浅析SSL协议和SET协议在电子商务安全交易中的应用

摘要：随着经济的发展和电子信息技术的广泛应用与迅速普及，电子商务以其快捷、便利、通用等优点愈来愈受到社会的认可和信赖，电子支付作为电子商务的核心技术也在商业交易中得到了广泛的应用，但是电子交易方式由于其对客户的分布式和开放性的特点，存在体系性的安全问题。本文就SSL协议和SET协议这两种网络安全技术在电子商务安全交易中的影响做一个详细的阐述。

关键词：电子商务 SSL协议 SET协议

1引言

随着计算机网络技术向整个经济社会各层次延伸，网络安全已成为现代计算机网络应用的最大障碍，也是继续解决的难题之一。能否在网上实现安全的电子支付是电子商务交易的一个重要环节。从目前来看，虽然电子支付安全问题还没有形成公认的成熟的解决方法，但是自从SSL安全协议和SET安全协议问世后，困扰人们心中的这一问题得到了缓解，现在SSL安全协议和SET安全协议已经被广泛地应用在电子商务活动中的安全支付环节。

2 SSL安全协议

2.l SSL安全协议概念

SSL安全协议又叫安全套接层(Secure Sockets Layer)协议，是由网景(Netscape)公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。它是根据邮件通路的原理设计的。它是基于TCP／IP协议之上的应用程序，主要用于提高应用程序之间数据的安全系数。

2.2 SSL安全协议主要服务

（1)用户和服务器的合法性认证。认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。

（2)加密数据以隐藏被传送的数据。SSL所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。

（3)保护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

2.3 SSL安全协议的使用步骤

SSL安全协议的使用步骤包括：

（1）建立连接阶段。客户通过网络向服务商打招呼，服务商回应。

（2）密码交换阶段。客户与服务商之间交换双方认可的密码。

（3）会谈密码阶段。客户与服务商之间产生彼此交谈的会谈密码。

（4）检验阶段。检验服务商取得的密码。

（5）客户认证阶段。检验客户的可信度。

（6）结束阶段。客户与服务商之间相互交换结束的信息。

当上述动作完成之后，两者间的资料传送就会加以密码，等到另外一端收到资料后，再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。在电子商务交易过程中，由于有银行参与，按照SSL协议，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户。

2.4 对SSL安全协议的评价

SSL安全协议虽说是国际上最早应用于电子商务的一种网络安全协议，但是目前仍受一些网上商家的青睐。主要原因是它解决了传统交易方式中的“信任危机”问题。我们知道SSL协议根据邮购的原理进行了流程改造，因而希望银行能为它们的交易信用给予认证，以避免商家发货后客户不付款或者客户付款后商家不发货的情况发生，正当更多的人对电子商务活动感到缺乏安全性时，SSL安全协议的出现多少取消了人们这方面的顾虑。

但是，SSL协议也存在一些缺点：在SSL协议中，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。SSL协议的安全性基于商家对客户信息保密的承诺，因此说客户信息的安全性系于商户的承诺基础之上．所以说SSL协议是一个有利于商家而不利于顾客的协议。

3 SET安全协议

为了促进电子商务的发展，彻底解决在线交易中商家和客户信息的安全传输问题，同时为了改进SSL安全协议不利于客户的缺陷，全球著名的信用卡集团Visa Card和Master Card联袂开发了SET电子商务交易安全协议。这是一个为了在因特网上进行在线交易而设立的开放的安全电子支付体系。SET克服了SSL安全协议有利于商家而不利于顾客的缺点，它在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。

3.1 SET安全电子交易协议的概念

安全电子交易协议(Secure Electronic Transaction)是由Visa Card和Master Card于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商家及持卡人的合法身份以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。SET协议主要是为了在因特网上进行在线交易时，保证使用信用卡进行支付的安全而设立的一个开放的协议，是面向网上交易、针对利用信用卡进行支付而设计的电子支付规范，由于SET协议得到了HP、IBM，Microsot等公司的支持，因此，迅速在全世界得到广泛应用。

