电子商务安全协议

　　1.安全套接层协议（SSL）

　　安全套接层协议(Secure Socket Layer，简称SSL)是美国网景公司（Netscape）推出的一种安全通信协议，SSL提供了两台计算机之间的安全连接，对整个会话进行了加密，从而保证了安全传输，其主要设计目标是在Internet环境下提供端到端的安全连接。它能使客户/服务器应用之间的通信不被攻击者。SSL协议建立在可靠的TCP传输控制协议之上。高层的应用层协议能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

　　2.安全电子交易协议(SET)

　　安全电子交易协议(SecureElectronicTransaction，简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范，它提供了消费者、商家和银行之间的认证，确保交易的保密性、可靠性和不可否认性，保证在开放网络环境下使用信用卡进行在线购物的安全，其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。SET本身并不是一个支付系统，而是一个安全协议集，SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。SET较好地解决了信用卡在电子商务交易中的安全问题。SET已获得IETF(The Internet Engineer-ing Task Force，简称IETF)标准的认可。

　　SSL与SET协议比较分析

　　SSL和SET是当前在电子商务中应用最为广泛的安全协议，两者的差别主要体现在以下几个方面。

　　1.工作层次

　　SSL属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能；而SET协议位于应用层，它规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准，从而最大限度地保证了商务性、服务性和集成性。

　　2.认证机制

　　早期的SSL协议并没有提供身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和WEB服务器之间的身份认证，但仍不能实现多方认证，而且SSL中只有商家服务器的认证是必须的，客户端认证则是可选的。SET协议使用数字证书来确认交易涉及的各方（包括商家、持卡人、受卡行和支付网关）的身份，为在线交易提供一个完整的可信赖的环境。SET协议要求所有参与交易活动的各方都必须使用数字证书，较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。

　　3.加密机制

　　SSL是基于传输层加密，它为高层提供了特定接口，使得应用方无须了解传输层情况；然而由于传输层属于较高层，常用软件实现，这在很大程度上削弱了加密处理能力，同时，地址信息由低层控制，这种加密无法免于被攻击者流量分析。SET的加图2 SET协议的工作原理密过程则不同于SSL，SET中广泛使用了数字信封等技术，并采用严密的系统约束来保证数据传输的安全性。

　　4.完整方面

　　SET协议将发送的所有报文加密后，将为之产生一个唯一的`消息摘要，一旦有人企图篡改报文中包含的数据，该摘要就会改变，从而被检测到，这就保证了信息的完整性。SSL协议是使用秘密共享和哈希函数进行MAC计算来提供信息的完整性服务的，它可以确保SSL对话的通信内容在传递途中毫无改变地送达目的地。

　　5.安全程度

　　在网上交易，安全是关键问题。从网络信息传输安全角度看，只有确保信息在网上传输时的机密性、可鉴别性及信息完整性才真正安全。SET协议是专为电子商务系统设计的，它位于应用层，采用公钥机制、信息摘要和认证体系，其中认证中心（CA）就是该体系的重要执行者，认证体系十分完善，能实现多方认证。而SSL中也采用了采用公钥机制、信息摘要和MAC检测，可以提供信息保密性、完整性和一定程序的身份鉴别功能，但SSL不能提供完备的防抵赖功能。特别是SSL协议不能实现多方认证，从网上安全结算这一角度来看，显然SET比SSL针对性更强，更受客户青睐。

　　6.运行效率

　　SET协议非常复杂、庞大、运行速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密，整个交易过程非常耗时；而SSL协议则简单很多，运行效率也比SET协议高。