论文部分内容阅读
[摘要] 针对当前安全电子商务交易的主要协议——SET协议存在的缺陷,提出了一个改进后的安全电子交易流程,该流程通过引入电子交易合同,并利用第三方物流商和收货单,解决了SET协议无法保证商品原子性和确认发送原子性的缺点,有效地保证了交易双方的公平性。
[关键词] SET 协议 原子性 电子交易合同 第三方物流商 收货单
一、SET协议概述
SET协议(Secure Electronic Transaction,安全电子交易)是由维萨(VISA)国际组织、万事达(MasterCard)国际组织创建,结合IBM、Microsoft、Netscape、GTE等公司制定的电子商务中安全电子交易的一个国际标准,其主要目的是解决信用卡电子付款的安全保障性问题。首先,SET协议保证了信息的机密性和信息的安全传输,使信息不能被窃听,只有收件人才能得到和解密信息;其次,SET也保证了支付信息的完整性,使得传输数据完整地接收,在中途不被篡改;最后,SET通过数字证书认证商家和客户,从而验证了公共网络上进行交易活动的商家、持卡人及交易活动的合法性。SET协议具有广泛的互操作性,采用的通讯协议、信息格式和标准具有公共适应性,从而可在公共互连网络上集成不同厂商的产品。
采用SET协议进行网上电子交易支付时,主要涉及持卡人、商家、支付网关、发卡行、收单行和CA中心共六方:持卡人是发行者发行的支付卡的授权持有者;发卡行是指发行信用卡给持卡者的金融机构(银行);商家是有货物或服务出售给持卡人的个人或组织;收单行是指商家开设账号所在的金融机构(银行);支付网关实现对支付信息从Internet 到银行内部网络的转换接口,用来处理商家支付报文和持卡人的支付指令,并对商家和持卡人进行认证。
二、SET协议交易流程
SET协议的交易流程主要是:
SET交易可分为3个阶段,即购买请求阶段、支付授权阶段和取得支付阶段,在这三个阶段之前,持卡人、商家和支付网关必须完成在CA中心的注册和证书申领工作。整个交易流程如图1所示。
图1 set交易流程
1.购买请求:持卡人到商户的网站完成浏览、选定商品后,持卡人发送支付信息和订单信息给商家进行支付;
2.支付授权:商家将客户支付信息由支付网关交给收单行,向银行请求交易授权和授权回复;收单行解密相关支付信息,并向发卡行进行验证,无误后向商家返回成功信息;商家向持卡人提供商品或服务;
3.取得支付:收单行和发卡行之间完成资金清算,整个交易结束。
三、SET协议的缺陷分析
尽管SET协议实现了电子交易卡支付的高安全性和可靠性,然而,SET协议的交易流程依然存在着不少缺陷,主要缺陷有以下两点:
1.商品原子性。即必须保证购买者如果付了款就一定能得到商品,购买者如果得到了商品则一定付了款,不存在付了款而得不到商品或得了商品而未曾付款。也就是说,当商家从支付网关得到客户正确支付后,SET协议并不能保证商家一定会发货给顾客,即不能保证商品的原子性。
2.确认发送原子性。需要有对客户购买的和商家销售的商品内容及品质的双方确认,亦即协议保证购买者得到他所订购的商品,商家发送了客户所订购的商品。商家从支付网关得到客户正确支付后,SET协议一样不能保证商家发送给顾客的商品就是顾客所订购的商品,也不能保证即不满足确认发送原子性。
因此,本文考虑从上述缺陷出发,对SET协议中的信息传递流程和相关机制进行改进,使它在原有基础上满足商品原子性和确认发送原子性。
四、改进的SET安全交易流程
改进后的交易流程主要分为六个步骤,如图2所示:
图2 改进后的SET电子交易流程
1.交易各方获取CA数字证书。持卡人、商家、发卡银行、收单银行及第三方物流商(如果在交易过程中需要的话)向各自的CA中心申请并取得各自的数字证书。为确保交易各方能验证交易中其他方的身份,建议交易各方采用同一个CA中心,或一组能相互认证的CA中心。
