電子商務(wù)協(xié)議SSL與SET的分析研究

◆蔡俊杰

電子商務(wù)協(xié)議SSL與SET的分析研究

◆蔡俊杰

（廣東肇慶廣播電視大學(xué) 廣東 526060）

在電子商務(wù)活動(dòng)中，核心問題是電子交易安全。安全協(xié)議是目前電子支付技術(shù)安全問題中的熱點(diǎn)，安全套接層協(xié)議（SSL）和安全電子交易協(xié)議（SET）是電子商務(wù)中支持支付系統(tǒng)的關(guān)鍵技術(shù)。本文先分析了這兩種協(xié)議的原理、工作流程，然后對(duì)兩者的特點(diǎn)進(jìn)行了對(duì)比，最后對(duì)安全協(xié)議的發(fā)展趨勢(shì)做出了預(yù)測(cè)。

電子商務(wù)；安全協(xié)議；SSL協(xié)議；SET協(xié)議

0 前言

電子商務(wù)被認(rèn)為是當(dāng)前新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)，而來自計(jì)算機(jī)網(wǎng)絡(luò)和交易雙方的安全問題也日益顯現(xiàn)出來。因此，構(gòu)建強(qiáng)有力的電子商務(wù)安全體系已刻不容緩。在電子商務(wù)安全體系中，開發(fā)設(shè)計(jì)及運(yùn)用合理且有效的安全協(xié)議尤為重要。

目前常用的安全協(xié)議有安全套接層協(xié)議SSL（Secure Sockets Layer）和安全電子交易協(xié)議（Secure Electronic Transactions）。

1 安全套接層協(xié)議SSL

1.1 安全套接層協(xié)議SSL

SSL是由Netscape Communication公司設(shè)計(jì)開發(fā)的安全協(xié)議，主要用于提高應(yīng)用應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的概念可理解為:一個(gè)保證在任何裝了SSL的客戶機(jī)和服務(wù)器間通信安全的協(xié)議，它涉及所有的TCP/IP應(yīng)用程序。

SSL協(xié)議處于互聯(lián)網(wǎng)多層協(xié)議的傳輸層，運(yùn)行在TCP/IP之上而在甚高層協(xié)議（如Http、Ldap和JAMP等）之下，如圖1所示：

圖1 SSl協(xié)議所處的層次

運(yùn)行時(shí)支持SSL協(xié)議的服務(wù)器可以同時(shí)支持SSL協(xié)議的客戶機(jī)彼此認(rèn)證自己，允許這兩臺(tái)機(jī)器間建立安全的加密連接。

1.2 SSL安全協(xié)議提供三方面的服務(wù)

（1）用戶和服務(wù)器的合法性認(rèn)證:它們能夠確信數(shù)據(jù)將發(fā)送正確的客戶機(jī)上。

（2）加密數(shù)據(jù)以隱藏被傳輸?shù)臄?shù)據(jù):安全套接層協(xié)議所采取的加密技術(shù)既有對(duì)稱密鑰技術(shù)，也有公開密鑰技術(shù)。

（3）維護(hù)數(shù)據(jù)的完整性:確保數(shù)據(jù)在傳輸過程中不被改變。

1.3 SSL運(yùn)行步驟包括六步

（1）接通階段:客戶通過網(wǎng)絡(luò)向服務(wù)商打招呼，服務(wù)商回應(yīng)；

（2）密碼交換階段:客戶與服務(wù)商之間交換雙方認(rèn)可的密碼，一般選用RSA密碼算法；

（3）會(huì)談密碼階段:客戶與服務(wù)商之間彼此交談的會(huì)話密碼；

（4）檢驗(yàn)服務(wù)商取得的密碼:檢驗(yàn)服務(wù)商取得的密碼；

（5）客戶論證階段:驗(yàn)證客戶的可信度；

（6）結(jié)束階段:客戶與服務(wù)商之間相互交換結(jié)束的信息。

1.4 SSL分析

在電子商務(wù)交易過程中，由于有銀行參與，按照SSL協(xié)議，客戶的購(gòu)買信息首先發(fā)往商家，商家再將信息發(fā)往銀行，銀行驗(yàn)證客戶信息的合法性后，通知商家付款成功，商家再通知客戶購(gòu)買成功，并將商品寄送客戶。其流程圖如圖2所示:

