电子商务中的安全支付
添加时间:2017-11-27
随着现代电子计算机、网络技术的迅猛发展,尤其是因特网进入了千家万户,电子商务将成为商家和客户交互中不可缺少的手段。据进行电子商务市场调查的美国Active-Media Research,LLC报道,全美1999年网上零售市场销售额达到了660亿美元,其中个人消费品的销售额为38亿美元。在我国,2000年对电子商务的发展将是至关重要的一年,电子商务已由电子商情或交易合同的电子化转变为具有完整意义的电子商务即电子交易和在线电子支付,而安全、完整的电子支付体系则是电子商务的关键。
1 电子商务。
1.1 电子商务的概念。
电子商务是采用数字化电子方式进行商务数据交换,开展商务活动;所谓电子商务系统就是商务活动的各方,包括商家、消费者、银行或金融机构、信息公司或证券公司和政府等,利用计算机网络技术全面实现在线交易电子化的过程。
1.2 电子商务的实现。
电子商务解决方案总体上分为三个系统,即撮合系统、支付系统和物流配送系统;撮合系统,它用于支持商家与客户间实现传统意义的销售合同的签定;支付系统,它是基于安全认证,银行、金融业采用计算机、通信技术实现在线支付;物流配送系统,依据商家与客户间的供货合约,商家将客户所需货物安全送达客户手中。由此可见,电子商务实施要解决的关键问题是认证(CA)的发放及安全支付。
电子商务不仅是硬件和软件的结合,它更是把买家、卖家和合作伙伴利用因特网技术与现有系统的业务相结合的产物。由于因特网的安全脆弱性,在一个电子商务系统具体实施中面临的一个重要问题就是基于怎样的加密方式、认证系统、支付工具和安全标准来保证用户可以放心地进行安全交易,亦即如何确保信息的保密性、传输文件的安全性、交易双方身份的真实性以及交易发送者不可抵赖等。
2 支付工具。
支付工具的确定是电子商务进行的前提,电子商务中的支付工具已不同于传统意义上的消费者与商家面对面地使用的支付工具,要实现网上的在线支付必须有特定的电子货币,即以计算机、通信技术为手段,以电子数据形式存储在计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。目前常见的用以支持网上交易的电子货币主要有:电子现金、信用卡、智能卡(电子钱包)等。
2.1 电子现金。
电子现金是以数字化形式存在的现金货币,提供此类服务的比较有代表性的是Digi-Cash公司提供的一种无条件匿名电子现金支付系统。依据此类支付方式,银行和商家之间有协议与授权关系;用户、商家和发放电子现金的银行都需使用电子现金软件;电子现金的发行银行在发放电子现金时使用了数字签名,身份验证由电子现金软件本身完成;用户和商家之间的资金结算由电子现金银行来实现。此类支付工具适用于小额交易量的情况。
2.2 智能卡。
智能卡是一种不需要联机授权的电子货币,自身带有微处理器和内存,但需要特殊的读写卡设备来进行操作。具有代表性的是Mondex公司开发的智能卡,它是采用卡中的加密设备及软件来确保用户、销售商和银行的安全。
2.3 信用卡。
信用卡是一种常见的电子货币,也是网上支付比较成熟的工具,它可以采用脱机支付、联机间接支付和联机直接支付几种模式。
目前较为知名的模式为:通过中介(经纪人)支付模式的First Virtual系统和简单支付加密模式的CyberCash系统。
如上所述,常见的三种支付工具中,以信用卡为最成熟的工具;智能卡最方便,但造价太高;电子现金成本低,但实现起来比较麻烦。具体的支付工具的选取应视实际的应用需求而定。
3 认证系统。
为了达到电子商务的三个目标,即保密、完整和不可否认;依据密码学的三种编码技巧,采用提取“大样”不要钥匙的编码方式,可确立传送的完整性;采用数字签名,可以解决信息由谁发送的问题;采用私有、公共两把钥匙,可确认信息的接受者。然而,仅仅有三种编码还是不够的,要求钥匙背后还应有强有力的保证来证明钥匙的真实性,这就是所谓的认证系统。而认证系统的核心为认证中心。
认证中心是电子商务的核心,它的主要功能是为用户的公共密钥发放证书和管理证书,并提供一系列密钥生命周期内的管理服务,它将客体的公钥与客体的名称和其他属性关联起来,为用户间电子身份的认证提供了良好的安全保障;是一个具有权威性、可信赖性和公证性的第三方机构。
认证系统的认证(Certificate Authority,CA)本身是一个非常复杂的工作,需要有多个机构共同完成,每一个CA与一个消费者一样,需要一个公钥和一个私钥。一个典型的CA层次结构如图1所示:
最上层的CA应属于国家级的机构,它负责政策的制定,把面对终端申请认证的权利下放到各个分支机构,允许不同品牌的CA共存;底层的非国家的CA,需经上级的授权才能扮演CA的角色,它主要是发放凭证。比如,以龙卡CCB为支付工具,则需对龙卡用户做认证;用长城卡BOC时,则需要对长城卡用户做认证;此时,就需要一个国家级的机构,比如人民银行来制订统一的游戏规则,保证某一CA品牌发放的凭证在其他的CA支付系统中依然有效。
4 安全标准。
