第13卷第3期呼伦贝尔学院学报No .3 V o.l 132005年6月 Journal o fHu lunbeir C ollege Published in June .2005收稿日期:2005-01-05作者简介:侯宪盛(1970-),男,呼伦贝尔经济贸易分院,现从事电子商务和电子商务安全的教学,助教。
网络安全协议SSL 协议与SET 协议的比较侯宪盛(呼伦贝尔学院经济贸易分院 内蒙古 海拉尔区 021008)摘 要:网络安全协议SSL 协议与SET 协议是目前网上支付系统中的关键技术。
本文对这两种协议的功能、工作原理以及各自的优缺点进行了比较。
关键词:电子商务;安全协议;SSL 协议;SET 协议中图分类号:TP393 文献标识码:A 文章编号:1009-4601(2005)03-0060-03互联网(Internet)为人类创造了一个全新的信息空间,而电子商务是信息社会的必然产物,也是未来最主要的商务模式。
在电子商务不断发展的今天,人们越来越多的关心一个问题,那就是网络安全。
为了保障电子商务安全,许多国家和地区在电子商务交易中采用了SSL 协议和SET 协议,本文拟对这两个协议进行对比说明。
一、SSL 协议SSL 协议(sec ure socket layer 安全套接层协议)最初由N etscape 公司研究制定的安全通信协议,他采用公开密钥技术,利用TCP 提供可靠的端到端的安全传输,可在服务器和客户机同时实现支持。
SSL 协议位于应用层与传输层之间,独立于应用层协议,现已形成了I E TF TLS 规范。
SSL 不是一个单独的协议,而是两层协议,如图1所示。
其中,最主要的两个SSL 子协议是握手协议和记录协议。
应用层SSL 握手协议SSL 更改密码规程协议SSL 报警协议SSL 记录协议TCP IP图1SSL 体系结构图SSL 协议可提供以下3种基本的安全功能服务:1 信息机密。
SSL 所采用的加密技术既有对称密钥技术,如DES,I D EA;也有非对称密钥技术,如RSA,从而确保信息传递过程中的机密性。
2 身份认证。
通信双方的身份可通过RSA 数字签名,DSA 数字签名算法,ECDSA 椭圆曲线数字签名算法来验证,SSL 协议要求在握手交换数据前进行数字认证,以此来确保用户的合法性。
3 信息完整。
通信的发送方通过散列函数,产生消息验证码(MAC ),接受方通过验证MAC 来保证信息的完整性。
SSL 提供完整信息服务,使所有经过SSL 协议处理的业务都能全部准确无误地到达目的地。
SSL 握手协议该协议被SSL 记录协议所封装,允许服务器与客户机在应用程序传输和接受数据之间互相认证,协商加密算法和密钥,用于在通信双方建立安全传输通道,进行信息交换。
通过信息交换可实现如下操作:向客户机认证服务器允许客户机与服务器选择他们都支持的加密算法或密码可选择地向服务器认证客户使用公钥加密技术生成共享密码建立加密SSL 连接SSL 记录协议用来对应用层提供信息进行分组和组合、压缩和解压缩、数据认证和加密,为SSL 连接提供了机密性和消息完整性。
在SSL 协议中,所60有的传输数据都被封装在记录中,SSL 记录包括记录头和记录数据两部分,SSL 记录协议规定了记录头和记录数据的格式。
要说明的是,SSL 协议是一个保证计算机通信安全的协议,对通信过程进行安全保护。
例如,一台客户机与一台主机建立连接后,首先是要建立初始化握手协议,然后就建立一个SSL 对话时段,直到对话结束。
SSL 协议会对整个通信过程加密,并且检查其完整性。
二、SET 协议SET 协议(Secure E lectron ic Transacti o n)安全电子交易协议是1996年由M aster Card(维萨)与V isa (万事达)两大国际信用卡组织共同制定的安全电子交易协议。
SET 是一种应用于因特网环境下,以信用卡为基础的安全电子支付协议,可以实现电子商务交易中的加密、认证、密钥管理,保证在开放网络上使用信用卡进行在线购物的安全。
SET 的工作流程SET 购物流程,如图2所示,包括如下几个步骤:图2 SET 的工作流程持卡人在网上商店选择要购买的商品。
持卡人填写相应的定单,包括商品的名称、单价列表等。
持卡人选择付款方式。
当选择SET 方式进行付款时,SET 开始起作用。
持卡人发送给商户定单及付款指令。
在SET 中,利用双重签名技术保证商户看不到持卡人的帐号信息。
商户收到定单后,支付信息通过支付网关到收单银行,再到发卡银行。
SET 协议中采用的数据加密模型如图3所示。
发方:图3 SET 数据加密模型图SET 加密过程如下:1 发送方利用HAS H 函数,把要发送的信息散列成固定长度的数字摘要。
2 发送方用自己的私有密钥对数学摘要进行加密,形成数字签名。
3 发送方把数字签名和自己的数字证书附加在原信息上,利用对称密钥进行对称加密,形成加密后的信息。
4 发送方用接收方数字证书中给出的公开密钥,来对发送方进行对称加密的密钥进行加密,将加密结果装入数字信封。
5 发送方把加密后的信息与数字信封一起通过网络发送出去。
6 接受方用自己的私有密钥对接收到的数字信封进行解密,得到发送方用于加密的对称密钥。
7 接受方用解密得到的对称密钥对接收到的加密后信息进行解密,得到信息、数字签名和发送方的数字证书。
8 接收方用得到的发送方数字证书中的公开密钥对数字签名进行解密,得到数字摘要。