3.2 SET安全协议的安全目标

SET安全协议要达到的目标主要有5个：

（1）保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。

（2）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。

（3）解决多方认证问题．不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。

（4）保证网上交易的实时性，使所有的支付过程都是在线的。

（5）效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

3.3 SET协议的工作流程

（1）购物阶段

消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。

（2）商品交易确认阶段

通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否变化。

（3）支付初始化请求和响应阶段

当客户决定要购买商家的商品并使用SET钱夹付钱时，商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱，SET钱夹则要求客户输入口令然后与商家服务器交换“握手”信息，使客户和商家相互确认，即客户确认商家被授权可以接受信用卡，同时商家也确认客户是一个合法的持卡人。

（4）支付请求阶段

客户发一报文包括订单和支付命令。在订单和支付命令中必须有客户的数字签名，同时利用双重签名技术保证商家看不到客户的账户信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。

（5）授权请求阶段

在线商家收到订单后，向消费者所在银行请求支付认可。POS组织一个授权请求报文，其中包括客户的支付命令，发送给支付网关。授权请求报文到达收单银行后，收单银行再到发卡银行确认。批准交易后，返回确认信息给在线商店。

（6）授权响应阶段

收单银行得到发卡银行的批准后，通过支付网关发给商家授权响应报文。

（7）支付响应阶段

商家发送购买响应报文给客户，客户记录交易日志备查。在线商店发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。在处理过程中，通信协议、请求信息格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，消费者、在线商店、支付网关都通过CA来验证通信主体的身份，以确保通信和对方不是冒名顶替。所以，也可以简单地认为，SET规格充分发挥了认证中心的作用，以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性。

3.4 对SET安全协议的评价

SET安全协议从面市以来，由于设计合理，得到了IBM，HP,Microsoft，Netscape等许多大公司的支持，保持了良好的发展趋势。因为SET改进了SSL安全协议有利于商家而不利于顾客的缺点，它在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。SET安全电子交易是基于因特网的卡式支付，是授权业务信息传输的安全标准，它采用RSA公开密钥体系对通信双方进行认证，利用对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪、有无涂改。在SET体系中有一个关键的认证机构(CA)，CA负责和管理证书。

但是随着进一步应用我们也会发现一些问题。(1)协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。如果在线商品提供的货物不符合质量标准，消费者提出疑义，责任由谁承担。(2)协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购不是由签署证书的消费者发出的。(3)SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。

4总结

在现有的网上交易的安全协议中主要有SSL和SET两种, 由于宿舍SSL协议的成本低、速度快、使用简单, 对现有网络系统不需进行大的修改, 因而目前取得了广泛的应用。而在SET协议中, 客户端需安装专门的电子钱包软件, 在商家服务器和银行网络上也需安装相应的软件；并且SET协议非常复杂、庞大，处理速度慢。但是, 由于SET协议位于应用层, 它不仅规范了整个商务活动的流程, 而且制定了严格的加密和认证标准, 具备商务性、协调性和集成；SET协议对交易的各个环节都进行了认证, 所以, SET协议的安全性更高。

其实网上银行的安全涉及到方方面面，不只是一个完善的安全支付协议，一堵安全的防火墙或者一个电子签名就能简单解决的问题。所以，现在银行必须加大加强管理力度，加大宣传力度，帮助顾客树立起安全意识，指导用户该如何正确使用网上银行，并发动社会各方面的力量，寻求多方联动的策略来保证网上银行的安全。只有社会各界一起努力，才能保证电子支付的安全；只有社会各界一起努力，才能保证网上银行的安全；也只有社会各界一起努力，才可以保证电子商务的安全，保证电子商务的快速有序的发展。

参考文献：

[1]刘卫宁, 宋伟.电子商务中在线支付的安全保障[M].北京；万方数据电子出版社，2004

[2]龚本灿, 周学君.SSL协议和SET协议的分析与比较[J].三峡大学学报，2004

[3]何胜．电子商务中安全支付协议的对比及应用[J].计算机时代，2004