电子商务协议层技术简介

电子商务的在线支付是通过互联网完成的，必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。不同交易协议的复杂性、开销、安全性各不相同。同时，不同的应用环境对协议目标的要求也不尽相同。随着电子商务的发展，电子交易手段的多样化、信息安全问题将会变得更加重要和突出。由于电子商务的实现是一项复杂的系统工程，其信息安全问题的解决有赖于各相关技术的发展，如公钥基础设施技术的研究与应用电子商务采购协议、支付协议及物流配送协议的进一步完善的研究和标准化等。同时，除技术问题外，电子商务的信息安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些课题的研究不仅具有重要的理论价值和实用价值，而且对于推动电子商务的发展具有重要的现实意义。

在国际上，电子商务的安全机制正在走向成熟，并逐渐形成了一些国际规范，比较有代表性的有SSL协议和SET协议。

（一）SSL协议

SSL（Secure Sockets Layer安全套接层）是由Net Scape公司研究制定的安全协议。该协议向基于的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换初始握手信息来实现有关安全特性的审查。

SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。另外，整个过程只有商家对客户的认证，缺少客户对商家的认证。在电子商务的初始阶段，由于参加电子商务的公司大都信誉较好，这个问题引起人们的足够重视。今后随着越来越多的公司参与电子商务，对商家的认证问题也就越来越突出，SSL的缺点就会逐渐暴露出来，SSL协议也就逐渐被新的协议所代替。

1．SSL交易原理

SSL提供在Web上两台机器间的安全通道，其原理如下：

（1）利用认证技术识别各种身份。顾客向服务器发出连接消息后，SSL要求服务器向浏览器出示数字证书。顾客浏览器通过验证交易信息进而验证顾客身份信息，保证安全性。

（2）利用加密技术保证通道的保密性。互相认证身份后，浏览器随机产生一个密钥，并用这个密钥将数据采用对称加密的方式加密成一份密文，然后服务器中的数字证书里的公开密钥对产生的密钥加密，并将加密后的密钥和密文一起发送出去。由于传输密钥只能由对应的私钥解密，从而保证了信息传输的安全。

（3）利用数字签名技术保证信息传送的完整性。

2．SSL交易过程

如图3－10所示，客户首先在网页浏览商品，决定购买后向商家服务器发送交易指令，此时SSL协议开始介入。商家在接到顾客的订单和付款信息后，将其转发给银行以验证真伪，在获得银行认可后，通知客户购买成功并开始付款发货。

图3－10　SSL交易过程

（二）SET协议

SET协议（Secure Electronic Transaction），被称之为安全电子交易协议，是由Master Card和Visa联合Net Scape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型。电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交易的安全问题。在网上购物的环境中，持卡人希望在交易中保密自己的账户信息，使之不被人盗用；商家则希望客户的订单不可抵赖，并且在交易过程中，交易各方都希望验明其他方的身份，以防止被欺骗。由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点。因此，至2012年，它成为了公认的信用卡／借记卡的网上交易的国际安全标准。

1．SET模型

根据安全电子商务的目标和要求，图3－11给出了SET的一般模型。

持卡人：是发行者发行的支付卡（如Master Card和Visa）的授权持有者。

商家：是有货物或服务出售给持卡人的个人或组织。通常，这些货物或服务可以通过Web站点或电子邮件提供给持卡人。

支付者：建立商家的账户并实现支付卡授权和支付的金融组织。支付者为商家验证给定的信用卡账户是能用的；支付者也对商家账户提供了支付的电子转账。

支付网关：这是由支付者或指定的第三方完成的功能。为了实现授权或支付功能，支付网关在SET和现有的银行卡支付的网络系统作为接口。在Internet上，商家与支付网关交换SET信息，而支付网关与支付者的财务处理系统具有一定直接连接或网络连接。

证书权威机构：这是为持卡人、商家和支付网关发行公共密码证书的可信实体。

图3－11　SET模型(www.xing528.com)

2．SET工作过程

电子商务的工作流程与实际的购物流程非常接近，使得电子商务与传统商务可以很容易融合，用户使用也什么障碍。从顾客通过浏览器进入在线商店开始，一直到所定货物送货上门或所定服务完成，以及账户上的资金转移，所有这些都是通过公共网络（Internet）完成的。如何保证网上传输数据的安全和交易对方的身份确认是电子商务能否得到推广的关键。这正是SET所要解决的最主要的问题。一个包括完整的购物处理流程的SET的工作过程如下：

（1）持卡人使用浏览器在商家的Web主页上查看在线商品目录，浏览商品。

（2）持卡人选择要购买的商品。

（3）持卡人填写订单，包括项目列表、价格、总价、运费、搬运费、税费。订单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立。有些在线商场可以让持卡人与商家协商物品的价格（如出示自己是老客户的证明，或给出竞争对手的价格信息）。

（4）持卡人选择付款方式，此时SET开始介入。

（5）持卡人发送给商家一个完整的订单及要求付款的指令。在SET中，订单和付款指令由持卡人进行数字签名，同时利用双重签名技术保证商家看不到持卡人的账号信息。

（6）商家收到订单后，向持卡人的金融机构请求支付认可。通过支付网关到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。

（7）商家发送订单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询。

（8）商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将钱从购物者的账号转移到商家账号，也可以等到某一时间，请求成批划账处理。

（9）商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔，如在每天的下班前请求银行结一天的账。

前三步与SET无关，从第四步开始SET起作用，一直到第九步，在处理过程中，通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，持卡人、商家和支付网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替。

（三）SSL协议和SET协议的区别

1．SSL协议的优缺点

优点：①支持多加密算法；②过程简单；③独立于应用层协议。

缺点：①只能建立两点之间的安全连线（所以顾客信息不能直接发给银行，须经商家转发）；②只能保证连接通道是安全的，即不能保证商家会私自保留或盗用顾客付款及身份信息。

正是由于上述协议的不完善，众多技术开发人士又推出了一个新的更加全面的协议：SET协议。

2．SET协议的优缺点

优点：①提供了更好的安全服务；②保护了商家免受损失；③扩展了银行和信用卡商的业务。

缺点：①需要安装相应软件才能使用；②必须向各方发放证书；③价格昂贵。

3．SSL协议和SET协议的比较

SSL协议和SET协议的比较如表3－1所示。

表3－1　SSL协议和SET协议的比较