[摘要] 本文通過介紹安全套接層SSL協(xié)議提供的服務(wù)、缺點；安全電子交易SET協(xié)議的組成、提供的服務(wù)、缺點；SSL與SET在四個方面的比較以及自己的一些建設(shè)性的意見，分析了電子商務(wù)安全協(xié)議SSL和SET，對于促進電子商務(wù)安全機制的研究和開發(fā)具有一定的現(xiàn)實意義。

[關(guān)鍵詞] 電子商務(wù) SSL協(xié)議 SET協(xié)議

一、引言

電子商務(wù)作為計算機應(yīng)用技術(shù)與現(xiàn)代經(jīng)濟貿(mào)易活動結(jié)合的產(chǎn)物，已經(jīng)成為人類跨入知識經(jīng)濟新紀元的重要標志之一。但美國的一個調(diào)查機構(gòu)顯示超過60%的人由于擔心電子商務(wù)的安全問題而不愿進行網(wǎng)上購物。安全是電子商務(wù)發(fā)展的核心問題。

保證電子商務(wù)安全，其核心在于安全協(xié)議。迄今為止，國內(nèi)外已經(jīng)出現(xiàn)了多種電子支付協(xié)議，目前有兩種安全在線支付協(xié)議被廣泛采用，即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議，二者均是成熟和實用的安全協(xié)議。

二、安全套接層協(xié)議（SSL）

SSL協(xié)議是由網(wǎng)景公司推出的一種安全通信協(xié)議，它能夠?qū)π庞每ê蛡€人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協(xié)議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。

它已成為事實上的工業(yè)標準，獨立于應(yīng)用層，可加載任何高層應(yīng)用協(xié)議，適合為各類C/S模式產(chǎn)品提供安全傳輸服務(wù)。它提供一種加密的握手會話，使客戶端和服務(wù)器端實現(xiàn)身份驗證、協(xié)商加密算法和壓縮算法、交換密鑰信息。這種握手會話通過數(shù)字簽名和數(shù)字證書來實現(xiàn)客戶和服務(wù)器雙方的身份驗證，采用DES、MD5等加密技術(shù)實現(xiàn)數(shù)據(jù)的保密性和完整性。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用密鑰進行安全會話。

1.SSL安全協(xié)議主要提供三方面的服務(wù)

(1)用戶和服務(wù)器的合法性認證：認證用戶和服務(wù)器的合法性，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上?？蛻魴C和服務(wù)器都是有各自的識別號，這些識別號由公開密鑰進行編號，為了驗證用戶是否合法，SSL要求在握手交換數(shù)據(jù)進行數(shù)字認證，以此來確保用戶的合法性。

(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)：SSL采用的加密技術(shù)既有對稱密鑰技術(shù)，也有公開密鑰技術(shù)。在客戶機與服務(wù)器進行數(shù)據(jù)交換之前，交換SSL初始握手信息，在SSL握手情息中采用了各種加密技術(shù)對其加密，以保證其機密性和數(shù)據(jù)的完整性，并且用數(shù)字證書進行鑒別。這樣就可以防止非法用戶進行破譯。

(3)護數(shù)據(jù)的完整性：SSL采用Hash函數(shù)和機密共享的方法來提供信息的完整性服務(wù)，建立客戶機與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過程中能全部完整準確無誤地到達目的地。

2.SSL協(xié)議的缺點

(1)客戶的信息先到商家，讓商家閱讀，這樣，客戶資料的安全性就得不到保證。

(2)SSL只能保證資料信息傳遞的安全，而傳遞過程是否有人截取就無法保證了。所以，SSL并沒有實現(xiàn)電子支付所要求的保密性、完整性，而且多方互相認證也是很困難的。

三、安全電子交易SET協(xié)議

SET協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術(shù)主要有公開密鑰加密、電子數(shù)字簽名、電子信封、電子安全證書等。

1.SET支付系統(tǒng)的組成

SET支付系統(tǒng)主要由持卡人、商家、發(fā)卡行、收單行、支付網(wǎng)關(guān)、認證中心等六個部分組成。對應(yīng)地，基于SET協(xié)議的網(wǎng)上購物系統(tǒng)至少包括電子錢包軟件、商家軟件、支付網(wǎng)關(guān)軟件和簽發(fā)證書軟件。

2.SET安全協(xié)議主要提供三方面的服務(wù)

(1)保證客戶交易信息的保密性和完整性：SET協(xié)議采用了雙重簽名技術(shù)對SET交易過程中消費者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收用戶的訂單信息；而金融機構(gòu)看不到交易內(nèi)容，只能接收到用戶支付信息和帳戶信息，從而充分保證了消費者帳戶和定購信息的安全性。

(2)確保商家和客戶交易行為的不可否認性：SET協(xié)議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性，采用的核心技術(shù)包括X.509電子證書標準，數(shù)字簽名，報文摘要，雙重簽名等技術(shù)。

(3)確保商家和客戶的合法性：SET協(xié)議使用數(shù)字證書對交易各方的合法性進行驗證。通過數(shù)字證書的驗證，可以確保交易中的商家和客戶都是合法的，可信賴的。

3.SET協(xié)議的缺點

(1)只能建立兩點之間的安全連線，所以顧客只能把付款信息先發(fā)送到商家，再由商家轉(zhuǎn)發(fā)到銀行，而且只能保證連接通道是安全的而沒有其他保證。

(2)不能保證商家會私自保留或盜用他的付款信息。

4.SSL與SET協(xié)議的比較

(1)在認證要求方面，早期的SSL并沒有提供商家身份認證機制，不能實現(xiàn)多方認證；而SET的安全要求較高，所有參與SET交易的成員都必須申請數(shù)字證書進行身份識別。

(2)在安全性方面，SET協(xié)議規(guī)范了整個商務(wù)活動的流程，從而最大限度地保證了商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。而SSL只對持卡人與商店端的信息交換進行加密保護，可以看作是用于傳輸?shù)哪遣糠值募夹g(shù)規(guī)范。從電子商務(wù)特性來看，它并不具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。因此SET的安全性比SSL高。

(3)在網(wǎng)絡(luò)層協(xié)議位置方面，SSL是基于傳輸層的通用安全協(xié)議，而SET位于應(yīng)用層，對網(wǎng)絡(luò)上其他各層也有涉及。

(4)在應(yīng)用領(lǐng)域方面，SSL主要是和Web應(yīng)用一起工作，而SET是為信用卡交易提供安全，但如果電子商務(wù)應(yīng)用是一個涉及多方交易的過程，則使用SET更安全、更通用些。

四、結(jié)束語

由于兩協(xié)議所處的網(wǎng)絡(luò)層次不同，為電子商務(wù)提供的服務(wù)也不相同，因此在實踐中應(yīng)根據(jù)具體情況來選擇獨立使用或兩者混合使用。

參考文獻：

[1]陳兵主編:網(wǎng)絡(luò)安全與電子商務(wù)[M]．北京：北京大學出版社，2002．1

[2]何長領(lǐng)主編:電子商務(wù)交易[M].北京:人民郵電出版社，2001

[3]張愛菊主編:電子商務(wù)安全技術(shù)[M]．北京：清華大學出版社，2006．12