第六章电子商务的安全闻题 §65国际上通行的两种电子支付安全协议 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有 (1)安全超文本传输协议(S-HTTP):依靠密钥对HTTP数据包进行加密、签名和认证,保障Web 站点间的交易信息传输的安全性。 (2)安全套接层协议(SSL: Secure Socket Layer):由 Netscape为TCP/IP套接字开发的一种加 密方法,它能提供对多种基于套接字的 INTERNET协议数据包加密、认证服务和报文完整性的功能。用 于 Netscape Communicator和IE浏览器 (3)安全交易技术协议(STT: Secure transaction Technology):由 Microsoft公司提出,STT 将认证和解密在浏览器中分离开,用以提高安全控制能力。它被用于IE中。 (4)安全电子交易协议(SET: Secure electronic transaction):1995年,信用卡国际组织、 资讯业者及网络安全专业团体等开始组成策略联盟,共同研究开发EC的安全交易。996年6月,由IBM、 VISA、 MasterCard、 Microsoft、 Verisign等共同制定的标准SET正式公告,涵盖了信用卡在电子商务 交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的 标准,其交易形态将成为未来“电子商务”的规范。下面仅对SSL、SET安全协议做详细介绍 652SET( Secure electronic transactions)安全协议 为了克服SSL安全协议的缺点,满足电子交易持续不断地增加的安全要求,达到交易安全及合乎 成本效益之市场要求,ⅥSA国际组织及其它公司如 Master Card、IBM、SAC和 Verisign等,共同制定 了安全电子交易。这是一个为了在 Internet上进行在线交易而设立的一个开放的、以电子货币为基础的 电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要 支付货币的交易来讲是至关重要的。由于设计合理,SET协议得到了许多大公司的支持,成为事实上的 工业标准。目前,它己获得IETF标准的认可。 SET协议要达到的目标主要有五个 (1)保证信息在 Internet上安全传输,防止数据被黑客或被内部人员窃取。 (2)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商 家不能看到客户的账户和密码信息 (3)解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同 时还有消费者、在线商店与银行间的认证。 (4)保证了网上交易的实时性,使所有的支付过程都是在线的。 (5)效仿ED贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作 功能,并且可以运行在不同的硬件和操作系统平台上。 SET协议规范所涉及的对象有 (1)消费者,包括个人消费者和团体消费者,按照在线商店的要求填写定货单,通过由发卡银行 发行的信用卡进行付款,因此又可称之为持卡人( Cardholder (2)商户( Merchant),通过在线商店,提供商品或服务,具备相应电子货币使用的条件 (3)支付网关( Payment Gateway),银行与因特网之间的专用系统,收单银行通过支付网关处理 消费者和在线商店之间的交易付款问题。 (4)收单银行( Acquirer),虽不属于SET交易的直接组成部分,但却是完成交易的必要参与方 网关接收了商户送来的SET支付请求后,要将支付请求转交给收单银行,进行银行系统内部的联网支 付处理工作。 (5)发卡银行( Issuer),也不属于SET交易的直接组成部分,但同样是完成交易的必要参与方 是电子货币(如智能卡、电子现金、电子钱包)的发行公司,以及某些兼有电子货币发行的银行,负责 处理智能卡的审核和支付工作。 第13页共2页第六章 电子商务的安全问题 第137 页 共21页 §6.5 国际上通行的两种电子支付安全协议 近年来，IT 业界与金融行业一起，推出不少更有效的安全交易标准。主要有： （1）安全超文本传输协议（S-HTTP）：依靠密钥对 HTTP 数据包进行加密、签名和认证，保障 Web 站点间的交易信息传输的安全性。 （2）安全套接层协议（SSL：Secure Socket Layer）：由 Netscape 为 TCP/IP 套接字开发的一种加 密方法，它能提供对多种基于套接字的 INTERNET 协议数据包加密、认证服务和报文完整性的功能。用 于 Netscape Communicator 和 IE 浏览器。 （3）安全交易技术协议（STT：Secure Transaction Techno1ogy）：由 Microsoft 公司提出，STT 将认证和解密在浏览器中分离开，用以提高安全控制能力。它被用于 IE 中。 （4）安全电子交易协议（SET：Secure Electronic Transaction）：1995 年，信用卡国际组织、 资讯业者及网络安全专业团体等开始组成策略联盟，共同研究开发 EC 的安全交易。1996 年 6 月，由 IBM、 VISA、MasterCard、Microsoft、VeriSign 等共同制定的标准 SET 正式公告，涵盖了信用卡在电子商务 交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的 标准，其交易形态将成为未来“电子商务”的规范。下面仅对 SSL、SET 安全协议做详细介绍。 6.5.2 SET（Secure E1ectronic Transactions）安全协议 为了克服 SSL 安全协议的缺点，满足电子交易持续不断地增加的安全要求，达到交易安全及合乎 成本效益之市场要求，VISA 国际组织及其它公司如 MasterCard、IBM、SAIC 和 Verisign 等，共同制定 了安全电子交易。这是一个为了在 Internet 上进行在线交易而设立的一个开放的、以电子货币为基础的 电子付款系统规范。SET 在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要 支付货币的交易来讲是至关重要的。由于设计合理，SET 协议得到了许多大公司的支持，成为事实上的 工业标准。目前，它己获得 IETF 标准的认可。 SET 协议要达到的目标主要有五个： （1）保证信息在 Internet 上安全传输，防止数据被黑客或被内部人员窃取。 （2）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商 家不能看到客户的账户和密码信息。 （3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同 时还有消费者、在线商店与银行间的认证。 （4）保证了网上交易的实时性，使所有的支付过程都是在线的。 （5）效仿 EDI 贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作 功能，并且可以运行在不同的硬件和操作系统平台上。 SET 协议规范所涉及的对象有： （1）消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行 发行的信用卡进行付款，因此又可称之为持卡人（Cardholder）。 （2）商户（Merchant），通过在线商店，提供商品或服务，具备相应电子货币使用的条件。 （3）支付网关（Payment Gateway），银行与因特网之间的专用系统，收单银行通过支付网关处理 消费者和在线商店之间的交易付款问题。 （4）收单银行（Acquirer），虽不属于 SET 交易的直接组成部分，但却是完成交易的必要参与方。 网关接收了商户送来的 SET 支付请求后，要将支付请求转交给收单银行，进行银行系统内部的联网支 付处理工作。 （5）发卡银行（Issuer），也不属于 SET 交易的直接组成部分，但同样是完成交易的必要参与方。 是电子货币（如智能卡、电子现金、电子钱包）的发行公司，以及某些兼有电子货币发行的银行，负责 处理智能卡的审核和支付工作