2.订单确认
(1)持卡人浏览商家的网站并选择商品;
(2)持卡人完成订单,将订单信息、支付信息进行双重数字签名后,连同CA证书一起发给商家;
(3)商家收到持卡人的订单信息和支付信息后,通过CA中心对持卡人的身份进行验证;同时将支付信息提交支付网关,请求收单行进行验证;
(4)收单行收到持卡人支付信息后,将持卡人CA证书和支付信息提交给发卡行,验证账户真实性及余额是否充足;如持卡人身份没有通过CA中心的验证或账户余额不足以完成本次交易,则商家取消持卡人的订单,同时通知持卡人;若持卡人身份和账户余额均通过验证,则返回商家成功信息;
(5)如持卡人身份和支付信息验证通过,则商家确认该订单,并对该订单进行数字签名,同时将订单发还给持卡人;
(6)买卖双方确认订单成功。
3.持卡人和商家签订交易合同
(1)在确认订单后,商家向持卡人家发送一份电子交易合同(交易纠纷合同),待持卡人确认;
(2)持卡人同意合同则交易成功;若持卡人不同意合同,则可以重新修订合同直至双方同意;
(3)双方在交易合同上数字签名,合同订立成功。
4.商家申请冻结持卡人资金
(1)商家向收单行提交冻结持卡人资金的申请,同时一起提交买卖双方已确认的订单;
(2)收单银行收到冻结持卡人资金的申请和有买卖双方数字签名的订单后,通过CA中心对订单上的商家身份进行验证;
(3)如商家身份没有通过CA中心的验证,则收单银行取消商家提交的冻结持卡人资金的申请,同时通知商,要求商家重新提交冻结持卡人资金的申请;如商家身份通过验证,则收单银行确认该申请,同时通知商家;
(4)收单银行将该申请和订单发给持卡人所在的发卡银行,要求冻结持卡人的资金;
(5)发卡银行收到收单银行提交的商家要求冻结持卡人资金的申请和订单后,通过CA中心对订单上持卡人的身份进行验证;如持卡人身份没有通过CA中心的验证,则发卡银行取消收单银行提交的冻结持卡人资金的申请,同时通知收单银行,要求收单银行重新确认冻结申请;收单银行收到发卡银行取消冻结申请的通知后,取消商家提交的冻结持卡人资金的申请,同时通知商家,重新提交冻结申请;如持卡人身份通过验证,则发卡银行确认该冻结申请,同时通知持卡人;
(6)商家申请冻结持卡人资金成功。
说明:持卡人资金的冻结周期可以由买卖双方自行约定,根据所交易的产品,以及物流方式,一般情况下,建议冻结周期不超过15天。
5.商家发货,持卡人收货。以目前较为常见的第三方物流运作模式为例。
(1)由第三方物流商到商家提货,并在商家提供的电子收货单上进行数字签名;
(2)商家收到有第三方物流商数字签名的电子收货单,通过CA中心对第三方物流商的身份进行验证;如第三方物流商身份没有通过CA中心的验证,则商家取消第三方物流商的收货单,同时通知第三方物流商,要求第三方物流商重新确认收货单;如第三方物流商身份通过验证,则商家确认该收货单,同时通知第三方物流商;
(3)第三方物流商送货到持卡人;持卡人通过第三方物流商CA中心对第三方物流商的身份进行验证;如第三方物流商身份没有通过CA中心的验证,则持卡人拒收,并通知商家;如第三方物流商身份通过验证,则持卡人进行商品数量、质量的验收,验收合格后,持卡人在商家提供的已有第三方物流商数字签名的电子收货单上进行数字签名,或在纸质收货单上签名;
(4)第三方物流商收到有持卡人数字签名的电子收货单,通过CA中心对持卡人的身份进行验证;如持卡人身份没有通过CA中心的验证,则第三方物流商取消持卡人的收货单,同时通知持卡人,要求其重新确认收货单;如持卡人身份通过验证,则第三方物流商确认该收货单,同时通知持卡人;
(5)第三方物流商将含有持卡人数字签名的电子收货单或纸质收货单交给商家,持卡人收货成功。
6.持卡人付款,商家收款,完成结算。结算方式有两种,可以使用电子收货单,也可以使用纸质收货单进行,可根据需要选择,这里以电子收货单进行结算为例。
