1、SET协议与SSL协议的比较SET协议与SSL协议的比较一、 概述电子商务开展的核心问题是交易的平安性问题,这也是企业应用电子商务最担忧的问题, 因此如何在开放的公用网上构筑平安的交易模式,一直是人们研究的热点和大家关注的话题, 要构筑一个平安的电了交易模式,应满足以下五个方面,这也是osi规定的在种标准的平安服 务:1 数据保密:防止信恩被截获或非法存取而泄密。2 对象认证:通信双方对各日通信对象的合法性、真实性进行确认,以防第三者假io3 数据完整性:阻I上非法实体对交换数据的修改、插入、删除及防止数据丧失。4 防抗抵赖:用于证实已发生过的操作,防止交易双方对发生的行为抵赖。5 访问控制:
2、防止非授权用户非法使用系统资源。迄今为止,国内外已经出现了多种电了支付协议,目前有两种平安在线支付协议被广泛采 用,即平安套接层SSL协议和平安电子交易SET协议,二者均是成熟和攵用的平安协议。二、 SSL协议SSL Secure Socket Layer即平安套接层协议是Netscape Communication公司推出在 网 络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web效劳器之冋的平安连 接技 术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡 支付协 议。1、 SSL协议提供的效劳主要有:1 认证用户和效劳器,确保数据发送到正确的客户机和效劳
3、器;2 加密数据以防止数据中途被窃取;3 维护数据的完整性,确保数据在传输过程中不被改变。2、 SSL协议的工作流程:效劳器认证阶段:1客户端向效劳器发送一个开始信息“Hell。以便开始一个新的会话 连接;2效劳器根据客户的信息确定是否需要生成新的主密钥,如需要那么效劳器在响应客户 的“Hello信息时将包含生成主密钥所需的信息;3客户根据收到的效劳器响应信息,产生一 个主密钥,并用效劳器的公开密钥加密后传给效劳器:4效劳器恢复该主密钥,并返回给客 户一个用主密钥认证的信息,以此让客户认证效劳器。用户认证阶段:在此之前,效劳器已经通过了客户认证,这一阶段主要完成对客户的认证。 经认证的效劳器发
4、送一个提问给客户,客户那么返冋数字签名后的提问和其公开密钥,从而 向效劳器提供认证。从SSL协议所提供的效劳及其工作流程可以看出,SSL协议运行的根底是商家对消费者信 息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的 企业大多是信誉较髙的大公司,因此这问题还没有充分暴露出来。但随着电子商务的开展,各 中小型公司也参与进来,这样在电了支付过程中的单一认证问题就越来越突出。虽然在SSL3.0 中通过数字签名和数字证书可实现浏览器和Web效劳器双方的身份验证但是SSL协议仍存在: 一些问题,比方,只能提供交易中客户与效劳器间的双方认证,在涉及多方的电子交易屮,SSL
5、 协议并不能协调各方间的平安传输和信任关系。在这种情况下,Visa和MasterCard两大信用卡 公组织制定了 SET协议,为网上信用卡支付提供了全球性的标准。三、SET协议SET (Secure ElectonicTranscation即平安电了交易协议)是美国Visa和MasterCard两大信用卡组织等联合于1997 年5月31 口推出的用于电子商务的行业标准,其实质是一种应用在Internet以信用卡为根底的 电了付款系统标准,目的是为了保证网络交易的平安。SET妥善地解决了信用卡在电子商务交 易中的交易协议、信息保密、资料完整以及身份认证等问题。SET已获得IETF标准的认可,是
6、电子商务的开展方向。1、SET支付系统的纟卩成SET支付系统主要山持卡人(CardHolder)、商家(Merchant)、发卡行(IssuingBank)、 收单行(Acquiring Bank)、支付网关(Payment Gateway)、认证中心(Certificate Authority)等 六个局部组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、筒家软件、支 付网关软件和签发证书软件。2、SET协议的T作流程1)消费者利用自己的PC机通过因特网选定所要购置的物品,并在计算机上输入订货单、订货单上需包括在线商店、购置物品名称及数量、交货时间及地点等相关信息。2)通过电子
