| 出版日期:1999-06-17 总期号:832 本年期号:42 |
|
 |
给网上交易加把“锁”
电子商务付费协议新想法 易泉 先睹为快 internet的终极目标就是以“网络”的独有特点,给人们的日常生活带来便利,电子商务便是其很好的应用实例。经过若干年的艰苦努力,在家中实现“one-stopshopping(一次到站)”的设想终于有了眉目。但是“安全”问题仍是电子商务中的一个“焦点”。信用卡与电子现金是电子商务的主要应用,set、ssl作为其相应的安全协议,可以保证从消费者到商家间整个渠道交易的安全。 电子商务是建立在如tcp/ip、http协议和低成本的internet存取访问标准之上的。支持付费协议的站点才是真正的电子商务站点。付费协议主要涉及的是货币,而与数据没有直接的关系。该协议的主要内容和所提供的服务是建立在基本数据和链路层协议基础上的,考察的是商家和消费者间的站点(而不是商家和商家间的站点),它概述了买方、卖方和银行的职能及作用,详述了付费协议的要求和相关信息的交流。 现在流行的付费方式有现金支付及信用卡支付两种。现金支付通过数字流通得以实现,例如数字现金(digicash)。但是现在还应着重发展包括安全套接层协议(secure sockets layer,ssl)和电子现金(cybercash)在内的付费系统。 一般来讲,一个交易通常包括商品认证、支付和交货三个部分。在网络世界中,由网页展示商品和接受消费者的购物请求,采用fedex和ftp提交硬件和数字产品。对于商家对商家的站点,由于交易的供应商和进货商的文档必须通过正式的协议,因此其应用的市场大大地受到限制。对于消费者来说支付安全性是最主要的难点。 安全性是第一要求 电子商务和其相关的系统必须通过提供安全性和一致性来保证买卖双方的利益。安全性是保护买方不会非法支付,卖方不会误发产品;一致性是保护买卖双方不被冒名顶替。这些需求给网站和协议提出了更高的要求。 例如信用卡的金额这样一个基本数据,不仅在传输时需要加密,而且应该在所有使用的文件和其存储的数据库中也加密,以保证百分之百的安全。为了防止商业欺骗,该数据对商业人员只显示后四位。该协议和网络服务器的应用(http服务器、电子包裹、站点设计及站点管理)必须严格地保证交易状态和特性的一致性,并且对支付途径、商业欺骗的审查、税额计算、第三方和数字化的实现也有同样的要求。 现存的电子付费系统和现实社会的交易情况基本一致,而付费协议提供了与纸质票据相对应的电子票据的交易方法。如果协议设计得细致、安全、可靠,电子购物远比传统的未加密的信用卡支付方法更安全可靠。 信用卡是普遍交易方式 人类祖先物-物交换的方法到了中世纪变得更为复杂,那时有两种支付方式:票据和硬币,当然它们都是经政府相关机构认定的,交易双方都认可的流通方式。渐渐地支票、购物订单和信用卡代替了现金交易。随着时间的推移,买卖双方的基本交易模式演变成了,由消费者、批发商、供货代理、支付代理商构成的现代交易模式。 美国经济中的信用卡交易大多是在拨号上网的批发商和持卡者之间进行的,现在依然有许多站点采用此方法。对那些依靠零售的批发商来说更是如此,他们的站点就相当于一个零售店铺。 为了保证数据的完整与一致性,该协议依靠的是暂停和续传的方法。如果客户确认的交易信息不明原因地没有得到回复,客户就发出取消交易的指令,当主机收到该指令后,客户才能进行下一次的交易。因为在整个零售系统中主要依赖自身的安全,该协议在加密方面显得就不那么重要。它不是加密所有的信息,而只是加密某些字段,如借款交易的pin码,而核实行为也只限于持卡者指派的批发商和终端。 在某些程度上信用卡交易更像转让信用卡协议,这些功能的完成是通过电子商务数据包的付费模块或中介手段电子现金来完成的。新老方式的结合使老客户不需要新的软件就可访问新的商业站点,还能够接受现有体系下的交易。 认证证书是关键 在电子商务的世界中,被广泛接受的认定形式是经ca(证书认证机构)认定的证书。