淺析電子商務安全中的協議因素

[摘 要] 隨著電子商務的飛速發展，交易安全成為制約其發展的關鍵。本文從電子商務系統對安全性的需求出發，探討了電子商務支付協議應滿足的原子性條件以及保證原子性的協議設計原則。

[關鍵詞] 電子商務 協議 原子性

目前，電子商務的發展已經具備了一定的規模，其進一步的發展有賴于交易安全性的提高，因為安全性能的提高是電子商務實現安全交易的關鍵所在。影響電子商務交易安全的因素很多，如：基礎設施、社會、行政管理等環境方面的安全性，通信網絡的安全性，信息資源的安全性以及商務的安全等，在眾多的安全安全因素中，商務安全中的支付安全是重要的一個方面。隨著電子商務在全球范圍的廣泛應用，電子商務的糾紛也越來越多。在眾多的電子商務糾紛中，相當一部分是由于電子支付協議本身的缺陷引起的，因而電子支付協議成了電子商務發展的瓶頸。本文以下僅就支付協議的安全性要求進行討論。

一、電子商務支付協議的安全性要求

電子支付是指以商用電子化工具和各類電子貨幣為媒介，以計算機技術和通信技術為手段，來完成商品交易的物品與金錢的交換過程。信息技術是實現電子商務的基礎，電子商務實施的前提是信息的安全保障，因此，電子商務支付協議首先是一種安全協議，它需要滿足安全協議的安全屬性，還需要滿足電子支付所要求的特殊屬性。

1.機密性:支付過程的消息應該收到加密保護；

2.數據完整性:各交易主體間傳送的消息不能被丟失、破壞或者篡改；

3.身份認證:交易各方的能確定其它的交易參與方是真實的、合法的個人或者組織；

4.不可否認性:通信主體可以通過提供對方參與協議交換的證據來保證其合法利益不受侵害，即協議主體必須對自己的合法行為負責，不能也無法事后否認。

5.可追究性:電子商務交易發生糾紛時，可通過歷史信息獲取交易當時的情況，從而獲得解決交易糾紛的能力。

6.原子性:在任何情況下，交易完成正確額金額，交換正確的商品，或者當交易取消后就不存在金額與商品的交換。

以上安全屬性中的機密性、數據完整性、身份認證性都是普通安全協議必須滿足的，而不可否認性、可追究性和原子性則是電子商務協議所特有的。

二、支付協議中的原子性及擴展

J.D.Tygar提出電子支付協議中的三級原子性的目的是用來規范電子交易中的資金流、信息流和物流。

1.錢原子性。錢原子性是指電子商務交易發生前后資金守恒。資金在電子支付過程中既不會創生也不會消失，客戶的錢的減少等于商家錢的增加。滿足錢原子性是電子支付協議最基本的性質。是協議其它原子性的基礎，一個電子支付協議如果不滿足錢原子性，別的原子性就無從談起。在目前一些著名的電子商務協議中，除了Digcash協議不滿足錢原子性外，其它的都滿足錢原子性。

2.商品原子性。商品原子性協議首先滿足錢原子性，商品原子性是要保證付了款必須收到貨物，收到了貨物必須付了款，絕對不會發生付了款而收不到貨物，或收到了貨物而未付款。保證客戶收到商品當且僅當對應商家支付的商品。商品的原子性是以錢原子性為基礎。商品的原子性對信息商品尤其重要。凡是在互聯網上進行文件傳輸時有過中斷經歷的人都會明白，商品的原子性的重要性，因為信息商品也是以文件的形式進行傳輸的。

3.可確認發送原子性。滿足可確認發送原子性協議一定滿足錢原子性和商品原子性;其次，需要對客戶從商家購得的商品和商家付給客戶的商品分別進行確認，保證客戶得到他所訂購的商品(包括品質）。如果有爭議，擁有仲裁依據來證實到底何種商品被傳送。當商家或客戶不誠實時，可確認發送協議是很有幫助的。在當今浩如煙海的互聯網中，目前還沒有一種有效的方法來鑒別商家和龐大的用戶群的信用。考慮到J.D.Tygar的三種原子性沒有涵蓋電子合同的范疇，為了進一步規范電子合同的簽署，劉義春等人提出了合同原子性的概念。

4.合同原子性:合同簽署結束后，合同中的雙方要么都得到了有效簽署的合同，要么都未得到有效簽署的合同，不存在一方得到有效簽署的合同而另一方不能得到有效簽署的合同的情況發生。在現有的零售小額電子商務過程中，由于零售額度小、交易頻繁以及涉眾面廣，交易的過程通常沒有合同的簽署，取而代之的是交易雙方的簡單協定，這種協定也是可以作為糾紛的仲裁依據的，如淘寶網中的阿里旺旺聊天記錄。因此，為了從協議層面規范這種協定，我們提出協定原子性的概念。

5.協定原子性：協定成功后，要么雙方都能得到協議的最終結果，要么雙方都不能得到協議的最終結果。

三、原子性協議的設計原則

在復雜交易系統中，為確保協議的原子性，語義上將支付流程分為3個階段:支付階段:信息從買方流向賣方，賣方必須提供商品發送的擔保，而買方必須為交易的最后階段背書；商品發送階段:有條件的商品發送保證信息沿交易樹從賣方上溯至買方，每一級都有對應的TTP作為擔保者。商品發送階段結束時，子交易被局部提交，在頂級交易的所有子交易已局部提交后，客戶可決定最終提交整個交易，進入最終提交階段。最終提交階段：所有子交易被從根結點到葉結點最終提交，對每一個操作，相關TTP把支付保證或商品發送保證轉變為實際支付或商品發送。

電子支付協議設計是一個細致而困難的工作，協議必須滿足原子性是基本條件之一，且原子性在不同的應用場合有具體的要求，因此，設計并驗證一個具體應用的電子商務協議將是我們的下一步工作。

參考文獻:

[1]Tygar J D. Atomicity in Electronic Commerce.In:Proc.Of the 15th Annual ACM Symposium on Principles of Distributed-Computing，May 1996，8～26

[2]劉義春 張煥國 王麗娜:電子支付協議的原子性研究綜述.計算機科學，2005 Vol.32

[3]吳小強:安全電子商務協議設計目標和原則探析.中國信用卡，2006.10