通过在网上自由传输的一串串字节,基于广泛互联和完全开放式平台,Internet实现了低成本、高效率的经营模式,包括各种金融业务。
近两年来,效益明显的电子商务活动在全球经济不景气的条件下仍在稳步发展。中国证监会有关统计资料表明,2001年全年累计的网上成交金额与2000年相比增长了约100%,达到了3578亿元。2002年5月份的统计结果是网上委托交易量为总交易量的19.11%,比2001年5月上升了15.54%。又例如,中国工商银行在网络银行上完成的支付和转帐金额在2000年是160亿元人民币左右,2001年发展到6000多亿元,而2002年的前三个季度已经突破40000亿元。
在网络上进行电子商务活动,安全是最重要的。目前网上支付这方面存在着一些安全问题,比如正如黑客可以在网上攻击破坏、兴风作浪一样,罪犯也可以从网上银行窃取金钱。网上银行只认数据不认人,如果安全得不到保障,罪犯通过窃取相关数据密码获得相应的权限,然后进行非法操作。所以说网络安全问题也是银行系统的安全问题。从信息系统自身的脆弱性来看,操作系统的脆弱性、计算机网络的脆弱性、数据库系统的脆弱性、缺少安全管理措施等也增加了网络支付系统的不安全程度。电子商务系统使得内部网与Internet连接,使小到本企业、本部门的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全问题便成了电子商务系统的首要问题。利用Internet和网络技术实现电子商务时需要解决好网络安全和信息安全问题。除了需要采用防火墙、防病毒和防攻击等网络安全措施外,还需要采取适当的信息安全技术来完成身份认证、信息加密传输、保障信息的完整性,以及交易的抗否认性。目前的安全电子交易协议主要有两种,即安全套接层(SSL)协议和安全电子交易(SET)协议。
安全电子交易(SET)是目前已经标准话且被业界广泛接受的一种网际网络信用卡付款机制。SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是一种基于消息流的协议,用来保证公共网络上银行卡支付交易的安全性,因而成为Internet上进行在线交易的电子付款系统规范。目前SET协议已在国际上被大量实验性地使用并经受了考验,成了事实上的工业标准。在SET协议中主要定义可以下内容:
(1)加密算法(如RSA和DES)的应用;
(2)证书消息和对象格式;
(3)购买消息和对象格式;
(4)请款消息和对象格式;
(5)参与者之间的消息协议。
SET协议确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。SET协议主要使用的技术包括:对称密钥加密,公钥加密,HASH算法,数字签名,数字信封以及数字证书等技术。SET是一个复杂的协议,它详细而准确地反映了卡交易各方之间的各种关系。事实上,SET不只是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。SET是一个基于可信的第三方认证中心的方案,它要实现的主要目标有下列三个方面。
1保障付款安全:确保付款资料的隐密性及完整性,提供持卡人、特约商店、收单银行认证,定义安全服务所需要的算法及相关协定。
2确定应用的互通性:提供一个开放式的标准。明确定义细节,以确保不同厂商开发的应用程序可共同运作,促成软件互通;在现存各种标准下构建协定,允许在任何软硬件平台上执行,使标准达到相容性与接受性目标。
3达到全球市场的接受性:在容易使用与对特约商店、持卡人影响最小的前提下,达到全球普遍性。允许在目前使用者的应用软件下,嵌入付款协定的执行,对收单银行与特约商店、持卡人与发卡银行间的关系,以及信用卡组织的基础构架改变最少。
在Internet上实现一个完整的SET交易主要包括持卡人注册申请证书、商户注册申请证书、购买请求、支付认证、获取付款5个步骤。持卡人注册申请证书,持卡人在参与网上交易前首先需先向CA申请证书,证书中包括该持卡人的帐号,有效期等信用卡信息,用以证明持卡人身份的有效性。商户注册申请证书,商户在接收持卡人SET指令或通过网关处理SET交易时同样需要启动商户软件请求证书,其流程和持卡人申请流程类似。下面是SET的简易流程:
1在消费者与特约商店之间,由持卡人在消费前先确认商店的合法性,由商店出示它的证书。
2持卡人确认后即可下订单,其订单经消费者以数字签名方式确认,而消费者所提供的信用卡资料则另由收单银行以公钥予以加密。这里,特约商店会收到两个经过加密的资料,其中一个是订单资料,另一个是关于支付的资料;按规定特约商店可以解密前者,但无法解密后者,以避免特约商店搜集或滥用持卡人消费资料。
