网站原创[摘 要]由于因特网的开放性,在电子商务的发展中,网上交易安全问题成为制约电子商务发展的瓶颈.目前国际上通用的电子商务安全支付协议主要有两个,即SSL协议和SET协议.本文对两种电子支付安全协议进行了详细的介绍,对协议的特点、功能、安全性进行了对比,阐述了两种协议保障电子商务交易安全的过程.
[关 键 词]电子商务安全安全套接层协议安全电子交易协议
在电子商务过程中,写卖双方是通过网络来联系的,因而建立交易双方的安全和信任关系是相当困难的.这样使得电子商务交易双方都面临不同的安全威胁.而电子商务的主要特征是在线支持,为了加强电子商务交易的安全性,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境.目前有两种安全支付协议被采用,即安全套接层SSL协议和安全电子交易SET协议.
一、安全套接层协议
安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议.SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web怎么写作器之间的安全通信,在Inter上广泛应用于处理与金融有关的敏感信息.
SSL协议是一种保护Web通信的工业标准,能够对信用卡和、电子商务提供较强的加密保护.
1.SSL协议提供安全连接的基本特点
(1)连接是保密的:对于每个连接都有一个惟一的会话密钥,采用对称体制(如DES、R等)来加密数据;
(2)连接是可靠的:消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;
(3)对端实体的鉴别采用非对称体制(如RSA、DSS等)进行认证.
2.SSL协议提供的怎么写作
(1)数据和怎么写作器的合法认证.使得用户和怎么写作器能够确信数据将被发送到正确的客户机和怎么写作器上.客户机和怎么写作器都有各自的识别号,由公开密钥编排.为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性.
(2)加密数据以便隐藏被传送的数据.SSL协议采用的加密技术既有对称密钥也有公开密钥.具体来说,就是客户机与怎么写作器交换数据之前,先交换SSL初始握手信息.在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译.
(3)维护数据的完整性.SSL协议采用Hash函数和机密共享的方法,提供完整信息性的怎么写作,来建立客户机与怎么写作器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地.
3.SSL协议的构成
SSL协议分为两层:SSL握手协议和SSL记录协议.
(1)SSL握手协议.SSL握手协议用于在通信双方建立安全传输通道,是在客户机与怎么写作器之间交换信息强化安全性的协议.具体实现以下功能:
①在客户端验证怎么写作器,SSL协议采用公钥方式进行身份认证,
②在怎么写作器端验证客户(可选的);
③客户端和怎么写作器之间协商双方都支持的加密算法和压缩算法.
④产生对称加密算法的会话密钥;
⑤建立加密SSL连接.
SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息.
(2)SSL记录协议.SSL记录协议提供通信、认证功能,从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去.在SSL协议中所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式.每个SSL记录包含内容类型、协议版本号、记录长度、数据有效载荷、MAC等信息.
二、安全电子交易协议
安全电子交易协议SET(SecureElectronicTransaction),是1996年由Visa(维萨)与MasterCard(万事达)两大国际信用卡公司联合制订的安全电子交易规范.它提供了消费者、商家和银行之间的认证,确保网上交易的保密性、数据完整性、交易的不可否认性和交易的身份认证,保证在开放网络环境下使用信用卡进行在线购物的安全.
目前,SET协议由SETCo负责推广、发展和认证.SETCo是由Visa和MasterCard这两个公司为首组成的SET厂商集团,把SET标识授予成功通过SET兼容性试验的软件厂商.
1.SET协议中采用的数据加密过程的特点
(1)交易参与者的身份鉴别采用数字证书的方式来完成,数字证书的格式一般采用X.509国际标准;
(2)交易的不可否认性用数字签名的方式来实现.由于数字签名是由发送方的私钥产生,而发送方的私钥只有他本人知道,所以发送方便不能对其发送过的交易数据进行抵赖;
(3)用报文摘 要算法来保证数据的完整性;
(4)由于非对称加密算法的运算速度慢,所以要和对称加密算法联合使用,用对称加密算法来加密数据,用数字信封来交换对称密钥.
2.SET协议的数据交换过程
SET协议的购物系统由持卡人、商家、支付网关、收单行和发卡行五个部分组成,这五大部分之间的数据交换过程如下:(1)持卡人决定购写,向商家发出购写请求;
(2)商家返回商家证书等信息;
(3)持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);
(4)商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;
(5)支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;
(6)商家返回信息给持卡人,按照订单信息送货;
(7)商家定期向支付网关发送要求支付信息,支付网关通知发卡行划账,并把结果返回商家,交易结束.
三、SSL协议和SET协议的对比
SSL协议和SET协议的差别主要表现在以下几个方面:
1.用户接口
SSL协议已被浏览器和WEB怎么写作器内置,无需安装专门软件;而SET协议中客户端需安装专门的电子钱包软件,在商家怎么写作器和银行网络上也需安装相应的软件.
2.处理速度
SET协议非常复杂、庞大,处理速度慢.一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5至2分钟;而SSL协议则简单得多,处理速度比SET协议快.
3.认证要求
早期的SSL协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和Web怎么写作器之间的身份验证,但仍不能实现多方认证,而且SSL中只有商家怎么写作器的认证是必须的,客户端认证则是可选的.相比之下,SET协议的认证要求较高,所有参与SET交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题.
4.安全性
安全性是网上交易中最关键的问题.SET协议由于采用了公钥加密、信息摘 要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且SET协议采用了双重签名来保证参与交易活动的各方信息的相互隔离,使商家只能看到持卡人的数据,而银行只能取得持卡人的信用卡信息.SSL协议虽也采用了公钥加密、信息摘 要和MAC检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能.因此,SET的安全性远比SSL高.
5.协议层次和功能
SSL属于传输层的安全技术规范,它不具备电子商务的商务性、协调性和集成性功能.而SET协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成性功能.
四、总结
由于SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前在电子商务中取得了广泛的应用.但随着电子商务规模的扩大,网络欺诈的风险性也在提高,需要对参与交易的多方进行认证,在未来的电子商务中SET协议将会逐步占据主导地位.