淺析電子商務安全協議ＳＳＬ與ＳＥＴ

[摘要] 本文通過介紹安全套接層SSL協議提供的服務、缺點；安全電子交易SET協議的組成、提供的服務、缺點；SSL與SET在四個方面的比較以及自己的一些建設性的意見，分析了電子商務安全協議SSL和SET，對于促進電子商務安全機制的研究和開發具有一定的現實意義。

[關鍵詞] 電子商務 SSL協議 SET協議

一、引言

電子商務作為計算機應用技術與現代經濟貿易活動結合的產物，已經成為人類跨入知識經濟新紀元的重要標志之一。但美國的一個調查機構顯示超過60%的人由于擔心電子商務的安全問題而不愿進行網上購物。安全是電子商務發展的核心問題。

保證電子商務安全，其核心在于安全協議。迄今為止，國內外已經出現了多種電子支付協議，目前有兩種安全在線支付協議被廣泛采用，即安全套接層SSL協議和安全電子交易SET協議，二者均是成熟和實用的安全協議。

二、安全套接層協議（SSL）

SSL協議是由網景公司推出的一種安全通信協議，它能夠對信用卡和個人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。

它已成為事實上的工業標準，獨立于應用層，可加載任何高層應用協議，適合為各類C/S模式產品提供安全傳輸服務。它提供一種加密的握手會話，使客戶端和服務器端實現身份驗證、協商加密算法和壓縮算法、交換密鑰信息。這種握手會話通過數字簽名和數字證書來實現客戶和服務器雙方的身份驗證，采用DES、MD5等加密技術實現數據的保密性和完整性。在用數字證書對雙方的身份驗證后，雙方就可以用密鑰進行安全會話。

1.SSL安全協議主要提供三方面的服務

(1)用戶和服務器的合法性認證：認證用戶和服務器的合法性，使得它們能夠確信數據將被發送到正確的客戶機和服務器上。客戶機和服務器都是有各自的識別號，這些識別號由公開密鑰進行編號，為了驗證用戶是否合法，SSL要求在握手交換數據進行數字認證，以此來確保用戶的合法性。

(2)加密數據以隱藏被傳送的數據：SSL采用的加密技術既有對稱密鑰技術，也有公開密鑰技術。在客戶機與服務器進行數據交換之前，交換SSL初始握手信息，在SSL握手情息中采用了各種加密技術對其加密，以保證其機密性和數據的完整性，并且用數字證書進行鑒別。這樣就可以防止非法用戶進行破譯。

(3)護數據的完整性：SSL采用Hash函數和機密共享的方法來提供信息的完整性服務，建立客戶機與服務器之間的安全通道，使所有經過安全套接層協議處理的業務在傳輸過程中能全部完整準確無誤地到達目的地。

2.SSL協議的缺點

(1)客戶的信息先到商家，讓商家閱讀，這樣，客戶資料的安全性就得不到保證。

(2)SSL只能保證資料信息傳遞的安全，而傳遞過程是否有人截取就無法保證了。所以，SSL并沒有實現電子支付所要求的保密性、完整性，而且多方互相認證也是很困難的。

三、安全電子交易SET協議

SET協議是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密鑰加密、電子數字簽名、電子信封、電子安全證書等。

1.SET支付系統的組成

SET支付系統主要由持卡人、商家、發卡行、收單行、支付網關、認證中心等六個部分組成。對應地，基于SET協議的網上購物系統至少包括電子錢包軟件、商家軟件、支付網關軟件和簽發證書軟件。

2.SET安全協議主要提供三方面的服務

(1)保證客戶交易信息的保密性和完整性：SET協議采用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收用戶的訂單信息；而金融機構看不到交易內容，只能接收到用戶支付信息和帳戶信息，從而充分保證了消費者帳戶和定購信息的安全性。

(2)確保商家和客戶交易行為的不可否認性：SET協議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性，采用的核心技術包括X.509電子證書標準，數字簽名，報文摘要，雙重簽名等技術。

(3)確保商家和客戶的合法性：SET協議使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證，可以確保交易中的商家和客戶都是合法的，可信賴的。

3.SET協議的缺點

(1)只能建立兩點之間的安全連線，所以顧客只能把付款信息先發送到商家，再由商家轉發到銀行，而且只能保證連接通道是安全的而沒有其他保證。

(2)不能保證商家會私自保留或盜用他的付款信息。

4.SSL與SET協議的比較

(1)在認證要求方面，早期的SSL并沒有提供商家身份認證機制，不能實現多方認證；而SET的安全要求較高，所有參與SET交易的成員都必須申請數字證書進行身份識別。

(2)在安全性方面，SET協議規范了整個商務活動的流程，從而最大限度地保證了商務性、服務性、協調性和集成性。而SSL只對持卡人與商店端的信息交換進行加密保護，可以看作是用于傳輸的那部分的技術規范。從電子商務特性來看，它并不具備商務性、服務性、協調性和集成性。因此SET的安全性比SSL高。

(3)在網絡層協議位置方面，SSL是基于傳輸層的通用安全協議，而SET位于應用層，對網絡上其他各層也有涉及。

(4)在應用領域方面，SSL主要是和Web應用一起工作，而SET是為信用卡交易提供安全，但如果電子商務應用是一個涉及多方交易的過程，則使用SET更安全、更通用些。

四、結束語

由于兩協議所處的網絡層次不同，為電子商務提供的服務也不相同，因此在實踐中應根據具體情況來選擇獨立使用或兩者混合使用。

參考文獻：

[1]陳兵主編:網絡安全與電子商務[M]．北京：北京大學出版社，2002．1

[2]何長領主編:電子商務交易[M].北京:人民郵電出版社，2001

[3]張愛菊主編:電子商務安全技術[M]．北京：清華大學出版社，2006．12