9 接收方运用同样的H ash 函数,把解密的到的信息散列成固定长度的数字摘要。
10 收方比较两个数字摘要,若比较结果一致,则说明信息在传递过程中未被篡改过,即保证了数据的完整性。
三、SSL 协议和SET 协议的比较SSL 协议和SET 协议的差别主要表现在以下几个方面:1 用户方面。
SSL 协议已被浏览器和WEB 服务器内置,无须安装专门软件;而SET 协议中客户端安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,增加了用户、商家、银行的费用。
2 速度方面。
SET 协议非常复杂、庞大、处理速度慢。
一个典型的SET 交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5~2M I N ;而SSL 协议则简单的多,处理速度比SET 协议快。
3 认证方面。
早期的SSL 协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和W EB 服务器之间的身份认证,但仍不能实现多方认证,而且SSL 中只有商家服务器的认证是必须的,客户端认证则是可选的。
相比之下,SET 协议的认证要求较高,所有参与SET 的成员都必须申请数字证书,并且解决了客户与银61行、客户与商家、商家与银行之间的多方认证问题。
4 安全性方面。
一般公认SE T的安全性较SSL 高。
SET协议由于采用了非对称加密、消息摘要和数字签名可以确保信息的机密性、认证性、完整性和不可否认性,且SET协议采用了双重签名来保证各参与方信息的相互隔离,使商家只能看到持卡人的订单信息,而银行只能取得持卡人的信用卡信息。
SSL协议虽也采用了公钥加密、信息摘要,可以提供机密性、完整性和一定程度的身份验证功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能。
5 在采用比特率方面。
由于SET的设置成本较SSL高很多,并且进入国内市场的时间尚短,因此目前还是SSL的普及率高。
但是,由于网上交易的安全性需求不断提高,SET的市场占有率将会增加,不过,SET认证仅使用于信用卡支付,对其他支付方式有所限制,这也使SET的使用范围受到了限制。
通过以上对比,结合我国的具体情况可以预见,安全协议在我国的发展趋势将可能为以下2种:1 SET与SSL共存,优势互补。
如可在商家与银行采用SET协议,用户与商家采用SSL协议,这样既能保证商家与银行之间的双方认证和安全,又能方便用户和商家之间的安全交易。
2 随着网络安全技术的不断发展,可能会出现一种新的更安全协议。
总的来讲,SLL协议比较简单,因而其应用也相对较广泛;SET协议比较复杂,因而在某种程度上也阻碍了其推广的进程。
从安全性角度看,SLL协议不如SET协议安全,对于使用信用卡支付的系统来说,SET协议则是最好的选择,SET协议是专门针对信用卡支付而设计的协议。
从长远来看,SSL和SET都不是理想的电子商务安全协议,研制新的更为安全有效的安全协议势在必行,只有网络更安全,电子商务才能发展的更快。
参考文献:1!劳帼龄.电子商务安全与管理M!.北京:高等教育出版社,20032!许榕生.电子商务安全与加密M!.北京:中国电力出版社,20003!李海泉,李健.计算机网络安全与加密技术M!.北京:科学出版社,20014!王冬春.电子商务安全协议N!.中国计算机报, 2002/03/11(上接第59页)持,比如,对于作业层而言,可以为市场营销提供网上广告发布、网上消费问卷调查等辅助手段。
(三)基于应用的互补性实现整合根据企业目前的内外部条件,企业在引进电子商务时,不会完全摒弃传统的采购与销售模式,而是两种模式、两个系统的共同存在和互为补充。
四、ERP与电子商务整合时应注意的问题ERP与电子商务的整合包括水平整合和垂直整合。
企业可以根据发展战略和业务流程,合并、撤消或增加一些业务部门,这就需要与业务流程重组相配合,同时,也要求应用软件各模块的合理划分和有机集成。
在实现两者整合时,ERP方面应优先考虑到采购、生产计划、市场营销、销售、库存、财务等与物流、资金流密切相关的模块,电子商务方面应考虑网站管理、网上销售、网上采购和网上资金收付等模块,把这些模块集成到一起,构成一个新的应用系统,即为整合系统。
整合系统要为今后模块的扩充留有接口。
在进行系统设计时,要充分考虑到传统销售模式和网上销售模式都必须能够为市场需求和供给分析提供数字依据;两种模式可以共享现有的和未来的数据库;两种模式下的资金收入与支出都应该反映到财务分析中去。
所以,企业的ERP与电子商务进行整合以后,就可以保证企业物流、资金流和信息流的有机统一,同时也能保证数据的一致性、完整性和准确性。
总之,把电子商务和企业资源计划的整合系统引入企业,既是一种技术上的创新,也是一种经营管理上的改革。
它既可以为企业提供高效快捷内部管理服务,又能够提供强大有效的网上业务辅助支持。
参考文献1!范玉顺,王刚,高展 企业建模理论与方法学导论M!.北京:清华大学出版社,2001.2!李劲.电子商务解决方案M!.中国青年出版社, 2000.3!苗明杰.中国企业发展的战略选择M!.复旦大学出版社,2002.4!姚宝根.现代企业信息化管理:ERP/e Busi ness及其实践.上海大学出版社M!,2002-02-04.5!孙屹.国内企业最大危机在企业管理J!.经济日报,2001-12-0562。