1、安全电子交易协议的一种改进支付模型研究 潘山 江西冶金职业技术学院机电工程系 摘 要: 文章从分析原有 SET 协议支付流程的复杂性出发, 将 SET 的支付流程按客户的安全需要改进为低级 SSL、中级 SET 和高级 SET 3 种支付级别, 较好地解决了原交易过程中需要多方相互认证、复杂度高、维护成本高、交易速度慢等问题。进而在多级安全支付的处理流程上提出一种改进的 SET 支付模型, 为进一步研究电子商务的安全支付问题给出了一个参考。关键词: SET 协议; SSL 协议; 多级安全支付; 支付流程; 支付模型; 作者简介:潘山 (1978) , 男, 江西新余人, 讲师, 硕士;研究方
2、向:计算机网络技术。Study on an improved payment model of secure electronic transaction protocolPan Shan Mechanical and Electrical Engineering Department, Jiangxi Metallurgical Vocational College; Abstract: Based on the analysis of the complexity of the payment process of the original SET protocol, this artic
3、le improves the payment flow of the SET according to the customers security needs to three levels of payment, namely low-level SSL, medium-level SET and highlevel SET, so as to better solve the problems that multiple parties Mutual authentication, high complexity, high maintenance costs, slow tradin
4、g and other issues. Furthermore, an improved SET payment model is proposed in the process of multi-level secure payment, which gives a reference for further research on secure payment of e-commerce.Keyword: SET protocol; SSL protocol; multi-level secure payment; payment flow; payment model; 随着 PC 和
5、Internet 的快速发展, 利用电子手段进行的贸易支付正逐步取代原有的商务支付模式。在为电子支付而设计的诸多支付协议中, 由全球两大信用卡公司 Visa 和 Master Card 共同开发的安全电子交易协议 (Secure Electronic Transaction, SET) 是目前可以实现的电子支付手段中发展比较完善、使用较为广泛的一种电子交易模式。1997 年推出 SET 规范 1.0 版本后, 大大满足了电子商务交易中的安全需求。因此许多软件开发商, 如 Microsoft, IBM, HP 等相继发布了符合 SET 标准的安全电子商务产品。而 SET 协议本身的设计是面向 B
6、2C 支付模式的, 主要针对信用卡 (美国标准) 来进行网络支付而制定, 涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整性等各个方面。SET 支付系统主要采用了目前成熟的数字证书、公钥密码技术和对称密码技术对参与交易的多方进行身份认证和信息加密, 同时利用双重签名技术确保信息在传输过程中不被篡改, 以保证信息的真伪。而 SET 支付模型主要由持卡人、商家、发卡行、收单行、支付网关和认证机构 (Certificate Authority, CA) 等部分组成, 其中 CA 是 SET 支付模型中的关键部分, 通过 CA 发放的数字证书相互验证参与者的身份。1 现有 SET 协议缺陷分
7、析SET 协议因为使用的是对称以及非对称加密密码技术, 在一定程度上保证了在线交易中的信用卡交易安全, 并使其与支付应用相结合, 因此消费者的在线交易安全性完全能够通过 SET 协议实现。SET 协议在网上交易中的使用, 不仅能够确保金融数据信息的保密性和支付过程的完整性, 还能够进一步地确认交易过程中的商家、银行以及持卡人身份, 因此具有较高的安全性保障。SET 协议因其具有很高的安全性, 在一定程度上得到了广泛的应用。但是, 随着电子商务的进一步发展和完善, SET 协议的安全和交易流程方面的问题也日益突出。首先, SET 协议中的某些密码体系已被破解, 比如 SHA-1, MD5 等,
8、致使目前的SET 交易流程存在着潜在的安全隐患。其次, SET 协议在提供高度安全性的同时是以牺牲它的性能为前提的。比如, SET 协议要求在银行网络、商家服务器、顾客的 PC 机上安装相应的软件, 以及SET 要求必须向各参与交易的实体发放数字证书, 并在支付交易过程中进行参与方的多次相互认证。但是, 对于小规模交易, 这样的开销就显得非常不值, 而且 CA 为每一个潜在的用户都分发一个证书也是不现实的。因为 SET 交易的复杂性, 使其受到了商家和用户的广泛批评, 从而阻碍了 SET 在电子商务中的进一步发展和应用1。再者, 现有的 SET 支付模型在实际的支付过程中并不完善, 不能保证电
