• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      電子商務協(xié)議SSL與SET的分析研究

      2017-03-14 02:24:21蔡俊杰
      網(wǎng)絡安全技術與應用 2017年2期
      關鍵詞:收單信用卡商家

      ◆蔡俊杰

      電子商務協(xié)議SSL與SET的分析研究

      ◆蔡俊杰

      (廣東肇慶廣播電視大學 廣東 526060)

      在電子商務活動中,核心問題是電子交易安全。安全協(xié)議是目前電子支付技術安全問題中的熱點,安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)是電子商務中支持支付系統(tǒng)的關鍵技術。本文先分析了這兩種協(xié)議的原理、工作流程,然后對兩者的特點進行了對比,最后對安全協(xié)議的發(fā)展趨勢做出了預測。

      電子商務;安全協(xié)議;SSL協(xié)議;SET協(xié)議

      0 前言

      電子商務被認為是當前新的經(jīng)濟增長點,而來自計算機網(wǎng)絡和交易雙方的安全問題也日益顯現(xiàn)出來。因此,構建強有力的電子商務安全體系已刻不容緩。在電子商務安全體系中,開發(fā)設計及運用合理且有效的安全協(xié)議尤為重要。

      目前常用的安全協(xié)議有安全套接層協(xié)議SSL(Secure Sockets Layer)和安全電子交易協(xié)議(Secure Electronic Transactions)。

      1 安全套接層協(xié)議SSL

      1.1 安全套接層協(xié)議SSL

      SSL是由Netscape Communication公司設計開發(fā)的安全協(xié)議,主要用于提高應用應用程序之間數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的概念可理解為:一個保證在任何裝了SSL的客戶機和服務器間通信安全的協(xié)議,它涉及所有的TCP/IP應用程序。

      SSL協(xié)議處于互聯(lián)網(wǎng)多層協(xié)議的傳輸層,運行在TCP/IP之上而在甚高層協(xié)議(如Http、Ldap和JAMP等)之下,如圖1所示:

      圖1 SSl協(xié)議所處的層次

      運行時支持SSL協(xié)議的服務器可以同時支持SSL協(xié)議的客戶機彼此認證自己,允許這兩臺機器間建立安全的加密連接。

      1.2 SSL安全協(xié)議提供三方面的服務

      (1)用戶和服務器的合法性認證:它們能夠確信數(shù)據(jù)將發(fā)送正確的客戶機上。

      (2)加密數(shù)據(jù)以隱藏被傳輸?shù)臄?shù)據(jù):安全套接層協(xié)議所采取的加密技術既有對稱密鑰技術,也有公開密鑰技術。

      (3)維護數(shù)據(jù)的完整性:確保數(shù)據(jù)在傳輸過程中不被改變。

      1.3 SSL運行步驟包括六步

      (1)接通階段:客戶通過網(wǎng)絡向服務商打招呼,服務商回應;

      (2)密碼交換階段:客戶與服務商之間交換雙方認可的密碼,一般選用RSA密碼算法;

      (3)會談密碼階段:客戶與服務商之間彼此交談的會話密碼;

      (4)檢驗服務商取得的密碼:檢驗服務商取得的密碼;

      (5)客戶論證階段:驗證客戶的可信度;

      (6)結束階段:客戶與服務商之間相互交換結束的信息。

      1.4 SSL分析

      在電子商務交易過程中,由于有銀行參與,按照SSL協(xié)議,客戶的購買信息首先發(fā)往商家,商家再將信息發(fā)往銀行,銀行驗證客戶信息的合法性后,通知商家付款成功,商家再通知客戶購買成功,并將商品寄送客戶。其流程圖如圖2所示:

      圖2 SSL安全協(xié)議流程圖

      SSL安全協(xié)議也是國際上最早應用于電子商務的一種網(wǎng)絡安全協(xié)議,至今仍然有許多網(wǎng)上商店在使用。當然在使用時SSL協(xié)議根據(jù)郵購的原理進行了部分改進。在傳統(tǒng)的郵購活動中客戶首先找到商品信息,然后匯款給商家,商家再把商品寄給客戶。這里商家是可以信賴的,所以客戶必須先付款給商家。在電子商務的初始階段,商家也是擔心客戶購買后不付款,或使用過期作廢的信用卡,因而希望銀行給予論證。SSL安全協(xié)議正是在這種背景下應用于電子商務的。

      2 安全電子交易協(xié)議

      為了克服SSL安全協(xié)議的缺點,滿足電子交易持續(xù)不斷增加的安全要求,達到交易安全及合乎成本效益的市場要求,VISA和MasterCard這兩大國際信用卡組織在Microsoft、Netscape、IBM、SAIC和GTE等公司的支持下,共同制定了SET協(xié)議。SET在保留對客戶信用卡認證的前提下又增加了對商家身份的認證,這對于需要支付貨幣的交易來講是至關重要的。由于設計合理,SET協(xié)議又得到了許多大公司的支持,成為事實上的工業(yè)標準。目前,它已獲得IETF標準認可。

