毕业设计（论文）-基于SSL协议支付系统安全性研究.doc

17 目录摘要Abstract绪论一、电子商务的简介.5二、电子商务的支付系统.7第一章SSL安全协议.10 第一节SSL安全协议的简介.10 第二节SSL提供的安全内容.11第二章 SLL协议的安全性研究.12第一节SSL的优点. .12第二节SSL的缺点.12第三章 基于SSL协议的支付系统模型研究.14三、结论.15参考文献.16致谢.17摘要随着计算机网络技术的广泛发展和应用，支付体系成为了开展电子商务的必备条件是目前制约中国电子商务发展的最大瓶颈，它也是电子商务的关键，电子支付系统便成为了电子商务中最重要的环节之一。本文从电子支付的安全要求出发，主要用来解决电子商务中的个体交易实体（用户.商家.银行等）向就、资金流和信息流在Internet上即时传递及其安全性问题。提出了基于SSL协议的电子支付系统的方案设计模型，设计了系统流程，并对安全性进行了分析，保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。文中就新方案与SET做了比较，并叙述了其如何满足电子商务的安全需求，对其支付流程进行电子支付的过程和相关的支付安全性问题的研究的分析。新方案适用于新客户、商家间其于直销的交易，优化了交易的速度，保证协议的安全性，并能使其有更高的使用性。【关键词】支付系统 SSL协议 安全支付AbstractWith the extensive application of computer network technology, E-commerce payment system has become a prerequisite for the development of Chinese e-commerce is currently restricting the biggest bottleneck, It is also the key to e-commerce, e-commerce payment system has become one of the most important part.In this paper, the security of electronic payment requirements, Mainly used to solve individual e-commerce transaction entity (user. Business. Bank) to it, capital flow and information flow on the Internet, instant delivery and security issues. SSL protocol is proposed based on the electronic payment system design model, Design a system process, And safety aspects of the analysis, Guarantee confidentiality of e-commerce, integrity, validity, authenticity and non-repudiation.The article on the new program was compared with the SET, And describes how they meet the security needs of e-commerce, Payment processes for its electronic payment process and payment of security issues related to the research analysis. New program for new customers between its direct business transactions Optimize the speed of the transaction, to ensure the security agreement, and to make it have a higher usability.【Key words】Payment System SSL protocol Payment Security绪 论一、电子商务的简介随着互联网热潮席卷全球，电子商务日益成为最时髦的词汇之一。顾明思义 ，电子商务内容包含两个方面，一是电子方式，二是商贸活动。商务是行为，就是人们的交易活动。在市场经济中，交易是有偿的，是在分工的基础上，不同劳动的等价交换。电子是技术，是实现行为的手段，尽管它包括的内容很多，但通常我们主要指的是计算机和网络。电子商务，就是用电子手段从事的商务活动。也可称为：商务活动的电子化。在英文中，常常以EC(Electronic ColTlnlrce)或EB(Electronicbusiness)表示。EC和EB 将电了商务分为狭义和广义两种，狭义的电子商务(EC)指电子交易，侧重商务活动中的交易行为；广义的电子商务(EB)贝IJ是包括电子交易在内的利用网络进行的全部商务活 动，涵盖了企业内部的生产、管理、行销、财务，以及企业间的商务活动等等，它是一个系统的、完整的概念，包括方案的提出、设计、实施，以及建立在其上的商务应用等各个方面。1电子商务是利用计算机技术、网络技术和远程通信技术，实现整个商务(买卖)过程中的电子化、数字化和网络化。是指利用互联网为工具，使买卖双方不谋面地进行的各种商业和贸易活动。