浅析电子商务安全协议

摘要：电子商务在提供机遇和便利的同时，也面临着一个巨大的挑战，即交易的安全问题。基于对电子商务安全体系的了解it 业界和金融行业一起推出了不少有效的安全措施，本文将从tcp/ip 体系结构的角度对电子商务的安全协议进行详细分析。

关键词：电子商务协议 ssl tls set

1 传输层安全协议

1.1 安全套接字层协议（ssl）

安全套接层协议是由网景公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了保密、认证服务和报文完整性。它可以有效的保护信用卡以及个人信息。netscape communicator和microsoft ie浏览器中通常会用到ssl，这样能够更好的进行安全交易操作。ssl中的加密方法包括公开密钥和私有密钥。

1.2 传输层安全协议（tls）

主要是在两个通信应用程序之间使用安全传输层协议（tls），从而保证更高的保密性和数据完整性。该协议主要包括tls 记录协议和tls握手协议，前者处于较低层，它的位置是在某个可靠的传输协议上面。

①协议结构

tls协议包括两个协议组，即tls记录协议和tls 握手协议，每组都包括了不少各有差异的格式信息。我们可以将tls记录协议

定义为一种分层协议，每层都会有长度、描述和内容等字段。他可以对接收到的数据进行解密、校验，或者是解压缩、重组等，之后高层客户机会接受以上的信息。tls连接状态即为tls记录协议的操作环境，其中包括压缩算法、加密算法和mac算法。不同大小无空块的连续数据可以通过高层输送到tls记录层。关于密钥计算方面要注意的有：记录协议在各种算法的协助下，通过握手协议提供的安全参数获得密钥、iv和mac密钥。

②tls握手协议过程

改变密码规格协议；警惕协议；握手协议。

③tls记录协议

tls 记录协议具有连接安全性，这种安全性的特性包括以下两点：

私有，即对称加密用以数据加密。密钥在经过对称加密后，每个连接有一个且仅有一个密钥，而且这个密钥基于另一个协议协商。我们再不加密的时候也能使用记录协议。

可靠，即信息传输包括使用密钥的mac，能够对信息进行周密的检查。安全功能主要就是为了做好mac 计算。如果没有mac，记录协议还是会正常运行，但一般仅仅是在这种模式中是可以的，即有另一个协议正在使用记录协议传输协商安全参数。我们在对各种高层协议进行封装时，可以考虑tls 记录协议。握手协议属于这种封装协议，在应用程序协议传输和接收其第一个数据字节前，它能让服务器与客户机实现相互认证，加密密钥和协商加密算法。

④ tls握手协议

tls握手协议具有连接安全性，这种安全性的属性包括以下几点：

第一，可以使用非对称的，或公共密钥的密码术对对等方的身份进行认证。此认证体现了一种可选性，但是要强调的是，最少要有一个结点方；第二，共享加密密钥的协商具有安全性。协商加密后，偷窃者就非常不容易再进行偷窃了。要注意的是，连接已经被认证后是不可以再获得加密的，就算是进入连接中间的攻击者也无法做到；第三，协商是可靠的。在未经通信方成员检测的情况下，不管是谁都无法修改通信协商。

总之tls是保证因特网应用程序通信隐私和数据完整的协议。tls和ssl的扩展，经常将他们表述为ssl/tls、ssl/tls协议由两层组成，即tls握手协议允许服务和客户端间的认证，以及在传输真实数据前加密算法和沟通密钥。tls记录协议位于可靠传输协议之上，如tcp。它确认通过数据加密的连接是隐秘和可靠的。tls

记录协议也用来包装更高层协议，人员tls握手协议。由于服务器客户端都需要进行认证，ssl/tls可以防御中间人攻击。此外，由于加密数据，它可以防御并截获传输中的数据包。

2 应用层安全协议

2.1 安全电子交易协议（set）

1996年，美国visa和mastercard两个非常知名的信用卡组织，与国际上一些知名的科技机构一起，经过协商提出了应用于

internet上的在线交易安全标准，这一标准主要针对的是以银行卡为基础的在线交易。

① set协议的好处

帮助商家制定了保护自己的一些方法，这样就能够保障商家在经营中的安全性，减少商家的运营成本。

对于买方的好处是，set协议能够保障商家的经营是合法的，而且能够保障用户的信用卡号的安全，set协议能够帮助买方保护好他们的秘密，让他们能够更加安全的在线进行购物。

使信用卡网上支付的信誉度变得更高，提高竞争力。

set协议给参与交易的各方设置了互操作接口，不同厂商的产品可以共同使用一个系统。

② set协议的不足之处

协议中并未明确的规定收单银行给在线商店付款前，是不是一定要收到买方的货物接受证书，不然如果在线商店的货物没有达到相关的质量标准，买方有疑义时，会出现纠纷。协议未对“非拒绝行为”进行担保，这说明在线商店并不能证明订购是否是签署证书的买方发出的。set技术规范并未清楚的规定在事物处理结束后，怎样能够安全地保存这些数据，或者是销毁这类数据。在每一次进行set协议交易时，协议的使用都是很繁琐的，不是很方便，增加了使用的成本，且只有当客户有电子钱包时才能使用。

set主要针对的就是用户、商家和银行之间通过信用卡进行的支付交易，目的是更好的保护支付信息的机密，保障支付过程的完整，

保护商户及持卡人的合法身份，操作性较好。set中的核心技术包括公开密钥加密、电子数字签名等。

set是一种基于消息流的协议，一般都是通过visa和mastercard以及其他一些业界主流厂商设计发布，以此来实现公共网络上银行卡支付交易的安全性。在国际方面，set已经受住了很多次的考验，获得了良好的效果，但很多在internet上购物的消费者实际上并未真正使用set。

set是一种非常复杂的协议，它能够清楚地向我们展现卡支付交易各方之间的各种关系。set还对加密信息的格式进行了规定，完善了每笔卡支付交易时各方传输信息的规则。实际上，将set定义为技术方面的协议是很不够的，他还体现了每一方所持有的数字证书的合法性。

2.2 pgp协议

pgp加密技术是一个给予rsa公钥加密体系的邮件加密软件，提出了公共钥匙的加密技术。pgp加密技术创造性地把rsa公钥体系和传统加密体系结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计，因此pgp成为目前最流行的公钥加密软件包。

2.3 安全超文本传输协议（https）

ssl的一个普通用途就是浏览器和网页服务的http通信安全。安全模式就是由ssl/tls发送“无格式”的http协议并依据ssl

命名的超文本传输协议。有时将其指定为支持http协议的扩展httpss。ssl/tls建立客户端和服务间的安全连接并传输大量数据，