論電子商務(wù)安全交易協(xié)議

[摘 要] 由于因特網(wǎng)的開放性，在電子商務(wù)的發(fā)展中，網(wǎng)上交易安全問題成為制約電子商務(wù)發(fā)展的瓶頸。目前國際上通用的電子商務(wù)安全支付協(xié)議主要有兩個，即SSL協(xié)議和SET協(xié)議。本文對兩種電子支付安全協(xié)議進行了詳細的介紹，對協(xié)議的特點、功能、安全性進行了對比，闡述了兩種協(xié)議保障電子商務(wù)交易安全的過程。

[關(guān)鍵詞] 電子商務(wù)安全 安全套接層協(xié)議 安全電子交易協(xié)議

在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系的，因而建立交易雙方的安全和信任關(guān)系是相當(dāng)困難的。這樣使得電子商務(wù)交易雙方都面臨不同的安全威脅。而電子商務(wù)的主要特征是在線支持，為了加強電子商務(wù)交易的安全性，需要采用數(shù)據(jù)加密和身份認證技術(shù)，以便營造一種可信賴的電子交易環(huán)境。目前有兩種安全支付協(xié)議被采用，即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。

一、安全套接層協(xié)議

安全套接層協(xié)議SSL(Secure Sockets Layer)是Netscape公司1995年推出的一種安全通信協(xié)議。SSL提供了兩臺計算機之間的安全連接，對計算機整個會話進行了加密，從而保證了信息傳輸?shù)陌踩瑢崿F(xiàn)瀏覽器與Web服務(wù)器之間的安全通信，在Internet上廣泛應(yīng)用于處理與金融有關(guān)的敏感信息。

SSL協(xié)議是一種保護Web通信的工業(yè)標(biāo)準(zhǔn)，能夠?qū)π庞每ê蛡€人信息、電子商務(wù)提供較強的加密保護。

1.SSL協(xié)議提供安全連接的基本特點

（1）連接是保密的：對于每個連接都有一個惟一的會話密鑰，采用對稱密碼體制（如DES、RC4等）來加密數(shù)據(jù)；

（2)連接是可靠的：消息的傳輸采用MAC算法（如MD5、SHA等）進行完整性檢驗；

（3)對端實體的鑒別采用非對稱密碼體制（如RSA、DSS等）進行認證。

2.SSL協(xié)議提供的服務(wù)

（1)數(shù)據(jù)和服務(wù)器的合法認證。使得用戶和服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上。客戶機和服務(wù)器都有各自的識別號，由公開密鑰編排。為了驗證用戶，SSL協(xié)議要求在握手交換數(shù)據(jù)中做數(shù)字認證，以此來確保用戶的合法性。

（2)加密數(shù)據(jù)以便隱藏被傳送的數(shù)據(jù)。SSL協(xié)議采用的加密技術(shù)既有對稱密鑰也有公開密鑰。具體來說，就是客戶機與服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù)，以保證數(shù)據(jù)的機密性，防止非法用戶破譯。

（3)維護數(shù)據(jù)的完整性。SSL協(xié)議采用Hash函數(shù)和機密共享的方法，提供完整信息性的服務(wù)，來建立客戶機與服務(wù)器之間的安全通道，使經(jīng)過處理的業(yè)務(wù)在傳輸過程中能夠完整、準(zhǔn)確地到達目的地。

3.SSL協(xié)議的構(gòu)成

SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議。

（1)SSL握手協(xié)議。SSL握手協(xié)議用于在通信雙方建立安全傳輸通道，是在客戶機與服務(wù)器之間交換信息強化安全性的協(xié)議。具體實現(xiàn)以下功能:

①在客戶端驗證服務(wù)器，SSL協(xié)議采用公鑰方式進行身份認證;

②在服務(wù)器端驗證客戶（可選的）；

③客戶端和服務(wù)器之間協(xié)商雙方都支持的加密算法和壓縮算法。

④產(chǎn)生對稱加密算法的會話密鑰；

⑤建立加密SSL連接。

SSL握手協(xié)議最終使雙方建立起合適的會話狀態(tài)信息要素，包括對話標(biāo)識、對等證書、壓縮方法、加密說明、會話密鑰等信息。

（2)SSL記錄協(xié)議。SSL記錄協(xié)議提供通信、認證功能，從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮和加密處理，最后由傳輸層發(fā)送出去。在SSL協(xié)議中所有的傳輸數(shù)據(jù)都被封裝在記錄中，SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)的格式。每個SSL記錄包含內(nèi)容類型、協(xié)議版本號、記錄長度、數(shù)據(jù)有效載荷、MAC等信息。

二、安全電子交易協(xié)議

安全電子交易協(xié)議SET（Secure Electronic Transaction），是1996年由Visa (維薩)與 MasterCard (萬事達)兩大國際信用卡公司聯(lián)合制訂的安全電子交易規(guī)范。它提供了消費者、商家和銀行之間的認證，確保網(wǎng)上交易的保密性、數(shù)據(jù)完整性、交易的不可否認性和交易的身份認證，保證在開放網(wǎng)絡(luò)環(huán)境下使用信用卡進行在線購物的安全。

目前，SET協(xié)議由SETCo負責(zé)推廣、發(fā)展和認證。SETCo是由Visa和MasterCard這兩個公司為首組成的SET廠商集團，把SET標(biāo)識授予成功通過SET兼容性試驗的軟件廠商。

