网络支付安全协议的比较分析.docVIP

网络支付安全协议的比较分析 ——SSL和SET的比较 姓名：沈凤芹 班级：09国贸（3）班 学号：2009220115 [摘要] 安全协议是目前电子支付技术安全问题中的热点,安全套接层协议(SSL)和安全电子交易协议( SET)是电子商务中支持支付系统的关键技术。文章通过分析这两种协议的工作原理,对两者的特点进行了对比。 [关键词]电子支付 安全 SSL协议 SET协议 　　 网络和信息技术的不断发展和渗透，使得电子商务得到了飞速的发展。然而，电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交易的安全问题。其中，安全协议是保证电子商务安全的核心所在。 　　目前，国内外使用的保障电子商务支付系统安全的协议包括：安全套接层协议SSL（Secure Socket Layer）、安全电子交易协议SET（Secure Electronic Transaction）等协议标准。 SET协议和SSL协议对于研究电子商务的人员来说并不陌生，当今电子商务发展的核心问题是交易的安全性问题，这也是企业应用电子商务最担心的问题，因此如何在开放的公用网上构筑安全的交易模式，一直是人们研究的热点和大家关注的话题，要构筑一个安全的电子交易模式，应满足以下五个方面，这也是OSI规定的五种标准的安全服务： （1）数据保密：防止信息被截获或非法存取而泄密。 （2）对象认证：通信双方对各自通信对象的合法性、真实性进行确认，以防第三者假冒。 （3）数据完整性：阻止非法实体对交换数据的修改、插入、删除及防止数据丢失。 （4）防抗抵赖：用于证实已发生过的操作，防止交易双方对发生的行为抵赖。 （5）访问控制：防止非授权用户非法使用系统资源。 迄今为止，国内外已经出现了多种电子支付协议，目前有两种安全在线支付协议被广泛采用，即安全套接层SSL协议和安全电子交易SET协议，二者均是成熟和实用的安全协议。一、SSL协议 　　SSL协议一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。1.SSL协议提供的服务主要有 (1)用户和服务器的合法性认证； (2)加密数据以隐藏被传送的数据； (3)维护数据的完整性，确保数据能完整准确地传输到目的地。 　　该协议它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。 2.SSL协议的工作流程 (1)接通阶段：客户通过网络向服务商发送连接信息，服务商回应； (2)密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法； (3)会谈密码阶段：客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； (4)检验阶段：服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 (5)客户认证阶段：服务器通过数字签名验证客户的可信度； (6)结束阶段客户与服务商之间相互交换结束的信息。所提供的服务及其工作流程可以看出，该协议有利于商家而不利于消费者。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。 二、Set协议 　　Set协议一个基于开放网络的安全的以信用卡支付为基础的电子商务协议已成为国际上所公认的在Internet电子商业交易中的安全标准。 1.SET支付系统的组成 　　SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。 2.SET协议的工作流程如下 　　在SET协议介入之前，消费者通过因特网进行选货、下订单并与商家联系最终确定订单的相关情况、付款方式和签发付款指令。此时SET协议开始介入，进入以下几个阶段 (1)支付初始化请求和响应阶段当客户决定要购买商家的商品并使用电子钱包支付时，商家服务器上POS软件发报文给客户的浏览器电子钱包，电子钱包要求客户输入口令然后与商家服务器交换握手信息，使客户和商家相互确认，即客户确认商家被授权可以接受信用卡，同时商家也确认客户是一个合法的持卡人。 (2)支付请求阶段客户发出一个报文，包括订单和支付命令。在订单和支付命令中必须有客户的数字签名，同时利用双重签名技术保证商家看