《安全电子支付协议的比较》由会员分享,可在线阅读,更多相关《安全电子支付协议的比较(6页珍藏版)》请在金锄头文库上搜索。
1、安全电子支付协议的比较摘要:论文针对电子商务的发展对电子支付环境提出的要求,分别论述了SSL协议与SET协议对电子支付环节起到的支持作用,并根据其技术标准和工作流程的不同,分析其功能上存在的差异,及由此导致的适用环境的不同。关键词:电子支付、SSL、SET 一、概述随着计算机网络技术向整个经济社会各层次的延伸,整个社会表现出对Internet、Intranet、Extranet使用的更大的依赖性。随着电子商务的发展,其核心问题交易的安全性问题也凸现出来,这也是企业应用电子商务最担心的问题,因此如何在开放的公用网上构筑安全的交易模式,成为人们研究的热点和大家关注的话题,要构筑一个安全的电子交易模
2、式,应满足以下五个方面,这也是OSI规定的五种标准的安全服务:(1)数据保密:防止信息被截获或非法存取而泄密。(2)对象认证:通信双方对各自通信对象的合法性、真实性进行确认,以防第三者假冒。(3)数据完整性:阻止非法实体对交换数据的修改、插入、删除及防止数据丢失。(4)防抗抵赖:用于证实已发生过的操作,防止交易双方对发生的行为抵赖。(5)访问控制:防止非授权用户非法使用系统资源。目前国内外已经出现了多种电子支付协议,有两种安全在线支付协议被广泛采用,分别为安全套接层SSL协议和安全电子交易SET协议,二者均是成熟和实用的安全协议。二、SSL协议简介SSL(Secure Socket Layer
3、即安全套接层)协议是Netscape公司在推出Web浏览器首版的同时,提出的安全通信协议。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL采用公开密钥技术。其目标是保证两个用户间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为Internet上保密通讯的工业标准。现行Web浏览器普遍将HTTP和SSL相结合,从而实现安全通信。1、SSL协议概述安全套接层协议(SSL)是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选
4、择对客户进行认证。SSL协议要求建立在可靠的传输层协议(例如:TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP,FTP,TELNET.)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。因而,其后的应用层协议所传送的数据都会被加密,从而保证通信的私密性。SSL协议提供的安全信道有以下三个特性:1)私密性 加密数据以防止数据中途被窃取,因为在握手协议定义了会话密钥后,所有的消息都被加密。2)确认性 认证用户和服务器,确保数据发送到正确的客户机和服务器,因为尽管会话的客户端认证是可选的,但
5、是服务器端始终是被认证的。3)可靠性 维护数据的完整性,确保数据在传输过程中不被改变,因为传送的消息包括消息完整性检查。2、SSL的协议规范SSL协议由SSL记录协议和SSL握手协议两部分组成。SSL记录协议:在SSL协议中,所有的传输数据都被封装在记录中。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL记录层。SSL记录协议包括了记录头和记录数据格式的规定。SSL握手协议:SSL握手协议包含两个阶段,第一个阶段用于建立私密性通信信道,即服务器认证阶段;第二个阶段用于客户认证,即用户认证阶段,其工作流程如下:服务器认证阶段:1)客户端向服务器发送一个开始信息Hello以便开始一
6、个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的Hello信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。用户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。从SSL协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,信息的保密性由商
7、家决定,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。三、SET协议简介SET(
8、Secure Electonic Transcation 即安全电子交易协议)是美国Visa和MasterCard两大信用卡组织等联合于1997年5月推出的用于电子商务的行业规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以确保支付信息的保密性、支付过程的完整性、商户及持卡人身份的合法性、以及可操作性。1、SET协议概述SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整
9、以及身份认证等问题。SET能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。SET已获得IETF标准的认可,是未来电子商务的发展方向。SET支付系统主要由持卡人(CardHolder)、商家(Merchant)、发卡行(Issuing Bank)、收单行(Acquiring Bank)、支付网关(Payment Gateway)、认证中心(Certificate Authority)等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。2、SET协议的工作流程1)购买请求阶段,用户与商家确定所用支付
10、方式的细节;2)在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。3)消费者选择付款方式,确认订单签发付款指令。此时SET开始介入。4)在SET中,消费看必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息。5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。7)在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号,或通知发卡银
11、行请求支付。工作流程的前两步与SET无关,从第三步开始SET起作用,一直到第六步,在处理过程中通信协议、请求信息的格式、数据类型的定义等SET都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA(认证中心)来验证通信主体的身份,以确保通信的对方不是冒名顶替,因此,也可以简单地认为SET协议充分发挥了认证中心的作用,以确保在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。四、SET与SSL协议的比较1、在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在SSL3.0中通过数字签名和数字证书可实现对浏览器和Web服务器双方的身份验证,但仍不能实现多方认证;相比之
12、下,SET的安全要求较高,所有参与SET交易的成员(持卡人、商家、发卡行、收单行和支付网关)都必须申请数字证书进行身份验证。2、在安全性方面,SET协议规范了整个商务活动的流程,SET不仅加密两个端点间的单个会话,它还非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,各方对响应信息应采取的动作,及各方于一笔交易中的责任分担。SET实现起来非常复杂,商家和银行都需要改造系统以实现互操作。另外SET协议需要认证中心的支持。SET是一个多
13、方的报文协议,它定义了银行、商家、持卡人之间的必须的报文规范,相比之下SSL只是简单地在两方之间建立了一条安全连接。SET报文能够在银行内部网或者其他网络上传输,而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。SET对从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。3、在网络层协议位置方面,SS
14、L是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。4、在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET。但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。五、总结SSL协议实现简单,独立于应用层协议,大部分内置于浏览器和Web服务器中,在电子交易中应用便利。但它是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,不能实现多方的电子交易。SET在保留对客户信用卡认证的前提下增加了对商家身份的认证,安全性进一步提高。由于两协议所处的网络层次不
15、同,为电子商务提供的服务也不相同,因此在实践中应根据具体情况来选择独立使用或两者混合使用。SSL协议与SET协议的关系类似于IP与ATM的关系。IP协议的应用非常广泛,实现简单且成本低廉,但服务质量没有保证。ATM实现复杂,需要对现有的设备和应用环境进行改造,成本高昂,但对服务质量有保证。结果ATM迟迟不能推出成熟的规范的同时,IP设备迅速抢占了市场。因此我个人认为评价一种技术的前景,最重要的就是这种技术能不能在现有的条件下占有市场。至于这种技术是不是先进、是不是有好的扩展性等等相对来说处于次要地位。从已有的应用份额、实现成本、技术支持等影响市场占有率的最重要的因素来看,SSL协议已经占据了有
16、利的形势。参考文献:1.李鼎,电子商务基础,首都经济贸易大学出版社,2001。2.张一卓,电子商务支付系统,四川大学出版社,2002。3.梁普等,电子商务核心技术安全电子交易协议的理论与设计,西安大学出版社,2003年。4.梁小春,电子商务支付系统体系结构,北京大学出版社,2001年。THE COMPARISON OF THE SECURITY ELECTRONIC PAYMENT AGREEMENTAbstract: According to the requirement of the development of the e-commerce for the environment of the electronic payment, the paper, based on the technical