      2.1 SET的運行目標

      SET協(xié)議要達到的目標主要有五個:

      (1)保證信息在INTERNET上安全傳輸,防止數(shù)據(jù)被黑客或內部人員竊取。

      (2)保證電子商務參與者的信息相互隔離??蛻舻馁Y料加密或打包后通過商家到達銀行,但是商家不能看到客戶的帳戶和密碼信息。

      (3)解決多方認證問題,不僅要對消費者的信用卡認證,而且要對在線商店信譽度認證,同時還有消費者、在線商店與銀行間的認證。

      (4)保證了網(wǎng)上交易的實時性,使所有的支付過程都是在線的。

      (5)效仿EDI貿易的形式規(guī)范協(xié)議和消息格式,促使不同商家開發(fā)的軟件具胡兼容性和互相操作的功能,并且可以運行在不同的硬件和操作系統(tǒng)平臺上。

      2.2 SET涉及的對象

      SET協(xié)議規(guī)范所涉及的對象主要有:

      (1)消費者,包括個人消費者和團體消費者,按照在線商店的要求填寫定貨單,通過由發(fā)卡銀行發(fā)行的付款卡(如信用卡、借記卡)進行結算。在消費者和商家的會話中SET可以保證消費者的個人賬號信息不被泄露。

      (2)商家通過在線商店,提供商品或服務,具備相應電子貨幣使用的條件。接受卡支付的商家必須與信用卡收單銀行登記簽約,并取得數(shù)字證書。

      (3)支付網(wǎng)關,在電子商務中如果要從開放的互聯(lián)網(wǎng)趕往金融機構內部網(wǎng),需要一套安全的軟件把從互聯(lián)網(wǎng)上傳來的信息翻譯成銀行封閉系統(tǒng)能接受的信息形式,以使兩套互不兼容的信息模式在切換時的安全性得到保證。支付網(wǎng)關是由銀行操作的,將Internet上的傳輸數(shù)據(jù)轉換為金融機構內部數(shù)據(jù)的設備,或是由指派的第三方處理商家支付信息和客戶的支付指令。

      (4)收單銀行,收單銀行建立一個特約商店的賬戶,對信用卡做認證處理與賬款的處理。特約商店通常會接受幾個不同發(fā)卡公司,但不會同時和多個不同的銀行卡協(xié)會或多個個體發(fā)卡銀行合作。收單銀行會協(xié)助特約商店做認證,核對信用卡賬戶是否有效,以及消費金額是否超出信用額度。

      (5)發(fā)卡銀行,不屬于SET交易的直接組成部分,但卻是完成交易的直接參與方。是電子貨幣(如智能卡、電子現(xiàn)金、電子錢包)的發(fā)行公司,以及某些兼有電子貨幣發(fā)行銀行,負責處理智能卡的審核和支付工作。當收單銀行通過金融網(wǎng)絡要求付款授權時,發(fā)卡銀行需要回應付款申請,保證對每一筆認證交易的付款,交易完成后,再與收單銀行進行帳務結算與信息交換。

      (6)認證中心CA,負責對交易對方的身份確認,產(chǎn)生分配和管理發(fā)卡人、商家和參與交易各方的數(shù)字證書,對商家的信譽度和消費者的支付手段進行認證。

      2.3 SET的技術范圍

      SET協(xié)議規(guī)范的技術范圍包括:

      (1)加密算法的應用;

      (2)證書信息和對象格式;

      (3)購買信息和對象格式;

      (4)認可信息和對象格式;

      (5)規(guī)劃信息和對象格式;

      (6)對話實體之間消息的傳輸協(xié)議。

      3 SSL與SET的分析比較

      同SSL相比,SET系統(tǒng)則給銀行、商家、持卡人帶來了更多的安全,使人們在網(wǎng)上交易時更加放心。但SET也存在一些問題,這些問題包括:

      (1)協(xié)議沒有說明收單銀行給在線商家付款前,是否必須收到消費者的貨物接受證書。否則,在線商家提供的貨物不符合質量標準,消費者提出疑義,責任由誰承擔。

      (2)協(xié)議沒有擔?!胺蔷芙^行為”,這意味著在線商家沒有辦法證明訂購是由簽署數(shù)字證書的、講信用的消費者發(fā)出的。

      (3)SET技術規(guī)范沒有提及在事務處理完成后。如何安全地保存或銷毀此類數(shù)據(jù),是否應當將數(shù)據(jù)保存在消費者、在線商家或收單銀行的計算機里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。

