SET协议和SSL协议的比较

1.简介

①SET协议

为了实现更加完善的即时电子支付，SET协议应运而生。SET协议（Secure Electronic Transaction），被称之为安全电子交易协议，是由Master Card和Visa 联合Netscape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。

②SSL协议

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。

TLS与SSL在传输层对网络连接进行加密。

2．比较

①工作流程比较

㈠SET协议：SET交易过程中要对商家，客户，支付网关等交易各方进

行身份认证，因此它的交易过程相对复杂。

(1)客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息。

(2)商家要求客户用电子钱包付款。

(3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。

(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。

(5)商家将含有客户支付指令的信息发送给支付网关。

(6)支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。

(7)商家向客户的电子钱包发送一个确认信息。

(8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易结束。

从上面的交易流程可以看出，SET交易过程十分复杂性，在完成一次S ET 协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行签名5次，4次对称加密和非对称加密。通常完成一个SET协议交易过程大约要花费1.5－2分钟甚至更长时间。由于各地网络设施良莠不齐，因此，完成一个SET协议的交易过程可能需要耗费更长的时间。

㈡SSL协议：服务器认证阶段：

1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；

3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

4）服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。

从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

②认证要求比较

早期的SSL并没有提供商家身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但仍不能实现多方认证；相比之下，SET的安全要求较高，所有参与SET交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须申请数字证书进行身份识别。

③安全性比较

SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。

④网络协议位置比较

SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。

⑤应用领域比较

SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，因此如

果电子商务应用只是通过Web或是电子邮件，则可以不要SET。但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。

⑥现实应用比较

㈠SET协议

SET协议是由美国的公司发起并联合开发的，因此，SET协议支持信用卡支付这一支付方式比较符合欧美各国的使用情况。可是实际应用上，SET要求持卡人在客户端安装电子钱包，增加了顾客交易成本，交易过程又相对复杂，因此比较少顾客接受这种网上即时支付方式。

而在中国，信用卡支付这种方式还没有普及，因此SET协议在我国的使用也相对较少。电子支付无论要采取哪种支付协议，都应该考虑到安全因素，成本因素和使用的便捷性这三方面，由于这三者在SET协议和SSL协议里的任何一个协议里面无法全部体现，这就造成现阶段SSL协议和SET协议并存使用的局面。但即便将来业界开发结合这三个优点的电子支付协议，也未必能完全保证电子支付和网上银行的安全。

因为网上银行的安全涉及到方方面面，不只是一个完善的安全支付协议，一堵安全的防火墙或者一个电子签名就能简单解决的问题。所以，银行必须加大加强管理力度，加大宣传力度，帮助顾客树立起安全意识，指导用户该如何正确使用网上银行，并发动社会各方面的力量，寻求多方联动的策略来保证网上银行的安全。只有社会各界一起努力，才能保证电子支付的安全；只有社会各界一起努力，才能保证网上银行的安全；也只有社会各界一起努力，才可以保证电子商务的安全，保证电子商务的快速有序的发展。

㈡SSL协议

extended validation ssl certificates翻译为中文即扩展验证（EV）SSL 证书，该证书经过最彻底的身份验证，确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的GlobalSign名称，从而最大限度上确保网站的安全性，树立网站可信形象，不给欺诈钓鱼网站以可乘之机。

对线上购物者来说，绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下，使用扩展验证（EV）SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称，这些均向客户传递同一信息，该网站身份可信，信息传递安全可靠，而非钓鱼网站。

3.总结

SSL协议实现简单，独立于应用层协议，大部分内置于浏览器和Web服务器中，在电子交易中应用便利。但它是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，不能实现多方的电子交易中。SET在保留