(1)商家向收单银行提交转账申请,并对该转账申请进行数字签名,确认无误后,与收到的含有持卡人数字签名的电子收货单(如果是通过第三方物流商完成物流配送的,该电子收货单上还应有第三方物流商的数字签名)一起,提交给收单银行;
(2)收单银行收到商家的转账申请和含有持卡人数字签名的电子收货单后,通过CA中心对转账申请,以及电子收货单上的商家身份进行验证;如商家身份没有通过CA中心的验证,则收单银行取消商家提交的转账申请,同时通知商家,要求其重新提交转账申请;如商家身份通过验证,则收单银行确认该转账申请;
(3)收单银行将该转账申请和有持卡人数字签名的电子收货单一起,发给发卡银行,要求转账持卡人的资金;
(4)发卡银行收到收单银行的申请和含有持卡人数字签名的电子收货单后,通过CA中心对电子收货单上的持卡人身份进行验证;如持卡人身份没有通过CA中心的验证,则发卡银行取消收单银行提交的转账买家资金的申请,同时通知收单银行,要求其重新确认申请;收单银行收到发卡银行取消申请的通知后,取消商家提交的转账申请,同时通知商家,要求其重新提交申请;如持卡人身份通过验证,则发卡银行确认该转账申请,同时通知持卡人;
(5)发卡银行将已冻结的该笔资金进行解冻,并转账该笔资金到收单银行,同时通知收单银行和持卡人;收单银行收到转账的资金后,通知商家,转账完成。
五、对改进后新流程的分析
新的交易流程既继承了SET协议的优点,又弥补了SET协议所固有的缺陷,具体有以下几点:
1.在整个电子交易流程中我们穿插了一项“交易合同”。这项交易合同在整个交易中所起到的作用的地方是:在买卖双方出现交易纠纷时候,合同里已经很明确责任有谁来承担,包括用什么途径来解决问题,这种做法大大减少了在电子商务中所出现的纠纷问题。另外,合同中进一步明确了交易各方特别是买卖双方的责任和义务。
2.在新的电子流程中很好的利用了现在的第三方物流商,这样对于减少SET交易中的买方不公平性是有益的。SET交易对于买家而言是不公平的,因为SET协议只能保证买卖双方的资金安全,即钱的原子性,但却不能保证买家能够收到自己满意的货物。
3.在整个电子交易流程中,收货单可以起到非常好的作用。在新的电子交易流程中,收货单是要由买家确认,交由第三方物流商,再交还给卖家,这样每个从根本上保证买家已经确认了货物并已经签收,也为商家顺利收到货款创造了条件。
六、结束语
新的电子交易流程包含四个重要环节,分别是数字证书认证、电子交易合同、第三方物流商和收货单确认。通过这四个环节,买卖双方首先确认了交易对方的身份;其次明确了买卖双方自身的责任和义务,这样就大大的减少了交易过程中可能出现的各种纠纷,同时当交易纠纷出现时,还减轻了第三方支付的责任;再次,商家通过第三方物流商来发货,能保证持卡人正常收到货物;最后,发卡银行和收单银行根据持卡人签名的“收货单”完成资金的转移,可以更好的确保买卖双方的利益,能够减少买卖双方的顾虑,进一步促进电子商务的发展。
但新的电子交易流程也存在一定的缺点,比如加密、认证比较多,速度稍慢等,这些都将会给买卖双方带来诸如等待时间加长等问题。我们必须要意识到加密、认证等技术处理是保证电子商务安全交易必不可少的环节,相信随着信息加密技术的发展和计算机软硬件水平的提高,这一问题最终将得到解决。
参考文献:
[1]甘元驹:SET协议系统缺陷及其改进方案[J].计算机工程与应用,2003(20)
[2]陈豫陈喜阳:SET协议的分析与改进[J].微型机与应用,2004(6)
[3]张国权宋明秋邓贵仕:基于高级SET 协议的电子商务安全[J].计算机应用研究,2006(3)
[4]胡贯荣吴昊:一种改进的安全电子交易协议[J].计算机工程与科学,2007;29(2)
