SET协议与SSL协议的比较.docx
《SET协议与SSL协议的比较.docx》由会员分享,可在线阅读,更多相关《SET协议与SSL协议的比较.docx(30页珍藏版)》请在冰豆网上搜索。
SET协议与SSL协议的比较
SET协议与SSL协议的比较
一、概述
电子商务开展的核心问题是交易的平安性问题,这也是企业应用电子商务最担忧的问题,因此如何在开放的公用网上构筑平安的交易模式,一直是人们研究的热点和大家关注的话题,要构筑一个平安的电了交易模式,应满足以下五个方面,这也是osi规定的在种标准的平安服务:
〔1〕数据保密:
防止信恩被截获或非法存取而泄密。
〔2〕对象认证:
通信双方对各日通信对象的合法性、真实性进行确认,以防第三者假io
〔3〕数据完整性:
阻I上非法实体对交换数据的修改、插入、删除及防止数据丧失。
〔4〕防抗抵赖:
用于证实已发生过的操作,防止交易双方对发生的行为抵赖。
〔5〕访问控制:
防止非授权用户非法使用系统资源。
迄今为止,国内外已经出现了多种电了支付协议,目前有两种平安在线支付协议被广泛采用,即平安套接层SSL协议和平安电子交易SET协议,二者均是成熟和攵用的平安协议。
二、SSL协议
SSL〔SecureSocketLayer即平安套接层〕协议是NetscapeCommunication公司推出在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web效劳器之冋的平安连接技术。
它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。
1、SSL协议提供的效劳主要有:
1〕认证用户和效劳器,确保数据发送到正确的客户机和效劳器;
2〕加密数据以防止数据中途被窃取;
3〕维护数据的完整性,确保数据在传输过程中不被改变。
2、SSL协议的工作流程:
效劳器认证阶段:
1〕客户端向效劳器发送一个开始信息“Hell。
〞以便开始一个新的会话连接;2〕效劳器根据客户的信息确定是否需要生成新的主密钥,如需要那么效劳器在响应客户的“Hello〞信息时将包含生成主密钥所需的信息;3〕客户根据收到的效劳器响应信息,产生一个主密钥,并用效劳器的公开密钥加密后传给效劳器:
4〕效劳器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证效劳器。
用户认证阶段:
在此之前,效劳器已经通过了客户认证,这一阶段主要完成对客户的认证。
经认证的效劳器发送一个提问给客户,客户那么返冋〔数字〕签名后的提问和其公开密钥,从而向效劳器提供认证。
从SSL协议所提供的效劳及其工作流程可以看出,SSL协议运行的根底是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。
在电子商务初级阶段,由于运作电子商务的企业大多是信誉较髙的大公司,因此这问题还没有充分暴露出来。
但随着电子商务的开展,各中小型公司也参与进来,这样在电了支付过程中的单一认证问题就越来越突出。
虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web效劳器双方的身份验证但是SSL协议仍存在:
一些问题,比方,只能提供交易中客户与效劳器间的双方认证,在涉及多方的电子交易屮,SSL协议并不能协调各方间的平安传输和信任关系。
在这种情况下,Visa和MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
三、SET协议
SET(SecureElectonic
Transcation即平安电了交易协议)是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31口推出的用于电子商务的行业标准,其实质是一种应用在Internet以信用卡为根底的电了付款系统标准,目的是为了保证网络交易的平安。
SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。
SET已获得IETF标准的认可,是电子商务的开展方向。
1、SET支付系统的纟卩成
SET支付系统主要山持卡人(CardHolder)、商家(Merchant)、发卡行(IssuingBank)、收单行(AcquiringBank)、支付网关(PaymentGateway)、认证中心(CertificateAuthority)等六个局部组成。
对应地,基于SET协议的网上购物系统至少包括电子钱包软件、筒家软件、支付网关软件和签发证书软件。
2、SET协议的T•作流程
1)消费者利用自己的PC机通过因特网选定所要购置的物品,并在计算机上输入订货单、
订货单上需包括在线商店、购置物品名称及数量、交货时间及地点等相关信息。
