仪规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之问的信息流走向都受到严密的保护,并且对采用的加密和认证过程都制定了严密的标准。从而最大限度地保证了商务性、服务性、协调性和集成性的功能。SSI.协议虽然也采用了公钥加密、信息摘要和MAC检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的不可否认功能。SSI。协议只对持卡人与商店端的信息交换进行加密保护,可以看做是用于传输的那部分的技术规范。从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性的功能。因此SET协议的安全性比SSI。协议高。(4)应用领域:SSL协议主要是和Web应用一起:F作,而SET协议是为信用卡
交易提供安全。凶此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET协议。但如果电子商务应用是一个涉及多方交易的过程,则使用SET协议更安全、更通用些。但SSI。协议更易被广泛应用,原因在于它被大部分Web浏览器和Web服务器所内置。比较容易被应用。(5)用户接口:SSI,协议已被浏览器和Web服务器内置,无需安装专门软件;而SET协议中客户端需安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件。(6)处理速度:SET协议非常复杂、庞大,处理速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5~2分钟;而SSI。协议则简单得多,处理速度比SET协议快。(7)TCP/IP协议位置:SSI。协议是基于传输层的通用安全协议,而SET协议位于应用层,对网络上其他各层也有涉及。(8)SET协议和SSI.协议除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA算法在二者中也被用来实现不同的安全目标。通过以上分析,我们可以看出,SET协议从技术上和流程上都相对优于SSI。协议,但这是否就意味着未来SET协议就会超过SSI,协议,最后完全取代SSI。协议呢?问题的结论是:不一定。因为虽然SET协议通过制定标准和采用各种技术手段.解决了一直困扰电子商务发展的安全问题,其中包括购物与支付信息的保密性、交易支付完整性、身份认证和不可否认性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性,但是由于SE'I、协议成本太高,互操作性差。且实现过程复杂,所以还有待完善。而SSI。协议的自主开发性强,我国很多单位均自主开发了应用128位对称加密·
算法的SSL协议,并通过了检测,这大大提高了它的破译难度;并且SSL协议已发展到能进行表单签名,在一定程度上弥补了无数字签名的不足。结合我国的具体情况来看,我们可以预见,安全认证在我国的发展趋势将可能为以下两种:(1)SET协议与SSL协议共存,优势互补。在美国较多采用的是“面向商家的SET协议”,即在银行与商家之问采用SSI。协议,但这对银行的要求更高。(2)随着SET协议与SSI.协议融合程度的上升,有可能出现一种新的安全认证体系,类似于目前的公钥基础结构(PKI)。从广义上来说,所有提供公钥加密和数字签名服务的系统都可叫做PKI系统,因此它既支持SET协议、SS[。协议,还支持其他一些协议,并且可为B2B及B2C两种电子商务模式提供兼容性服务,目前其前景较为看好。总之,SSI。协议实现简单,独立于应用层协议,大部分内置于浏览器和Web服务器中,在电子交易中应用便利。但它是一个面向连接的协议,只能提供交易中客户与服务器问的双方认证,不能实现多方同时认证的电子交易。SET协议在保留对客户信用卡认证的前提下增加了对商家身份的认证,安全性进一步提高。由于两协议所处的网络层次不同,为电子商务提供的服务也不相同,因此在具体应用中应根据具体情况来选择独立使用或两者混合使用。本章小结电子商务系统中,通过电子支付作为一种消费方式已经逐渐被大家接受。本章介绍了电子支付的特征、具体流程和相关类型,并指出了电子支付在现实中遇到的安全问题。同时提出了相应的解决方式——采用SSI。协议和SET协议来为电子支付的安全提供保证。思考题1.什么是电子支付?2.电子支付系统包括哪几部分?3.简述电子支付的流程。4.电子支付的方式有哪几类?