电子商务安全交易的有关标准

5.5　电子商务安全交易的有关标准

电子商务的主要特征是在线支持。为了保证在线支付的安全，需要采用数据加密和身份认证技术，以便营造一种可信赖的电子交易环境。在线交易首先要验证或识别参与交易活动的各个主体，如持卡消费者、商家、受卡银行和支付网关的身份（身份用数字证书表示），以及保证持卡人的信用卡号不会被盗用，这样客户才可以放心地在网上购物。目前有两种安全在线支付协议被广泛采用，即安全套接层SSL协议和安全电子交易SET协议。

5.5.1　安全套接层协议（SSL）

（一）SSL简介

SSL（Secure Socket Layer）协议是一种传输层技术，由Netscape公司开发，可以实现浏览器与Web服务器之间的安全通信。网景、微软及多数流行的Web浏览器都支持SSL协议。SSL使用的是RSA数字签名算法，可以支持X.509证书和多种保密密钥加密算法，比如DES和TripleDES。SSL的功能主要有：隐私、鉴证和报文完整性。

（二）SSL加密模式的特点

SSL加密模式的主要特点是：

（1）部分或全部信息加密。

（2）采用对称的和非对称的加密技术。

（3）通过数字证书验证身份。

（4）采用防止伪造的数字签名。

SSL是一个普通的加密系统，它的实现过程简单，被用来传输任何数据。但是由于它是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。但在电子商务环境下，交易往往涉及多方。因此，为了实现更加完整的电子交易，MasterCard和Visa以及其他一些业界厂商制定并发布了SET协议。

5.5.2　安全电子交易规范（SET）

（一）SET简介

SET是针对在Internet上进行在线交易时保证在线支付的安全而设计的一个开放的规范。它是一项支付协议，只是在持卡人向商户发送支付请求、商户向支付网关发送授权或获取请求，以及支付网关向商户发送授权或获取回应、商户向持卡人发送支付回应时才起作用，它并不包含挑选物品、价格协商、支付方式选择和信息传送等方面的协议。

（二）SET的作用

（1）保证信息的安全传输和数据完整。

（2）可对交易各方进行身份验证和信用担保。

（3）使订单信息和个人账号信息相隔离。

在将包括持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息。

（4）提供备案，防止抵赖。

如果客户用SET发出一个商品的订单，在收到订单后他不能否认发出过这个订单；同样，商家以后也不能否认收到过这个订单。

（三）SET所涉及的当事人

（1）持卡人

在电子商务环境下，消费者通过网络与商家进行在线交流沟通并最终决定购物时，作为持卡人，他将使用发卡行发行的支付卡进行支付。SET保证了持卡人的账户信息不被泄漏。

（2）发卡行

发卡行是一个金融机构。发卡行保证对每笔认证交易的付款卡进行确认。

（3）商户

商户是商品或服务的提供者。接受在线支付的商户必须和一个收单行建立特约商户关系。

（4）收单行

收单行是一个为商户建立账户并处理支付卡授权以及支付的金融机构。

（5）支付网关

支付网关是一套由收单行运营的软硬件设备，用来处理商户支付报文和持卡人的支付命令。

（四）SET的购物过程

（1）持卡人使用浏览器在商家的主页上查看在线商品目录以及商品介绍。

（2）持卡人选择要购买的商品，并放入购物篮中。

（3）持卡人确定购买购物篮中的商品后，主页出示订单让持卡人确认。

（4）持卡人确定后，向商家发送订单信息及支付信息，订单信息和支付指令都要由持卡人进行数字签名。同时利用双重签名技术既保证商家看不到持卡人的账号信息，也保证了支付网关能确认持卡人的身份。