圖2 SSL安全協(xié)議流程圖

SSL安全協(xié)議也是國(guó)際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有許多網(wǎng)上商店在使用。當(dāng)然在使用時(shí)SSL協(xié)議根據(jù)郵購(gòu)的原理進(jìn)行了部分改進(jìn)。在傳統(tǒng)的郵購(gòu)活動(dòng)中客戶首先找到商品信息，然后匯款給商家，商家再把商品寄給客戶。這里商家是可以信賴的，所以客戶必須先付款給商家。在電子商務(wù)的初始階段，商家也是擔(dān)心客戶購(gòu)買后不付款，或使用過期作廢的信用卡，因而希望銀行給予論證。SSL安全協(xié)議正是在這種背景下應(yīng)用于電子商務(wù)的。

2 安全電子交易協(xié)議

為了克服SSL安全協(xié)議的缺點(diǎn)，滿足電子交易持續(xù)不斷增加的安全要求，達(dá)到交易安全及合乎成本效益的市場(chǎng)要求，VISA和MasterCard這兩大國(guó)際信用卡組織在Microsoft、Netscape、IBM、SAIC和GTE等公司的支持下，共同制定了SET協(xié)議。SET在保留對(duì)客戶信用卡認(rèn)證的前提下又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來講是至關(guān)重要的。由于設(shè)計(jì)合理，SET協(xié)議又得到了許多大公司的支持，成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。目前，它已獲得IETF標(biāo)準(zhǔn)認(rèn)可。

2.1 SET的運(yùn)行目標(biāo)

SET協(xié)議要達(dá)到的目標(biāo)主要有五個(gè)：

（1）保證信息在INTERNET上安全傳輸，防止數(shù)據(jù)被黑客或內(nèi)部人員竊取。

（2）保證電子商務(wù)參與者的信息相互隔離。客戶的資料加密或打包后通過商家到達(dá)銀行，但是商家不能看到客戶的帳戶和密碼信息。

（3）解決多方認(rèn)證問題，不僅要對(duì)消費(fèi)者的信用卡認(rèn)證，而且要對(duì)在線商店信譽(yù)度認(rèn)證，同時(shí)還有消費(fèi)者、在線商店與銀行間的認(rèn)證。

（4）保證了網(wǎng)上交易的實(shí)時(shí)性,使所有的支付過程都是在線的。

（5）效仿EDI貿(mào)易的形式規(guī)范協(xié)議和消息格式，促使不同商家開發(fā)的軟件具胡兼容性和互相操作的功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。

2.2 SET涉及的對(duì)象

SET協(xié)議規(guī)范所涉及的對(duì)象主要有：

（1）消費(fèi)者，包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照在線商店的要求填寫定貨單，通過由發(fā)卡銀行發(fā)行的付款卡（如信用卡、借記卡）進(jìn)行結(jié)算。在消費(fèi)者和商家的會(huì)話中SET可以保證消費(fèi)者的個(gè)人賬號(hào)信息不被泄露。

（2）商家通過在線商店，提供商品或服務(wù)，具備相應(yīng)電子貨幣使用的條件。接受卡支付的商家必須與信用卡收單銀行登記簽約，并取得數(shù)字證書。

（3）支付網(wǎng)關(guān)，在電子商務(wù)中如果要從開放的互聯(lián)網(wǎng)趕往金融機(jī)構(gòu)內(nèi)部網(wǎng)，需要一套安全的軟件把從互聯(lián)網(wǎng)上傳來的信息翻譯成銀行封閉系統(tǒng)能接受的信息形式，以使兩套互不兼容的信息模式在切換時(shí)的安全性得到保證。支付網(wǎng)關(guān)是由銀行操作的，將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)的設(shè)備，或是由指派的第三方處理商家支付信息和客戶的支付指令。