7、商务效劳器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货 单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。3)消费者选择付款方式,确认订单签发付款指令。此时SET开始介入。4)在SET中,消费看必须对订单和付款指令进行数字签名,同时利用双重签名技术保证 商家看不到消费者的帐号信息。5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银 行,再到电子货币发行公司确认。批准交易后,返mi确认信息给在线商店。6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易口志,以备将来査询。7)在线商店发送货物或提供效劳并通知收单银行将钱从消费者的帐弓转移到
8、商店帐号,或 通知发卡银行请求支付。在认证操作和支付操作屮间一般会有一个时间间隔,例如,在每天的 下班前请求银行结一天的帐。前两步与SET无关,从第三步开始SET起作用,一直到第六步,在处理过程中通信协议、 请求信息的格式、数据类型的定义等SET都有明确的规定。在操作的每一步,消费者、在线商 店、支付网关都通过CA (认证中心)来验证通信主体的身份,以确保通信的对方不是冒名顶 替,所以,也可以简单地认为SET规格充分发挥了认证中心的作用,以维护在任何开放网络上 的电子商务参与者所提供信息的真实性和保密性。四、SET与SSL协议的比较1、在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽
9、然在中可以通 过数字签名和数字证书可实现浏览器和Web效劳器双方的身份验证,但仍不能实现多 方认证;相比N下,SET的平安要求较高,所有参与SET交易的成员(持K人、商家、发卡行、 收单行和支付网关)都必须申请数字证书进行身份识别。2、 在平安性方面,SET协议标准了整个商务活动的流程,从持卡人到商家,到支付网关, 到认证中心以及信用卡结算中心之间的信息流走向和必须釆用的加密、认证都制定了严密的标 准,从而最大限度地保证了商务性、效劳性、协调性和集成性。而SSLX对持卡人与商丿占端的 信息交换进行加密保护,可以看作是用于传输的那局部的技术标准。从电了商务特性来看,它 并不具备商务性、效劳性、协
10、调性和集成性。因此SET的平安性比SSL高。3、 在冋络层协议位置方面,SSL是基于传输层的通用平安协议,而SET位于应用层,对 网络上其他各层也有涉及。4、 在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供平安, 因此如果电了商务应用只是通过Web或是电子邮件,那么可以不要SET。但如果电了商务应用 是一个涉及多方交易的过程,那么使用SET更平安、更通用些。五、总结SSL协议实现简单,独立于应用层协议,大局部内置于浏览器和Web效劳器中,在电了交 易中应用便利。但它是一个面向连接的协议,只能提供交易中客户与效劳器间的双方认证,不 能实现多方的电子交易中。SET在保
11、存对客户信用卡认证的前提下增加了对商家身份的认证, 平安性进一步提高。山于两协议所处的网络层次不同,为电了商务提供的效劳也不相同,因此 在实践中应根据具体情况来选择独立使用或两者混合使用。PKI体系结构PKI (Public Key Infrastructure),BP公钥根底结构。PKI利用公钥加密技术为网上电子 商务的成 用 启SSLLfr 1 左全得谏层 一SET由谡i 1网巧乘龙邛件开展提供了一套玄全根底平台,用户利用PK1平台提供的玄全效劳进行奁全通信。图1 PK1体系结构SSL协议和SET协议Fl前的平安电子交易协议主要有两种,即平安套接层(SSL)协议和平安电子交易(SET)协议
12、。1.SSL协议SSL协议由Netscape Communication公司设计开发,主要用于提高应用程序之间数据的 安 全性。该平安协议主要提供对用户和效劳器的认证;对传送的数据进行加密和隐藏;确保数据 在传送中不被改变。它能使客户一效劳器应用之间的通信不被攻击者窃听。(1) SSL协议的特性SSL提供了两台机器间的平安连接。支付系统通过在SSL连接上传输信用卡卡号的方式来 构建,在线银行和其他金融系统也常常构建在SSL之上。大局部Web浏览器和Web效劳器都 内置了 SSL协议,比较容易应用。SSL协议建立在可靠的传输层协议(如TCP)之上,与应用层协议无关。它在应用层协议通信之前就已经完
13、成加密算法、通信密钥的协商以及效劳器认证 工作。高层的应用层协议(如 , FTP, TELNET等)可以透明地建立 于SSL协议之上。应 用层协议所传送的数据都会被加密,从而保证通信的私密性。SSL协议提供的平安信道有以下 三种特性:私密性:在握手协议定义了会话密钥后,所有的消息都被加密。.确认性:尽管会话的客户端认证是可选的,但是效劳器端始终是被认证的。可靠性:传送的消息包括消息完整性检査。(2) SSL协议标准SSL协议山SSL记录协议和SSL握手协议两局部組成。1SSL记录协议在SSLSSL通信包括握手消息、平安空白记录和应用数据都使用SSL记录层。2SSL握手协议SSL握手协议包含两个