[5]VISA and MasterCard.SET Secure Electronic Transaction Specification Book,Book 1-3:Business Description,version 1. 0[R].1997
[关键词] SET 协议 原子性 电子交易合同 第三方物流商 收货单
一、SET协议概述
SET协议(Secure Electronic Transaction,安全电子交易)是由维萨(VISA)国际组织、万事达(MasterCard)国际组织创建,结合IBM、Microsoft、Netscape、GTE等公司制定的电子商务中安全电子交易的一个国际标准,其主要目的是解决信用卡电子付款的安全保障性问题。首先,SET协议保证了信息的机密性和信息的安全传输,使信息不能被窃听,只有收件人才能得到和解密信息;其次,SET也保证了支付信息的完整性,使得传输数据完整地接收,在中途不被篡改;最后,SET通过数字证书认证商家和客户,从而验证了公共网络上进行交易活动的商家、持卡人及交易活动的合法性。SET协议具有广泛的互操作性,采用的通讯协议、信息格式和标准具有公共适应性,从而可在公共互连网络上集成不同厂商的产品。
采用SET协议进行网上电子交易支付时,主要涉及持卡人、商家、支付网关、发卡行、收单行和CA中心共六方:持卡人是发行者发行的支付卡的授权持有者;发卡行是指发行信用卡给持卡者的金融机构(银行);商家是有货物或服务出售给持卡人的个人或组织;收单行是指商家开设账号所在的金融机构(银行);支付网关实现对支付信息从Internet 到银行内部网络的转换接口,用来处理商家支付报文和持卡人的支付指令,并对商家和持卡人进行认证。
二、SET协议交易流程
SET协议的交易流程主要是:
SET交易可分为3个阶段,即购买请求阶段、支付授权阶段和取得支付阶段,在这三个阶段之前,持卡人、商家和支付网关必须完成在CA中心的注册和证书申领工作。整个交易流程如图1所示。
图1 set交易流程
1.购买请求:持卡人到商户的网站完成浏览、选定商品后,持卡人发送支付信息和订单信息给商家进行支付;
2.支付授权:商家将客户支付信息由支付网关交给收单行,向银行请求交易授权和授权回复;收单行解密相关支付信息,并向发卡行进行验证,无误后向商家返回成功信息;商家向持卡人提供商品或服务;
3.取得支付:收单行和发卡行之间完成资金清算,整个交易结束。
三、SET协议的缺陷分析
尽管SET协议实现了电子交易卡支付的高安全性和可靠性,然而,SET协议的交易流程依然存在着不少缺陷,主要缺陷有以下两点:
1.商品原子性。即必须保证购买者如果付了款就一定能得到商品,购买者如果得到了商品则一定付了款,不存在付了款而得不到商品或得了商品而未曾付款。也就是说,当商家从支付网关得到客户正确支付后,SET协议并不能保证商家一定会发货给顾客,即不能保证商品的原子性。
2.确认发送原子性。需要有对客户购买的和商家销售的商品内容及品质的双方确认,亦即协议保证购买者得到他所订购的商品,商家发送了客户所订购的商品。商家从支付网关得到客户正确支付后,SET协议一样不能保证商家发送给顾客的商品就是顾客所订购的商品,也不能保证即不满足确认发送原子性。
因此,本文考虑从上述缺陷出发,对SET协议中的信息传递流程和相关机制进行改进,使它在原有基础上满足商品原子性和确认发送原子性。
四、改进的SET安全交易流程
改进后的交易流程主要分为六个步骤,如图2所示:
图2 改进后的SET电子交易流程
1.交易各方获取CA数字证书。持卡人、商家、发卡银行、收单银行及第三方物流商(如果在交易过程中需要的话)向各自的CA中心申请并取得各自的数字证书。为确保交易各方能验证交易中其他方的身份,建议交易各方采用同一个CA中心,或一组能相互认证的CA中心。
2.订单确认
(1)持卡人浏览商家的网站并选择商品;
(2)持卡人完成订单,将订单信息、支付信息进行双重数字签名后,连同CA证书一起发给商家;
