第13卷第3期呼伦贝尔学院学报No .3 V o.l 132005年6月 Journal o fHu lunbeir C ollege Published in June .2005

收稿日期:2005-01-05

作者简介:侯宪盛(1970-),男,呼伦贝尔经济贸易分院,现从事电子商务和电子商务安全的教学,助教。

网络安全协议SSL 协议与SET 协议的比较

侯宪盛

(呼伦贝尔学院经济贸易分院 内蒙古 海拉尔区 021008)

摘 要:网络安全协议SSL 协议与SET 协议是目前网上支付系统中的关键技术。本文对

这两种协议的功能、工作原理以及各自的优缺点进行了比较。

关键词:电子商务;安全协议;SSL 协议;SET 协议

中图分类号:TP393 文献标识码:A 文章编号:1009-4601(2005)03-0060-03

互联网(Internet)为人类创造了一个全新的信息空间,而电子商务是信息社会的必然产物,也是未来最主要的商务模式。在电子商务不断发展的今天,人们越来越多的关心一个问题,那就是网络安全。为了保障电子商务安全,许多国家和地区在电子商务交易中采用了SSL 协议和SET 协议,本文拟对这两个协议进行对比说明。

一、SSL 协议

SSL 协议(sec ure socket layer 安全套接层协议)最初由N etscape 公司研究制定的安全通信协议,他采用公开密钥技术,利用TCP 提供可靠的端到端的安全传输,可在服务器和客户机同时实现支持。SSL 协议位于应用层与传输层之间,独立于应用层协议,现已形成了I E TF TLS 规范。

SSL 不是一个单独的协议,而是两层协议,如图1所示。其中,最主要的两个SSL 子协议是握手协议和记录协议。

应用层

SSL 握手协议

SSL 更改密码规程协议

SSL 报警协议

SSL 记录协议

TCP IP

图1SSL 体系结构图

SSL 协议可提供以下3种基本的安全功能服务:1 信息机密。SSL 所采用的加密技术既有对称密钥技术,如DES,I D EA;也有非对称密钥技术,如RSA,从而确保信息传递过程中的机密性。

2 身份认证。通信双方的身份可通过RSA 数字签名,DSA 数字签名算法,ECDSA 椭圆曲线数字签名算法来验证,SSL 协议要求在握手交换数据前进行数字认证,以此来确保用户的合法性。

3 信息完整。通信的发送方通过散列函数,产生消息验证码(MAC ),接受方通过验证MAC 来保证信息的完整性。SSL 提供完整信息服务,使所有经过SSL 协议处理的业务都能全部准确无误地到达

目的地。

SSL 握手协议

该协议被SSL 记录协议所封装,允许服务器与客户机在应用程序传输和接受数据之间互相认证,协商加密算法和密钥,用于在通信双方建立安全传输通道,进行信息交换。通过信息交换可实现如下操作:

向客户机认证服务器

允许客户机与服务器选择他们都支持的加密算法或密码

可选择地向服务器认证客户使用公钥加密技术生成共享密码建立加密SSL 连接

SSL 记录协议用来对应用层提供信息进行分组和组合、压缩和解压缩、数据认证和加密,为SSL 连接提供了机密性和消息完整性。在SSL 协议中,所

60

有的传输数据都被封装在记录中,SSL 记录包括记录头和记录数据两部分,SSL 记录协议规定了记录头和记录数据的格式。要说明的是,SSL 协议是一个保证计算机通信安全的协议,对通信过程进行安全保护。例如,一台客户机与一台主机建立连接后,首先是要建立初始化握手协议,然后就建立一个SSL 对话时段,直到对话结束。SSL 协议会对整个通信过程加密,并且检查其完整性。

二、SET 协议

SET 协议(Secure E lectron ic Transacti o n)安全电子交易协议是1996年由M aster Card(维萨)与V isa (万事达)两大国际信用卡组织共同制定的安全电子交易协议。SET 是一种应用于因特网环境下,以信用卡为基础的安全电子支付协议,可以实现电子商务交易中的加密、认证、密钥管理,保证在开放网络上使用信用卡进行在线购物的安全。

SET 的工作流程

SET 购物流程,如图2所示,包括如下几个步骤

:

图2 SET 的工作流程

持卡人在网上商店选择要购买的商品。持卡人填写相应的定单,包括商品的名称、单价列表等。

持卡人选择付款方式。当选择SET 方式进行付款时,SET 开始起作用。

持卡人发送给商户定单及付款指令。在SET 中,利用双重签名技术保证商户看不到持卡人的帐号信息。

商户收到定单后,支付信息通过支付网关到收单银行,再到发卡银行。

SET 协议中采用的数据加密模型如图3所示。发方

:

图3 SET 数据加密模型图

SET 加密过程如下:

1 发送方利用HAS H 函数,把要发送的信息散列成固定长度的数字摘要。

2 发送方用自己的私有密钥对数学摘要进行加密,形成数字签名。

3 发送方把数字签名和自己的数字证书附加在原信息上,利用对称密钥进行对称加密,形成加密后的信息。

4 发送方用接收方数字证书中给出的公开密钥,来对发送方进行对称加密的密钥进行加密,将加密结果装入数字信封。

5 发送方把加密后的信息与数字信封一起通过网络发送出去。

6 接受方用自己的私有密钥对接收到的数字信封进行解密,得到发送方用于加密的对称密钥。

7 接受方用解密得到的对称密钥对接收到的加密后信息进行解密,得到信息、数字签名和发送方的数字证书。

8 接收方用得到的发送方数字证书中的公开密钥对数字签名进行解密,得到数字摘要。

9 接收方运用同样的H ash 函数,把解密的到的信息散列成固定长度的数字摘要。

10 收方比较两个数字摘要,若比较结果一致,则说明信息在传递过程中未被篡改过,即保证了数

据的完整性。

三、SSL 协议和SET 协议的比较

SSL 协议和SET 协议的差别主要表现在以下几个方面:

1 用户方面。SSL 协议已被浏览器和WEB 服务器内置,无须安装专门软件;而SET 协议中客户端安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,增加了用户、商家、银行的费用。

2 速度方面。SET 协议非常复杂、庞大、处理速度慢。一个典型的SET 交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5~2M I N ;而SSL 协议则简单的多,处理速度比SET 协议快。

3 认证方面。早期的SSL 协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和W EB 服务器之间的身份认证,但仍不能实现多方认证,而且SSL 中只有商家服务器的认证是必须的,客户端认证则是可选的。相比之下,SET 协议的认证要求较高,所有参与SET 的成员都必须申请数字证书,并且解决了客户与银

61