它是一個用來保護在任何網路上付款交易的開放規格,以保護任何開放型網路上個人和金融資訊的隱密性。
電子安全交易規格(SET)有幾項基本要件:
1. 數位電子證書
數位電子證書是SET的核心,因為它提供了簡易的方法來讓交易的雙方能夠彼此信任。數位電子證書利用訊息加密的方式,將交易訊息轉換或加密成需要使用鑰匙(KEY)的密碼,要解釋或轉換該訊息,接收者就需要擁有一把密碼鑰匙才可。
2. 數位電子簽名
數位電子簽名係利用公開鑰匙加密(public key cryptograohy)的製碼技術所延伸出的另一項電子安全交易要件。
讓我們以最簡單的方式解釋數位電子簽名:志明在網路上需要向申請電子證書的銀行證明自己的身分,志明只需利用私人鑰匙送出一項訊息送給發卡銀行,銀行再以數位證書上的公開鑰匙加以解密,如果銀行能成功解開這項訊息,就能證明網上交談的客戶就是志明本人。這種驗明客戶正身的動作及技術專家稱為「電子數位簽名」。
SET是使用訊息的加密方式,而非通道的加密方式,對消費者或商家都來得要有保障。因為SET會將一個購物的要求拆成兩個部份-訂單資訊(Order Information,OI)與付款資訊(Payment Information,PI),每個訊息都會再經過一個訊息摘要演算,分送給不同層級(消費者、商家、收單銀行、發卡銀行及CA〔電子證書管理中心〕)、,並使用對稱與非對稱式的加密方式,也採用一對公開與私人金鑰的認證方式,不同層級所能看到的資訊並不相同,也因此具有絕佳的交易安全性與穩私性。
目前網路安全管理機制最常見的方式就是「密碼」。由於密碼在網路交易上並無任何可供辨識之實體存在,且交易雙方均持有相同的密碼,若僅依靠密碼作為身份辨識之依據,其危險程度相當高。例如:駭客入侵網站取得密碼資料或猜中用戶的密碼(用戶常用自己的生日、身份證字號、電話號碼設定密碼),駭客即可代表客戶對網站進行交易。此外,缺乏事後不可否認交易的功能,亦是密碼機制無法廣泛運用於電子商務的主要原因之一。
為改善上述密碼之缺點,目前業界大多採用 RSA非對稱式亂碼技術確保網路交易安全。此一技術是目前業界及學界公認最安全已成熟之技術。在此機制中,每個用戶均擁有一把公開金鑰(public key)及一把私密金鑰(private key)。這兩把金鑰並不相同,但互相對應。其特性如下:
*經過私密金鑰加密過之資訊僅能由對應之分開金鑰正確解密。
*無法利用公開金鑰推算出私密金鑰。
基於此特性,我們可使用私密金鑰對資料進行數位簽章(digital signature)之工作。並使用公開金鑰對資料進行驗證簽章之動作。只要資料經過數位簽章後,任何對資料之竄改均可於驗證簽章時檢查出來;如此一來,數位簽章即能與傳統印鑑具備相同的功能。由於私密金鑰能代表使用者簽署電子文件;因此,使用者必須妥善保管私密金鑰,正如同保存印章一樣。在擁有可供運用的PKI應用技術後,即須依賴憑證機構簽發憑證,供網路交易使用,確保雙方權益。
參考文獻
[1]網路購物新保鑣,http://www.sunny.org.tw/fin/teach/teach36.htm
[2]電子交易安全,http://enews.tpc.edu.tw/document/center/%BCB%A4%AF%A6t%A4p%A9j%A1u%B9q%A4l%A5%E6%A9%F6%A6w%A5%FE%A1v.htm
[3]電子商務交易安全技術,http://bmeweb.niu.edu.tw/material/ec/%B9q%A4l%B0%D3%B0%C8%A5%E6%A9%F6%A6w%A5%FE%A7%DE%B3N.htm
留言列表