      (4)SET要求在銀行網(wǎng)絡、商家服務器、顧客的PC機上安裝相應的軟件,同時,SET還要求必須向各方發(fā)放證書,這使其實現(xiàn)起來比較復雜,比SSL要昂貴得多。從而阻礙了SET的廣泛發(fā)展,現(xiàn)在使用該協(xié)議的電子支付系統(tǒng)并不多。它存在的缺點也促使人們設法改進它。中國商品交易中心、中國銀行、上海長途電信局都提出了自己的設計方案。目前中國銀行的網(wǎng)上銀行支付系統(tǒng)是基于SET協(xié)議開發(fā)的。

      由以上分析可知,SET與SSL相比較具有以下優(yōu)點:

      (1)SET為商家提供了保護自己的手段,使商家免受欺詐的困擾,降低了商家的運營風險。

      (2)對消費者而言,SET保證了商家的合法性,并且用戶信用卡號不會被竊取,SET替消費者保守了更多的秘密,而SSL則是基于商家對客戶信息保密的承諾。

      (3)對銀行和發(fā)卡機構以及信用卡組織而言,因為SET可以幫助他們將業(yè)務擴展到Internet這個廣闊的空間,并且使得信用卡網(wǎng)上支付具有更低的受欺騙風險,比其它方式具有更大的競爭力。而SSL對商家的認證考慮不夠。

      (4)SET對于參與交易的各方定義了互操作接口,一個系統(tǒng)可以由不同的廠商產(chǎn)品構成。這一點,決定了它比SSL有更多的擴展空間。

      4 結束語

      綜上所述,提供這些功能的前提是:SET要求在銀行服務器、商家服務器、消費者個人統(tǒng)籌終端上安裝相應的軟件,還要求必須向各方發(fā)放數(shù)字證書,這一切就使得SET在成本上比SSL昂貴得多。所以,結合當前我國的實際情況可以預見,安全認證在我國的發(fā)展趨勢將可能為以下兩個方面:

      (1)SET與SSL共存,優(yōu)勢互補。如美國較多采用的是“面向商家的SET協(xié)議”,即在銀行與商家之間采用SSL協(xié)議,但這對銀行的要求就更高了。

      (2)隨著SET與SSL的融合程度上升,有可能出現(xiàn)一種新的安全認證體系,類似于目前的公鑰基礎結構(PKI)。從廣義上來說,所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng)都可叫做PKI系統(tǒng),因此他既支持SET,SSL,還支持其他一些協(xié)議,并且可為B to B及B to C兩種電子商務模式提供兼容性服務,其前景目前較為看好。

      [1]李佳.網(wǎng)絡通信安全技術淺析[J].科技風,2014.

      [2]劉彥戎.淺析電子商務安全協(xié)議[J].中小企業(yè)管理與科技,2012.

      [3]電子商務系統(tǒng).http://baike.baidu.com/link?url=MCqIGn 39ecs-K8nCy2M7PB_SkdaR8kNyLOcAs3L8Ns5dN-letvtTAIys L1Xwb9Hw9dZs31ku9fk-RaQ8EHEhGa.

      [4]電子商務網(wǎng)上交易和管理,http://wenku.baidu.com/vie w/a47a9e96aa00b52acec7ca02.html?from=search.

      [5]杜芳莉.電子商務時代傳統(tǒng)專業(yè)市場的機遇與挑戰(zhàn)[J].中國物流與采購,2014.

      [6]孫毅.我國移動電子商務面臨的機遇與挑戰(zhàn)[J].電子商務,2014.

      猜你喜歡
      收單信用卡商家
      The Thin Line
      漢語世界(2023年3期)2023-09-15 10:25:48
      淺議“收單商圈”營銷
      消費導刊(2020年23期)2020-07-12 12:47:34
      商家出售假冒商品,消費者獲十倍賠償
      公民與法治(2020年9期)2020-05-30 12:45:12
      信用卡資深用戶
      信用卡詐騙
      辦信用卡透支還債夫妻均獲刑10年
      公民與法治(2016年6期)2016-05-17 04:10:39
      春節(jié)黃金周陜西省商家攬金二百一十億元
      “人卡分離”時信用卡惡意透支的刑事責任及思考
      淺談當前銀行卡收單行業(yè)中“二清”風險及防范對策
      易淘食進駐百度錢包中小商家盼低費率
      延寿县| 广宁县| 克拉玛依市| 桦甸市| 连江县| 盐城市| 通山县| 太谷县| 全州县| 射洪县| 东莞市| 辰溪县| 察隅县| 泰安市| 石门县| 巴马| 洛浦县| 金平| 舒城县| 高雄县| 万荣县| 永康市| 巢湖市| 平潭县| 鄂州市| 苍南县| 寻乌县| 宁都县| 安龙县| 武功县| 刚察县| 衡阳县| 宁化县| 聂拉木县| 来凤县| 稷山县| 高尔夫| 吴桥县| 泾源县| 奎屯市| 南召县|