理论教育 SSL协议和SET协议:计算机网络技术及应用探索

SSL协议和SET协议:计算机网络技术及应用探索

时间:2023-10-28 理论教育 版权反馈
【摘要】:目前,基于这个需求,有两种安全在线支付协议被广泛采用,即SSL协议和SET协议。SSL安全协议主要提供3方面的服务。SSL协议是国际上最早应用于电子商务的一种安全协议。例如,只能提供交易中客户机与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方的安全传输和信任关系。在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。

SSL协议和SET协议:计算机网络技术及应用探索

电子商务发展中,最重要的问题是如何在开放的公开网络上保证交易的安全性,即如何构筑一个安全的交易模型的问题。一个安全的电子交易模型应该包括5个方面的内容:数据保密、对象认证(通信双方对各自通信对象的合法性、真实性进行确认,防止第三方假冒)、数据完整性、防抵赖性(不可否认性)、访问控制(防止非授权用户非法使用系统资源)。目前,基于这个需求,有两种安全在线支付协议被广泛采用,即SSL协议和SET协议。

(一)SSL协议

SSL(Secure Socket Layer,安全套接层)协议是网景(Netscape)公司提出的一种基于Web应用的网络安全通信协议。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL协议中,使用了对称密钥算法(如DES算法)和公开密钥算法(主要是RSA算法)两种加密方式,并使用了X.509数字证书技术,保护了信息传输的机密性和完整性。SSL协议主要适用于点对点之间的信息传输,常用Web Server方式。实际上,通常所用的安全超文本传输协议就是应用了SSL协议进行信息交换的。

SSL协议的整个要领可以总结为:一个保证任何安装了安全套接层的客户机和服务器间事务安全的协议,涉及所有TCP/IP应用程序。

SSL安全协议主要提供3方面的服务。

(1)认证用户和服务器,使之能够确信数据将被发送到正确的客户机和服务器上。

(2)加密数据以隐藏被传送的数据。

(3)维护数据的完整性,确保数据在传输过程中不被改变。

SSL协议是国际上最早应用于电子商务的一种安全协议。但SSL协议运行的基础是商家对消费者信息保密的承诺,仅有商家对消费者的认证,而缺乏了消费者对商家的认证。这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此此问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来。这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL 3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题。例如,只能提供交易中客户机与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方的安全传输和信任关系。在这种情况下,Visa和MasterCard两大信用卡组织制定了SET协议,为网上信用卡支付提供了全球性的标准。

(二)SET协议

SET(Secure Electronic Transactions,安全电子交易)协议是美国Visa和Master-Card两大信用卡组织联合国际上多家科技机构于1997年5月推出的用于电子商务的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子支付系统规范,目的是为了保证网络交易的安全性。SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份及可操作性。

一个SET支付系统主要由持卡人、商家、发卡银行、收单银行、支付网关、认证中心(Certificate Authority,CA)6个部分组成,之间的关系如图4-43所示。(www.daowen.com)

图4-43 SET支付系统中6个参与方的关系图

SET协议采用公钥密码体制和X.509数字证书标准,妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整及身份认证等问题,能保证信息传输的机密性、真实性、完整性和不可否认性。SET已获得IETF(The Internet Engineering Task Force,国际互联网工程任务组)标准的认可,是目前公认的信用卡/借记卡网上交易的国际安全标准。

(三)两种协议的比较

在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在SSL 3.0中可以通过数字签名和数字证书实现浏览器和Web服务器双方的身份验证,但仍不能实现多方认证。相比之下,SET的安全要求较高,所有参与SET交易的成员(持卡人、商家、发卡银行、收单银行和支付网关)都必须申请数字证书进行身份识别。

在安全性方面,SET协议规范了整个商务活动的流程,从持卡人到商家、到支付网关、再到认证中心及信用卡结算中心之间的信息流走向,以及必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商家的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电子商务特性来看,并不具备商务性、服务性、协调性和集成性。因此,SET的安全性比SSL高。

在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。

在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全。因此,如果电子商务应用只是通过Web或是电子邮件,则可以不要SET。如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用一些。

(四)总结

SSL协议实现简单,独立于应用层协议,大部分内置于浏览器和Web服务器中,在电子交易中应用便利。但SSL协议是一个面向连接的协议,只能提供交易中客户机与服务器间的双方认证,不能实现在多方的电子交易中。

SET在保留对客户信用卡认证的前提下,增加了对商家身份的认证,安全性进一步提高。由于两协议所处的网络层次不同,为电子商务提供的服务也不相同,所以在实践中应根据具体情况来选择独立使用或两者混合使用,而不能简单地用SET协议取代SSL协议。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