1.SET協(xié)議中采用的數(shù)據(jù)加密過程的特點

（1)交易參與者的身份鑒別采用數(shù)字證書的方式來完成，數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)；

（2)交易的不可否認性用數(shù)字簽名的方式來實現(xiàn)。由于數(shù)字簽名是由發(fā)送方的私鑰產(chǎn)生，而發(fā)送方的私鑰只有他本人知道，所以發(fā)送方便不能對其發(fā)送過的交易數(shù)據(jù)進行抵賴；

（3)用報文摘要算法來保證數(shù)據(jù)的完整性；

（4)由于非對稱加密算法的運算速度慢，所以要和對稱加密算法聯(lián)合使用，用對稱加密算法來加密數(shù)據(jù)，用數(shù)字信封來交換對稱密鑰。

2.SET協(xié)議的數(shù)據(jù)交換過程

SET協(xié)議的購物系統(tǒng)由持卡人、商家、支付網(wǎng)關(guān)、收單行和發(fā)卡行五個部分組成，這五大部分之間的數(shù)據(jù)交換過程如下：（1)持卡人決定購買，向商家發(fā)出購買請求；

（2)商家返回商家證書等信息；

（3)持卡人驗證商家身份，將定購信息和支付信息安全傳送給商家，但支付信息對商家來說是不可見的（用銀行公鑰加密）；

（4)商家驗證支付網(wǎng)關(guān)身份，把支付信息傳給支付網(wǎng)關(guān)，要求驗證持卡人的支付信息是否有效；

（5)支付網(wǎng)關(guān)驗證商家身份，通過傳統(tǒng)的銀行網(wǎng)絡(luò)到發(fā)卡行驗證持卡人的支付信息是否有效，并把結(jié)果返回商家；

（6)商家返回信息給持卡人，按照訂單信息送貨；

（7)商家定期向支付網(wǎng)關(guān)發(fā)送要求支付信息，支付網(wǎng)關(guān)通知發(fā)卡行劃賬，并把結(jié)果返回商家，交易結(jié)束。

三、SSL協(xié)議和SET協(xié)議的對比

SSL協(xié)議和SET協(xié)議的差別主要表現(xiàn)在以下幾個方面：

1.用戶接口

SSL協(xié)議已被瀏覽器和WEB服務(wù)器內(nèi)置，無需安裝專門軟件；而SET協(xié)議中客戶端需安裝專門的電子錢包軟件，在商家服務(wù)器和銀行網(wǎng)絡(luò)上也需安裝相應(yīng)的軟件。

2.處理速度

SET協(xié)議非常復(fù)雜、龐大，處理速度慢。一個典型的SET交易過程需驗證電子證書9次、驗證數(shù)字簽名6次、傳遞證書7次、進行5次簽名、4次對稱加密和4次非對稱加密，整個交易過程可能需花費1.5至2分鐘；而SSL協(xié)議則簡單得多，處理速度比SET協(xié)議快。

3.認證要求

早期的SSL協(xié)議并沒有提供身份認證機制，雖然在SSL3.0中可以通過數(shù)字簽名和數(shù)字證書實現(xiàn)瀏覽器和Web服務(wù)器之間的身份驗證，但仍不能實現(xiàn)多方認證，而且SSL中只有商家服務(wù)器的認證是必須的，客戶端認證則是可選的。相比之下，SET協(xié)議的認證要求較高，所有參與SET交易的成員都必須申請數(shù)字證書，并且解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。

4.安全性

安全性是網(wǎng)上交易中最關(guān)鍵的問題。SET協(xié)議由于采用了公鑰加密、信息摘要和數(shù)字簽名可以確保信息的保密性、可鑒別性、完整性和不可否認性，且SET協(xié)議采用了雙重簽名來保證參與交易活動的各方信息的相互隔離，使商家只能看到持卡人的訂購數(shù)據(jù)，而銀行只能取得持卡人的信用卡信息。SSL協(xié)議雖也采用了公鑰加密、信息摘要和MAC檢測，可以提供保密性、完整性和一定程度的身份鑒別功能，但缺乏一套完整的認證體系，不能提供完備的防抵賴功能。因此，SET的安全性遠比SSL高。

5.協(xié)議層次和功能

SSL屬于傳輸層的安全技術(shù)規(guī)范，它不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能。而SET協(xié)議位于應(yīng)用層，它不僅規(guī)范了整個商務(wù)活動的流程，而且制定了嚴格的加密和認證標(biāo)準(zhǔn)，具備商務(wù)性、協(xié)調(diào)性和集成性功能。

四、總結(jié)

由于SSL協(xié)議的成本低、速度快、使用簡單，對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)不需進行大的修改，因而目前在電子商務(wù)中取得了廣泛的應(yīng)用。但隨著電子商務(wù)規(guī)模的擴大，網(wǎng)絡(luò)欺詐的風(fēng)險性也在提高，需要對參與交易的多方進行認證，在未來的電子商務(wù)中SET協(xié)議將會逐步占據(jù)主導(dǎo)地位。

參考文獻:

[1]丁韶年:中國電子商務(wù)信用體系建設(shè)的政策建議[J]. 電子商務(wù)世界，2004（4）

[2]韋蘇婕 王素仙:試論我國電子商務(wù)中的信息安全問題[J].大眾科技，2004(9)

[3]徐升華 章 全:電子商務(wù)的安全技術(shù)[J].計算機與現(xiàn)代化，2004 (06)

[4]王廣慧 劉偉江:論電子商務(wù)中的信任問題[J].現(xiàn)代情報，2005（9）