电子商务安全协议 SSL SET的探究

摘要: 本文通过介绍安全套接层SSL协议提供的服务、缺点；安全电子交易SET协议的组成、提供的服务、缺点；SSL与SET在四个方面的比较以及自己的一些建设性的意见，分析了电子商务安全协议SSL和SET，对于促进电子商务安全机制的研究和开发具有一定的现实意义。

电子商务融计算机技术、通信技术、网络技术于一体，以Internet为基础平台，互动性、开放性、广泛性为其显著特点。由于其开放性与广泛性，必然面临各种安全风险，如信息泄露或被篡改、欺骗、抵赖等。所以，安全问题已成为发展可信赖电子商务环境的瓶颈。目前，众多的安全技术都是通过安全协议来实施的。因此，简洁、有效的安全协议对电子商务安全而言至关重要。现今，国际上主要通行的两种安全协议：安全套接层协议SSL和安全电子交易协议SET，二者均是成熟和实用的安全协议，但是由于它们的设计目的不同，所以在应用上有很大的差别。

关键词：电子商务；SSL协议；SET协议

１. 安全套接层协议（SSL）

SSL协议是由网景公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。

它已成为事实上的工业标准，独立于应用层，可加载任何高层应用协议，适合为各类C/S模式产品提供安全传输服务。它提供一种加密的握手会话，使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证，采用DES、MD5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后，双方就可以用密钥进行安全会话。

１.1 SSL安全协议主要提供三方面的服务

(1)用户和服务器的合法性认证：认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，SSL要求在握手交换数据进行数字认证，以此来确保用户的合法性。

(2)加密数据以隐藏被传送的数据：SSL采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手情息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。

(3)护数据的完整性：SSL采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

１.2 SSL协议的缺点

(1)客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证。

(2)SSL只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。

２.安全电子交易SET协议

SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。

２.1 SET支付系统的组成

SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

２.2 SET安全协议主要提供三方面的服务

(1)保证客户交易信息的保密性和完整性：SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名，使得商家看不到支付信息，只能接收用户的订单信息；而金融机构看不到交易内容，只能接收到用户支付信息和帐户信息，从而充分保证了消费者帐户和定购信息的安全性。

(2)确保商家和客户交易行为的不可否认性：SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性，采用的核心技术包括X.509电子证书标准，数字签名，报文摘要，双重签名等技术。

(3)确保商家和客户的合法性：SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证，可以确保交易中的商家和客户都是合法的，可信赖的。

２.3 SET协议的缺点

(1)只能建立两点之间的安全连线，所以顾客只能把付款信息先发送到商家，再由商家转发到银行，而且只能保证连接通道是安全的而没有其他保证。

(2)不能保证商家会私自保留或盗用他的付款信息。

２.4 SSL与SET协议的比较

(1)在认证要求方面，早期的SSL并没有提供商家身份认证机制，不能实现多方认证；而SET的安全要求较高，所有参与SET交易的成员都必须申请数字证书进行身份识别。

(2)在安全性方面，SET协议规范了整个商务活动的流程，从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。

(3)在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。

(4)在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。

３.结束语

总的来讲，由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而其应用也相对较广泛。目前我国已有多家银行采用SSL协议，开展网上银行业务。SET协议比较复杂，它还要求在银行网络、商家服务器、客户端的PC上安装相应的软件，此外还要求必须向各方发放数字证书。这些都阻止了SET的广泛发展。但从安全性角度看，SSL协议不如SET协议安全，对于使用信用卡支付的系统来说，SET协议是最好的选择。

结合我国的具体情况，可以预见，电子商务安全措施在我国的发展趋势将是SET与SSL共存，优势互补。即在商家与银行之间采用SET协议，而与顾客连接时仍然使用SSL协议。这种方案既回避了在顾客端机器上安装软件。同时又可获得了SET提供的很多优点。

参考文献：

[1]陈兵主编:网络安全与电子商务[M]．北京：北京大学出版社，2002．1

[2]何长领主编:电子商务交易[M].北京:人民邮电出版社，2001

[3]张爱菊主编:电子商务安全技术[M]．北京：清华大学出版社，2006．12

[4]Netscape Company《THESSL PROTOCOL》北京:机械工业出版社，2002

[5]刘卫宁 宋伟《电子商务中在线支付的安全保障》北京:人民邮电出版社，2003