網(wǎng)絡(luò)支付安全協(xié)議和的比較 摘要 安全協(xié)議是目前電子支付技術(shù)安全問題中的熱點(diǎn),安全套接層協(xié)議(SSL)和安全電子交易協(xié)議( SET)是電子商務(wù)中支持支付系統(tǒng)的關(guān)鍵技術(shù)。文章通過分析這兩種協(xié)議的工作原理,對兩者的特點(diǎn)進(jìn)行了對比。 關(guān)鍵詞 電子支付 安全 SSL協(xié)議 SET協(xié)議 網(wǎng)絡(luò)和信息技術(shù)的不斷發(fā)展和滲透，使得電子商務(wù)得到了飛速的發(fā)展。然而，電子商務(wù)在提供機(jī)遇和便利的同時，也面臨著一個最大的挑戰(zhàn)，即交易的安全問題。其中，安全協(xié)議是保證電子商務(wù)安全的核心所在。 目前，國內(nèi)外使用的保障電子商務(wù)支付系統(tǒng)安全的協(xié)議包括：安全套接層協(xié)議SSL（Secure Socket Layer）、安全電子交易協(xié)議SET（Secure Electronic Transaction）等協(xié)議標(biāo)準(zhǔn)。 一、SSL協(xié)議 SSL協(xié)議是Netscape Communication公司推出在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議，提供了加密、認(rèn)證服務(wù)和報文完整性。它是國際上最早應(yīng)用于電子商務(wù)的一種由消費(fèi)者和商家雙方參加的信用卡/借記卡支付協(xié)議。 1.SSL協(xié)議提供的服務(wù)主要有 (1)用戶和服務(wù)器的合法性認(rèn)證； (2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)； (3)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)能完整準(zhǔn)確地傳輸?shù)侥康牡亍?該協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對點(diǎn)之間的信息傳輸，常用Web Server方式,它包括：服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務(wù)應(yīng)用來說，使用SSL可保證信息的真實(shí)性、完整性和保密性。 2.SSL協(xié)議的工作流程 (1)接通階段：客戶通過網(wǎng)絡(luò)向服務(wù)商發(fā)送連接信息，服務(wù)商回應(yīng)； (2)密碼交換階段：客戶與服務(wù)器之間交換雙方認(rèn)可的密碼，一般選用RSA密碼算法，也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法； (3)會談密碼階段：客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器； (4)檢驗(yàn)階段：服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。 (5)客戶認(rèn)證階段：服務(wù)器通過數(shù)字簽名驗(yàn)證客戶的可信度； (6)結(jié)束階段，客戶與服務(wù)商之間相互交換結(jié)束的信息。SSL協(xié)議運(yùn)行的基點(diǎn)是商家對客戶信息保密的承諾。從SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出，該協(xié)議有利于商家而不利于消費(fèi)者?？蛻舻男畔⑹紫葌鞯缴碳?，商家閱讀后再傳給銀行，這樣，客戶資料的安全性便受到威脅。商家認(rèn)證客戶是必要的，但整個過程中，缺少了客戶對商家的認(rèn)證。在電子商務(wù)的初級階段，由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務(wù)的發(fā)展，各中小型公司也參與進(jìn)來，這樣在電子支付過程中的單一認(rèn)證問題就越來越突出。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證，但是SSL協(xié)議仍存在一些問題，比如，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下，Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議，為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。 二、Set協(xié)議 Set協(xié)議是1997年5月31日由VISA和MasterCard兩大信用卡公司聯(lián)合推出的一個基于開放網(wǎng)絡(luò)的安全的以信用卡支付為基礎(chǔ)的電子商務(wù)協(xié)議。它運(yùn)用了RSA安全的公鑰加密技術(shù)，具有資料保密性、資料完整性、資料來源可辨識性及不可否認(rèn)性，是用來保護(hù)消費(fèi)者在Internet持卡付款交易安全中的標(biāo)準(zhǔn)。現(xiàn)在，SET已成為國際上所公認(rèn)的在Internet電子商業(yè)交易中的安全標(biāo)準(zhǔn)。 