(3)商家收到持卡人的订单信息和支付信息后,通过CA中心对持卡人的身份进行验证;同时将支付信息提交支付网关,请求收单行进行验证;
(4)收单行收到持卡人支付信息后,将持卡人CA证书和支付信息提交给发卡行,验证账户真实性及余额是否充足;如持卡人身份没有通过CA中心的验证或账户余额不足以完成本次交易,则商家取消持卡人的订单,同时通知持卡人;若持卡人身份和账户余额均通过验证,则返回商家成功信息;
(5)如持卡人身份和支付信息验证通过,则商家确认该订单,并对该订单进行数字签名,同时将订单发还给持卡人;
(6)买卖双方确认订单成功。
3.持卡人和商家签订交易合同
(1)在确认订单后,商家向持卡人家发送一份电子交易合同(交易纠纷合同),待持卡人确认;
(2)持卡人同意合同则交易成功;若持卡人不同意合同,则可以重新修订合同直至双方同意;
(3)双方在交易合同上数字签名,合同订立成功。
4.商家申请冻结持卡人资金
(1)商家向收单行提交冻结持卡人资金的申请,同时一起提交买卖双方已确认的订单;
(2)收单银行收到冻结持卡人资金的申请和有买卖双方数字签名的订单后,通过CA中心对订单上的商家身份进行验证;
(3)如商家身份没有通过CA中心的验证,则收单银行取消商家提交的冻结持卡人资金的申请,同时通知商,要求商家重新提交冻结持卡人资金的申请;如商家身份通过验证,则收单银行确认该申请,同时通知商家;
(4)收单银行将该申请和订单发给持卡人所在的发卡银行,要求冻结持卡人的资金;
(5)发卡银行收到收单银行提交的商家要求冻结持卡人资金的申请和订单后,通过CA中心对订单上持卡人的身份进行验证;如持卡人身份没有通过CA中心的验证,则发卡银行取消收单银行提交的冻结持卡人资金的申请,同时通知收单银行,要求收单银行重新确认冻结申请;收单银行收到发卡银行取消冻结申请的通知后,取消商家提交的冻结持卡人资金的申请,同时通知商家,重新提交冻结申请;如持卡人身份通过验证,则发卡银行确认该冻结申请,同时通知持卡人;
(6)商家申请冻结持卡人资金成功。
说明:持卡人资金的冻结周期可以由买卖双方自行约定,根据所交易的产品,以及物流方式,一般情况下,建议冻结周期不超过15天。
5.商家发货,持卡人收货。以目前较为常见的第三方物流运作模式为例。
(1)由第三方物流商到商家提货,并在商家提供的电子收货单上进行数字签名;
(2)商家收到有第三方物流商数字签名的电子收货单,通过CA中心对第三方物流商的身份进行验证;如第三方物流商身份没有通过CA中心的验证,则商家取消第三方物流商的收货单,同时通知第三方物流商,要求第三方物流商重新确认收货单;如第三方物流商身份通过验证,则商家确认该收货单,同时通知第三方物流商;
(3)第三方物流商送货到持卡人;持卡人通过第三方物流商CA中心对第三方物流商的身份进行验证;如第三方物流商身份没有通过CA中心的验证,则持卡人拒收,并通知商家;如第三方物流商身份通过验证,则持卡人进行商品数量、质量的验收,验收合格后,持卡人在商家提供的已有第三方物流商数字签名的电子收货单上进行数字签名,或在纸质收货单上签名;
(4)第三方物流商收到有持卡人数字签名的电子收货单,通过CA中心对持卡人的身份进行验证;如持卡人身份没有通过CA中心的验证,则第三方物流商取消持卡人的收货单,同时通知持卡人,要求其重新确认收货单;如持卡人身份通过验证,则第三方物流商确认该收货单,同时通知持卡人;
(5)第三方物流商将含有持卡人数字签名的电子收货单或纸质收货单交给商家,持卡人收货成功。
6.持卡人付款,商家收款,完成结算。结算方式有两种,可以使用电子收货单,也可以使用纸质收货单进行,可根据需要选择,这里以电子收货单进行结算为例。
(1)商家向收单银行提交转账申请,并对该转账申请进行数字签名,确认无误后,与收到的含有持卡人数字签名的电子收货单(如果是通过第三方物流商完成物流配送的,该电子收货单上还应有第三方物流商的数字签名)一起,提交给收单银行;