2)通过电子商务效劳器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。
3)消费者选择付款方式,确认订单签发付款指令。
此时SET开始介入。
4)在SET中,消费看必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息。
5)在线商店接受订单后,向消费者所在银行请求支付认可。
信息通过支付网关到收单银行,再到电子货币发行公司确认。
批准交易后,返mi确认信息给在线商店。
6)在线商店发送订单确认信息给消费者。
消费者端软件可记录交易口志,以备将来査询。
7)在线商店发送货物或提供效劳并通知收单银行将钱从消费者的帐弓转移到商店帐号,或通知发卡银行请求支付。
在认证操作和支付操作屮间一般会有一个时间间隔,例如,在每天的下班前请求银行结一天的帐。
前两步与SET无关,从第三步开始SET起作用,一直到第六步,在处理过程中通信协议、请求信息的格式、数据类型的定义等SET都有明确的规定。
在操作的每一步,消费者、在线商店、支付网关都通过CA(认证中心)来验证通信主体的身份,以确保通信的对方不是冒名顶替,所以,也可以简单地认为SET规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。
四、SET与SSL协议的比较
1、在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在中可以通过数字签名和数字证书可实现浏览器和Web效劳器双方的身份验证,但仍不能实现多
方认证;相比N下,SET的平安要求较高,所有参与SET交易的成员(持K人、商家、发卡行、收单行和支付网关)都必须申请数字证书进行身份识别。
2、在平安性方面,SET协议标准了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须釆用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、效劳性、协调性和集成性。
而SSLX对持卡人与商丿占端的信息交换进行加密保护,可以看作是用于传输的那局部的技术标准。
从电了商务特性来看,它并不具•备商务性、效劳性、协调性和集成性。
因此SET的平安性比SSL高。
3、在冋络层协议位置方面,SSL是基于传输层的通用平安协议,而SET位于应用层,对网络上其他各层也有涉及。
4、在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供平安,因此如果电了商务应用只是通过Web或是电子邮件,那么可以不要SET。
但如果电了商务应用是一个涉及多方交易的过程,那么使用SET更平安、更通用些。
五、总结
SSL协议实现简单,独立于应用层协议,大局部内置于浏览器和Web效劳器中,在电了交易中应用便利。
但它是一个面向连接的协议,只能提供交易中客户与效劳器间的双方认证,不能实现多方的电子交易中。
SET在保存对客户信用卡认证的前提下增加了对商家身份的认证,平安性进一步提高。
山于两协议所处的网络层次不同,为电了商务提供的效劳也不相同,因此在实践中应根据具体情况来选择独立使用或两者混合使用。
PKI体系结构
PKI(PublicKeyInfrastructure),BP公钥根底结构。
PKI利用公钥加密技术为网上电子商务的
成用启
SSLLfr1左全得谏层一「SET由谡]
i~1
网巧乘龙邛件
开展提供了一套玄全根底平台,用户利用PK1平台提供的玄全效劳进行奁全通信。
图1PK1体系结构
SSL协议和SET协议
Fl前的平安电子交易协议主要有两种,即平安套接层(SSL)协议和平安电子交易(SET)
协议。
1.SSL协议
SSL协议由NetscapeCommunication公司设计开发,主要用于提高应用程序之间数据的安全性。
该平安协议主要提供对用户和效劳器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变。
它能使客户一效劳器应用之间的通信不被攻击者窃听。
(1)SSL协议的特性
SSL提供了两台机器间的平安连接。
支付系统通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。
大局部Web浏览器和Web效劳器都内置了SSL协议,比较容易应用。
SSL协议建立在可靠的传输层协议(如TCP)之上,与应用
层协议无关。
它在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及效劳器认证工作。
高层的应用层协议(如,FTP,TELNET等)可以透明地建立于SSL协议之上。
应用层协议所传送的数据都会被加密,从而保证通信的私密性。