（4）收單銀行，收單銀行建立一個(gè)特約商店的賬戶，對(duì)信用卡做認(rèn)證處理與賬款的處理。特約商店通常會(huì)接受幾個(gè)不同發(fā)卡公司，但不會(huì)同時(shí)和多個(gè)不同的銀行卡協(xié)會(huì)或多個(gè)個(gè)體發(fā)卡銀行合作。收單銀行會(huì)協(xié)助特約商店做認(rèn)證，核對(duì)信用卡賬戶是否有效，以及消費(fèi)金額是否超出信用額度。

（5）發(fā)卡銀行，不屬于SET交易的直接組成部分，但卻是完成交易的直接參與方。是電子貨幣（如智能卡、電子現(xiàn)金、電子錢包）的發(fā)行公司，以及某些兼有電子貨幣發(fā)行銀行，負(fù)責(zé)處理智能卡的審核和支付工作。當(dāng)收單銀行通過金融網(wǎng)絡(luò)要求付款授權(quán)時(shí)，發(fā)卡銀行需要回應(yīng)付款申請(qǐng)，保證對(duì)每一筆認(rèn)證交易的付款，交易完成后，再與收單銀行進(jìn)行帳務(wù)結(jié)算與信息交換。

（6）認(rèn)證中心CA，負(fù)責(zé)對(duì)交易對(duì)方的身份確認(rèn)，產(chǎn)生分配和管理發(fā)卡人、商家和參與交易各方的數(shù)字證書，對(duì)商家的信譽(yù)度和消費(fèi)者的支付手段進(jìn)行認(rèn)證。

2.3 SET的技術(shù)范圍

SET協(xié)議規(guī)范的技術(shù)范圍包括:

（1）加密算法的應(yīng)用；

（2）證書信息和對(duì)象格式；

（3）購(gòu)買信息和對(duì)象格式；

（4）認(rèn)可信息和對(duì)象格式；

（5）規(guī)劃信息和對(duì)象格式；

（6）對(duì)話實(shí)體之間消息的傳輸協(xié)議。

3 SSL與SET的分析比較

同SSL相比，SET系統(tǒng)則給銀行、商家、持卡人帶來了更多的安全，使人們?cè)诰W(wǎng)上交易時(shí)更加放心。但SET也存在一些問題，這些問題包括:

（1）協(xié)議沒有說明收單銀行給在線商家付款前，是否必須收到消費(fèi)者的貨物接受證書。否則，在線商家提供的貨物不符合質(zhì)量標(biāo)準(zhǔn)，消費(fèi)者提出疑義，責(zé)任由誰(shuí)承擔(dān)。

（2）協(xié)議沒有擔(dān)保“非拒絕行為”，這意味著在線商家沒有辦法證明訂購(gòu)是由簽署數(shù)字證書的、講信用的消費(fèi)者發(fā)出的。

（3）SET技術(shù)規(guī)范沒有提及在事務(wù)處理完成后。如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商家或收單銀行的計(jì)算機(jī)里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。

（4）SET要求在銀行網(wǎng)絡(luò)、商家服務(wù)器、顧客的PC機(jī)上安裝相應(yīng)的軟件，同時(shí)，SET還要求必須向各方發(fā)放證書，這使其實(shí)現(xiàn)起來比較復(fù)雜，比SSL要昂貴得多。從而阻礙了SET的廣泛發(fā)展，現(xiàn)在使用該協(xié)議的電子支付系統(tǒng)并不多。它存在的缺點(diǎn)也促使人們?cè)O(shè)法改進(jìn)它。中國(guó)商品交易中心、中國(guó)銀行、上海長(zhǎng)途電信局都提出了自己的設(shè)計(jì)方案。目前中國(guó)銀行的網(wǎng)上銀行支付系統(tǒng)是基于SET協(xié)議開發(fā)的。