电子商务专业是融计算机科学、市场营销学、管理学、法学和现代物流于一体的新型交叉学科。培养掌握计算机、信息技术、市场营销、国际商贸、管理、法律和现代物流的基本理论及基础知识，具有利用网络开展商务活动的能力和利用计算机信息技术、现代物流方法改善企业管理方法，提高企业管理水平能力的创新型复合型电子商务高级专门人才，电子商务是以商务活动为主体，以计算机网络为基础，以电子化方式为手段，在法律许可范围内所进行的商务活动过程。电子商务是一个不断发展的概念，电子商务的先驱IBM公司于1996年提出了Electronic Commerce的概念，到了1997年，该公司又提出了Electronic Commerce的概念。但我国在引进这些概念的时候都翻译成电子商务，很多人对这两者的概念产生了混淆。事实上这两个概念及内容是有区别的，E-Commerce应翻译成电子商业，有人将E-Commerce称为狭义的电子商务。将E-Commerce称为广义的电子商务。E-Commerce是指实现整个贸易过程中各阶段贸易活动的电子化。E-Business是利用网络实现所有商务活动业物流程的电子化。 电子商务并非是一个单纯的技术概念，也不仅仅是一个单纯的商业概念，而是两者的有机结合。在电子商务运作过程中，传统的基于纸张或其他介质的商业运作方式(如 数据和资料的传递及存储等)，被电子方式或者说被网络技术所替代，而这种技术上的创新，正是为了给企业开辟更为广阔的商务活动空间。2 电子商务是以信息技术为基础的商务活动，它包括生产、流通、分配、交换和消费等环节中连接生产和消费的所有活动的电子信息化处理。电子商务的支付体系具体地说，电子商务活动是指 以下列方式所进行的交易或商务活动： (1)通过Intemet进行的交易，如联机商店(Online Shop)和网上直销(internet Direct Sale) (2)通过进行Internet商务活动，如联机服务(Online Service)和网上广告(internet ADV)等； (3)通过增值网络(Valueadded Ne twork)进行的电子交易和服务，如通过EDl4进行采购和报关等； (4)通过连接企业或机构的计算机网络发生的交易和服务。 电子商务的目的就是要实现企业乃至全社会的高效率、低成本的贸易活动。个性化、自动化的服务可以为商业企业增加收入、降低成本，同时可以更好地建立和加强同客户、合作伙伴之间的关系。电子商务是一种在Intemet普遍推广应用的前提下，将现代信息 产业技术与传统的商务活动相结合，通过互联网进行交易的一种动态商务活动。它撇开 了在传统的商务活动中必不可少的复杂环节，如广告宣传、通过电话传真进行联系、数次当面的洽谈、最后签约付款和供货等。3 从贸易活动的角度分析，电了商务可以在多个环节实现，由此也可以将电子商务分为两个层次。较低层次的电子商务是电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用因特网进行的全部贸易活功，即借网络将信息流、资金流和部分的物流完整地实现。要实现完整的电子商务还会涉及到很多方面，除了买家、卖家外，还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。对上述提出的有关电子商务的要求，不可能所有的企业都一步到位实现完整的电子商务过程。在实际运作时，人们把所有新的通信技术和计算机技术来改变传统商务模式的活动都称作电子商务。到目前为止，对于电子商务还没有一个统一的说法，上至世界各大知名rr厂商、政府高级官员，下至各个普通百姓，都在自己了解的范围内，最大限度地使用着“电于商务这个时髦的名词。电子商务是实践性很强的科学，对它的认识只能随实践的发展不断深化，其概念及定义最后也要在实践过程中达到统一。4 5二、电子商务的支付系统电子商务支付系统是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段（包括电子现金（E-CA-SH）、信用卡（CREDIT CARD）、借记卡（DEBIT CARD）、智能卡等）的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付。支付体系是开展电子商务必备条件，是目前制约中国电子商务发展的最大瓶颈。5它与传统商务模式相比,电子商务具有以下优点:1、营运成本低。电子商务跨越了传统营销方式下的中间商环节,缩短了价值链,降低了交易成本,顾客可以较低的价格获得优质产品和服务。2、用户范围广。如前所述,电子商务是基于Internet的,而Internet网迅速扩大的数以千万计的用户群对商家来说无疑是一个巨大的潜在的买方市场。3、无时空限制。全球市场由网络连接成为与地域及空间无关的一体化市场,任何人只要拥有一个网络入口点,就可随时、随地、随意地进行商务活动。4、多媒体手段。网上不但可传递文字,同时也可传递图像、动画、声音,客户可以直观地浏览和选择商品。双向互动交流。通过电子商务系统商家可以在网上展示商品,提供有关商品信息的查询,与顾客进行互动双向沟通,收集市场信息,进行产品测试等。5、提供个性化服务。在商品越来越趋于共性化,而消费者越来越个性化的时代,电子商务凭借现代高科技技术的支撑,可充分实现以顾客为中心,最大程度上满足顾客个性化需求。6 7但目前电子商务支付体系存在的问题：1、缺少一个统一、权威的认证中心，容易造成交叉认证和混乱。2、电子商务法律框架尚未建立，网上支付的风险较大。数字签名的合法性问题没有解决。3、目前的结算制度难以保证资金流动的实时性。4、信用卡处理的统一问题。5、网络支付安全问题。6、企业在钱销售软件系统极为缺乏。