基于SSL&SET協議的在線支付模型的研究

馬琰

（無錫工藝職業技術學院，江蘇 宜興 214206）

1.前言

隨著Internet的迅速發展，電子商務已被越來越多的企業和消費者所接受。我國每年因電子商務安全問題所造成的經濟損失達上百億元。電子商務的安全問題已成為阻礙電子商務發展的一個主要因素。

電子支付是電子商務交易活動中的一個重要環節，為了實現安全的電子支付，國際上已經提出了多種安全協議，其中最有代表性的是SSL和SET協議。

2.SSL和SET協議

2.1 安全套接層協議SSL

安全套接層協議SSL(Secure Socket Layer)使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性，主要適用于點對點之間的信息傳輸。SSL協議實際上是一個終端對終端的加密了的通訊會話，它嵌套在傳送層與應用層之間。

在電子商務網站中，處理銀行卡支付之類的敏感數據時，必須在加密后通過安全的通道進行傳遞。SSL采用公開密鑰技術，確保銀行卡的信息安全。SSL在傳遞數據時必須完成以下任務：

(1)數據被加密；

(2)在源服務器和目標服務器之間建立一個安全連接；

(3)啟用服務器身份驗證。

SSL協議的執行過程如圖1所示。

圖1 SSL協議執行過程圖

2.2 安全電子交易協議SET

SET協議是是一種基于消息流的協議，用來保證公共網絡上銀行卡支付交易的安全，是Internet上進行在線交易的電子付款系統規范。在SET協議中使用了以下安全措施：

(1)加密技術。

(2)數字簽名技術。

(3)電子認證。

(4)電子信封。

SET協議的流程大致如圖2所示。

圖2 SET協議的流程圖

3.SSL和SET協議的優缺點

3.1 SSL協議優缺點

簡便易行是SSL協議的最大優點，同時其缺點也是顯而易見的。首先，在交易過程中，客戶的信息先到達商家那里，導致客戶資料安全性無法保證；其次，SSL只能保證資料傳遞過程的機密性，而是否有人截取資料無法保證；再次，由于SSL協議的數據安全性是建立在RSA等算法上，因此其系統安全性較差。除此之外，由于SSL協議不對應用層的消息進行數字簽名，因此不能提供交易的不可否認性，這就造成了SSL協議在電子銀行應用中的最大不足。

3.2 SET協議優缺點

采用SET標準實現的銀行卡支付方式在安全性、可靠性、不可抵賴性方面都是其它方式不可比擬的。每一步驟都通過數字證書驗證對方身份；使用雙重數字簽名，商家只能看到被允許看到的信息，而無法看到銀行卡信息。但在實際應用中，SET協議依然存在以下不足：

(1)協議沒有說明收單銀行給商家付款前，是否必須收到客戶的貨物接受證書。

(2)協議沒有擔保“非拒絕行為”，這意味著在線商店沒有辦法證明訂購是不是由簽署證書的客戶發出的。

(3)SET技術規范沒有提及在事務處理完成后如何安全地保存或銷毀此類數據。

(4)交易過程復雜，使用成本高。

4.SSL&SET混合協議模型的設計

4.1 模型設計

為發揮SSL和SET協議各自的優勢和彌補各自的缺點，可將SSL和SET協議充分融合，應用在一次網上交易過程中。在不降低安全性的前提下，盡可能帶來方便性、簡單性。為此，提出了以下設計方案：

在商家與顧客、商家與銀行連接過程中使用SSL協議，在顧客與發卡行連接過程中使用SET協議，支付時可使用銀行發行的銀行卡。在交易模型中使用混合協議以及CA簽發的數字證書，建立一個安全的交易模型。

基于SSL&SET混合協議的模型圖如3所示。

圖3 基于SSL&SET混合協議的模型圖

4.2 模型分析

該模型中的商業銀行作為支付站點，成為支付系統的主體，所有支付的交易活動都在商業銀行中進行；顧客的支付信息不經過商家，不存在顧客的信用卡資料泄露給商家的問題。數字證書的驗證避免了商家的網站惡意欺詐；在銀行和商家之間，系統的設置成本較低；在持卡人與商家之間信息的傳輸過程中，由SET協議的相關軟件來實現，并且使用CA簽發的數字證書使安全性得到充分的保證。在持卡人支付請求和商家支付結果查詢過程中，使用SSL傳輸協議，也使用CA簽發的數字證書，較好地保障了安全。整個模型之間構成了良好的安全性環境，顧客和商家的整個交易活動都由商業銀行執行，并且實施了相關的加密措施來保證信息在傳遞過程中的安全性，這樣既保證了顧客支付信息和交易信息的安全性，也保證了商家交易的順利進行。

5.總結與展望

電子商務的發展并不是簡單地將一個傳統企業的商品、服務搬上網站就結束了，很多新的問題需要解決，安全電子支付就是其中之一。本文對SSL和SET協議進行了分析、評價，在總結各自優缺點的前提下，考慮當前的實際應用情況，提出了將二者進行融合的思想，并對此給出了改進設計模型。

網絡支付是一個相當復雜的系統，涉及消費者、商家、支付網關、收單行、發卡行以及認證中心等多邊實體，有許多問題還需要繼續研究。

[1]宋文官.電子商務實驗[M].北京：清華大學出版社，2007.

[2]張寬海等.電子商務概論[M].北京：電子工業出版社，2003.

[3]Jonathart B.Knudsen.Java Cryptography[A].New York：ACM Press，2004.

[4]張寬海.金融與電子支付[M].北京：北京大學出版社，2008.

[5]張愛菊.電子商務安全技術[M].北京：清華大學出版社，2006.

[6]林松.電子支付安全體系結構的研究與實現[D].四川：四川大學，2005.

[7]盧佳妙.電子商務安全體系架構應用集成[D].福州：福州大學，2005.