9、子交易的原子性。因此某些支付环节需要进一步的完善。本文主要依据上述的 SET 协议缺陷分析结果, 改进了其中顾客、商家以及支付网关中的信息内容和信息传递流程, 使其不仅满足了基本的交易需求, 还能够满足和确认商品的原子性和发送的原子性。2 SET 的改进支付模型针对 SET 协议在实际支付流程中存在的诸多问题, 我们从简化现有复杂的 SET支付流程角度出发, 提出一种多级安全处理方案的改进支付流程, 即将现有的SET 的单级安全支付按客户的不同安全需求划分为低级安全套接层 (Secure Sockets Layer, SSL) 、中级 SET 和高级 SET 3 个交易级别2。并在此基础上,
10、建立起基于多级安全处理方案的 SET 改进支付模型。因此客户在订购商品时, 需要按照其安全需求, 选择相应的交易级别进行交易支付, 从而较好的解决 SET 支付的复杂性问题。2.1 改进的 SET 多级安全支付流程持卡人和商家之间建立的交易关系是最初的 SET 消息流, 目的是让持卡人得到商家和支付网关的数字证书, 确认交易的可行性3。因此, 改进的 SET 多级安全支付流程可以是在原有的 SET 支付流程基础上, 将两者的交易关系进行低级SSL、中级 SET 和高级 SET 3 级安全划分, 此后再针对不同的交易级别应用不同的支付处理手段。SET 多级安全支付流程包括购买请求和支付认定两部分
11、, 其中购买请求包括商家提供在线商品目录、用户网上选择商品、持卡人填写购物表单和选择安全级别、商家服务器根据用户的安全级别进行处理。支付认定分为低级 SSL、中级 SET 和高级 SET 3 种支付级别, 中级 SET 支付经过与客户进行 SSL 验证、高级 SET 支付经过与客户进 SET 验证后, 3 种支付级别再经过商家生成支付请求发送到银行请求支付和支付网关处理商家信息并向支付银行提交支付请求。改进的 SET 多级安全支付流程可以归纳如下:(1) 持卡人通过个人 PC 浏览器查看商家提供的网上目录, 选择商品, 填写购物表单, 同时持卡人选择其适用的安全级别, 确定订单签发付款指令,
12、进行初始化请求, 此时 SET 协议开始介入。(2) 在线商家在接受订单后, 通过持卡人选择的安全级别进行判断, 并进行相应的支付处理, 产生响应消息发送给持卡人。如果是低级 SSL, 则直接利用 SSL协议建立 SSL 连接, 向客户端发出验证请求;如果是中级 SET, 则在商家与持卡人连接时使用 SSL 协议, 而在与银行连接时使用 SET 协议;如果是高级 SET, 则使用原先的 SET 协议进行参与方的相互认证。(3) 商家向持卡人所在的开户行请求支付认可。通过支付网关将支付请求提交收单银行, 产生授权请求, 请求支付行的支付授权。(4) 商家从持卡人的开户行得到支付授权消息, 由银行
13、内部网络进行货款的划拨。(5) 商家发出订购确认信息, 同时发出商品或者执行所订购的服务, 结束一次网上支付过程。SET 多级支付流程实质上并未从根本改变原有 SET 的支付流程模式, 只是按照客户的不同安全需求对原支付流程进行分解。2.2 基于多级安全处理方案的 SET 改进支付模型SET 的多级安全支付流程从一开始就按照持卡人的安全需求, 对客户进行了适当的分离, 即对安全需求低或者消费金额不大的持卡人采用低级的 SSL 协议;对安全需求中等的持卡人采用 SSL 和 SET 相结合的策略;而对安全需求高的持卡人则依旧采用原有的 SET 协议4。多级安全支付流程的分析与建立, 减少了参与方之
14、间的认证次数, 从一定程度上解决了原有 SET 支付流程中参与方都需反复认证的问题, 从而提高了 SET 支付速度, 满足了消费者的不同支付需要。基于多级安全支付流程方案的 SET 改进支付模型, 就是在原有的 SET 支付模型基础上充分考虑到低级 SSL 和中级 SET 的支付流程, 将 SSL 协议与 SET 协议创新性地相结合, 可以建立商家和客户之间的 SSL 连接, 同时也保证商家和支付银行之间的 SET 连接, 从而进行网上支付处理。而对于高级 SET 的交易模式, 还可以设计一个关于参与交易方的信用评价模块, 完善其交易模型, 以保证交易的原子性 (商品原子性、资金原子性和发送原
15、子性) 。支付模型的主体由持卡人、商家、发卡行、收单行和支付网关组成, 其支付流程按多级安全支付流程处理。3 模型的分析基于多级安全处理方案的 SET 改进支付模型, 并未改变原有 SET 的核心支付模型。其主要是将 SSL 协议加入到 SET 支付模型中进行结合, 按照客户的不同安全需求, 选择不同的安全支付策略 (低级 SSL、中级 SET 和高级 SET) 。这种支付模型不仅使得交易的机密性得到了进一步的保证, 还因为在一定程度上解决了加密算法的局限性, 因此具有更加广泛的应用。SET 中使用的报文交换是非实时的, 因此它涉及了多方的交换, 而 SSL 的交换仅仅只是在双方间建立一个面向
16、连接的安全通道, 因此两者的相同之处就在于都是使用的 RSA 公开密钥算法, 而从其他方面来说, 两者的相似度并不高。SET 协议和 SSL 协议在现实的支付交易过程中各有长短。对于小额资金交易或者安全需求低的交易, 客户和商家之间不必进行繁琐的相互认证。对于中级SET 用户, 商家和客户之间建立 SSL 连接, 而商家和支付银行之间仍然是 SET连接, 其中客户只对某个发卡银行的合法用户身份进行验证。对于高级 SET 用户, 依旧选择原有的 SET 支付模型, 对参与方进行相互的身份认证, 确保交易安全。参考文献1张芳, 王晓东, 贺炜.一种 SET 支付模型的改进策略及其性能分析J.长沙大学学报, 2009 (5) :28-29. 2张蕾.基于 SET 协议的电子支付平台的分析与设计J.机械管理开发, 2014 (6) :11-13. 3镡欣, 李晓峰.基于 SET 协议的电子支付系统的模型改进和分析J.价值工程, 2010 (12) :169. 4任大勇.基于时延 Petri 网的移动电子支付协议模型J.计算机与数字工程, 2013 (10) :1622-1624, 1675.
