網路交易使用的編碼協定 網路交易使用的編碼協定
SSL:網路加密
所謂SSL(Secure Sockets Layer)指的是網景通訊公司(Netscape Communications)所研發出來的網路安全傳輸協定。它在用戶端與伺服主機之間進行加密與解密的編碼程序,透過這個安全編碼程序讓駭客或惡意使用者無法截取消費者所傳出的個人或信用卡卡號等資料。
Secure Sockets Layer (SSL) SSL是利用RSA公開金鑰的加密技術來做為用戶端與主機端在傳送機密資料時的加密訊協定。
目前,SSL技術已被廣泛使用。這個加密的措施能夠防止資料竊取者直接看到傳輸中的資料,像是密碼或者信用卡號碼等等。幾乎所有處理具有敏感度的資料,
財務資料或者要求身分認證的網站都會使用 SSL 加密技術。當你看到 https 在你的網頁瀏覽器上的 URL出現時,你就是正在使用具有 SSL 保護的網頁中。
當您選擇在您的網頁伺服器上啟動SSL時,您將被提示必須填寫幾個關於您伺服器的身份確認問題(例如,您的伺服器網址)和您的公司資料(例如,您的公司名稱和位置),然後您的網頁伺服器將建立兩把密鑰,一把私鑰和一把公鑰,您的私鑰之所以如此稱呼的原因是它是用來維持私密性與安全性的,這個公鑰則不需去作保密並且還置放在憑證需求檔(Certificate Signing Request,簡稱CSR)裡,它是一個包含您詳細資料的檔案,您必須將此CSR傳送給認證中心,透過 SSL 憑證申請程序,發證中心(Certification Authority)將驗證您的詳細資料然後核發一個包含您詳細資料的憑證,如此您才被允許使用SSL。
您的網頁伺服器將使用您的私鑰配合核發給您的SSL憑證,然後您的網頁伺服器就能在伺服器與您客戶的瀏覽器之間建立一個加密連結。
SET:安全電子交易標準
1996年2月1日,美國威士卡及萬事達卡公司聯合電腦業巨擘微軟、IBM、網景公司等,正式發布《安全電子交易細則》(SET specification, Secure Electronic Transaction),為日趨熱絡的電子商務提供「數位認證」(digital certificates)的服務,讓線上交易的買、賣雙方以及信用卡公司,都能確認彼此身分的真偽,並防範商務機密在網路傳輸的過程中,遭到盜讀或中途攔截
電子交易:廣義而言,舉凡交易雙方均以電腦透過網路進行交易皆 可謂之為「電子商務」(Electronic Commerce或稱電子交易。
網際網路(Internet)上的電子交易,自一九九三年在美國風行以來 ,於一九九四年在台灣開始起步,在九五與九六年更形成熱潮,其主要 原因在於它提供一個訴諸全球統一標準,人們可用經濟、便捷的方法輕 鬆上網,享有全新的交易管道。
信用卡與電子交易:以往信用卡的交易,是持卡人利用卡片或卡號 向商店付款購買商品。在Internet上利用電子商務交易型態,仍是以信 用卡付款,只是買賣雙方傳統面對面的交易,以另一種行銷管道,利用 雙方的電腦,透過網路達成交易。在某一方面而言,其型態極類似郵購 (Mail Order)或電話購物。
SET:(安全電子交易標準)在Internet上的電子交易雖然方便 且廉價,但是如何維持交易付款,尤其是信用卡付款的安全,更成為金 融界、資訊業及網路業者所關心。因此,自一九九五年起,由萬事達卡 國際組織及其他信用卡公司、軟體、網路公司等即開始組成策略聯盟團 體,共同合作研發電子商務的安全。一九九六年六月,由萬事達卡國際組織(Mast Card)、威士卡國際 組織(VISA)、IBM、Microsoft、Nescape、GTE、Versign等共同制定 SET(Secure ElectronicTransaction)安全電子交易標準正式公告, 涵蓋(信用卡在電子交易協定(TransactionProtocol)、資料完整( Integrity)及資料認證(Authentication)、數位簽章(Digital Si gnature)等。此一標準被全球公認為網路之標準,其交易型態必將是 未來「電子商務」的規範。
