电子商务安全模型分析研究
1.支付系统无安全措施的模型 (1)流程(流程见下图)
(2)特点 风险由商家承担。
商家完全掌握用户的信用卡信息。 信用卡信息的传递无安全保障
这种模式至少有两大弱点。其一,商家得到用户的信用卡信息,就有义务妥善保护这些信息。事实上,有些商家为了商业利益把信息透露给第三方。其二,信用卡信息的传递没有安全保障,这样就很容易被人截获或篡改。由此可以看出,这种模型是很不安全可靠的。 2.通过第三方经纪人支付的模型
用户在第三方付费系统服务器上开一个账户,用户使用这个账户付款。这种方法交易成本很低,对小额交易很适用。 (1)流程(流程见下图)
图2:通过第三方经纪人支付模型的流程
(2)特点
用户账户的开设不通过网络。 信用卡信息不在开放的网络上传送。 通过电子邮件来确认用户身份。 商家自由度大,风险小。
支付是通过双方都信任的第三方(经纪人)完成的。
这种方式的关键在于第三方,交易双方都对它有较高的信任度,风险主要由它承担,保密等功能也由它实现。 3、数字现金支付模型
用户在现金服务器账户中预先存入现金,就可以得到相应的数字现金,可以在电子商业领域中进行流通。数字现金的主要优点是匿名性和不可追踪性,缺点是需要一个大型数据库来存储用户的交易情况和数字现金的序列号,以防止重复消费。这种模式适用于小额交易。 (1)流程(流程见下图)
图3:数字现金支付模型的流程 (2)特点
银行和商家之间应有协议和授权关系。
用户、商家和数字现金的发行都需要使用数字现金软件。 适用于小额交易。
身份验证是由数字现金本身完成的。数字现金的发行在发放数字现金时使用数字
签名;商家在第次交易中,将数字现金传送给银行,由银行验证数字现金的有效性。
数字现金的发行负责用户和商家之间实际资金的转移。 数字现金与普通现金一样,可以存、取和转让。 4、简单加密支付系统模型
这是现在比较常用的一种支付模式。用户只需丰银行开立一个普通信用卡账户。在支付时,用户提供信用卡号码,但传输时要进行加密。采用的加密技术在SHTTP,SSL等。这种加密的信息只有业务提供商或第三方付费处理系统能够识别。由于用户进行网上购物时只需提供信用卡号,这种付费方式带给用户
很多方便。但是,一系列的加密、授权、认证及相关信息传送,使交易成本提高,所以这种方式不适用于小额交易。 (1)流程(流程见下图)
图4:简单加密支付系统模型的流程
(2)特点
信用卡等关键信息需要加密。 使用对称和非对称加密技术。 可能要启用身份认证系统。 以数字签名确认信息的真实性。 需要业务服务器和服务软件的支持。
这种模型的关键在于业务服务器保证业务服务器和专用网络的安全就可以使整个系统处于比较安全的状态。由于商家不知道用户信用卡的信息,就杜绝了商家泄露用户隐私的可能性。
5、SET(securityelectronictransaction)模型
“安全电子交易”,简称为SET,是一个在开放的互联网(Internet)上实现安全电子交易的一个国际协议和标准。SET最初是由VisaCard和MasterCard合作开发完成的,其他合作开发伙伴还包括GTE,IBM,Microsoft,Netscape,SAIC,Terisa,VeriSign等。 (1)流程(流程见下图)
图5:SET模型的流程 (2)SET协议的安全措施
加密技术:同时使用私钥与公钥加密法。 数字签名技术。
电子认证:电子交易过程中,必须确认用户、商家及其他相关机构身份的合法性。
电子信封:为了保证住处传输的安全性,交易所使用的密钥必须经常更换,SET使用电子信封的方式更换密钥。方法是,由发送方自动生成专用密电码钥,用它加密明文,再将生成的密文同密钥本身一起用公钥指公共密钥加密方法,而非已公开的密钥。
SET提供对交易参与者的认证,确保交易数据的安全性、完整性和交易的不可抵赖性,特别是保证了不会将持卡人的账户信息泄露给商家,这些都保证了SET协议的安全性。再加上多家大公司的支持,相信协议在未来几年的应用前景会比较乐观。
