電子商務安全協議分析與比較

[摘要] 電子商務安全問題的核心是電子交易的安全性，為了保障電子商務交易安全，人們開發了各種用于加強電子商務安全的協議。當前應用比較廣泛的電子商務安全協議主要有安全套接層協議SSL、安全電子交易協議SET和三方域安全協議3-D secure。文中對這三種主流協議進行了深入的分析和比較。

[關鍵詞] 電子商務 安全協議 SSL SET 3-D secure

一、引言

隨著互聯網日益普及，基于Internet的電子商務已經深入到人們生活的方方面面。安全是電子商務的基石，如何保證電子商務交易活動中信息的機密性、真實性、完整性、不可否認性和存取控制等是電子商務發展中迫切需要解決的問題。為了保障電子商務交易安全，人們開發了各種用于加強電子商務安全的協議。這些協議主要有：安全套接層協議SSL、安全電子交易協議SET、超文本傳輸協議SHTTP、3-D secure協議和安全電子郵件協議（PEM、S/MIME）等。這其中應用最為廣泛的協議主要有SSL、SET和3-D secure協議。

二、電子商務安全協議

1.安全套接層協議（SSL）

安全套接層協議(Secure Socket Layer，簡稱SSL)是美國網景公司（Netscape）推出的一種安全通信協議，其主要設計目標是在Internet環境下提供端到端的安全連接。它能使客戶/服務器應用之間的通信不被攻擊者竊聽。SSL協議建立在可靠的傳輸層協議之上。高層的應用層協議能透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據都會被加密，從而保證通信的私密性。

2.安全電子交易協議(SET)

安全電子交易協議(Secure Electronic Transaction，簡稱SET)是美國Visa和MasterCard兩大信用卡組織聯合于1997年5月31日推出的電子交易行業規范，其實質是一種應用在Internet上、以信用卡為基礎的電子付款系統規范，目的是為了保證網絡交易的安全。SET本身并不是一個支付系統，而是一個安全協議集，SET規范保證了用戶可以安全地在諸如Internet這樣的開放網絡上應用現有的信用卡支付設施來完成交易。SET較好地解決了信用卡在電子商務交易中的安全問題。SET已獲得IETF(The Internet Engineering Task Force，簡稱IETF)標準的認可。

3.三方域安全協議（3-D secure）

三方域安全協議（Three-Domain Secure，簡稱3-D secure）是Visa等繼SET協議之后，推出的新一代的安全交易技術。與SET協議一樣，它也是PKI(Public Key Infrastructure)框架下基于可信第三方的開放規范，設計目標同樣是為在Internet上傳輸的信用卡支付信息提供安全保護機制。3D- Secure協議主要采用SSL 加密技術和商家服務器插件MPI( Merchant Server Plug- in) 技術來實現。在線交易中，它既能夠查詢并鑒別持卡人的身份，又能夠保護支付卡信息在網絡中傳遞的安全性。3D- Secure協議的這些功能是通過一個能夠在支付交易過程中明確各方責任的模型——三方域模型( Three Domain Model) 。三方域模型的主要組成包括：發卡域、收單域和互操作域。

三、SSL與SET協議比較分析

SSL和SET是當前在電子商務中應用最為廣泛的安全協議，兩者的差別主要體現在以下幾個方面。

1.工作層次

SSL協議工作于應用層和傳輸層之間，高層的應用層協議(例如：HTTP，FTP，TELNET等)能透明地建立于SSL協議之上。而SET工作于應用層。

2.認證機制

早期的SSL協議并沒有提供身份認證機制，雖然在SSL3. 0中可以通過數字簽名和數字證書實現瀏覽器和WEB服務器之間的身份認證，但仍不能實現多方認證。SET協議要求所有參與交易活動的各方都必須使用數字證書，較好的解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。

3.安全程度

SET協議由于采用了非對稱加密、消息摘要和數字簽名可以確保信息的機密性、認證性、完整性和不可否認性，特別是SET協議采用了雙重簽名技術來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂單信息，而銀行只能取得持卡人的信用卡信息。SSL協議雖也采用了公鑰加密和信息摘要等技術，也可以提供機密性、完整性和一定程度的身份驗證功能，但缺乏一套完整的認證體系，不能提供電子商務交易活動中非常重要的不可否認性證明。

4.運行效率

SET協議非常復雜、龐大、運行速度慢。一個典型的SET交易過程需驗證電子證書9次、驗證數字簽名6次、傳遞證書7次、進行5次簽名、4次對稱加密和4次非對稱加密，整個交易過程非常耗時；而SSL協議則簡單很多，運行效率也比SET協議高。

5.部署成本

SSL協議已被大部分的瀏覽器和WEB服務器內置，無須安裝專門軟件；而SET協議中客戶端要安裝專門的電子錢包軟件，在商家服務器和銀行網絡上也需安裝相應的軟件，部署成本高。

SSL協議與SET協議比較匯總如表1所示。

四、SET與3-D Secure協議比較分析

為了提高交易效率，降低部署成本，3-D Secure協議對SET協議進行了簡化，兩者的差別主要體現在以下幾個方面。

1.機密性

SET協議和3-D Secure協議都使用對稱和非對稱兩種加密技術來保證數據的機密性。但是SET協議采用雙重簽名技術來保證消費者機密信息對商家進行保密，而在3-D Secure協議中消費者的信息對商家來說是可見的。

2.不可否認性

SET協議使用數字簽名來保證交易行為的不可否認性。3-D Secure協議規定發卡機構在通過持卡者向商家服務器發送信息之前，先要對其進行數字簽名，以提供不可否認的證據。和SET相比，3-D Secure協議沒有大量使用數字簽名，但仍然可以提供不可否認性證明。

3.身份認證

SET協議使用證書和數字簽名對消息來源進行身份認證。每個參與者都使用兩個非對稱密鑰對，需要擁有兩個由證書頒發機構同時產生和簽署的證書。3-D Secure協議主要使用證書和口令對消息來源進行身份認證。不要求持卡者配備證書，但要求其他參與方都要有證書。

4.復雜性

與SET協議相比，3-D Secure協議在保證滿足安全性要求的基礎上簡化了證書交換與大量的數字簽名過程，從而使在線交易時間大大縮短，提高交易效率，降低部署成本。SSL協議與3-D Secure協議比較匯總如表2所示。

五、總結

SSL、SET和3-D secure協議是當前應用最為廣泛的電子商務安全協議。三者相比，SSL協議相對簡單，效率高且容易部署，但是它不支持多方認證，不支持不可否認性等電子商務安全性需求；SET協議雖然能夠完全滿足電子商務的安全性需求，但存在著協議復雜，效率低下，難以部署等問題。三者當中3-D Secure協議在保證滿足安全性要求的基礎上，對兩者進行了適當的折衷，從而使在線交易時間大大縮短，使得電子商務在線交易的實施更加簡捷。

參考文獻:

[1]陸垂偉:電子商務中安全支付協議的研究[J]．商場現代化，2006(06)

[2]戴小波:基于SET協議的安全電子商務研究[J]．微計算機信息，2006(21)

[3]SET Secure Electronic Transaction Specification. Book 1:Business Description[s].Version 1.0，1997