SSL协议提供的平安信道有以下三种特性:
•私密性:
在握手协议定义了会话密钥后,所有的消息都被加密。
.确认性:
尽管会话的客户端认证是可选的,但是效劳器端始终是被认证的。
•可靠性:
传送的消息包括消息完整性检査。
(2)SSL协议标准
SSL协议山SSL记录协议和SSL握手协议两局部組成。
1SSL记录协议
在SSLSSL通信包括握手消息、平安空白记录和应用数据都使用SSL记录层。
2SSL握手协议
SSL握手协议包含两个阶段,第一个阶段用于建立私密性通信信道,第二个阶段用于客户认证。
第一阶段是通信的初始化阶段,首先SSL要求效劳器向浏览器出示证8。
证书包含有一个公钥,这个公钥是山一家可信证书授权机构签发的。
通过内置的一些根底公共密钥,客户的浏览器可以判断效劳器证书正确与否。
然后,浏览器中的SSL软件发给效劳器一个随机产生的传输密钥,此密钥山已验证过的公钥加密。
山于传输密钥只能由对应的私有密钥来解密,这证实了该效劳器属于一个认证过的公司。
随机产生的传输密钥是核心机密,只有客户的浏览器和此公司的Web效劳器知道这个数字序列。
这个两方共享密钥的密文可以通过浏览器平安地抵达Web效劳器‘Internet上的其他人无法解开它。
第二阶段的主要任务是对客户进行认证此时效劳器LA经被认证了。
效劳器方向客户发出认证请求消息。
客户收到效劳器方的认证请求消息后,发出自己的证书,并FL监听对方回送的认1£结果。
而当效劳器收到客户的证书后,给客户回送认狂成功消息,否那么返冋错误消息。
到此为1上,握手协议全部结束。
3SSL交易过程
在接下来的通信中,SSL采用该密钥来保证数据的保密性和完整性。
这就是SSL提供的安全连接。
这时客户需要确认订购并输入信用K•砂码。
SSL保证信用长殍码以及其他信息只会被此公司获取。
客户还可以打印屏幕上显示的已经被授权的订单,这样就可以得到这次交易的书面证据。
大多数在线商店在得到客户的信用卡号码后出示收到的凭据,这是客户已付款的有效证据。
至此,一个完整的SSL交易过程结束。
但是,SSL提供的保密连接有根大的漏洞。
SSL除了传输过程以外不能提供任何平安保证,SSL并不能使客户确信此公司接收信用卡支付是得到授权的。
在Internet经常会出现一些陌生的店铺,正因如此,网上商店发生欺诈行为的可能性要比街头店铺大得多。
进一步说,即使是一个老实的网上商店,在收到客户的信用卡号码后如果没有采用好的方法保证其平安性,那么信用卡号也很容易被黑客通过商家效劳器窃取。
2.SET协议
SET是山Visa和MasterCard两大信用卡组织联合开发的电子商务平安协议。
它是一种基于消息流的协议,用来保证公共网络上银行卡支付交易的平安性,因而成为Internet上进行在线交易的电了付款系统标准。
目前SET协议已在国际上被大量:
实验性地使用并经受了考验,成了事实上的工业标准。
SET是一个复杂的丨办议,它详细而准确地反映了卡交易各方之冋的各种关系。
事实上,SET不只是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
SET是一个基于可信的第三方认证中心的方案,它要实现的主要目标有以下三个方面。
1保障付款平安:
确保付款资料的隐密性及完整性,提供持卡人、特约商店、收单银行的认证,并定义平安效劳所需要的算法及相关协定。
2确定应用的互通性:
提供一个开放式的标准。
明确定义细节,以确保不同厂商开发的应用程序可共同运作,促成软件互通;在现存各种标准下构建协定,允许在任何软硬件平台上执行,使标准到达相容性与接受性目标。
3到达全球市场的接受性:
在容易使用与对特约商店、持卡人影响最小的前提下,到达全球普遍性。
允许在H前使用者的应用软件下,嵌入付款协定的执行,对收单银行与特约商店、持卡人与发卡银行间的关系,以及信用卡组织的根底构架改变最少。
SET主要用于消费者与商店、商店与收单银行〔付款银行〕之间。
在SET的这个过程中,CA扮演了系统的很重要的角色。
SET标准着重的是其交易平安及隐密性。
其中,数字证书为其核心,它提供了简单的方法来确保进行电了交易的人们能够互相信任。
信用卡组织提供数字证书给发卡银行,然后发卡银行再提供证书给持卡人:
同时,信用R纟且织也提供数字证书给收单银行,然后收单银行再将证书发给特约商店。
在进行交易的时候,持卡人和特约商店符合SET的规格软件会在资料交换前分别确认双方的身份,也就是检査山授权的第三者所发给的证书。
在SET协定中,有持卡人证书、特约商店证书、支付网关证书、收单银行证书和发卡银行证书等五种证书。
持卡人的证书必须由发卡银行来颁发。
在首次上网购物之前,持卡人必须先通过一个客户端程序将包括姓名、卡号、卡片有效期、邮寄地址等可以证明持卡人身份的根本资料发给发卡银行。
