网站原创[摘 要]本文对两种常用的在线支付协议及其安全性进行了详尽分析,阐述了两者的应用性及局限性,对网络购物相关行业的发展具有一定现实意义.
[关 键 词]电子商务电子支付SET协议SSL协议
一、引言
互联网的不断发展,极大地改变着人们的生活.特别是电子商务的迅速发展,使得人们可以足不出户便可以在家里购物.电子商务必然涉及到网上的电子支付,由于网络本身的开放性及复杂性,安全问题成了电子商务发展中的首要问题,能否确保信息安全、可靠的传输,为用户在网上从事商务活动提供信任保证,成为电子商务成败的关键.
当前主要有两种在线支付协议被广泛采用,即安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议.
二、SSL协议
SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web怎么写作器之间的安全连接技术.它被视为Inter上Web浏览器和怎么写作器的标准安全性措施.SSL提供了用于启动TCP/IP连接的安全性“信号交换”.这种信号交换导致客户和怎么写作器同意将使用的安全性级别,并履行连接的任何身份验证要求.它通过数字签名和数字证书可实现浏览器和Web怎么写作器双方的身份验证.在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了.
SSL协议握手流程由两个阶段组成:怎么写作器认证和用户认证(可选).
1.怎么写作器认证阶段
在一次交易过程中,客户的证书首先传送到银行Server方,怎么写作器先验证有效期,再根据签发者(CA)名称找到签发者公钥(在CA的根证书内),验证证书的数字签名的合法性.
Web怎么写作器上的SSL安全性要求步骤如下:
(1)生成密钥对文件和请求文件;
(2)从身份验证权限中请求一个证书;
(3)在怎么写作器上安装证书;
(4)激活WWW怎么写作文件夹上的SSL安全性.
怎么写作器根据客户的信息确定是否需要生成新的主密钥,如需要则怎么写作器在响应客户的消息时将包含生成主密钥所需的信息;客户根据收到的怎么写作器响应信息,产生一个主密钥,并用怎么写作器的公开密钥加密后传给怎么写作器;怎么写作器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证怎么写作器.
这样通过主密钥引出的密钥对一系列数据进行加密来认证怎么写作器,从而建立安全的通信通道.
2.用户认证阶段
在此之前,怎么写作器已经过了客户认证,这一阶段主要完成对客户的认证.
经认证的怎么写作器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向怎么写作器提供认证.
SSL支持各种加密算法.在“握手”过程中,使用RSA公开密钥系统.密钥交换后,使用一系列,包括RC2、R、IDEA、DES、triple-DES及MD5信息摘 要算法.公开密钥认证遵循X.509标准.
| 有关论文范文主题研究: | 关于电子商务的论文范文素材 | 大学生适用: | 学士学位论文、硕士毕业论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 86 | 写作解决问题: | 写作参考 |
| 毕业论文开题报告: | 论文模板、论文设计 | 职称论文适用: | 期刊发表、高级职称 |
| 所属大学生专业类别: | 写作参考 | 论文题目推荐度: | 最新题目 |
3.SSL的应用及局限
SSL是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与怎么写作器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系.
三、SET协议
为了实现更加完善的电子交易,MasterCard和Visa联合其他一些业界主流厂商联合推出了一种规范,用来保证在公共网络上支付交易的安全性,从而发布了SET协议.采用SET协议进行网上电子交易支付时,主要涉及持卡人、商家、支付网关、发卡者、支付者和CA认证共六方:持卡人是发行者发行的支付卡的授权持有者;发卡者是指发行信用卡给持卡者的金融机构;商家是有货物或怎么写作出售给持卡人的个人或组织;支付者是指商家开设帐号所在的金融机构;支付网关实现对支付信息从Inter到银行内部网络的转换,用来处理商家支付报文和持卡人的支付指令,并对商家和持卡人进行认证;证书权威CA是为持卡人商家和支付网关发行X.509数字证书的可信实体.
SET协议提供了电子交易中信息的机密性、数据的完整性、持卡人帐户的身份验证和商家身份验证.
1.信息的机密性
当持卡人的帐户和支付信息在网络上传输时,要确保其安全.SET的一个重要特点是,它可以防止商家知道持卡人的信用卡帐户,它只提供给发出的银行.可以使用DES等算法加密来确保机密性.
2.数据的完整性
从持卡人发送给商家的支付信息包括信息、个人数据和支付说明.SET必须保证这些消息的内容在传输时不进行改变.利用SHA-1哈希码的RSA数字签名提供了消息的完整性.
3.持卡人帐户的身份验证
SET授权商家验证持卡人是否是正确信用卡帐户的合法用户.SET使用X..509v3数字证书和RSA实现这一目的.
4.商家身份验证
SET授权持卡人验证商家是否可以接收与其有关的金融组织.SET使用X.509v3数字证书和RSA实现这一目的.
5.SET的局限性
SET协议仅解决了支付信息的认证,没有解决交易中证据的生成和保留,因此,不能为交易保留法律性的依据;SET协议中没有对交易过程作状态描述,这可能使顾客或商家对交易的状态难以把握.
四、结论
SSL协议和SET协议各有优缺点,都不是理想的电子商务协议.为了电子商务更加蓬勃地发展,
必须在深入剖析SSL协议和SET协议的基础上,开发一种新的安全支付协议,以适应信用卡、电子、电子支票等多种交易方式.