3特约商店将客户的资料连同自己的SET证书发给收单银行,向银行请求交易授权及授权回复。收单银行同时检验两个证书以确定是否为合法的持卡人及特约商店。所以,收单银行由支付网关来解密,核对资料无误后,再连接到传统的网络。
4授权确认后由特约商店向消费者再行确认订单,交易完成。
5特约商店基于该授权向收单银行提出请款的要求。
6支付网关通知持卡人开户行向商家开户行付款。
可以看到,在这个过程中,CA扮演了系统的很重要的角色。SET标准着重的是其交易安全及隐密性。其中,数字证书为其核心,它提供了简单的方法来确保进行电子交易的人们能够互相信任。信用卡组织提供数字证书给发卡银行,然后发卡银行再提供证书给持卡人;同时,信用卡组织也提供数字证书给收单银行,然后收单银行再将证书发给特约商店。在进行交易的时候,持卡人和特约商店符合SET的规格软件会在资料交换前分别确认双方的身份,也就是检查由授权的第三者所发给的证书。在SET协定中,有持卡人证书、特约商店证书、支付网关证书、收单银行证书和发卡银行证书等五种证书。
持卡人的证书必须由发卡银行来颁发。在首次上网购物之前,持卡人必须先通过一个客户端程序将包括姓名、卡号、卡片有效期、邮寄地址等可以证明持卡人身份的基本资料发给发卡银行。这些资料使用银行的公钥加密,可安全地送至银行。发卡银行确认此账户正确无误后,便发给持卡人一张具有电子安全数字签章的证书。持卡人只要将证书储存在电脑上,即可进行电子购物。同样,商店也必须取得收单银行的电子证书才可以接收SET方式的支付。商店要将它的基本资料发送给收单银行,收单银行在确认无误后发出一张数字证书,允许它从事电子交易。
SET协议在安全性方面主要解决五个问题:(1)保证信息在Internet上安全传输,防止数据被黑客或内部人员窃取;(2)保证电子商务参与者信息的相互隔离,客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的账户和密码信息;(3)解决多方论证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证。同时,还有消费者、在线商店与银行间的认证;(4)保证网上交易的实时性,使所有的支付过程都是在线的;(5)仿效EDI贸易的形式,规范协议和消息格式,促使不同厂家按照一定的规范开发软件,使其具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET协议的缺陷:自1996年4月SET协议面市以来,得到了IBM、HP、Microsoft、Netscape、VeriFone、GET、Verisign等许多大公司的支持,促进了SET的发展。但SET仍然存在一些问题:(1)只适用于客户安装了“电子钱夹”的场合;(2)使用成本高,在一个典型的SET交易过程中,整个交易过程可能需花费1.5分钟至2分钟;(3)协议复杂,SET证书虽也遵循X.509标准,但格式比较特殊。
SSL协议由Netscape Communication公司设计开发,主要用于提高应用程序之间数据的安全性。该安全协议主要提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变。它能使客户一服务器应用之间的通信不被攻击者窃听。SSL采用TCP作为传输协议提供数据的可靠传送和接收。SSL工作SOCKET层上,因此独立于更高层应用,可为更高层协议,如Telnet,FTP,和THHP提供安全服务。SSL提供的安全业务和TCP层一样,采用了公开密钥和私人密钥两种加密体制对WEB服务器和客户机的通信提供保密性,数据完整性和认证。
实际上SSL协议本身也是个分层的协议,它由消息子层以及承载消息的记录子层组成。SSL记录协议首先按照一定的原则如性能最优原则把消息数据分成一定长度的片断;接着分别对这些片断进行消息摘要和MAC计算,得到MAC值;然后再对这些片断进行加密计算;最后把加密后的片断和MAC值连接起来,计算其长度,并打上记录头后发送到传输层。这是一般的消息数据到达后,记录层所做的工作。但有的特殊消息如握手消息,由于发送时还没有完全建立好加密的通道,所以并不完全按照这个方式进行;而且有的消息比较短小,如警示消息(Alert),出于性能考虑也可能和其它的一些消息一起被打包成一个记录。消息子层是应用层和SSL记录层间的接口,负责标识并在应用层和SSL记录层间传输数据或者对握手信息和警示信息的逻辑进行处理,可以说是整个SSL层的核心。其中尤其关键的又是握手信息的处理,它是建立安全通道的关键,握手状态机运行在这一层上。警示消息的处理实现上也可以作为握手状态机的一部分。SSL协议为了描述所有消息,引入了SSL规范语言,其语法结构主要仿照C语言,而是无歧义、精简的。
SSL提供的服务可以归纳为如下三个方面:
1、用户和服务器的合法性认证。