因此，电子商务支付系统主要使用的保障电子商务支付系统安全的协议包括：SSL（Secure Socket Lay-er,安全套按字层）、SET（Secure Electronic Transaction）等协议标准。7所以本文将重点研究SSL协议与SET协议，并对两者进行比较：SET协议和SSL协议对于研究电子商务的人员来说并不陌生，当今电子商务发展的核心问题是交易的安全性问题，这也是企业应用电子商务最担心的问题，因此如何在开放的公用网上构筑安全的交易模式，一直是人们研究的热点和大家关注的话题，要构筑一个安全的电子交易模式，应满足以下五个方面，这也是OSI规定的五种标准的安全服务： （1）数据保密：防止信息被截获或非法存取而泄密。 （2）对象认证：通信双方对各自通信对象的合法性、真实性进行确认，以防第三者假冒。 （3）数据完整性：阻止非法实体对交换数据的修改、插入、删除及防止数据丢失。 （4）防抗抵赖：用于证实已发生过的操作，防止交易双方对发生的行为抵赖。 （5）访问控制：防止非授权用户非法使用系统资源。 迄今为止，国内外已经出现了多种电子支付协议，目前有两种安全在线支付协议被广泛采用，即安全套接层SSL协议和安全电子交易SET协议，二者均是成熟和实用的安全协议。6另外，SET是一个多方的消息报文协议，它定义了银行、商家、持卡人之间必需的报文规范，而SSL只是简单地在两方之间建立了一条安全连接。SSL是面向连接的，而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网络或者其他网络上传输，而基于SSL协议之上的支付卡系统只能与Web浏览器捆绑在一起。两者间的差别主要表现在以下几个方面： 用户接口不同在应用中，SSL协议已被浏览器与Web服务器内置，无须安装专门软件，用户通过网络就可直接应用；而SET协议中客户端须安装专门的电子钱包类软件，并且在商家服务器和银行网络上也须安装相应的软件，不同银行间、系统间的兼容性尚不够完善。 处理速度不同SET协议非常复杂、庞大，处理速度慢。一个典型的SET交易过程须传递证书7次，验证电子证书9次，进行5次签名，验证数字签名6次，4次对称加密和4次非对称加密，整个交易过程可能需花费152分钟；而SSL协议则简单得多，处理速度比SET协议快。认证要求各异早期的SSL协议并没有提供身份认证机制，虽然在SSL30中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证，但仍不能实现多方认证，而且在SSL协议中商家服务器的认证是必需的，客户端的认证则是可选的。相比之下，SET协议的认证要求较高，所有参与SET交易的成员都必须申请数字证书。SET协议还解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。 安全性能差别大安全性是网上交易中最关键的问题。SET协议由于采用了公钥加密、信息摘要和数字签名，可以确保信息的保密性、可鉴别性、完整性和不可否认性，且SET协议采用了双重签名来保证各参与方信息的相互隔离，使商家只能看到持卡人的订购数据，而银行只能取得持卡人的信用卡信息。 SSL协议虽也采用了公钥加密、信息摘要和MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但缺乏一套完整的认证体系，不能提供完备的防抵赖功能。因此，SET的安全性远比SSL高。 协议层次和功能各异SSL属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能。而SET协议位于应用层，不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能。8相比之下，SET协议从技术上和流程上都要相对优于SSL协议，功能上也更强，但这并不代表SET协议就会超过SSL协议的应用。 因为虽然SET通过制定标准和采用各种技术手段，解决了一直困扰电子商务发展的安全问题，但是SET协议要求在银行网络、商家服务器、顾客的PC机上安装相应的软件；且要求必须向各方发放证书，使得应用SET协议要比SSL协议昂贵得多。这些成了广泛使用SET协议的障碍。在未来的一段时间内，可能会出现商家需要支持SET和SSL两种支付方式的局面。但由于SET实现起来非常复杂，商家和银行都需要改造原有系统以实现相互间的操作。 智能卡的推广使用将改变现有的电子商务方式，但是需要添置额外的设备，也需要时间被人们接受以做到广泛发卡，另外，很多厂商还在致力于发展别的协议以支持SET Payments)等。两种都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。8 所以，协议实现简单，独立于应用层协议，大部分内置于浏览器和Web服务器中，在电子交易中应用便利。但它是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，不能实现多方的电子交易中。SET在保留对客户信用卡认证的前提下增加了对商家身份的认证，安全性进一步提高。由于两协议所处的网络层次不同，为电子商务提供的服务也不相同，因此在实践中应根据具体情况来选择独立使用或两者混合使用。6 8 第一章SSL安全协议第一节SSL安全协议的简介SSL作为目前保护Web安全和基于HTTP的电子商务交易安全的事实上的，被许多世界知名厂商的Intranet和Internet网络产品所支持，其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器产品，如IE和Netscape浏览器，IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。