这些资料使用银行的公钥加密,可平安地送至银行。
发卡银行确认此帐户正确无误后,便发给持卡人一张具有电子平安数字签章的证书。
持卡人只要将证书储存在电脑上,即可进行电子购物。
同样,商店也必须取得收单银行的电子证书才可以接收SET方式的支付。
商店要将它的根本资料发送给收单银行,收单银行在确认无误后发出一张数字证书,允许它从事电子交易。
3.SSL和SET协议的比较
申实上,SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。
而RSA在二者中也被用来实现不同的平安目标。
SET是一个多方的报文协议,它定义了银行、商家、持卡人之间必需的报文标准,与此同时SSLX是简单地在两方之间建立了平安连接。
SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。
SET报文能够在银行内部网或者其他网络上传输,而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。
SET与SSL相比具有.如下优点:
1SET为商家提供了保护自己的手段,使商家免受欺诈的困扰,使商家的运营本钱降低。
2对消费者而言,SET保证了商家的合法性,并旦用户的信用卡号不会被窃取,SET替消费者保守了更多的秘密使其在线购物更加轻松o
3银行和发卡机构以及各种信用卡組织来说因为SET可以帮助它们将业务扩展到Internet这个广阔的空间,从而使得信用卡网上支付貝有更低的欺骗概率,这使得它比其他支付方式具有更大的竞争力。
4SET对于参与交易的各方定义了互操作接曰,一个系统可以由不同厂商的产品构筑。
提供这些功能的前提是:
SET要求在银行网络、商家效劳器、顾客的PC土安装相应的软件。
这些阻止了SET的广泛开展。
另外,SET还要求必须向各方发放证书,这也成为阻碍之一。
所有这些使得SET要比SSL昂贵得多。
SET的另外一个优点在于:
它可以用在系统的一局部。
例如,一些商家正在考虑在与银行连接中使用SET,而与顾客连接时仍然使用SSLo这种方案既回避了在顾客机器上安装钱央软件:
同时又获得了SET提供的很多优点。
在SET中,交易凭证中有客户的签名,银行就会有客户曾经购物的证据。
提供这种能力的特性在密码学中称之为认可。
它所提供的可靠性的前提是客户必须保证私人签字密钥的平安。
综上所述,在电子商务过程中,釆用何种平安电子交易的协议是非常重要的,既要考虑安全性问题也要考虑实现过程的复杂程度和建设网站的本钱。
因此,开展电子商务需要根据实际情况,在保证平安本钱,以促进我国的网络贸易的快速开展。
电子商务平安协议的两难
杨斌2003-3-15
计算机世界周报
SSL和SET都是电子商务中的核心平安技术,但是,由于技术和人为的因素,这两种技术冃前都存在着应用局限性。
保证电子商务平安,其核心在于平安协议。
目前应用得最广泛的是平安套接层协议(SSL),它已成为事实上的工业标准。
它基于强公钥加密技术及RSA的专用密钥技术,建立进程对进程平安传输效劳和加密传输信道,把参与通信的相应进程之间的数据信道按“私用〞和“已认疋'进行监管。
SSL协议独立于应用层,可加载任何高层应用协议,因此,SSL协议适合为各类客户/效劳器产品提供平安传输效劳。
SSL协议提供一种加密的握手会话,使客户端和效劳器端实现身份验证、协商加密算法和
压缩算法、交换密钥信息。
这种握手会话通过数字签名和数字证书来实现客户和效劳器双方的身份验证,采用DES、MD5等加密技术实现数据的保密性和完整性。
在用数字证〃对双方的身份验证后,双方就可以用密钥进行平安会话。
改进后的SSL版本3分为SSL紀录层和SSL协商层,它们分别对应以卜两个协议:
(1)SSL记录协议。
它涉及应用程序提供的信息分段、压缩、数据认证和加密。
(2)SSL握手协议。
用来交换版本号、加密算法、(相互)身份认i正并交换密钥。
Internet码分配当局(IANA)己经为具备SSL功能的应用分配了固定端口号,例如,带SSL的被分配的端口号为443,带SSL的SMTP被分配的端口号为465,带SSL的NNTP被分配的端[」号为5630
但是,SSL目前并不完备,缺陷是只能保证传输过程的平安,无法知道在传输过程屮是否受到窃听,黑客可破译SSL的加密数据,破坏和盗窃Web信息。
此外,SSL在全球的大规模使用还有一定的难度。
SSL产品的出II受到美国国家平安局的限制,美国政府只允许加密密钥为40位以下的算法出曰而美国的商家一•般都使用128位的SSL,致使美国以外的国家很难真.正在电子商务中充分利用SSLo新的SSL协议被命名为TLS(TransportLayerSecurity),平安可箪性可有所提高,但仍不能消除原有技术的根本缺陷。
又由于SSL协议将客户的信用卡号传送给商家,容易被心术不正的商家欺诈。
