电子商务交易安全协议与解决方案

近年来，针对电子商务交易安全的需求，金融业与IT 业界共同推出了许多不同的安全协议和整体解决方案。目前，广泛使用的为安全套接层（Secure Sockets Layer，SSL）协议和安全电子交易（Secure Electronic Transaction，SET）协议。

（一）安全套接层（SSL）协议

安全套接层协议是由美国网景（Netscape）公司于1994年设计开发的基于Web 应用的安全协议，主要用于提高应用程序之间的数据安全系数。安全套接层协议是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议，该协议向基于TCP/IP 的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施，目的是为用户提供互联网和企业内联网连接的安全通信服务。对于电子商务应用来说，使用安全套接层协议可保证信息的真实性、完整性和保密性。

安全套接层协议主要提供以下三方面的服务。

（1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器。

（2）加密数据，以隐藏被传送的数据。

（3）维护数据的完整性，确保数据在传输过程中不被改变。

在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家再把商品邮寄给客户。这里，商家是可以信赖的，所以客户需先汇款给商家。在电子商务的开始阶段，商家担心客户购买后不付款，或者使用过期作废的信用卡，因而希望银行予以认证。安全套接层协议正是在这种背景下应用于电子商务的。

安全套接层协议运行的基点是商家对客户信息保密的承诺。但在电子商务交易中，安全套接层协议有利于商家而不利于客户。客户的信息首先是必要的，但整个过程中缺少了客户对商家的认证。在电子商务开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有受到人们的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出。安全套接层协议逐渐被新的安全电子交易协议所取代。

（二）安全电子交易（SET）协议

安全电子交易协议是一个通过开放网络进行安全资金支付的技术标准，由VISA 和MasterCard 组织共同制定。安全电子交易协议在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。

安全电子交易协议使用加密技术提供信息的机密性，验证持卡者、商家和收单行，保护支付数据的安全性和完整性，为这些安全服务定义算法和协议。由于安全电子交易协议提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为目前公认的银行卡网上交易的国际安全标准。(www.xing528.com)

SET 协议的主要目标包括以下四个。

（1）信息在互联网上安全传输，保证网上传输的数据不被黑客窃取。

（2）订单信息和个人账号信息的隔离。当包含持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息。

（3）持卡人和商家相互认证，以确定通信双方的身份。一般由第三方机构负责为在线通信双方提供信用担保。

（4）要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

安全电子交易协议支付系统主要由持卡人、商家、发卡行、收单行、支付网关及认证机构等六部分组成。

安全电子交易协议使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥加密技术和Hash 算法是核心。安全电子交易协议定义了一套完整的证书信任链层，每个证书连接一个实体的数字签名证书。认证机构作为证书管理的权威机构和主要执行者，就是通过这个信息链层来实现其职能的。认证机构向交易各方提供了三种基本的基于安全电子交易协议的认证服务：证书颁发、证书更新和证书废除。正是这些体现证书管理的服务才使安全电子交易具备了商务活动所必需的安全性、保密性、完整性和不可否认性。

安全电子交易协议定义了一个完备的电子交易流程，包括商户注册申请证书、购买请求、支付认证、获取付款等步骤。它较好地解决了电子交易中各方之间复杂的信任关系和安全连接，确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。与此同时，安全电子交易协议庞大而又复杂，银行、商家和客户均需要改造系统才能实现相互操作，因此，安全电子交易协议被普遍接受也需要一个过程，如图7-7 所示。

图7-7　安全电子交易的工作流程

不难看出，安全套接层协议和安全电子交易协议在网络各层位置和功能并不相同。安全套接层协议是基于传输层的通用安全协议，它只占电子商务体系中的一部分，可以看作其中用于传输的那部分技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。而安全电子交易协议位于应用层，它对网络上其他各层也有所涉及。安全电子交易协议规范了整个商务的活动流程，对从信用卡持卡人到商家，到支付网关，到认证中心及信用卡结算中心之间的信息流向及必须参与的加密、认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。