电子商务安全协议SSL与SET的浅析与比较.docx

电子商务安全协议SSL与SET的浅析与比较

电子商务安全协议ＳＳＬ与ＳＥＴ的浅析与比较摘要：随着计算机网络技术的广泛应用，基于Internet的电子商务已逐渐深入人们的生活，可是在网络带给我们的便利的同时也给我们带来了不少的安全隐患，对我们的网络活动构成严重威胁，因此网络安全越来越为人们所重视。为保证电子商务交易的安全性，人们开发了多种可加强电子商务安全的协议。当前应用比较广泛的电子商务安全协议主要有安全套接层协议SSL和安全电子交易协议SET。文中对这两种主流协议进行了分析和比较。

关键词：电子商务安全协议SSL协议SET协议

随着互联网的不断普及，基于Internet的电子商务得到了长足的发展，并且逐渐成为人们进行商务活动的一种新模式。它不但为全球客户提供了丰富的商务信息而且还提供便捷的交易过程和廉价的交易成本。但是，在开放的网络上进行交易如何保证传输数据的安全性已成为电子商务发展中迫切需要解决的问题。

为保证安全、有序、快捷地完成网络交易，需要安全协议来规范交易各方的行为与各种技术的运用。迄今为止，人们开发了各种用于加强电子商务安全的协议。这些协议主要有：安全套接层协议SSL．安全电子交易协议SET，超文本传输协议SHTTP、3-Dsecure协议和安全电子邮件协议(PEMS／MIME)等。其中应用比较广泛的两种电子商务安全协议分别为：安全套接层协议SSL和安全电子交易协议SET。

二、电子商务安全协议

（一）安全套接层协议SSL

安全套接层协议(SecureSocketLayer，简称SSL)最初是由美国网景公司（Netscape）推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL采用了公开密钥和私有密钥两种加密方法，是对计算机之间整个会话进行加密的协议。目前，几乎所有操作平台上的WEB浏览器（IE、Netscatp）以及流行的Web服务器（IIS、NetscapeEnterpriseServer等）都支持SSL协议，现在它已成为事实上的工业标准。SSL协议解决了目前TCP/IP协议难以满足的网络安全通信的要求，它运行在TCP/IP协议之上而在其他高层的应用层协议（如HTTP、FTP、SMTP、LDAP和IMAP等）之下。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL协议的好处之一在于它是个独立的应用协议，其他高层的协议能透明的位于SSL协议之上。

SSL可分为两层：一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样，应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了TCP/IP协议安全性较差的弱点。

1.SSL安全协议主要提供三方面的服务

(1)用户和服务器的合法性认证：认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，SSL要求在握手交换数据时进行数字认证。

(2)加密数据以隐藏被传送的数据：SSL采用的加密技术既有对称密钥技术，也有公开

密钥技术。在客户机与服务器进行数据交换之前先交换SSL初始握手协议，在SSL握手协议中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。

(3)护数据的完整性：SSL采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

2.SSL协议的缺点

(1)客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证。

(2)SSL只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。

（二）安全电子交易SET协议

安全电子交易协议(SecureElectronicTransaction，简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范，其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。SET本身并不是一个支付系统，而是一个安全协议集，SET