網(wǎng)絡支付安全協(xié)議ＳＳＬ和ＳＥＴ的比較

[摘要] 安全協(xié)議是目前電子支付技術安全問題中的熱點，安全套接層協(xié)議(SSL)和安全電子交易協(xié)議( SET)是電子商務中支持支付系統(tǒng)的關鍵技術。文章通過分析這兩種協(xié)議的工作原理，對兩者的特點進行了對比。

[關鍵詞] 電子支付 安全 SSL協(xié)議 SET協(xié)議

網(wǎng)絡和信息技術的不斷發(fā)展和滲透，使得電子商務得到了飛速的發(fā)展。然而，電子商務在提供機遇和便利的同時，也面臨著一個最大的挑戰(zhàn)，即交易的安全問題。其中，安全協(xié)議是保證電子商務安全的核心所在。

目前，國內(nèi)外使用的保障電子商務支付系統(tǒng)安全的協(xié)議包括：安全套接層協(xié)議SSL（Secure Socket Layer）、安全電子交易協(xié)議SET（Secure Electronic Transaction）等協(xié)議標準。

一、SSL協(xié)議

SSL協(xié)議是Netscape Communication公司推出在網(wǎng)絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。是對計算機之間整個會話進行加密的協(xié)議，提供了加密、認證服務和報文完整性。它是國際上最早應用于電子商務的一種由消費者和商家雙方參加的信用卡/借記卡支付協(xié)議。

1.SSL協(xié)議提供的服務主要有

(1)用戶和服務器的合法性認證；

(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；

(3)維護數(shù)據(jù)的完整性，確保數(shù)據(jù)能完整準確地傳輸?shù)侥康牡亍?/p>

該協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用Web Server方式，它包括：服務器認證、客戶認證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務應用來說，使用SSL可保證信息的真實性、完整性和保密性。

2.SSL協(xié)議的工作流程

(1)接通階段：客戶通過網(wǎng)絡向服務商發(fā)送連接信息，服務商回應；

(2)密碼交換階段：客戶與服務器之間交換雙方認可的密碼，一般選用RSA密碼算法，也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法；

(3)會談密碼階段：客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；

(4)檢驗階段：服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。

(5)客戶認證階段：服務器通過數(shù)字簽名驗證客戶的可信度；

(6)結束階段，客戶與服務商之間相互交換結束的信息。SSL協(xié)議運行的基點是商家對客戶信息保密的承諾。從SSL 協(xié)議所提供的服務及其工作流程可以看出，該協(xié)議有利于商家而不利于消費者?？蛻舻男畔⑹紫葌鞯缴碳?，商家閱讀后再傳給銀行，這樣，客戶資料的安全性便受到威脅。商家認證客戶是必要的，但整個過程中，缺少了客戶對商家的認證。在電子商務的初級階段，由于運作電子商務的企業(yè)大多是信譽較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務的發(fā)展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務器雙方的身份驗證，但是SSL協(xié)議仍存在一些問題，比如，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調各方間的安全傳輸和信任關系。在這種情況下，Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議，為網(wǎng)上信用卡支付提供了全球性的標準。

二、Set協(xié)議

Set協(xié)議是1997年5月31日由VISA和MasterCard兩大信用卡公司聯(lián)合推出的一個基于開放網(wǎng)絡的安全的以信用卡支付為基礎的電子商務協(xié)議。它運用了RSA安全的公鑰加密技術，具有資料保密性、資料完整性、資料來源可辨識性及不可否認性，是用來保護消費者在Internet持卡付款交易安全中的標準。現(xiàn)在，SET已成為國際上所公認的在Internet電子商業(yè)交易中的安全標準。

1.SET支付系統(tǒng)的組成

SET支付系統(tǒng)主要由持卡人（CardHolder）、商家（Merchant）、發(fā)卡行（Issuing Bank）、收單行（Acquiring Bank）、支付網(wǎng)關（Payment Gateway）、認證中心（Certificate Authority）等六個部分組成。對應地，基于SET協(xié)議的網(wǎng)上購物系統(tǒng)至少包括電子錢包軟件、商家軟件、支付網(wǎng)關軟件和簽發(fā)證書軟件。

2.SET協(xié)議的工作流程如下

在SET協(xié)議介入之前，消費者通過因特網(wǎng)進行選貨、下訂單并與商家聯(lián)系最終確定訂單的相關情況、付款方式和簽發(fā)付款指令。此時SET協(xié)議開始介入，進入以下幾個階段

