電子商務協議SSL與SET的分析研究

◆蔡俊杰

電子商務協議SSL與SET的分析研究

◆蔡俊杰

（廣東肇慶廣播電視大學 廣東 526060）

在電子商務活動中，核心問題是電子交易安全。安全協議是目前電子支付技術安全問題中的熱點，安全套接層協議（SSL）和安全電子交易協議（SET）是電子商務中支持支付系統的關鍵技術。本文先分析了這兩種協議的原理、工作流程，然后對兩者的特點進行了對比，最后對安全協議的發展趨勢做出了預測。

電子商務；安全協議；SSL協議；SET協議

0 前言

電子商務被認為是當前新的經濟增長點，而來自計算機網絡和交易雙方的安全問題也日益顯現出來。因此，構建強有力的電子商務安全體系已刻不容緩。在電子商務安全體系中，開發設計及運用合理且有效的安全協議尤為重要。

目前常用的安全協議有安全套接層協議SSL（Secure Sockets Layer）和安全電子交易協議（Secure Electronic Transactions）。

1 安全套接層協議SSL

1.1 安全套接層協議SSL

SSL是由Netscape Communication公司設計開發的安全協議，主要用于提高應用應用程序之間數據的安全系數。SSL協議的概念可理解為:一個保證在任何裝了SSL的客戶機和服務器間通信安全的協議，它涉及所有的TCP/IP應用程序。

SSL協議處于互聯網多層協議的傳輸層，運行在TCP/IP之上而在甚高層協議（如Http、Ldap和JAMP等）之下，如圖1所示：

圖1 SSl協議所處的層次

運行時支持SSL協議的服務器可以同時支持SSL協議的客戶機彼此認證自己，允許這兩臺機器間建立安全的加密連接。

1.2 SSL安全協議提供三方面的服務

（1）用戶和服務器的合法性認證:它們能夠確信數據將發送正確的客戶機上。

（2）加密數據以隱藏被傳輸的數據:安全套接層協議所采取的加密技術既有對稱密鑰技術，也有公開密鑰技術。

（3）維護數據的完整性:確保數據在傳輸過程中不被改變。

1.3 SSL運行步驟包括六步

（1）接通階段:客戶通過網絡向服務商打招呼，服務商回應；

（2）密碼交換階段:客戶與服務商之間交換雙方認可的密碼，一般選用RSA密碼算法；

（3）會談密碼階段:客戶與服務商之間彼此交談的會話密碼；

（4）檢驗服務商取得的密碼:檢驗服務商取得的密碼；

（5）客戶論證階段:驗證客戶的可信度；

（6）結束階段:客戶與服務商之間相互交換結束的信息。

1.4 SSL分析

在電子商務交易過程中，由于有銀行參與，按照SSL協議，客戶的購買信息首先發往商家，商家再將信息發往銀行，銀行驗證客戶信息的合法性后，通知商家付款成功，商家再通知客戶購買成功，并將商品寄送客戶。其流程圖如圖2所示:

圖2 SSL安全協議流程圖

SSL安全協議也是國際上最早應用于電子商務的一種網絡安全協議，至今仍然有許多網上商店在使用。當然在使用時SSL協議根據郵購的原理進行了部分改進。在傳統的郵購活動中客戶首先找到商品信息，然后匯款給商家，商家再把商品寄給客戶。這里商家是可以信賴的，所以客戶必須先付款給商家。在電子商務的初始階段，商家也是擔心客戶購買后不付款，或使用過期作廢的信用卡，因而希望銀行給予論證。SSL安全協議正是在這種背景下應用于電子商務的。

2 安全電子交易協議

為了克服SSL安全協議的缺點，滿足電子交易持續不斷增加的安全要求，達到交易安全及合乎成本效益的市場要求，VISA和MasterCard這兩大國際信用卡組織在Microsoft、Netscape、IBM、SAIC和GTE等公司的支持下，共同制定了SET協議。SET在保留對客戶信用卡認證的前提下又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是至關重要的。由于設計合理，SET協議又得到了許多大公司的支持，成為事實上的工業標準。目前，它已獲得IETF標準認可。

2.1 SET的運行目標

SET協議要達到的目標主要有五個：

（1）保證信息在INTERNET上安全傳輸，防止數據被黑客或內部人員竊取。

（2）保證電子商務參與者的信息相互隔離。客戶的資料加密或打包后通過商家到達銀行，但是商家不能看到客戶的帳戶和密碼信息。

（3）解決多方認證問題，不僅要對消費者的信用卡認證，而且要對在線商店信譽度認證，同時還有消費者、在線商店與銀行間的認證。

（4）保證了網上交易的實時性,使所有的支付過程都是在線的。

（5）效仿EDI貿易的形式規范協議和消息格式，促使不同商家開發的軟件具胡兼容性和互相操作的功能，并且可以運行在不同的硬件和操作系統平臺上。

2.2 SET涉及的對象

SET協議規范所涉及的對象主要有：

（1）消費者，包括個人消費者和團體消費者，按照在線商店的要求填寫定貨單，通過由發卡銀行發行的付款卡（如信用卡、借記卡）進行結算。在消費者和商家的會話中SET可以保證消費者的個人賬號信息不被泄露。