1.SET支付系統(tǒng)的組成 SET支付系統(tǒng)主要由持卡人（CardHolder）、商家（Merchant）、發(fā)卡行（Issuing Bank）、收單行（Acquiring Bank）、支付網(wǎng)關(guān)（Payment Gateway）、認(rèn)證中心（Certificate Authority）等六個部分組成。對應(yīng)地，基于SET協(xié)議的網(wǎng)上購物系統(tǒng)至少包括電子錢包軟件、商家軟件、支付網(wǎng)關(guān)軟件和簽發(fā)證書軟件。 2.SET協(xié)議的工作流程如下 在SET協(xié)議介入之前，消費(fèi)者通過因特網(wǎng)進(jìn)行選貨、下訂單并與商家聯(lián)系最終確定訂單的相關(guān)情況、付款方式和簽發(fā)付款指令。此時SET協(xié)議開始介入，進(jìn)入以下幾個階段 (1)支付初始化請求和響應(yīng)階段。當(dāng)客戶決定要購買商家的商品并使用電子錢包支付時，商家服務(wù)器上POS軟件發(fā)報文給客戶的瀏覽器電子錢包，電子錢包要求客戶輸入口令然后與商家服務(wù)器交換“握手”信息，使客戶和商家相互確認(rèn)，即客戶確認(rèn)商家被授權(quán)可以接受信用卡，同時商家也確認(rèn)客戶是一個合法的持卡人。 (2)支付請求階段?？蛻舭l(fā)出一個報文，包括訂單和支付命令。在訂單和支付命令中必須有客戶的數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到客戶的賬號信息。而位于商家開戶行的被稱為支付網(wǎng)關(guān)的另外一個服務(wù)器可以處理支付命令中的信息。 (3)授權(quán)請求階段。商家收到訂單后，POS組織一個授權(quán)請求報文，其中包括客戶的支付命令，發(fā)送給支付網(wǎng)關(guān)。支付網(wǎng)關(guān)是一個Internet服務(wù)器，是連接Internet和銀行內(nèi)部網(wǎng)絡(luò)的接口。授權(quán)請求報文通過支付網(wǎng)關(guān)到達(dá)收單銀行后，收單銀行再到發(fā)卡銀行確認(rèn)。 (4)授權(quán)響應(yīng)階段。收單銀行得到發(fā)卡銀行的批準(zhǔn)后，通過支付網(wǎng)關(guān)發(fā)給商家授權(quán)響應(yīng)報文。 (5)支付響應(yīng)階段。商家發(fā)送購買響應(yīng)報文給客戶，記錄客戶交易日志，以備查詢。之后進(jìn)行發(fā)貨或提供服務(wù)，并通知收單銀行將錢從消費(fèi)者的賬號轉(zhuǎn)移到商店賬號，或通知發(fā)卡銀行請求支付。 三、SSL協(xié)議和SET協(xié)議的對比 1.SSL協(xié)議的優(yōu)缺點(diǎn) SSL協(xié)議是兩層協(xié)議，建立在TCP傳輸控制協(xié)議之上、應(yīng)用層之下，并且與上層應(yīng)用協(xié)議無關(guān)，可為應(yīng)用層協(xié)議如HTTP、FTP、SMTP等提供安全傳輸，通過將HTTP與SSL相結(jié)合，Web服務(wù)器就可實(shí)現(xiàn)客戶瀏覽器與服務(wù)器間的安全通信。因此簡便易行是SSL協(xié)議的最大優(yōu)點(diǎn)，但與此同時其缺點(diǎn)也是顯而易見的。首先，在交易過程中，客戶的信息先到達(dá)商家那里，這就導(dǎo)致客戶資料安全性無法保證；其次，SSL只能保證資料傳遞過程的安全性，而傳遞過程是否有人截取則無法保證；再次，由于SSL協(xié)議的數(shù)據(jù)安全性是建立在RSA等算法上，因此其系統(tǒng)安全性較差；最后，雖然SSL協(xié)議中也使用了數(shù)字簽名來保證信息的安全，但是由于其不對應(yīng)用層的消息進(jìn)行數(shù)字簽名，因此不能提供交易的不可否認(rèn)性，這就造成了SSL協(xié)議在電子銀行應(yīng)用中的最大不足。 2.SET協(xié)議的優(yōu)缺點(diǎn) 由于SET提供了消費(fèi)者、商家和銀行之間的雙重身份認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點(diǎn)，因此它成為目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。但在實(shí)際應(yīng)用中，SET協(xié)議依然存在以下不足： (1)SET協(xié)議中仍存在一些漏洞。如：不可信的用戶可能通過其它商家的幫助欺騙可信的商家在未支付的情況下得到商品；密鑰存在被泄露的危險；存在冒充持卡人進(jìn)行交易的隱患。 (2)SET協(xié)議的性能有待改進(jìn)。如：單純支持信用卡，需要進(jìn)一步適應(yīng)借計卡的使用；協(xié)議過于復(fù)雜，要求安裝的軟件包過多，處理速度慢，價格昂貴；由于該協(xié)議的每一個階段都要進(jìn)行多次數(shù)據(jù)加密解密、簽名、證書驗(yàn)證等安全操作，因此協(xié)議的交易時間過長，不能滿足實(shí)時交易要求。 3.總結(jié) 由于SSL協(xié)議的成本低、速度快、使用簡單，對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)不需進(jìn)行大的修改，因而目前取得了廣泛的應(yīng)用。但隨著電子商務(wù)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)欺詐的風(fēng)險性也在提高，在未來的電子商務(wù)中SET協(xié)議將會逐步占據(jù)主導(dǎo)地