安全电子支付协议的比较.docVIP

安全电子支付协议的比较 摘要：论文针对电子商务的发展对电子支付环境提出的要求，分别论述了SSL协议与SET协议对电子支付环节起到的支持作用，并根据其技术标准和工作流程的不同，分析其功能上存在的差异，及由此导致的适用环境的不同。 关键词：电子支付、SSL、SET 一、概述 随着计算机网络技术向整个经济社会各层次的延伸，整个社会表现出对Internet、Intranet、Extranet使用的更大的依赖性。随着电子商务的发展，其核心问题交易的安全性问题也凸现出来，这也是企业应用电子商务最担心的问题，因此如何在开放的公用网上构筑安全的交易模式，成为人们研究的热点和大家关注的话题，要构筑一个安全的电子交易模式，应满足以下五个方面，这也是OSI规定的五种标准的安全服务： （1）数据保密：防止信息被截获或非法存取而泄密。 （2）对象认证：通信双方对各自通信对象的合法性、真实性进行确认，以防第三者假冒。 （3）数据完整性：阻止非法实体对交换数据的修改、插入、删除及防止数据丢失。 （4）防抗抵赖：用于证实已发生过的操作，防止交易双方对发生的行为抵赖。 （5）访问控制：防止非授权用户非法使用系统资源。 目前国内外已经出现了多种电子支付协议，有两种安全在线支付协议被广泛采用，分别为安全套接层SSL协议和安全电子交易SET协议，二者均是成熟和实用的安全协议。 二、SSL协议简介 SSL（Secure Socket Layer即安全套接层）协议是Netscape公司在推出Web浏览器首版的同时，提出的安全通信协议。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL采用公开密钥技术。其目标是保证两个用户间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前，利用公开密钥技术的SSL协议，已成为Internet上保密通讯的工业标准。现行Web浏览器普遍将HTTP和SSL相结合，从而实现安全通信。 1、SSL协议概述 安全套接层协议(SSL)是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议要求建立在可靠的传输层协议(例如：TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：HTTP，FTP，TELNET...)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。因而，其后的应用层协议所传送的数据都会被加密，从而保证通信的私密性。 SSL协议提供的安全信道有以下三个特性： 1）私密性 加密数据以防止数据中途被窃取，因为在握手协议定义了会话密钥后，所有的消息都被加密。 2）确认性 认证用户和服务器，确保数据发送到正确的客户机和服务器，因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。 3）可靠性 维护数据的完整性，确保数据在传输过程中不被改变，因为传送的消息包括消息完整性检查。 2、SSL的协议规范 SSL协议由SSL记录协议和SSL握手协议两部分组成。 SSL记录协议： 在SSL协议中，所有的传输数据都被封装在记录中。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL记录层。SSL记录协议包括了记录头和记录数据格式的规定。 SSL握手协议： SSL握手协议包含两个阶段，第一个阶段用于建立私密性通信信道，即服务器认证阶段；第二个阶段用于客户认证，即用户认证阶段，其工作流程如下： 服务器认证阶段： 1）客户端向服务器发送一个开始信息Hello以便开始一个新的会话连接； 2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的Hello信息时将包含生成主密钥所需的信息； 3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。 从SSL协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，信息的保密性由商家决定，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一