(2)收单银行收到商家的转账申请和含有持卡人数字签名的电子收货单后,通过CA中心对转账申请,以及电子收货单上的商家身份进行验证;如商家身份没有通过CA中心的验证,则收单银行取消商家提交的转账申请,同时通知商家,要求其重新提交转账申请;如商家身份通过验证,则收单银行确认该转账申请;
(3)收单银行将该转账申请和有持卡人数字签名的电子收货单一起,发给发卡银行,要求转账持卡人的资金;
(4)发卡银行收到收单银行的申请和含有持卡人数字签名的电子收货单后,通过CA中心对电子收货单上的持卡人身份进行验证;如持卡人身份没有通过CA中心的验证,则发卡银行取消收单银行提交的转账买家资金的申请,同时通知收单银行,要求其重新确认申请;收单银行收到发卡银行取消申请的通知后,取消商家提交的转账申请,同时通知商家,要求其重新提交申请;如持卡人身份通过验证,则发卡银行确认该转账申请,同时通知持卡人;
(5)发卡银行将已冻结的该笔资金进行解冻,并转账该笔资金到收单银行,同时通知收单银行和持卡人;收单银行收到转账的资金后,通知商家,转账完成。
五、对改进后新流程的分析
新的交易流程既继承了SET协议的优点,又弥补了SET协议所固有的缺陷,具体有以下几点:
1.在整个电子交易流程中我们穿插了一项“交易合同”。这项交易合同在整个交易中所起到的作用的地方是:在买卖双方出现交易纠纷时候,合同里已经很明确责任有谁来承担,包括用什么途径来解决问题,这种做法大大减少了在电子商务中所出现的纠纷问题。另外,合同中进一步明确了交易各方特别是买卖双方的责任和义务。
2.在新的电子流程中很好的利用了现在的第三方物流商,这样对于减少SET交易中的买方不公平性是有益的。SET交易对于买家而言是不公平的,因为SET协议只能保证买卖双方的资金安全,即钱的原子性,但却不能保证买家能够收到自己满意的货物。
3.在整个电子交易流程中,收货单可以起到非常好的作用。在新的电子交易流程中,收货单是要由买家确认,交由第三方物流商,再交还给卖家,这样每个从根本上保证买家已经确认了货物并已经签收,也为商家顺利收到货款创造了条件。
六、结束语
新的电子交易流程包含四个重要环节,分别是数字证书认证、电子交易合同、第三方物流商和收货单确认。通过这四个环节,买卖双方首先确认了交易对方的身份;其次明确了买卖双方自身的责任和义务,这样就大大的减少了交易过程中可能出现的各种纠纷,同时当交易纠纷出现时,还减轻了第三方支付的责任;再次,商家通过第三方物流商来发货,能保证持卡人正常收到货物;最后,发卡银行和收单银行根据持卡人签名的“收货单”完成资金的转移,可以更好的确保买卖双方的利益,能够减少买卖双方的顾虑,进一步促进电子商务的发展。
但新的电子交易流程也存在一定的缺点,比如加密、认证比较多,速度稍慢等,这些都将会给买卖双方带来诸如等待时间加长等问题。我们必须要意识到加密、认证等技术处理是保证电子商务安全交易必不可少的环节,相信随着信息加密技术的发展和计算机软硬件水平的提高,这一问题最终将得到解决。
参考文献:
[1]甘元驹:SET协议系统缺陷及其改进方案[J].计算机工程与应用,2003(20)
[2]陈豫陈喜阳:SET协议的分析与改进[J].微型机与应用,2004(6)
[3]张国权宋明秋邓贵仕:基于高级SET 协议的电子商务安全[J].计算机应用研究,2006(3)
[4]胡贯荣吴昊:一种改进的安全电子交易协议[J].计算机工程与科学,2007;29(2)
[5]VISA and MasterCard.SET Secure Electronic Transaction Specification Book,Book 1-3:Business Description,version 1. 0[R].1997