7 8SSL采用对称密码技术和公开密码技术相结合，提供了如下三种基本的安全服务：（1）秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。完整性。SSL利用密码算法和hash函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息内容受到破坏。（2）认证性。利用证书技术和可信的第三方CA，可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户)，SSL要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。 SSL可分为两层，一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样，应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了 TCP/IP协议安全性较差的弱点。 Netscape公司已经向公众推出了SSL的参考实现（称为SSLref）。另一免费的SSL实现叫做SSLeay。SSLref和SSLeay均可给任何TCP/IP应用提供SSL功能，并且提供部分或全部源代码。Internet号码分配当局（IANA）已经为具备SSL功能的应用分配了固定端口号，微软推出了SSL版本2的改进版本，叫做PCT（私人通信技术）。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显著位（The Most Significant Bit）上的取值有所不同：SSL该位取0，PCT该位取1。这样区分之后，就可以对这两个协议都给予支持。1996年4月，IETF授权一个传输层安全（TLS）工作组着手制订一个传输层安全协议（TLSP），以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。8 10 1、SSL协议提供服务主要有： 1）认证用户和服务器，确保数据发送到正确的客户机和服务器； 2）加密数据以防止数据中途被窃取； 3）维护数据的完整性，确保数据在传输过程中不被改变。2、SSL协议的工作流程： 服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。11用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。整个SSL的工作流程如图一所示Client Server ClientHello ServerHello Certificate* ServerKeyExchange CertificateRequest* ServerHelloDone Certificate* 一 CertificateVerify* 其中，带的过程是可选过程 【ChangeCipherSpec】 Finished - erverKeyExchange plication Data_一Application DATA 图一 SSL流程图从SSL协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。11 12第二节SSL提供的安全内容SSL（Secure Socket Layer即安全套接层）协议是Netsc Communication公司推出在网络传输层之上提供的一种基于非对称密钥和对称密钥技术的用于浏览器和Web服务器之间的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL协议支持了电子商务关于数据的安全性、完整性和身份认证的要求，但是它没有保证不可抵赖性的要求。它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。SSL也提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。 9 10所以，SSL保证了Ineternet上浏览器。服务器会话中三大安全中心内容：机密性、完整性认证性。（1）L把客户机和服务器之间的所有同通信都进行加密，保证了机密性。（2）供完整性检验，可防止数据在通信过程中被改动。（3）提供认证性使用数字证书用以正确识别对方。首先是利用服务的数字证书来验证商家的资格。如果商家网站服务器要进行SSL的安全网上交易，他必须事先向认证中心提出商家自己的合法证明（营业执照、法人材料等），并取得数字证书。在SSL交易中，客户浏览器对服务器进行认证，以使其确信与之通信的网站服务器具有的特定密钥；必要时服务对浏览器用类似方法进行认证，以确信其具有合法的信用卡号等。现在网络商店使用这类似认证还在普及之中，而Ineternet银行合同签署中已普遍采用。9第二章SSL协议的安全性研究 在计算机科学领域，安全性问题是受到更多关注的问题，使用SSL 协议是一个可以保证安全需要的解决办法。然而，当决定是否使用SSL 的时候，还需要考虑整个大环境。 第一种情况，当信用卡公司很可靠的情况下，可以使用SSL 协议。因为在使用SSL协议进行网上交易时，买方可以通过商家的证书颁发机构（CA）鉴定商家的身份，商家可以通过验证买家提供的信用卡信息验证买方。但是，商家真正关心的人，不是提供信用卡信息来参加交易的人，而是真正持有卡的人，因为很有可能来交易的人是盗用了别人的信用卡。所以，必须在信用卡公司很可靠的情况下，才能够使用SSL 协议，否则无 法保证买卖双方的身份认证。