14、阶段,第一个阶段用于建立私密性通信信道,第二个阶段用于客户 认证。第一阶段是通信的初始化阶段,首先SSL要求效劳器向浏览器出示证8。证书包含有一个 公钥,这个公钥是山一家可信证书授权机构签发的。通过内置的一些根底公共密钥,客户的浏 览器可以判断效劳器证书正确与否。然后,浏览器中的SSL软件发给效劳器一个随机产生的传 输密钥,此密钥山已验证过的公钥加密。山于传输密钥只能由对应的私有密钥来解密,这证实 了该效劳器属于一个认证过的公司。随机产生的传输密钥是核心机密,只有客户的浏览器和此 公司的Web效劳器知道这个数字序列。这个两方共享密钥的密文可以通过 浏览器平安地抵达 Web效劳器Internet
15、上的其他人无法解开它。第二阶段的主要任务是对客户进行认证 此时效劳器LA经被认证了。效劳器方向客户发出 认证请求消息。客户收到效劳器方的认证请求消息后,发出自己的证书,并FL监听对方回送 的认1结果。而当效劳器收到客户的证书后,给客户回送认狂成功消息,否那么返冋错误消息。 到此为1上,握手协议全部结束。3SSL交易过程在接下来的通信中,SSL采用该密钥来保证数据的保密性和完整性。这就是SSL提供的安 全连接。这时客户需要确认订购并输入信用K砂码。SSL保证信用长殍码以及其他信息只会 被此公司获取。客户还可以打印屏幕上显示的已经被授权的订单,这样就可以得到这次交易的 书面证据。大多数在线商店在得
16、到客户的信用卡号码后出示收到的凭据,这是客户已付款的有 效证据。至此,一个完整的SSL交易过程结束。但是,SSL提供的保密连接有根大的漏洞。SSL除了传输过程以外不能提供任何平安保证, SSL并不能使客户确信此公司接收信用卡支付是得到授权的。在Internet经常会出现一些陌生 的店铺,正因如此,网上商店发生欺诈行为的可能性要比街头店铺大得多。进一步说,即使是 一个老实的网上商店,在收到客户的信用卡号码后如果没有采用好的方法保证其平安性,那么 信用卡号也很容易被黑客通过商家效劳器窃取。2.SET协议SET是山Visa和MasterCard两大信用卡组织联合开发的电子商务平安协议。它是一种 基
17、于消息流的协议,用来保证公共网络上银行卡支付交易的平安性,因而成为Internet上进行在 线交易的电了付款系统标准。目前SET协议已在国际上被大量:实验性地使用并经受了考验, 成了事实上的工业标准。SET是一个复杂的丨办议,它详细而准确地反映了卡交易各方之冋的各种关系。事实上,SET 不只是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字 证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。SET是一个基于可信 的第三方认证中心的方案,它要实现的主要目标有以下三个方面。1保障付款平安:确保付款资料的隐密性及完整性,提供持卡人、特约商店、收单银行的 认证
18、,并定义平安效劳所需要的算法及相关协定。2确定应用的互通性:提供一个开放式的标准。明确定义细节,以确保不同厂商开发的应 用程序可共同运作,促成软件互通;在现存各种标准下构建协定,允许在任何软硬件平台上执 行,使标准到达相容性与接受性目标。3到达全球市场的接受性:在容易使用与对特约商店、持卡人影响最小的前提下,到达全 球普遍性。允许在H前使用者的应用软件下,嵌入付款协定的执行,对收单银行与特约商店、 持卡人与发卡银行间的关系,以及信用卡组织的根底构架改变最少。SET主要用于消费者与商店、商店与收单银行付款银行之间。在SET的这个过程中,CA扮演了系统的很重要的角色。SET标准着重的是其交易平安及
19、 隐密性。其中,数字证书为其核心,它提供了简单的方法来确保进行电了交易的人们能够互相 信任。信用卡组织提供数字证书给发卡银行,然后发卡银行再提供证书给持卡人:同时,信用R 纟且织也提供数字证书给收单银行,然后收单银行再将证书发给特约商店。在进行交易的时候, 持卡人和特约商店符合SET的规格软件会在资料交换前分别确认双方的身份,也就是检査山授 权的第三者所发给的证书。在SET协定中,有持卡人证书、特约商店证书、支付网关证书、收 单银行证书和发卡银行证书等五种证书。持卡人的证书必须由发卡银行来颁发。在首次上网购物之前,持卡人必须先通过一个客户 端程序将包括姓名、卡号、卡片有效期、邮寄地址等可以证明