（5）商家接受订单后，将确认信息及持卡人的支付信息发送给支付网关。

（6）支付网关验证持卡人的支付信息。确认后联系商家的收单行和持卡人开户行进行转账。转账成功后向商家返回信息。

（7）商家发送订单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询。

（8）商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程即告结束。

5.5.3　UN/EDIFACT标准

尽管电子商务在全球范围内掀起热潮，但由于各国所采用的网络接入标准各不相同，造成国际的电子商务活动遇到了网络接入标准问题。为了使电子商务在更广阔的范围内推广，发挥其对全球商务活动的促进作用，国际社会一直在为制定一个统一的电子商务标准而努力。联合国欧洲经济委员会（UN/ECE）为了为各国进行商务交流提供一个统一的商业语言标准而制定的UN/EDIFACT，已作为国际通用的标准被全世界接受。

（一）UN/EDIFACT的产生背景

EDI在贸易和商业领域的应用，打破了传统的贸易方式，简化了原有的贸易程序。国际合作的范围也已经从单证的协调扩展到更深入地研究基本信息需求以及满足这些需求所需的全新方法的开发方面。过去的十几年间，UN/ECE的国际贸易程序简化工作组一直把其主要精力集中在设计和开发使国际贸易数据的电子交换能够安全、有效、经济地运营的工具方面。

1981年国际贸易程序简化工作组制定出第一部交换规则，并以“贸易数据交换指南（GTDI）”的形式发布。该规则为潜在的用户开发自己的系统提供了基础。随后，根据从该“指南”的众多用户和各种项目中获得的经验，用被广泛接受的观点进一步改进了该指南。之后，经改进的指南和一套在美国研制的电子业务数据交换标准汇集在一起，为UN/EDIFACT的产生奠定了基础。

（二）UN/EDIFACT简介

EDIFACT标准包括一系列涉及电子数据交换的标准、指南和规则。EDIFACT标准包括以下10个部分：

（1）EDIFACT语法规则。EDIFACT语法规则于1989年3月制定完成，并于当年9月被国际标准化组织接受成为国际标准，称为ISO 9753。ISO 9753是用于行政、商业和运输业电子数据交换的应用级语法法则。它规定了用户数据结构的应用层语法规则和报文的互换结构。

（2）EDIFACT语法实施指南。帮助用户学会使用EDIFACT语法规则。

（3）EDIFACT报文设计指南。阐明报文设计的总体规则、报文格式的修改步骤和得到国际最新标准报文的办法。

（4）EDIFACT数据元目录。是联合国贸易数据元目录的一个子集，收录了200个与设计EDIFACT报文相关的数据元，这些数据元通过数据元号与联合国贸易数据元目录相联系。

（5）EDIFACT代码表。收录了103个数据元的代码，这些数据元选自EDIFACT数据元目录，并通过数据元号与数据元目录联系起来。

（6）EDIFACT复合数据元目录。收录了在设计EDIFACT报文时涉及的60多个复合数据元。

（7）EDIFACT段目录。规定了数据段的标记、功能、结构和检索方法。

（8）EDIFACT标准报文格式。标准报文格式分为0级、1级、2级三个级别。

（9）贸易数据交换格式构成总览。介绍了EDIFACT国际标准的产生背景、目的和对用户的要求。

（10）适当的说明解释。

案例5-5　　电子商务安全交易的有关标准和实施方法

1.早期曾采用过的地方

在电子商务实施初期，曾采用过一些简易的安全措施，这些措施包括：

a）部分告知（Partial Order）。即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

b）另行确认（Order Confirmation）。即当在网上传输交易信息之后，应再用电子邮件对交易作确认，才认为有效。

c）在线服务（Online Service）。为了保证信息传输的安全，用企业提供的内部网来提供联机服务。

以上所述的种种方法，均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

2.近年推出的安全交易标准

近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：

a）安全超文本传输协议（S-HTTP）。依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

b）安全套按层协议（SSL：Secure Sockets Layer）。由Netscape公司提出的安全交易协议，提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。

c）安全交易技术协议（STT：Secure Transaction Technology）。由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

d）安全电子交易协议（SET：Secure Electronic Transaction）。1995年，信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟，共同研究开发电子商务（Electronic Commerce）的安全交易。1996年6月，由IBM、Master Card International、Visa International，Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa共同制定的标准SET正式公告，涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。

资料来源：http://club.heima.com。