电子商务安全协议SSL与SET的浅析与比较
|
电子商务安全协议SSL与SET的浅析与比较 摘要:随着计算机网络技术的广泛应用,基于Internet的电子商务已逐渐深入人们的生活,可是在网络带给我们的便利的同时也给我们带来了不少的安全隐患,对我们的网络活动构成严重威胁,因此网络安全越来越为人们所重视。为保证电子商务交易的安全性,人们开发了多种可加强电子商务安全的协议。当前应用比较广泛的电子商务安全协议主要有安全套接层协议SSL和安全电子交易协议SET。文中对这两种主流协议进行了分析和比较。 关键词:电子商务 安全协议 SSL协议 SET协议 一、引言 随着互联网的不断普及,基于Internet的电子商务得到了长足的发展,并且逐渐成为人们进行商务活动的一种新模式。它不但为全球客户提供了丰富的商务信息而且还提供便捷的交易过程和廉价的交易成本。但是,在开放的网络上进行交易如何保证传输数据的安全性已成为电子商务发展中迫切需要解决的问题。 为保证安全、有序、快捷地完成网络交易,需要安全协议来规范交易各方的行为与各种技术的运用。迄今为止,人们开发了各种用于加强电子商务安全的协议。这些协议主要有:安全套接层协议SSL.安全电子交易协议SET,超文本传输协议SHTTP、3-D secure协议和安全电子邮件协议(PEMS/MIME)等。其中应用比较广泛的两种电子商务安全协议分别为:安全套接层协议SSL和安全电子交易协议SET。 二、电子商务安全协议 (一)安全套接层协议SSL 安全套接层协议(Secure Socket Layer支付系统安全,简称SSL)最初是由美国网景公司(Netscape)推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL采用了公开密钥和私有密钥两种加密方法,是对计算机之间整个会话进行加密的协议。目前,几乎所有操作平台上的WEB浏览器(IE、Netscatp)以及流行的Web服务器(IIS、Netscape Enterprise Server等)都支持SSL协议,现在它已成为事实上的工业标准。SSL协议解决了目前TCP/IP协议难以满足的网络安全通信的要求,它运行在TCP/IP协议之上而在其他高层的应用层协议(如HTTP、FTP、SMTP、LDAP和IMAP等)之下。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。SSL协议的好处之一在于它是个独立的应用协议,其他高层的协议能透明的位于SSL协议之上。 SSL可分为两层:一是握手层,二是记录层。SSL握手协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等功能;SSL记录协议则定义了数据传送的格式,上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样,应用层通过SSL协议把数据传给传输层时,已是被加密后的数据,此时TCP/IP协议只需负责将其可靠地传送到目的地,弥补了 TCP/IP协议安全性较差的弱点。 1.SSL安全协议主要提供三方面的服务 (1)用户和服务器的合法性认证:认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号,这些识别号由公开密钥进行编号,为了验证用户是否合法,SSL要求在握手交换数据时进行数字认证。 (2)加密数据以隐藏被传送的数据:SSL采用的加密技术既有对称密钥技术,也有公开 密钥技术。在客户机与服务器进行数据交换之前先交换SSL初始握手协议,在SSL握手协议中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。 (3)护数据的完整性:SSL采用Hash函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。 2.SSL协议的缺点 (1)客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。 (2)SSL只能保证资料信息传递的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。 (二)安全电子交易SET协议 安全电子交易协议(Secure Electronic Transaction,简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET本身并不是一个支付系统,而是一个安全协议集,SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易, SET较好地解决了信用卡在电子商务交易中的安全问题。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。SET已获得IETF(The Internet Engineering Task Force,简称IETF)标准的认可。 1.SET支付系统的组成 SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。 2.SET安全协议主要提供三方面的服务 (1)保证客户交易信息的保密性和完整性:SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。 (2)确保商家和客户交易行为的不可否认性:SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性,采用的核心技术包括X.509电子证书标准,数字签名,报文摘要,双重签名等技术。 (3)确保商家和客户的合法性:SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。 3.SET协议的缺点 (1)只能建立两点之间的安全连线,所以顾客只能把付款信息先发送到商家,再由商家转发到银行,而且只能保证连接通道是安全的而没有其他保证。 (2)不能保证商家会私自保留或盗用他的付款信息。 三、SSL与SET协议的比较 SSL和SET是当前在电子商务中应用最为广泛的安全协议.两者的差别主要体现在以下几个方面。 1.在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但仍不能实现多方认证;相比之下,SET的安全要求较高,所有参与SET交易的成员(持卡人、商家、发卡行、收单行 和支付网关)都必须申请数字证书进行身份识别, 较好的解决了客户与银行.客户与商家、商家与银行之间的多方认证问题。 2.在安全性方面,SET协议由于采用了非对称加密、消息摘要和数字签名可以 确保信息的机密性、认证性、完整性和不可否认性,特别是SET协议采用了双重签名技术来保证各参与方信息的相互隔离,使商家只能看到持卡人的订单信息.而银行只能取得持卡人的信用卡信息。另外SET协议规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL协议虽也采用了公钥加密和信息摘要等技术.也可以提供机密性、完整性和一定程度的身份验证功能.但缺乏一套完整的认证体系.不能提供电子商务交易活动中非常重要的不可否认性证明。另外SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。 3.在网络层协议位置方面,SSL是基于传输层的通用安全协议,应用层和传输层之间,高层的应用层协议(例如:HTTP.FTP.丁ELNET等)能透明地建立于SSL协议之上。而SET位于应用层,对网络上其他各层也有涉及。 4.在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET。但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。 5.运行效率方面,SET协议非常复杂,庞大.运行速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名.4次对称加密和4次非对称加密,整个交易过程非常耗时;而SSL协议则简单很多.运行效率也比SET协议高。 6.部署成本SSL协议已被大部分的浏览器和WEB服务器内置.无须安装专门软件;而SET协议中客户端要安装专门的电子钱包软件.在商家服务器和银行网络上也需安装相应的软件,部署成本高。 四、总结 SSL和SET协议是当前应用最为广泛的电子商务安全协议。由于SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前取得了广泛的应用。但随着电子商务规模的扩大,网络欺诈的风险性也在提高,在未来的电子商务中SET协议将会逐步占据主导地位。 参考文献: [1]刘东华等。网络与通信安全技术[M]。北京:人民邮电出版社,2002. [2]邵晓薇,王维民。电子商务网上交易系统[M]。北京:人民邮电出版社,2000. [3]周伟,牟援潮等。电子商务——理论与实践。[M]。北京:化学工业出版社,2007。 [4]戴小波。基于SET协议的安全电子商务研究[J]。微计算机信息,2006(21) [5]陆垂伟。电子商务中安全支付协议的研究[J]。商场现代化,2006(06) (编辑:南平站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