20、持卡人身份的根本资料发给发卡 银行。这些资料使用银行的公钥加密,可平安地送至银行。发卡银行确认此帐户正确无 误后, 便发给持卡人一张具有电子平安数字签章的证书。持卡人只要将证书储存在电脑上,即可进行 电子购物。同样,商店也必须取得收单银行的电子证书才可以接收SET方式的支付。商店要将 它的根本资料发送给收单银行,收单银行在确认无误后发出一张数字证书,允许它从事电子交 易。3.SSL和SET协议的比较申实上,SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相 似 之处。而RSA在二者中也被用来实现不同的平安目标。SET是一个多方的报文协议,它定义了 银行、商家、持卡人之间必
21、需的报文标准,与此同时SSLX是简单地在两方之间建立了平安连 接。SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内 部网或者其他网络上传输,而SSL之上的卡支付系统只能与Web浏览器捆 绑在一起。SET与 SSL相比具有.如下优点:1SET为商家提供了保护自己的手段,使商家免受欺诈的困扰,使商家的运营本钱降低。2对消费者而言,SET保证了商家的合法性,并旦用户的信用卡号不会被窃取,SET替消 费者保守了更多的秘密使其在线购物更加轻松o3银行和发卡机构以及各种信用卡組织来说因为SET可以帮助它们将业务扩展到Internet 这个广阔的空间,从而使得信用卡网上支
22、付貝有更低的欺骗概率,这使得它比其他支付方式具 有更大的竞争力。4SET对于参与交易的各方定义了互操作接曰,一个系统可以由不同厂商的产品构筑。提供这些功能的前提是:SET要求在银行网络、商家效劳器、顾客的PC土安装相应的软件。 这些阻止了 SET的广泛开展。另外,SET还要求必须向各方发放证书,这也成为阻 碍之一。 所有这些使得SET要比SSL昂贵得多。SET的另外一个优点在于:它可以用在系统的一局部。 例如,一些商家正在考虑在与银行连接中使用SET,而与顾客连接时仍然使用SSLo这种方案既 回避了在顾客机器上安装钱央软件:同时又获得了 SET提供的很多优点。在SET中,交易凭 证中有客户的签
23、名,银行就会有客户曾经购物的证据。提供这种能力的特性在密码学中称之为 认可。它所提供的可靠性的前提是客户必须保证私人签字密钥的平安。综上所述,在电子商务过程中,釆用何种平安电子交易的协议是非常重要的,既要考虑安 全性问题也要考虑实现过程的复杂程度和建设网站的本钱。因此,开展电子商务需要根据实际 情况,在保证平安本钱,以促进我国的网络贸易的快速开展。电子商务平安协议的两难杨斌 2003-3-15计算机世界周报SSL和SET都是电子商务中的核心平安技术,但是,由于技术和人为的因素,这两种技术 冃前都存在着应用局限性。保证电子商务平安,其核心在于平安协议。目前应用得最广泛的是平安套接层协议(SSL)
24、, 它已成为事实上的工业标准。它基于强公钥加密技术及RSA的专用密钥技术,建立进程对进 程平安传输效劳和加密传输信道,把参与通信的相应进程之间的数据信道按“私用和“已认 疋进行监管。SSL协议独立于应用层,可加载任何高层应用协议,因此,SSL协议适合为各类 客户/效劳器产品提供平安传输效劳。SSL协议提供一种加密的握手会话,使客户端和效劳器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。这种握手会话通过数字签名和数字证书来实现客户和效劳器双方的 身份验证,采用DES、MD5等加密技术实现数据的保密性和完整性。在用数字证对双方的身 份验证后,双方就可以用密钥进行平安会话。改进后的SSL版本
25、3分为SSL紀录层和SSL协商层,它们分别对应以卜两个协议:(1)SSL记录协议。它涉及应用程序提供的信息分段、压缩、数据认证和加密。(2)SSL握手协议。用来交换版本号、加密算法、(相互)身份认i正并交换密钥。Internet码分配当局(IANA)己经为具备SSL功能的应用分配了固定端口号,例如,带SSL的 被分配的端口号为443,带SSL的SMTP被分配的端口号为465,带SSL的NNTP被分配的 端号为5630但是,SSL目前并不完备,缺陷是只能保证传输过程的平安,无法知道在传输过程屮是否 受到窃听,黑客可破译SSL的加密数据,破坏和盗窃Web信息。此外,SSL在全球的大规模 使用还有一
26、定的难度。SSL产品的出II受到美国国家平安局的限制,美国政府只允许加密密钥 为40位以下的算法出曰而美国的商家一般都使用128位的SSL,致使美国以外的国家很难真. 正在电子商务中充分利用SSLo新的SSL协议被命名为TLS (Transport Layer Security),平安可箪 性可有所提高,但仍不能消除原有技术的根本缺陷。又由于SSL协议将客户的信用卡号传送给 商家,容易被心术不正的商家欺诈。因此,SSL目前面临着非常大的应用难题。为了实现更加完善的电子交易,MasterCai-d和 Visa以及其他一些厂商制订并发布了 SET协议。SET协议是专为保护持卡人、发卡人、商家和收单