(1)支付初始化請求和響應階段。當客戶決定要購買商家的商品并使用電子錢包支付時，商家服務器上POS軟件發(fā)報文給客戶的瀏覽器電子錢包，電子錢包要求客戶輸入口令然后與商家服務器交換“握手”信息，使客戶和商家相互確認，即客戶確認商家被授權可以接受信用卡，同時商家也確認客戶是一個合法的持卡人。

(2)支付請求階段。客戶發(fā)出一個報文，包括訂單和支付命令。在訂單和支付命令中必須有客戶的數(shù)字簽名，同時利用雙重簽名技術保證商家看不到客戶的賬號信息。而位于商家開戶行的被稱為支付網(wǎng)關的另外一個服務器可以處理支付命令中的信息。

(3)授權請求階段。商家收到訂單后，POS組織一個授權請求報文，其中包括客戶的支付命令，發(fā)送給支付網(wǎng)關。支付網(wǎng)關是一個Internet服務器，是連接Internet和銀行內(nèi)部網(wǎng)絡的接口。授權請求報文通過支付網(wǎng)關到達收單銀行后，收單銀行再到發(fā)卡銀行確認。

(4)授權響應階段。收單銀行得到發(fā)卡銀行的批準后，通過支付網(wǎng)關發(fā)給商家授權響應報文。

(5)支付響應階段。商家發(fā)送購買響應報文給客戶，記錄客戶交易日志，以備查詢。之后進行發(fā)貨或提供服務，并通知收單銀行將錢從消費者的賬號轉移到商店賬號，或通知發(fā)卡銀行請求支付。

三、SSL協(xié)議和SET協(xié)議的對比

1.SSL協(xié)議的優(yōu)缺點

SSL協(xié)議是兩層協(xié)議，建立在TCP傳輸控制協(xié)議之上、應用層之下，并且與上層應用協(xié)議無關，可為應用層協(xié)議如HTTP、FTP、SMTP等提供安全傳輸，通過將HTTP與SSL相結合，Web服務器就可實現(xiàn)客戶瀏覽器與服務器間的安全通信。因此簡便易行是SSL協(xié)議的最大優(yōu)點，但與此同時其缺點也是顯而易見的。首先，在交易過程中，客戶的信息先到達商家那里，這就導致客戶資料安全性無法保證；其次，SSL只能保證資料傳遞過程的安全性，而傳遞過程是否有人截取則無法保證；再次，由于SSL協(xié)議的數(shù)據(jù)安全性是建立在RSA等算法上，因此其系統(tǒng)安全性較差；最后，雖然SSL協(xié)議中也使用了數(shù)字簽名來保證信息的安全，但是由于其不對應用層的消息進行數(shù)字簽名，因此不能提供交易的不可否認性，這就造成了SSL協(xié)議在電子銀行應用中的最大不足。

2.SET協(xié)議的優(yōu)缺點

由于SET提供了消費者、商家和銀行之間的雙重身份認證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。但在實際應用中，SET協(xié)議依然存在以下不足：

(1)SET協(xié)議中仍存在一些漏洞。如：不可信的用戶可能通過其它商家的幫助欺騙可信的商家在未支付的情況下得到商品；密鑰存在被泄露的危險；存在冒充持卡人進行交易的隱患。

(2)SET協(xié)議的性能有待改進。如：單純支持信用卡，需要進一步適應借計卡的使用；協(xié)議過于復雜，要求安裝的軟件包過多，處理速度慢，價格昂貴；由于該協(xié)議的每一個階段都要進行多次數(shù)據(jù)加密解密、簽名、證書驗證等安全操作，因此協(xié)議的交易時間過長，不能滿足實時交易要求。

3.總結

由于SSL協(xié)議的成本低、速度快、使用簡單，對現(xiàn)有網(wǎng)絡系統(tǒng)不需進行大的修改，因而目前取得了廣泛的應用。但隨著電子商務規(guī)模的擴大，網(wǎng)絡欺詐的風險性也在提高，在未來的電子商務中SET協(xié)議將會逐步占據(jù)主導地位。

參考文獻：

[1]徐震鄧亞平:SET的安全性分析與改進[J]．重慶郵電學院學報，2005，17 (6)，745～748

[2]馬瑞萍:SSL安全性分析研究[J];網(wǎng)絡安全技術與應用; 2001，12期，17～20

[3]吳建耀張玉清莫燕:SET協(xié)議的安全性研究綜述，2004全國網(wǎng)絡與信息安全技術研討會[c]

[4]周龍驤:電子商務協(xié)議研究綜述[J].軟件學報，2001，12