论文部分内容阅读
[摘要]电子商务作为一种全新的商务模式,其发展前途不可估量。然而,伴随着电子商务的发展,电子商务的安全性问题也日渐凸现,成为制约其发展的严重障碍。基于改进的sE嘞议基础上的支付模式有效的解决了支付过程当中的资金流的安全隐患,对客户交易安全提供了保障。
[关键词]电子商务 SET协议 安全 电子支付
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2009)0620057—01
一、引言
随着Internet的迅速发展,作为网络和商业结合产物的电子商务正在走进人们的生活,越来越引起更多的人关注。在电子商务飞速发展的今天,电子交易过程中的资金流安全性问题逐渐成为人们关注和研究的焦点。如何让资金流在不安全Internet网上进行实时的安全的传送,即实现安全电子支付,是电子商务发展的关键。为了解决上述问题,提出了基于改进的SET协议基础上的电子商务安全模式,有效的解决了上述问题。
二、安全电子交易协议(SET)
安全电子交易协议SET(Security Electronic Transaction)是一个通过开放网络(包括Internet)进行安全资金支付的技术标准,由VISA和MasterCard等国际信用卡组织共同制定,1997~5月联合推出。由于它得到了IBM,咿,Microsoft,Netscape,VeriFone,GTE Terisa和Vedsign等很多大公司的支持,己成为事实上的工业标准,目前已获得IETF标准的认可。
1 SET协议主要目标如下:(1)信息在Internet上安全传输,保证网上传输的数据不被黑客窃取。 (2)定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息。(3)持卡人和商家相互认证,以确定通信双方的身份,一般由第二方机构负责为在线通信双方提供信用担保。 (4)要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
2 SET协议的支付模式。支付模式图如下:
其中CA中心是PKI中提供认证服务的机构,负责接受申请者的数字证书申请、颁发等。相当于一个管理机构,给商家、银行发“执照”,给持卡人发“身份证”。支付网关、发卡银行系统、收单银行系统通过金融网相连,而持卡人、商家通过Internet与支付网关相连。支付网关是金融网与Internet之间的“桥梁”,也是保护金融网的一道壁垒。
三、政进的SET协议支付模式
由于在SET协议中,商家除了要处理订购信息,还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关,虽然支付信息PI是经过加密的,但不免在商家处留下了痕迹,存在着安全隐患。所以对基于SET协议的电子商务支付模式进行改进,引入SET支付中心这一概念。
这样,电子商户主要承担商品展示功能,在持卡消费者下订单后,商户执行“开票”功能,使得“支付”这个敏感,对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责。持卡人的支付信息不必先发送给商家再由商家来发送给支付网关,而是发送给大家都信任的第三方SET支付中心。这样,商家看不到持卡人的支付信息,银行也无法获得持卡人的购买信息,从而保证了只有直接的接收者能获得已授权查看的数据,加强了信息流和资金流在网上实时传递的机密性和安全性。改进后的支付模型如下图:
改进后的支付流程,增加支付中心这个实体后,支付的流程有所不同,主要区别在初始化应答已经完成。如下图所示。
四、協议改进后的安全性分析
由于引入支付中心这个参与实体,使得持卡人的支付信息不再经过商家转发,这是改进协议后在安全性上最大的提高。在支付中心加入了对来自持卡人的订单消息和商家的订单信息比较这一环节,能有效抵抗恶意的持卡人或者商家篡改订单信息,修改支付金额。所有的消息源头都使用了数字签名技术,保证最后到达地可以验证消息来源。在机密信息的传输上采用数字信封,使得即使截获消息,破译取得敏感信息的概率几乎为零。使用了安全性更高的加密算法和散列函数。比原来SET协议有了更牢固的基础。
五、结束语
基于改进的SET协议基础上的支付模式。分别从参与系统的实体构成、使用的加密算法、支持的卡类型、采用的认证体系等方面做了扩展,从而支付流程也有了较大改变,目的是提高其安全性和实用性。
[关键词]电子商务 SET协议 安全 电子支付
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2009)0620057—01
一、引言
随着Internet的迅速发展,作为网络和商业结合产物的电子商务正在走进人们的生活,越来越引起更多的人关注。在电子商务飞速发展的今天,电子交易过程中的资金流安全性问题逐渐成为人们关注和研究的焦点。如何让资金流在不安全Internet网上进行实时的安全的传送,即实现安全电子支付,是电子商务发展的关键。为了解决上述问题,提出了基于改进的SET协议基础上的电子商务安全模式,有效的解决了上述问题。
二、安全电子交易协议(SET)
安全电子交易协议SET(Security Electronic Transaction)是一个通过开放网络(包括Internet)进行安全资金支付的技术标准,由VISA和MasterCard等国际信用卡组织共同制定,1997~5月联合推出。由于它得到了IBM,咿,Microsoft,Netscape,VeriFone,GTE Terisa和Vedsign等很多大公司的支持,己成为事实上的工业标准,目前已获得IETF标准的认可。
1 SET协议主要目标如下:(1)信息在Internet上安全传输,保证网上传输的数据不被黑客窃取。 (2)定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息。(3)持卡人和商家相互认证,以确定通信双方的身份,一般由第二方机构负责为在线通信双方提供信用担保。 (4)要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
2 SET协议的支付模式。支付模式图如下:
其中CA中心是PKI中提供认证服务的机构,负责接受申请者的数字证书申请、颁发等。相当于一个管理机构,给商家、银行发“执照”,给持卡人发“身份证”。支付网关、发卡银行系统、收单银行系统通过金融网相连,而持卡人、商家通过Internet与支付网关相连。支付网关是金融网与Internet之间的“桥梁”,也是保护金融网的一道壁垒。
三、政进的SET协议支付模式
由于在SET协议中,商家除了要处理订购信息,还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关,虽然支付信息PI是经过加密的,但不免在商家处留下了痕迹,存在着安全隐患。所以对基于SET协议的电子商务支付模式进行改进,引入SET支付中心这一概念。
这样,电子商户主要承担商品展示功能,在持卡消费者下订单后,商户执行“开票”功能,使得“支付”这个敏感,对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责。持卡人的支付信息不必先发送给商家再由商家来发送给支付网关,而是发送给大家都信任的第三方SET支付中心。这样,商家看不到持卡人的支付信息,银行也无法获得持卡人的购买信息,从而保证了只有直接的接收者能获得已授权查看的数据,加强了信息流和资金流在网上实时传递的机密性和安全性。改进后的支付模型如下图:
改进后的支付流程,增加支付中心这个实体后,支付的流程有所不同,主要区别在初始化应答已经完成。如下图所示。
四、協议改进后的安全性分析
由于引入支付中心这个参与实体,使得持卡人的支付信息不再经过商家转发,这是改进协议后在安全性上最大的提高。在支付中心加入了对来自持卡人的订单消息和商家的订单信息比较这一环节,能有效抵抗恶意的持卡人或者商家篡改订单信息,修改支付金额。所有的消息源头都使用了数字签名技术,保证最后到达地可以验证消息来源。在机密信息的传输上采用数字信封,使得即使截获消息,破译取得敏感信息的概率几乎为零。使用了安全性更高的加密算法和散列函数。比原来SET协议有了更牢固的基础。
五、结束语
基于改进的SET协议基础上的支付模式。分别从参与系统的实体构成、使用的加密算法、支持的卡类型、采用的认证体系等方面做了扩展,从而支付流程也有了较大改变,目的是提高其安全性和实用性。