|
安全電子交易
|
|
SET的源起
|
|
安全电子交易(Secure Electronic Transaction,简称SET)是一个用来保护在任何网络上信用卡交易的开放式规格,SET协议融合了从RSA资料安全的公开钥匙编成密码文件的使用,以保护任何开放性网络上个人和金融信息的隐密性。
SET是Visa与MasterCard两大信用卡发卡中心与IBM、Microsoft、Netscape等公司于1996年所提出的,它是由VISA国际组织与MasterCard国际组织,于1996年2月共同宣布制定安控规格于网际网络上的交易协议(Protocol)。随即美国运通(American
Express),HP,Microsoft,IBM,Netscape,VeriSign等公司纷纷表示加入并支持此一标准。时至今日,SET已成为国际上所公认在Internet电子商业交易的安全标准。
这个协议是以信用卡的交易为起始点,从商店透过网际网络进一步扩展到消费者的个人计算机上面,在新的交易方法中,以网际网络取代传统面对面的沟通。因此持卡人、商店,及透过网络交易的消费者的角色认定,以及如何确保交易讯息的正确性、完整性,并且能保有私密性,就是SET协议规范的重点。
|
| 为什么需要SET? |
· 线上欺骗行为-很难确认使用者的真实身份
· web认证-在要求服务之前,使用者必须证明自已的身份。
· EC商家希望有更容易、更安全、可靠和有规模的认证方法。
· 第三方-收送双方相互确认身份
|
| SET的特色 |
· 可信的信息-由商家和银行保证交易信息的安全,防止被拦截修改。
· 完整的信息-确认信息在传送过程中没有被修改
· 使用者帐号的认证-确认使用者是有效帐号的合法使用者
· 商家的认证-确认商家身份,才允许他们接收银行卡付款。用数字签名和商家认证
· 相互操作性-set标准适用在许多软、硬件上,消费者可和商家软件相沟通,如果标准相同的话。用标准协议和讯息格式。 |
| SET的架构 |
SET的架构是由几个成员所共同组合起来的。分别是Electronic Wallet(电子钱包),Merchant
Server(商店端伺服机),Payment Gateway(付款转接站),和Certification Authority(认证中心)。而运用这四个成员,即可构成于Internet上符合SET标准的信用卡授权交易。而欲落实SET,则须靠SET所规范的交易模式中参与的各个个体。
一般来说,SET所规范的交易模式中,所参与的个体包括:
· 持卡人(Cardholder):即拥有发卡银行授权许可的信用卡,而且必需要先向认证管理中心(Certificate
Authority)注册登记并且取得签张认证(Signature Certificate),以便进行交易。
· 特约商店(Merchant):在网络上提供商品的商店或者服务的机构一定要和收单行签约,而成为可以接受客户信用卡电子付款的特约商店。
· 收单行(Acquirer):主要是负责授权与管理往来的特约商店,并且负责在交易进行的时候,提供信用卡付款的授权(Payment
Authorization)申请及付款取得(Payment Capture)的服务。为了完成付款取得的服务,所以在电子商务中通常会增设一个付款通路(Payment
Gateway),这个付款通路分别透过网际网络与特约商店联机,并且透过原先已经存在的金融网络与发卡银行交换讯习息,取得交易的授权。
· 发卡行(Issuer):在每一笔交易进行之前,发卡行就会先代理接受持卡人签章认证的申请,并且经由发卡行发出一张含有CA签章的电子信用卡,这张卡可以是Visa、MasterCard、AE或是JCB,依照持卡人的申请而定。当收款行透过金融网络要求付款授权的时候,发卡行就应该响应付款授权的申请,等到交易完成后再与收单行进行帐务清算并且交换讯息。
· 签字管理中心或称数字签字认证机构(Certificate Authority,简称CA):负责所有电子认证的工作。原则上持卡人只须要一对金钥,用来申请签章认证,但是其它参与个体则需要两对金钥,分别用来申请签章认证和换钥认证。而认证的管理与运用就是SET协议是否可以安全的在网上交易的关键,故通常由公正可信的组织担任此一角色,以求线上交易的安全性。
· VISA国际组织:其主要的任务、公能是协助各国或各区建立电子数字证书的系统。并且协助各国或各区建立支付通路服务及支持方式;发展有关安全电子商业的基本教育及训练素材,此外,更可协助会员银行发展安全电子商业的网络架构及主机系统,以支持安全电子商业交易。由上述可知,VISA国际组织实是电子商业参与者以及VISA
SET科技小组的居中桥梁。
|
| SET线上交易流程 |
|
在SET,一个完整的线上购物交易可细分为四部份:订单申请、付款授权、付款取得以及交易状况查询。
SET线上交易流程如下图所示:
|
| SET所采取之安全机制 |
归纳整理出SET所采取之安全机制如下:
1. 在认证方面:认证的交换验证配合数字签章以确认交易进行时双方身份,进一步提供不可否认的功能。
2. 在密码算法方面:DES与RSA互用以确保资料的秘密性。
3. 在数字签章方面:映碎函数与RSA密码算法构成数字签章,以保护资料的完整性,防止伪造;并以数字信封、双重签章确保资料的隐私性与关连性。
|
| 结语 |
整个SET的成功推行,实有赖于许多因素的配合,不是单纯的要有买、卖双方的参与而已,还必须有够安全、够快速的加密技术以确保资料安全;认证技术以及数字签名技术以确认买卖双方身分,达到合约中的不可否认性,而在这整个架构的落实推行上,则还需要一个在技术上、管理上够公信力的组织CA,来推动其中相关技术及个体的管理。在这个组合中,每个环节都必须健全,不然将危及所有参予的个体,也将使整个Internet交易不再被信赖,其影响之大将是不可估计的!
在SET于电子商务中所采用的安全技术里,各种的加密算法都已经经过了几十年的发展改进并接受各方的考验,相信在相对的短时间里,应用来保障一般人的资料应是够安全的,不过随着科技的日新月异,对于安全性的担心,实在是不可或忘的,尤其得记住,在SET中,交易的个人也为其中一环,培养大众拥有信息安全的基本观念,由每个人自己本身做起,相信才是最根本预防各种非法伤害的最根本之道。
|
| |