由以上分析可知，SET與SSL相比較具有以下優(yōu)點(diǎn):

（1）SET為商家提供了保護(hù)自己的手段，使商家免受欺詐的困擾，降低了商家的運(yùn)營(yíng)風(fēng)險(xiǎn)。

（2）對(duì)消費(fèi)者而言，SET保證了商家的合法性，并且用戶信用卡號(hào)不會(huì)被竊取，SET替消費(fèi)者保守了更多的秘密，而SSL則是基于商家對(duì)客戶信息保密的承諾。

（3）對(duì)銀行和發(fā)卡機(jī)構(gòu)以及信用卡組織而言，因?yàn)镾ET可以幫助他們將業(yè)務(wù)擴(kuò)展到Internet這個(gè)廣闊的空間，并且使得信用卡網(wǎng)上支付具有更低的受欺騙風(fēng)險(xiǎn)，比其它方式具有更大的競(jìng)爭(zhēng)力。而SSL對(duì)商家的認(rèn)證考慮不夠。

（4）SET對(duì)于參與交易的各方定義了互操作接口，一個(gè)系統(tǒng)可以由不同的廠商產(chǎn)品構(gòu)成。這一點(diǎn)，決定了它比SSL有更多的擴(kuò)展空間。

4 結(jié)束語(yǔ)

綜上所述，提供這些功能的前提是:SET要求在銀行服務(wù)器、商家服務(wù)器、消費(fèi)者個(gè)人統(tǒng)籌終端上安裝相應(yīng)的軟件，還要求必須向各方發(fā)放數(shù)字證書，這一切就使得SET在成本上比SSL昂貴得多。所以，結(jié)合當(dāng)前我國(guó)的實(shí)際情況可以預(yù)見，安全認(rèn)證在我國(guó)的發(fā)展趨勢(shì)將可能為以下兩個(gè)方面:

（1）SET與SSL共存，優(yōu)勢(shì)互補(bǔ)。如美國(guó)較多采用的是“面向商家的SET協(xié)議”，即在銀行與商家之間采用SSL協(xié)議，但這對(duì)銀行的要求就更高了。

（2）隨著SET與SSL的融合程度上升，有可能出現(xiàn)一種新的安全認(rèn)證體系，類似于目前的公鑰基礎(chǔ)結(jié)構(gòu)（PKI）。從廣義上來說，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)都可叫做PKI系統(tǒng)，因此他既支持SET，SSL，還支持其他一些協(xié)議，并且可為B to B及B to C兩種電子商務(wù)模式提供兼容性服務(wù)，其前景目前較為看好。

[1]李佳.網(wǎng)絡(luò)通信安全技術(shù)淺析[J].科技風(fēng)，2014.

[2]劉彥戎.淺析電子商務(wù)安全協(xié)議[J].中小企業(yè)管理與科技，2012.

[3]電子商務(wù)系統(tǒng).http://baike.baidu.com/link?url=MCqIGn 39ecs-K8nCy2M7PB_SkdaR8kNyLOcAs3L8Ns5dN-letvtTAIys L1Xwb9Hw9dZs31ku9fk-RaQ8EHEhGa.

[4]電子商務(wù)網(wǎng)上交易和管理，http://wenku.baidu.com/vie w/a47a9e96aa00b52acec7ca02.html?from=search.

[5]杜芳莉.電子商務(wù)時(shí)代傳統(tǒng)專業(yè)市場(chǎng)的機(jī)遇與挑戰(zhàn)[J].中國(guó)物流與采購(gòu)，2014.

[6]孫毅.我國(guó)移動(dòng)電子商務(wù)面臨的機(jī)遇與挑戰(zhàn)[J].電子商務(wù)，2014.