因此,SSL目前面临着非常大的应用难题。
为了实现更加完善的电子交易,MasterCai-d和Visa以及其他一些厂商制订并发布了SET协议。
SET协议是专为保护持卡人、发卡人、商家和收单者之间,在因特冋上进行信用卡支付的平安交易协议。
该方法将销传商效劳器中的信用卡号码进行编码,规定了信用卡持卡人用其信用卡通过Internet进行付费的方法,向基于信用卡进行电子化交易的应用提供了实现安全措施的规那么。
这套机制的后台有一个证书颁发结构,提供对X.509iiE15的支持。
只有银行和信用卡公司才能知道该号码。
SET协议为电子交易提供的平安措施,保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性,使人们在网上被欺诈的时机要比现实生活中少得多。
但是,SET协议不能解决电子商务所遇到的全部问题,■它不同寻常地复杂,该协仪的描述有好儿百贞之多,冃前该协仪儿乎面临停顿,而国内仅有少数应用。
SSL学习笔记
Securesocketlayer(SSL)协议最初由Netscape企业开展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页效劳器之间进行加密通讯的全球化标准。
山于SSL技术已建立到所有主要的浏览器和WEB效劳器程序屮,因此,仅需安装数字证书,或效劳器证书就可以激活效劳器功能了。
这次专题我们先从SS1原理讲起。
SSL是一个介于协议与TCP之间的一个可选层,其位置大致如下:
II
ISSLI
ITCPI
IIPI
如果利用SSL协议来访问网页,其步骤如下:
用户:
在浏览器的地址栏里输入s:
//sslserver
层:
将用户需求翻译成请求,如I
Host:
//sslserver
SSL层:
借助下层协议的的信道平安的协商出一份加密密钥,并用此密钥来加密请求。
TCP层:
与webserver的443端口建立连接,传递SSL处理后的数据。
接收端与此过程相反。
SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此到达保密的效果。
SSL协仪分为两局部:
HandshakeProtocol和RecordProtocol,o其屮HandshakeProtocol用来协商密钥,协议的大局部内容就是通信双方如何利用它来平安的协商出一份密钥。
RecordProtocol那么定义了传输的格式。
SSL协议和SET协议的分析与比较
龚本灿周学启
摘要:
在电子商务屮,SSL协议得到了广泛的协议,ifuSET协议那么是今后的开展趋势,本文在分析这两种协议原理的根底匕对两者的特点进行了比较。
关键词:
电子商务;SSL协议;SET协议
1SSL协议
1.1SSL协议概述
SSL(SecureSocketsLayer)平安套接层协议
是Netscape公司1995年推岀的一种平安通信协议。
SSL提供了两台计算机之冋的平安连接,对整个会话进行了加密,从而保证了平安传输。
SSL协议建立在可靠的TCP传输控制协议之上,并且与上层协议无关,各种应用层协议(如:
FTP,TELNET等)能通过SSL协议进行透明传输。
SSL协议分为两层:
SSL握手协议和SSL记录协议。
SSL协议与TCP/IP协议间的关系如
图_所示:
SFTPSTELNETSIMAPS等
SSL握手协议
SSL记录协议
TCP传输控制协议
IP因特网协议
图-SSL协议与TCP/IP协议冋的关系
SSL协议提供的平安连接具有以下三个根本特点:
(1)迎接是保密的:
对于•每个连接都有一个唯一的会话密钥,釆用对称密码体制(如DES、RC4等)来加密数据;
(2)连接是可靠的:
消息的传输釆用MAC算法(如MD5、SHA等)进行完整性检验:
(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。
握手协议
SSL握手协议用于在通信双方建立平安传输通道,具体实现以下功能:
(1)在客户端验证效劳器,SSL协议釆用公钥方式进行身份认证;
(2)在效劳器端验证客户(可选的);
(3)客户端和效劳器之间协商双方都支持的加密算法和压缩算法,可选用的加密算法包括:
IDEA、RC4、DES、3DES、RSA、DSS、Diffie_hellman>Fortezza、MD5、SHA等;(4)产生对称加密算法的会话密钥;(5)建立加密SSL连接。
一般的握手过程如图二所示:
握手过程分为4个阶段:
(1)初始化逻辑连接,客户方先发出ClientHello消息,效劳器方也应返回一个ServerHello消息,这两个消息用来协商双方的平安能力,包括协议版本、随机参数、会话ID、交换密钥算法、对称加密算法、压缩算法等。
(2)效
升级会员 