2.1 SSL協議
安全套接層方法(Secure Socket Layer, SSL)協議在網絡上普遍使用,能保證雙方通信時數據的完整性、保密性和互操作性,在安全要求不太高時可用。它包括:
(1)握手協議。即在傳送信息之前,先發送握手信息以相互確認對方的身份。確認身份後,雙方***同持有壹個***享密鑰。
(2)消息加密協議。即雙方握手後,用對方證書(RSA公鑰)加密壹隨機密鑰,再用隨機密鑰加密雙方的信息流,實現保密性。
由於他被IE,NESCAPE等瀏覽器所內置,實現起來非常方便。目前的B-C網上支付大多采用這種辦法。利用招商銀行提供的網上支付接口可以很方便的實現基於此協議的網上支付。
SSL使用加密的辦法建立壹個安全的通信通道以便將客戶的信用卡號傳送給商家。它等價於使用壹個安全電話連接將用戶的信用卡通過電話讀給商家。
SSL交易過程圖
雖然SSL握手協議可以用於雙方互相確認身份,但實際上基本只使用客戶認證服務器身份,即單方面認證。這壹協議不能防止心術不正的商家的欺詐,因為該商家掌握了客戶的信用卡號。商家欺詐是SSL協議所面臨的最嚴重的問題之壹。另外由於加密算法受到美國加密出口的限制,瀏覽器和Web Server都存在所謂的"512/40"的問題。既DES對稱加密為40位,RSA加密為512位。加密強度偏低使B-C的SSL協議難於推廣到有更高要求的B-B領域。
2.2 安全電子交易協議SET
SET是實現在開放的網絡(Internet或公眾多媒體網)上使用付款卡(信用卡、借記卡和取款卡等)支付的安全事務處理協議。它的實現不需要對現有的銀行支付網絡進行大改造。該協議的1.0版本於1997年5月31日發布。
SET規定了電子商務支付系統各方購買和支付消息傳送的流程。附圖為SET協議結構流程圖。可見,電子商務支付系統的交易三方為:持卡人、商家和支付網關。交易流程為:
(1)持卡人決定購買,向商家發出購買請求;
(2)商家返回同意支付等信息;
(3)持卡人驗證商家身份,將定購信息和支付信息安全傳送給商家,但支付信息對商家來說是不可見的(用銀行公鑰加密);
(4)商家驗證支付網關身份,把支付信息傳給支付網關,要求驗證持卡人的支付信息是否有效;
(5)支付網關驗證商家身份,通過傳統的銀行網絡到發卡行驗證持卡人的支付信息是否有效,並把結果返回商家;
(6)商家返回信息給持卡人,送貨;
(7)商家定期向支付網關發送要求支付信息,支付網關通知卡行劃帳,並把結果返回商家,交易結束。
安全電子交易使用的安全技術包括:加密(公開密鑰加密、秘密密鑰加密)、數字信封、數字簽名、雙重數字簽名、認證等。它通過加密保證了數據的安全性,通過數字簽名保證交易各方的身份認證和數據的完整性,通過使用明確的交互協議和消息格式保證了互操作性。
由於它實現起來比較復雜,每次交易都需要經過多次加密、HASH及數字簽名,並且須在客戶端安裝專門的交易軟件。因此現在使用該協議的電子支付系統並不多。目前中國銀行的網上銀行中的支付方式是基於SET。