安全电子支付协议的比较.doc

安全电子支付协议的比较安全电子支付协议的比较 摘要：论文针对电子商务的发展对电子支付环境提出的要求，分别论述了 SSL 协议与 SET 协议对电子支付环节起到的支持作用，并根据其技术标准和工作流程的不同，分析其功能 上存在的差异，及由此导致的适用环境的不同。 关键词：电子支付、SSL、SET 一、概述一、概述 随着计算机网络技术向整个经济社会各层次的延伸，整个社会表现出 对 Internet、Intranet、Extranet 使用的更大的依赖性。随着电子商务的 发展，其核心问题交易的安全性问题也凸现出来，这也是企业应用电子商务 最担心的问题，因此如何在开放的公用网上构筑安全的交易模式，成为人们 研究的热点和大家关注的话题，要构筑一个安全的电子交易模式，应满足以 下五个方面，这也是 OSI 规定的五种标准的安全服务： （1）数据保密：防止信息被截获或非法存取而泄密。 （2）对象认证：通信双方对各自通信对象的合法性、真实性进行确认， 以防第三者假冒。 （3）数据完整性：阻止非法实体对交换数据的修改、插入、删除及防 止数据丢失。 （4）防抗抵赖：用于证实已发生过的操作，防止交易双方对发生的行 为抵赖。 （5）访问控制：防止非授权用户非法使用系统资源。 目前国内外已经出现了多种电子支付协议，有两种安全在线支付协议被 广泛采用，分别为安全套接层 SSL 协议和安全电子交易 SET 协议，二者均是 成熟和实用的安全协议。 二、二、SSLSSL 协议简介协议简介 SSL（Secure Socket Layer 即安全套接层）协议是 Netscape 公司在推 出 Web 浏览器首版的同时，提出的安全通信协议。它是国际上最早应用于电 子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL 采 用公开密钥技术。其目标是保证两个用户间通信的保密性和可靠性,可在服 务器和客户机两端同时实现支持。目前，利用公开密钥技术的 SSL 协议，已 成为 Internet 上保密通讯的工业标准。现行 Web 浏览器普遍将 HTTP 和 SSL 相结合，从而实现安全通信。 1、SSL 协议概述 安全套接层协议(SSL)是在 Internet 基础上提供的一种保证私密性的安 全协议。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对 服务器进行认证，还可选择对客户进行认证。SSL 协议要求建立在可靠的传 输层协议(例如：TCP)之上。SSL 协议的优势在于它是与应用层协议独立无 关的。高层的应用层协议(例如：HTTP，FTP，TELNET.)能透明的建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信 密钥的协商以及服务器认证工作。因而，其后的应用层协议所传送的数据都 会被加密，从而保证通信的私密性。 SSL 协议提供的安全信道有以下三个特性： 1）私密性 加密数据以防止数据中途被窃取，因为在握手协议定义了会 话密钥后，所有的消息都被加密。 2）确认性 认证用户和服务器，确保数据发送到正确的客户机和服务器， 因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。 3）可靠性 维护数据的完整性，确保数据在传输过程中不被改变，因为 传送的消息包括消息完整性检查。 2 2、SSLSSL 的协议规范的协议规范 SSL 协议由 SSL 记录协议和 SSL 握手协议两部分组成。 SSL 记录协议： 在 SSL 协议中，所有的传输数据都被封装在记录中。所有的 SSL 通信包 括握手消息、安全空白记录和应用数据都使用 SSL 记录层。SSL 记录协议包 括了记录头和记录数据格式的规定。 SSL 握手协议： SSL 握手协议包含两个阶段，第一个阶段用于建立私密性通信信道，即 服务器认证阶段；第二个阶段用于客户认证，即用户认证阶段，其工作流程 如下： 服务器认证阶段： 1）客户端向服务器发送一个开始信息“Hello“以便开始一个新的会话连 接； 2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服 务器在响应客户的“Hello“信息时将包含生成主密钥所需的信息； 3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的 公开密钥加密后传给服务器； 4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以 此让客户认证服务器。 用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要 完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数 字）签名后的提问和其公开密钥，从而向服务器提供认证。 从 SSL 协议所提供的服务及其工作流程可以看出，SSL 协议运行的基础 是商家对消费者信息保密的承诺，信息的保密性由商家决定，这就有利于商 家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是 信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发 展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越 来越突出。虽然在 SSL3.0 中通过数字签名和数字证书可实现浏览器和 Web 服务器双方的身份验证，但是 SSL 协议仍存在一些问题，比如，只能提供交 易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL 协议并不 能协调各方间的安全传输和信任关系。在这种情况下，Visa 和 MasterCard 两大信用卡公组织制定了 SET 协议，为网上信用卡支付提供了全球性的标准。 三、三、SETSET 协议简介协议简介 SET（Secure Electonic Transcation 即安全电子交易协议）是美国 Visa 和 MasterCard 两大信用卡组织等联合于 1997 年 5 月推出的用于电子 商务的行业规范。SET 主要是为了解决用户、商家和银行之间通过信用卡支 付的交易而设计的，以确保支付信息的保密性、支付过程的完整性、商户及 持卡人身份的合法性、以及可操作性。 1、SET 协议概述 SET 中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电 子安全证书等。其实质是一种应用在 Internet 上、以信用卡为基础的电子 付款系统规范，目的是为了保证网络交易的安全。SET 妥善地解决了信用卡 在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。 