事实上电子商务不仅需要可靠的浏览器和http服务器,还需要被第三方认可的,由verisign或entrust签署的数字化的ca,由ca核实经销商。身份证明可帮助经销商识别是否有消费者冒名顶替。 用户证书包括由浏览器传递发证机关密码的公共密码。具体操作是经销商给发证机构ca发送信息,发证机构的计算机把信息处理后返还给他,同时该证书被存储,以确立其可信的地位。 支持ssl是任何商业站点的基本要求。ca协议和ssl构成了货物来源、服务器核实、数据的完整性和保密性等认证系统的基础。它可以提供比ip应用更高层的服务,如http,ftp等,由网景公司创立,作为ietftls基础的ssl将数据压缩后进行交易,保证交易各模块的保密性和完整性。ssl的握手协议可以商讨采用加密算法,以便使用相应的插件进行加密。经销商发出其证书,让消费者验证,消费者返回他的证书和经验证的信息(双方都必须认可各自的ca)。ssl数据协议还提供了支持数据分区、压缩、加密的算法。 灵活的电子现金 电子现金被广泛地应用于各个电子商务的站点,这种协议在中、小型电子商务网站非常受欢迎。它依靠ca来核实,通过ssl可靠地实现用户的钱包、网络服务器的数据包及电子现金的网关之间的数据交换。电子现金使交易通过网络并使用该协议专线实现。它可以通过传递信用卡的信息更新数据并且和持卡者进行信息交流,所以批发商不必在私人商业网站保持其所有链接。 消费者在批发商的站点输入付费和其它信息,经过消费者和批发商的相互认证后,批发商便向电子现金服务器签发加密信息,电子现金服务器再由此解密、验证将信息分解,转化成信用卡的信息格式,通过零售网络发送到银行,同时银行把相应的同意或拒绝代码也返给批发商的网站消费者。 
图1电子钱包/信用卡internet安全示意图银行网关 
图2电子商务付费协议示意图 电子现金具有模块化和灵活性的特点,它包括三部分:消费者的钱包、批发商网站的数据库和电子现金服务器。电子现金服务器和消费者与电子现金和批发商之间有着相互独立的信息交流。这种灵活的方法使批发商能够获得那些选择现金服务器的作为钱包的消费者。 需要注意的是,电子信息的交流发生在应用层中,基本数据不被用户使用,你不会得到任何关于应用协议的详细说明,但是可以通过寻求应用销售商的支持,得到相应说明及诊断。 权威述评 从“务虚”到“务实” oracle公司市场部郑凯 能否支持完整的电子支付体系是电子商务从“务虚”走向“务实”所面临的一个关键问题可以这样说,电子支付系统就是整个电子商务系统的支点。而构成完整的电子支付体系,协议是其中必不可少的。目前的支付体系中,国际通用的协议主要有set(安全电子交易规范)和ssl(安全套接层协议)两种。其中set协议只支持信用卡交易,而ssl协议既能支持商家之间的交易,又能支持商家与最终用户之间的交易。协议担当了保证交易顺利进行的角色,那么在其中最关键的一点是保证交易的安全性。 目前的电子支付体系一般是在联机小额支付系统和电子货币的基础上建立的。在传统的交易环境中,不论是联机小额支付系统还是电子货币,由于交易环境相对封闭,所以安全问题并不突出。但是,在基于internet的电子商务中,由于处于开放环境,所以安全性成为了首要因素。在这种情况下,支付体系所采用的协议能否保证交易的安全性成为了第一要求,也是最基本的要求。 协议在支付体系中,用于架构服务器和客户之间的安全通道,主要提供三种服务:客户和服务器之间的相互确认;以加密的方式保证所传输信息的可靠性;保证所传输信息的完整性。 相对于电子支付体系中的付费协议,认证体系ca是推动电子商务发展必不可少的要素。ca的主要功能是验证或识别网上参与交易活动的主体(如持卡消费者、商户、收单银行和支付网关)的身份。 今天,我们建设支持电子支付的认证体系时,应当考虑以pki(公钥密码体制)为基础架构,从而建设能够兼容商户之间及商户和最终用户间交易、并能支持各种现代支付方式的方案。 |
||||||||||||