第二种情况，当电子商务涉及的交易额比较小的情况下，可以使用SSL 协议。因为 一般情况下，黑客不会为了盗取SSL 交易中较少的款项而去耗费过多精力和进行高成本的投资。 总的来说，当网上交易对安全级别要求不高的情况下，可以使用SSL 协议，因为该协议还存在着一些局限性，使它不能保障网上交易的绝对安全。10第一节SSL的优点SSL是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。 SSL叫安全套接层协议，是国际上最早用的，已成工业标准，但它的基点是商家对客户信息保密的承诺，因此有利于商家而不利于客户。安全套接层协议（SSL协议：Secure Socket Layer)是由网景（Netscape）公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而目前取得了广泛的应用。但随着电子商务规模的扩大，网络欺诈的风险性也在提高，在未来的电子商务中SET协议将会逐步占据主导地位。但SSL协议仍存在着一些局限性。11第二节SSL的缺点目前，几乎所有操作平台上的WEB浏览器（IE、Netscatp）以及流行的Web服务器（IIS、Netscape Enterprise Server等）都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点：1. 系统不符合国务院最新颁布的商用密码管理条例中对商用密码产品不得使用国外密码算法的规定，要通过国家密码管理委员会的审批会遇到相当困难。2. 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上，因此从本质上来讲，攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制，使得进入我国的实现了SSL的产品（Web浏览器和服务器）均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子：1995年8月，一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本；另外美国加州两个大学生找到了一个“陷门”，只用了一台工作站几分钟就攻破了Netscape对外出口版本。但是，一个安全协议除了基于其所采用的加密算法安全性以外，更为关键的是其逻辑严密性、完整性、正确性，这也是研究协议安全性的一个重要方面，如果一个安全协议在逻辑上有问题，那么它的安全性其实是比它所采用的加密算法的安全性低，很容易被攻破。从目前来看，SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上，SSL握手协议本身是一个很复杂的过程，情况也比较多，因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的，所以研究SSL协议的逻辑正确性是一个很有价值的问题。 另外，SSL协议在“重传攻击”上，有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数“连接序号”。理论上，攻击者提前无法预测此连接序号，因此不能对服务器的请求做出正确的应答。但是计算机产生的随机数是伪随机数，它的实际周期要远比2128小，更为危险的是有规律性，所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法，有效的解决方法是采用“时间戳”。但是这需要解决网络上所有节点的时间同步问题。12总的来讲，SSL协议的安全性能是好的，而且随着SSL协议的不断改进，更多的安全性能、好的加密算法被采用，逻辑上的缺陷被弥补，SSL协议的安全性能会不断加强。12 13第三章 基于SSL协议的支付系统模型研究SSL（安全套接层）协议共有两个功能，一是加密认证功能，二是报文完整性功能。该协议首先建立一个信息数据通道，然后对其进行加密处理，以保证其安全可靠。顾客的信用卡号可以通过这个安全的信息数据通道直接送达卖方手中，而不会出现外泄和遗漏等问题。这种传递信息的方式就好比安全电话对信息的传递，在发送信息前，安全电话先对信用卡信息进行加密处理，到达目的地后，通过解密还原信息，以保证接收者收到的信息安全、完整、及时、有效。14在以往交易的过程，买方在购物时，先将其资金和信用资料发给卖方，卖方在收到信用资料后，再把买方资金和信用资料转发给银行，银行在收到这些信息后，对买方信息进行验证与核对，符合银行预留信息的，银行将确认该信息有效性，并且从买方账面划出相应金额，转至卖方账户，并告知卖方划账成功，卖方在接到银行的通知信息后，即通知买方，资金已收到，交易完毕。由此可看出SSL协议的成本低、速度快、使用简单。 15 在应用层输入和输出信息之前，SSL 将进行一系列工作，使加密算法达成一致，将密钥进行连接，验证客户端与服务器，以确保信息可以安全、迅速地传递。在此基础上，SSL 将形成一个专供应用层传输信息的保密信道，所有数据通过该信道，准确无误地到达目的地，以此信道为载体，无论何种协议都可进行加载，为应用层信息的传递提供有效、迅速、便捷的保障。例如，当客户进入商家网站，如果选中并打算购买某一商品，需向卖方发出消息，表示购买；卖家收到买家的购买信息之后，告诉对方自己支持哪种银行卡，并把自己的网上证明信息传给客户；客户检查卖方所提供信息的真实性与有效性，在确认商家信息的真实有效性后，利用SSL 安全协议对客户预定的购买信息进行加密，并将加密后的信息通过通信通道传递给商家；客户登录对应银行的网银，对该网站进行验证，确认其真实身份。开户行在收到付款通知后对买卖双方的相关信息进行核对，确认