SET交易系統的認證單位(Certification Autnority):發卡 銀行、收單銀行及國際組織等認可的第三公證單位,接受委託產生(G enerale)、管理(Management)及核發(lssue)持卡人及商店的電子 證書。此單位可為銀行或具公信力的機構。在國內具有此項技術及公信 力的單位,首推「金融資訊服務中心」。參加SET計畫的網友必須先向發卡銀行領取一張具有電子數位簽字的電子證書,並將它儲存在電腦裡,以後上網購物就可以藉由這張證書辨識身分;相對的,網路上的特約商店也要向銀行申請一張電子證書。以保障買賣雙方的權益。
SSL與SET安全機制的優劣比較
資料來源:http://www.nii.org.tw/CNT/ECNews/Article/article_07.htm
SSL是一種安全技術標準,因為它並不強制對使用者這一端做身份的認證,所以很容易的就發展成普遍使用的一種機制,在web的使用上通常用來作為對Server的認證以及對線上資料傳輸的加密,在電子商務起步階段,大部分的店家都是用這種方法來做所謂安全防護。?
SSL的作法很容易,只要店家和銀行談好交換資料的格式以及做法,申請SSL認證(其實有些Sever甚至可以自已簽認證)就可以搞定一套線上收單作業機制了,好處總括言之就是Easy To Implement。?
SSL 的缺點可以分成兩方面來看,對店家而言,你無法知道報卡號給你買東西的人是不是就是真正的持卡人,所以有Fraud的風險,而收單銀行是不負責這種風險的,所以店家必須自己去發展一套風險管理的方法, 比如說設計較為嚴謹的會員管理方法,配合物流掌握風險的控制等等。?
對消費者而言SSL的缺點主要有兩種。其一,你逛的商店到底是不是黑店無從知曉,雖然網路商店的伺服器有認證,但是就如前述,認證甚至是Sever自己就可以做的,消費者若沒有概念看清楚發證CA的可信度或有效性,就有風險產生,筆者還記得三年前有一家台灣線上購物商店開幕,用SSL收卡號,我一看她的認證 雖然是Verisign的,但卻是簽給為這家網路商店寫系統的資訊廠商的,這種冒用認證的做法其實對消費者也會有風險的。另一項風險更為顯著,當消費者把 卡號送到店家後,店家可以看得到卡號,持卡人名字與信用卡有效日期,而這些資料儲存在店家的系統裡如被不肖員工拿來亂用那就大條了。?
SET 不是安全技術,而是運用安全技術(X.509V3)的線上刷卡作業標準,她規範了消費者,商店,付款閘道,收單銀行,發卡銀行的資料傳送與身分識別以及電 子簽名等等機制,用來讓信用卡資料與訂單在嚴密的安全設計下自動的傳輸與交換,這是兩大發卡組織共同規範的標準,安全性與可賴性都大大提高。?
SET的缺點也很多,最大的問題是麻煩,消費者要安裝電子錢包,要向發卡行申請認證,要線上下載認證,要記得錢包密碼,這對大部分的消費者來說是一個障礙,技術上對商店而言倒不是太大的問題,只不過大家要想辦法教育使用者多用電子錢包,在初期會是一個比較辛苦的做法。?
另一個問題是電子錢包與商店系統之間的相容性問題,這個將來會是一個越來越大的挑戰,雖然setco負責做Interoperable的測試,可是這種問題很難完全解決。?
目前的set錢包還不是很Portable,也就是說消費者在家裡弄好SET之後,到辦公室或學校甚至在網路咖啡屋surf時若有網路廣告吸引她購物時,還是無法用SET來買,除非這個消費者比較懂電腦可以把檔案帶著走。?
如果你要開店,只要有把握掌握風險管理,SSL是可行的,如果你寄望用SET來做主要的付款方式,現階段很難做到生意,不過隨著網路使用的普及,Fraud會越來越嚴重,屆時SET是必要的。