电子商务有一系列可以遵从的安全标准,最早的是由NETSCAPE公司推出的安全套接层(Security Socket Layer,SSL),它是在传送层实现安全保密和支付的技术;之后,为了保证信用卡在因特网上进行在线交易时支付的安全性,由VISA和MasterCard国际组联合制订了SET(Secure Electronic Trans-action安全电子交易)标准。
4.1 SSL标准。
SSL是安全套接层Security Socket Lay-er的缩写,SSL协议是基于TCP可靠传输层之上的可靠的数据通道。遵从SSL协议,在客户机和服务器之间传输的所有信息都是已加密了的数据;基于CA的支持SSL要求服务器方的认证,而用户方的认证则为可选的。
SSL提供了如下安全服务:
(1)对WWW用户和服务器之间传输的数据采用对称加密体制(DEC、IDEX)进行加密处理。
(2)采用安全的HASH算法产生MAC,保证数据传输的完整性。
(3)采用非对称加密体制(RSA、DSS、DH等)对客户、服务器进行身份认证。
4.2 SET标准。
SET是以信用卡支付为基础的网上电子支付系统规范。正如前面讨论的一个完整的电子商务系统应包括撮合系统、支付系统和物流配送系统,SET标准存在于支付系统的每一步骤中,对各步的通信协议、请求信息的数据类型的定义都有明确的规定;在操作的每一步,持卡人、商家和网关都通过CA来认证通信主体以及对方的身份;并采用双重签名技术来保证持卡人的隐私权。
(1) SET的加密技术。
目前广泛使用的加密方法主要有私有密钥加密系统和公共密钥加密系统。在SET的加密处理中,将对称密钥的快速、低成本和非对称密钥的有效性完美地结合在一起。整个过程为:使用随机产生的对称密钥来加密数据,然后将此对称密钥用接收者的公共密钥加密,即消息的“数字信封”,将数字信封和数据一起传送给接收者。接收者收到信息后,先用他的私有密钥解密数字信封,得到对称密钥,然后使用对称密钥解开数据。依据SET标准加密可以达到1024位的密码安全水平,从而获得较高级别的安全性。
(2) SET的认证。
在用户身份认证方面,SET引入了证书(Certificates)和证书管理机构(CertificatesAuthorities)机制。
·证书 即一份文档,记录了用户的公共密钥和其他身份信息,SET中用得最多的证书为持卡人证书和商家证书。持卡人证书实际上是支付卡的一种电子化表示,由金融机构以数字签名形式签发,它是利用HASH算法依据帐号、截止日期生成的一个编码。商家证书表示商家可以接受进行商业结算的卡的种类,由金融机构签发。
·证书管理机构 如前所述,CA是受一个或多个用户信任,提供用户身份验证的第三方机构;证书则是包含拥有者的标识名称和公钥,并经CA进行数字签名的。CA的主要功能为接收注册请求、处理、批准/拒绝请求和颁发证书。用户申请证书的过程为:先向CA提交自己的公共密钥和代表自己身份的信息(如:身份证号码或E mail地址),CA验证用户的有效身份后,向用户颁发一个经过CA私有密钥签名的证书。
基于SET的认证机制,用户无需关注需要交换信息用户的公共密钥的正确性,只需验证颁发证书的CA的真实性。
(3) SSL与SET.
SSL是较早出现且应用很广的一个安全性协议,协议本身具有简单、易于实现的优点。SSL对在客户与服务器间传输的所有数据都进行加密,而实际应用中需要加密的信息仅仅是很少一部分的关键性敏感数据。因此采用SSL协议影响了加密的效率;另外,SSL只能保证传递过程是安全的,而无法获知传递过程是否有拦截。
SET协议保密性好,SET CA是一套严密的认证体系。SET为了保证安全而牺牲了简便性,而且实施过程成本高,并要求安装一个电子钱包。SET协议只适合卡的支付;不同SET协议版本间不具备很好的互操作性。
因此,SSL的安全性不及SET,但其使用起来方便、造价低,用于在线信用卡交易更具吸引力。
5 结束语。
电子商务的开展为国民经济的各行各业提供了无限的商机,也为消费者带来了极大的方便。一个电子商务的建设取决于它的基础建设的构筑情况。电子商务中的基础建设除了网络或其它硬件方面的基础设施的建设之外,软件以及管理方面的建设也是必不可少的。首先,需要政府能组织建立一个高效、可行的认证体系,一个行之有效的认证体系是开展电子商务的基础。其次,需要银行及金融机构选择与国情相适应的安全标准,构筑一个安全良好的支付体系。再者,借助媒体的宣传、倡导提高人们对电子商务的熟知程度。
因此,我国电子商务想要有一个长足的发展,需结合我国的具体国情,吸取国外的成功经验与失败教训,建设一个具有中国特色的电子商务。
参考文献:
1 SET &SSL specfication2 Chris Hare &Karanjit Siyan.Internet Firewalls and Net-work Security. New Riders Publishing.1996.
3 刘 渊,等。因特网防火墙技术。机械工业出版社,1998.