SET 能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安 全性和更少受欺诈的可能性。SET 已获得 IETF 标准的认可，是未来电子商 务的发展方向。 SET 支付系统主要由持卡人（CardHolder） 、商家（Merchant） 、发卡行 （Issuing Bank） 、收单行（Acquiring Bank） 、支付网关（Payment Gateway） 、认证中心（Certificate Authority）等六个部分组成。对应地， 基于 SET 协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关 软件和签发证书软件。 2、SET 协议的工作流程 1）购买请求阶段，用户与商家确定所用支付方式的细节； 2）在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数、 交货方式等信息是否准确，是否有变化。 3）消费者选择付款方式，确认订单签发付款指令。此时 SET 开始介入。 4）在 SET 中，消费看必须对订单和付款指令进行数字签名，同时利用 双重签名技术保证商家看不到消费者的帐号信息。 5）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过 支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认 信息给在线商店。 6）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日 志，以备将来查询。 7）在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号 转移到商店帐号，或通知发卡银行请求支付。 工作流程的前两步与 SET 无关，从第三步开始 SET 起作用，一直到第六 步，在处理过程中通信协议、请求信息的格式、数据类型的定义等 SET 都有 明确的规定。在操作的每一步，消费者、在线商店、支付网关都通过 CA（认证中心）来验证通信主体的身份，以确保通信的对方不是冒名顶替， 因此，也可以简单地认为 SET 协议充分发挥了认证中心的作用，以确保在任 何开放网络上的电子商务参与者所提供信息的真实性和保密性。 四、四、SETSET 与与 SSLSSL 协议的比较协议的比较 1、在认证要求方面，早期的 SSL 并没有提供商家身份认证机制，虽然 在 SSL3.0 中通过数字签名和数字证书可实现对浏览器和 Web 服务器双方的 身份验证，但仍不能实现多方认证；相比之下，SET 的安全要求较高，所有 参与 SET 交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须 申请数字证书进行身份验证。 2、在安全性方面，SET 协议规范了整个商务活动的流程，SET 不仅加密 两个端点间的单个会话，它还非常详细而准确地反映了卡交易各方之间存在 的各种关系。SET 还定义了加密信息的格式和完成一笔卡支付交易过程中各 方传输信息的规则。事实上，SET 远远不止是一个技术方面的协议，它还说 明了每一方所持有的数字证书的合法含义，各方对响应信息应采取的动作， 及各方于一笔交易中的责任分担。SET 实现起来非常复杂，商家和银行都需 要改造系统以实现互操作。另外 SET 协议需要认证中心的支持。SET 是一个 多方的报文协议，它定义了银行、商家、持卡人之间的必须的报文规范，相 比之下 SSL 只是简单地在两方之间建立了一条安全连接。SET 报文能够在银 行内部网或者其他网络上传输，而 SSL 之上的卡支付系统只能与 Web 浏览器 捆绑在一起。SET 对从持卡人到商家，到支付网关，到认证中心以及信用卡 结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准， 从而最大限度地保证了商务性、服务性、协调性和集成性。而 SSL 只对持卡 人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术 规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。 因此 SET 的安全性比 SSL 高。 3、在网络层协议位置方面，SSL 是基于传输层的通用安全协议，而 SET 位于应用层，对网络上其他各层也有涉及。 4、在应用领域方面，SSL 主要是和 Web 应用一起工作，而 SET 是为信 用卡交易提供安全，因此如果电子商务应用只是通过 Web 或是电子邮件，则 可以不要 SET。但如果电子商务应用是一个涉及多方交易的过程，则使用 SET 更安全、更通用些。 五、总结五、总结 SSL 协议实现简单，独立于应用层协议，大部分内置于浏览器和 Web 服 务器中，在电子交易中应用便利。但它是一个面向连接的协议，只能提供交 易中客户与服务器间的双方认证，不能实现多方的电子交易。SET 在保留对 客户信用卡认证的前提下增加了对商家身份的认证，安全性进一步提高。由 于两协议所处的网络层次不同，为电子商务提供的服务也不相同，因此在实 践中应根据具体情况来选择独立使用或两者混合使用。 SSL 协议与 SET 协议的关系类似于 IP 与 ATM 的关系。IP 协议的应用非 常广泛，实现简单且成本低廉，但服务质量没有保证。ATM 实现复杂，需要 对现有的设备和应用环境进行改造，成本高昂，但对服务质量有保证。结果 ATM 迟迟不能推出成熟的规范的同时，IP 设备迅速抢占了市场。因此我个人 认为评价一种技术的前景，最重要的就是这种技术能不能在现有的条件下占 有市场。至于这种技术是不是先进、是不是有好的扩展性等等相对来说处于 次要地位。从已有的应用份额、实现成本、技术支持等影响市场占有率的最 重要的因素来看，SSL 协议已经占据了有利的形势。 参考文献参考文献: 1.李鼎，电子商务基础，首都经济贸易大学出版社，2001。 2.张一卓，电子商务支付系统，四川大学出版社，2002。 3.梁普等，电子商务核心技术安全电子交易协议的理论与设计，西安大学出版社，2003 年。 4.梁小春，电子商务支付系统体系结构，北京大学出版社，2001 年。 THETHE COMPARISONCOMPARISON OFOF THETHE SECURITYSECURITY ELECTRONICELECTRONIC PAYMENTPAYMENT AGREEMENTAGREEMENT Abstract:Abstract: According to the requirement of the development of the e-commerce for the environment of the electronic payment, the paper, based on the technica