基于SET的电子商务的安全协议的分析(2)
2015-03-09 01:04
导读:即当商家从支付网关得到客户正确支付后,SET协议不能保证商家一定会发货给客户,也不能保证发送给客户的商品就是客户订购的商品。 3.在SET协议下,
即当商家从支付网关得到客户正确支付后,SET协议不能保证商家一定会发货给客户,也不能保证发送给客户的商品就是客户订购的商品。
3.在SET协议下,客户的支付指令虽通过双重签名加密,理论上商家不可解密,但客户的支付指令(含信用卡号、密码)的信息仍然是由相对而言信誉并不可靠的网上商户转发给银行,仍存在着安全隐患,而且这样也轻易引起客户心理上的不放心。
三、SET协议的几种改进方案
(一)对SET协议进行扩展
在电子商务交易过程中,网络纠纷层出不穷,这就需要对重要的数据进行保存。扩展的SET协议通过引进新的存储机制,将重要的数字保存在交易参与者之外的机构,这就是ESET(Extended SET)协议。其流程如图所示。
图中的ESI(Extended Storage Institution)即为设置的专门的存储机构,在ESET交易的过程中的第4、5、8步,ESI对重要的信息进行了第三方保存,这些保存的数据在产生纠纷时是可以作为证据采用的,因而可以避免一些纠纷中的取证难的题目。但是这种改进方案在本来就很复杂的SET协议上增加了新的环节,使协议的处理速度和执行效率进一步降低。
(二)安全控制分级模型
安全控制分级模型的基本原理就是将SET的安全控制分为不同的级别,每种级别的安全性不一样。不同的消费者可以根据不同的交易情况和自身需求来选择不同的安全级别。假如消费者所购商品的交易额较小,他对银行、商家又充分的信任,为了进步交易速度,他就可以选择安全级别较低的交易方式;假如消费者所购商品的交易额较大,为了确保交易的安全,他就可以选择安全级别较高的交易方式。
级别越低,安全性就越差,但加解密的次数就少,完成整个SET交易的速度快、效率高;反之,级别越高,安全性就越高,其加解密的次数就多,就越复杂,完成整个SET交易的速度就慢,效率就低。
(转载自http://www.NSEAC.com中国科教评价网)
安全控制分级模型是从具体的实际出发,根据交易的性质、交易额的大小以及消费者对交易的效率和安全等方面的要求,来选择不同的安全级别,较好地满足了不同的消费对象。具有灵活性、实用性、可控性和操纵轻易等特点。但是这种方法只是一种权宜之计,并不能从根本上解决SET协议的缺陷。随着网络欺诈风险的不断增加,网上交易对电子商务安全协议的要求越来越高,SET协议需要向更安全,更实用的方向发展。 (三)基于单向身份认证的安全电子交易协议SETBOC
SETBOC协议采用单向身份认证的方式简化了
SET协议,同时保证了协议的安全性、交易各方私有信息的保密性。如图所示:
在传统的SET协议中,证书交换采用M→C→M→P方式,这种方式需要至少13次的验证证书和数字签名;而SETBOC中的证书交换流程采用了M→C→P方式,在这种单向认证方式下,仅需要7次验证证书和签名,进步执行速度大约2.1倍以上,大大地进步了工作效率。在SET协议中采用了双向签名来保证支付信息PI和订单信息OI的安全性,但数据还是要经过不安全的地方。而在SETBOC中,客户把支付信息PI发送给支付网关P,将订单信息OI发送给商家M,cedi保证了OI和PI的安全。
与SET协议相比,SETBOC协议的安全性和执行效率有了很大地进步,但SETBOC协议仍有一定的局限性。对于数字商品的交易,SETBOC协议在商家收到支付网关的付款成功的消息后,将数字产品的加密密钥发送给顾客,顾客再用该密钥解密从而得到数字产品。但对于非数字产品,SETBOC协议却不能保证“商品原子性”及“确认发送原子性”。即当商家从支付网关得到客户正确支付后,SET协议不能保证商家一定会发货给客户,也不能保证发送给客户的商品就是客户订购的商品。
中国大学排名
四、TIP在电子商务安全协议中的应用
(一)TIP思想的引进
在电子商务的交易中,从事交易的买卖双方由于信息的不对称,使双方对彼此的贸易信息处于非充分了解的状态,这就使得网上交易的开展布满了风险和不确定性。这类似于国际贸易中的商务活动。在网上虚拟的市场中进行交易的买卖双方与国际贸易中来自不同国家的交易双方类似。在国际贸易中,为了建立国际贸易交易双方的信任关系,形成了银行信用为中介的信用证项下的贸易方式,从而建立交易双方的基本信用。