2、加密数据以隐藏被传送的数据。
3、维护数据库的完整。
SSL协议的特性:
SSL提供了两台机器间的安全连接。支付系统通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。大部分Web浏览器和Web服务器都内置了SSL协议,比较容易应用。SSL协议建立在可靠的传输层协议(如TCP)之上,与应用层协议无关。它在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。高层的应用层协议(如HTTP,FTP,TELNET等)可以透明地建立于SSL协议之上。应用层协议所传送的数据都会被加密,从而保证通信的私密性。SSL协议提供的安全信道有以下三种特性:
私密性:在握手协议定义了会话密钥后,所有的消息都被加密。
确认性:尽管会话的客户端认证是可选的,但是服务器端始终是被认证的。
可靠性:传送的消息包括消息完整性检查。
SSL协议由SSL记录协议和SSL握手协议两部分组成。下面先介绍握手协议。SSL中的握手协议,是在客户机和服务器之间交换消息强化安全性的协议,SSL握手协议包含两个阶段,第一个阶段用于建立私密性通信信道,第二个阶段用于客户认证。
第一阶段是通信的初始化阶段,首先SSL要求服务器向浏览器出示证书。证书包含有一个公钥,这个公钥是由一家可信证书授权机构签发的。通过内置的一些基础公共密钥,客户的浏览器可以判断服务器证书正确与否。然后,浏览器中的SSL软件发给服务器一个随机产生的传输密钥,此密钥由已验证过的公钥加密。由于传输密钥只能由对应的私有密钥来解密,这证实了该服务器属于一个认证过的公司。随机产生的传输密钥是核心机密,只有客户的浏览器和此公司的Web服务器知道这个数字序列。这个两方共享密钥的密文可以通过浏览器安全地抵达Web服务器,Internet上的其他人无法解开它。
第二阶段的主要任务是对客户进行认证,此时服务器已经被认证了。服务器方向客户发出认证请求消息。客户收到服务器方的认证请求消息后,发出自己的证书,并且监听对方回送的认证结果。而当服务器收到客户的证书后,给客户回送认证成功消息,否则返回错误消息。到此为止,握手协议全部结束。
SSL交易过程:在接下来的通信中,SSL采用该密钥来保证数据的保密性和完整性。这就是SSL提供的安全连接。这时客户需要确认订购并输入信用卡号码。SSL保证信用卡号码以及其他信息只会被此公司获取。客户还可以打印屏幕上显示的已经被授权的订单,这样就可以得到这次交易的书面证据。大多数在线商店在得到客户的信用卡号码后出示收到的凭据,这是客户已付款的有效证据。至此,一个完整的SSL交易过程结束。但是,SSL提供的保密连接有根大的漏洞。SSL除了传输过程以外不能提供任何安全保证,SSL并不能使客户确信此公司接收信用卡支付是得到授权的。在Internet上,经常会出现一些陌生的店铺,正因如此,网上商店发生欺诈行为的可能性要比街头店铺大得多。进一步说,即使是一个诚实的网上商店,在收到客户的信用卡号码后如果没有采用好的方法保证其安全性,那么信用卡号也很容易被黑客通过商家服务器窃取。
上面对SET和SSL进行了讨论,下面就SSL和SET协议进行比较。
事实上,SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。SET是一个多方的报文协议,它定义了银行、商家、持卡人之间必需的报文规范,与此同时SSL只是简单地在两方之间建立了安全连接。SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网或者其他网络上传输,而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。SET与SSL相比具有如下优点:
1SET为商家提供了保护自己的手段,使商家免受欺诈的困扰,使商家的运营成本降低。
2对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取,SET替消费者保守了更多的秘密使其在线购物更加轻松。
3银行和发卡机构以及各种信用卡组织来说,因为SET可以帮助它们将业务扩展到Internet这个广阔的空间,从而使得信用卡网上支付具有更低的欺骗概率,这使得它比其他支付方式具有更大的竞争力。
4SET对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构筑。
综上所述,在电子商务过程中,采用何种安全电子交易的协议是非常重要的,既要考虑安全性问题也要考虑实现过程的复杂程度和建设网站的成本。因此,发展电子商务需要根据实际情况,在保证安全的前提下节省成本,以促进我国的网络贸易的快速发展。■ |
|
|
|