（2）商家通過在線商店，提供商品或服務，具備相應電子貨幣使用的條件。接受卡支付的商家必須與信用卡收單銀行登記簽約，并取得數字證書。

（3）支付網關，在電子商務中如果要從開放的互聯網趕往金融機構內部網，需要一套安全的軟件把從互聯網上傳來的信息翻譯成銀行封閉系統能接受的信息形式，以使兩套互不兼容的信息模式在切換時的安全性得到保證。支付網關是由銀行操作的，將Internet上的傳輸數據轉換為金融機構內部數據的設備，或是由指派的第三方處理商家支付信息和客戶的支付指令。

（4）收單銀行，收單銀行建立一個特約商店的賬戶，對信用卡做認證處理與賬款的處理。特約商店通常會接受幾個不同發卡公司，但不會同時和多個不同的銀行卡協會或多個個體發卡銀行合作。收單銀行會協助特約商店做認證，核對信用卡賬戶是否有效，以及消費金額是否超出信用額度。

（5）發卡銀行，不屬于SET交易的直接組成部分，但卻是完成交易的直接參與方。是電子貨幣（如智能卡、電子現金、電子錢包）的發行公司，以及某些兼有電子貨幣發行銀行，負責處理智能卡的審核和支付工作。當收單銀行通過金融網絡要求付款授權時，發卡銀行需要回應付款申請，保證對每一筆認證交易的付款，交易完成后，再與收單銀行進行帳務結算與信息交換。

（6）認證中心CA，負責對交易對方的身份確認，產生分配和管理發卡人、商家和參與交易各方的數字證書，對商家的信譽度和消費者的支付手段進行認證。

2.3 SET的技術范圍

SET協議規范的技術范圍包括:

（1）加密算法的應用；

（2）證書信息和對象格式；

（3）購買信息和對象格式；

（4）認可信息和對象格式；

（5）規劃信息和對象格式；

（6）對話實體之間消息的傳輸協議。

3 SSL與SET的分析比較

同SSL相比，SET系統則給銀行、商家、持卡人帶來了更多的安全，使人們在網上交易時更加放心。但SET也存在一些問題，這些問題包括:

（1）協議沒有說明收單銀行給在線商家付款前，是否必須收到消費者的貨物接受證書。否則，在線商家提供的貨物不符合質量標準，消費者提出疑義，責任由誰承擔。

（2）協議沒有擔保“非拒絕行為”，這意味著在線商家沒有辦法證明訂購是由簽署數字證書的、講信用的消費者發出的。

（3）SET技術規范沒有提及在事務處理完成后。如何安全地保存或銷毀此類數據，是否應當將數據保存在消費者、在線商家或收單銀行的計算機里。這種漏洞可能使這些數據以后受到潛在的攻擊。

（4）SET要求在銀行網絡、商家服務器、顧客的PC機上安裝相應的軟件，同時，SET還要求必須向各方發放證書，這使其實現起來比較復雜，比SSL要昂貴得多。從而阻礙了SET的廣泛發展，現在使用該協議的電子支付系統并不多。它存在的缺點也促使人們設法改進它。中國商品交易中心、中國銀行、上海長途電信局都提出了自己的設計方案。目前中國銀行的網上銀行支付系統是基于SET協議開發的。

由以上分析可知，SET與SSL相比較具有以下優點:

（1）SET為商家提供了保護自己的手段，使商家免受欺詐的困擾，降低了商家的運營風險。

（2）對消費者而言，SET保證了商家的合法性，并且用戶信用卡號不會被竊取，SET替消費者保守了更多的秘密，而SSL則是基于商家對客戶信息保密的承諾。

（3）對銀行和發卡機構以及信用卡組織而言，因為SET可以幫助他們將業務擴展到Internet這個廣闊的空間，并且使得信用卡網上支付具有更低的受欺騙風險，比其它方式具有更大的競爭力。而SSL對商家的認證考慮不夠。

（4）SET對于參與交易的各方定義了互操作接口，一個系統可以由不同的廠商產品構成。這一點，決定了它比SSL有更多的擴展空間。

4 結束語

綜上所述，提供這些功能的前提是:SET要求在銀行服務器、商家服務器、消費者個人統籌終端上安裝相應的軟件，還要求必須向各方發放數字證書，這一切就使得SET在成本上比SSL昂貴得多。所以，結合當前我國的實際情況可以預見，安全認證在我國的發展趨勢將可能為以下兩個方面:

（1）SET與SSL共存，優勢互補。如美國較多采用的是“面向商家的SET協議”，即在銀行與商家之間采用SSL協議，但這對銀行的要求就更高了。

（2）隨著SET與SSL的融合程度上升，有可能出現一種新的安全認證體系，類似于目前的公鑰基礎結構（PKI）。從廣義上來說，所有提供公鑰加密和數字簽名服務的系統都可叫做PKI系統，因此他既支持SET，SSL，還支持其他一些協議，并且可為B to B及B to C兩種電子商務模式提供兼容性服務，其前景目前較為看好。

[1]李佳.網絡通信安全技術淺析[J].科技風，2014.

[2]劉彥戎.淺析電子商務安全協議[J].中小企業管理與科技，2012.

[3]電子商務系統.http://baike.baidu.com/link?url=MCqIGn 39ecs-K8nCy2M7PB_SkdaR8kNyLOcAs3L8Ns5dN-letvtTAIys L1Xwb9Hw9dZs31ku9fk-RaQ8EHEhGa.

[4]電子商務網上交易和管理，http://wenku.baidu.com/vie w/a47a9e96aa00b52acec7ca02.html?from=search.

[5]杜芳莉.電子商務時代傳統專業市場的機遇與挑戰[J].中國物流與采購，2014.

[6]孫毅.我國移動電子商務面臨的機遇與挑戰[J].電子商務，2014.