27、者之间,在因特冋上进行信用卡支付的 平安交易协议。该方法将销传商效劳器中的信用卡号码进行编码,规定了信用卡持卡人用其信 用卡通过Internet进行付费的方法,向基于信用卡进行电子化交易的应用提供了实现安 全措施 的规那么。这套机制的后台有一个证书颁发结构,提供对X.509 iiE 15的支持。只有银行和信用 卡公司才能知道该号码。SET协议为电子交易提供的平安措施,保证了电子交易的机密性、数 据完整性、身份的合法性和抗否认性,使人们在网上被欺诈的时机要比现实生活中少得多。但 是,SET协议不能解决电子商务所遇到的全部问题,它不同寻常地复杂,该协仪的描述有好 儿百贞之多,冃前该协仪儿乎面临停顿
28、,而国内仅有少数应用。SSL学习笔记Secure socket layer(SSL)协议最初由Netscape企业开展,现已成为网络用来鉴别网站和网页 浏览者身份,以及在浏览器使用者及网页效劳器之间进行加密通讯的全球化标准。山于SSL技 术已建立到所有主要的浏览器和WEB效劳器程序屮,因此,仅需安装数字证书,或效劳器证 书就可以激活效劳器功能了。这次专题我们先从SS1原理讲起。SSL是一个介于 协议与TCP之间的一个可选层,其位置大致如下:I IISSLIITCPIIIPI如果利用SSL协议来访问网页,其步骤如下:用户:在浏览器的地址栏里输入 s:/ sslserver 层:将用户需求翻译成
29、请求,如I Host :/ sslserver SSL层:借助下层协议的的信道平安的协商出一份加密密钥,并用此密钥来加密 请 求。TCP层:与web server的443端口建立连接,传递SSL处理后的数据。接收端与此过程相 反。SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此到达保密的效 果。SSL 协仪分为两局部:Handshake Protocol 和 Record Protocol,o 其屮 HandshakeProtocol 用来 协商密钥,协议的大局部内容就是通信双方如何利用它来平安的协商出一份密钥。Record Protocol那么定义了传输的格式。SSL协
30、议和SET协议的分析与比较龚本灿周学启摘要:在电子商务屮,SSL协议得到了广泛的协议,ifuSET协议那么是今后的开展趋势,本文在 分析这两 种协议原理的根底匕对两者的特点进行了比较。关键词:电子商务;SSL协议;SET协议1 SSL协议1.1SSL协议概述SSL (Secure Sockets Layer)平安套接层协议是Netscape公司1995年推岀的一种平安通信协议。SSL提供了两台计算机之冋的平安 连 接,对整个会话进行了加密,从而保证了平安传输。SSL协议建立在可靠的TCP传输控制协议 之上,并且与上层协议无关,各种应用层协议(如: , FTP, TELNET等)能通过SSL协议
31、 进行透明传输。SSL协议分为两层:SSL握手协议和SSL记录协议。SSL协议与TCP/IP协议间的关系 如图_所示: S FTPS TELNETS IMAPS 等SSL握手协议SSL记录协议 TCP传输控制协议 IP因特网协议图-SSL协议与TCP/IP协议冋的关系SSL协议提供的平安连接具有以下三个根本特点:(1)迎接是保密的:对于每个连接都有一个唯一的会话密钥,釆用对称密码体制(如 DES、RC4等)来加密数据;(2)连接是可靠的:消息的传输釆用MAC算法(如MD5、SHA等)进行完整性检验:(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。握手协议SSL握手协议用于
32、在通信双方建立平安传输通道,具体实现以下功能:(1)在客户端 验 证效劳器,SSL协议釆用公钥方式进行身份认证;(2)在效劳器端验证客户(可选的);(3)客户端和效劳器之间协商双方都支持的加密算法和压缩算法,可选用的加密算法包括: IDEA、RC4、DES、3DES、RSA、DSS、Diffie_hellmanFortezza、MD5、SHA 等;(4)产生 对称加密算法的会话密钥;(5)建立加密SSL连接。一般的握手过程如图二所示:握手过程 分为4个阶段:(1)初始化逻辑连接,客户方先发出ClientHello消息,效劳器方也应返回一个 ServerHello消息,这两个消息用来协商双方的平安能力,包括协议版本、随机参数、会话ID、 交换密钥算法、对称加密算法、压缩算法等。(2)效
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 