电子商务安全协议的分析与比较模板.doc

电子商务安全协议分析与比较 [摘　要] 伴随社会发展 , 科技进步。人类快速进入以网络为主信息时代, Internet 高速发展带来了商业和经济模式重大变革。以 Internet 为主电子商务慢慢成为大家进行商务活动新模式。不过, 与此同时安全问题成为了制约其发展关键瓶颈。本文就电子商务安全问题及其关键协议: SSL协议 SET协议 进行简单分析和比较。 [关键词] 电子商务　SSL　SET　 1引言 伴随信息技术快速发展, 基于Internet电子商务已经深入到大家生活方方面面。安全是电子商务基石, 怎样确保电子商务交易活动中信息机密性、 真实性、 完整性、 不可否认性和存取控制等是电子商务发展中迫切需要处理问题。 1. 电子商务安全要素 为确保电子商务在整个商品交易过程中顺利安全进行, 通常需要电子商务安全系统有以下安全要素。1) 有效性: 电子商务系统能够对信息, 交易实体有效性进行判别 2) 可靠性和不可抵赖性: 在进行电子商务交易时, 交易信息在传输过程中将为参与交易个人、 企业、 国家提供可靠标识 3) 数据完整性: 即保护数据完整性, 预防有些人没有经过授权就对数据内容进行修改, 同时还要确保数据一致性 4) 机密性: 确保信息在存取和传输过程中安全性 3. 安全套接层协议（SSL） 安全套接层协议(Secure Socket Layer, 简称SSL)是美国网景在Internet环境下提供端到端安全连接。它能够对信用卡和个人信息提供较强保护。SSL是对计算机之间整个会话进行加密协议。在SSL中, 采取了公开密钥和私有密钥两种加密方法。现在, 几乎全部操作平台上WEB浏览器（IE、 Netscatp）以及流行Web服务器（IIS、 Netscape Enterprise Server等）都支持SSL协议, 现在它已成为实际上工业标准。SSL协议处理了现在TCP/IP协议难以满足网络安全通信要求, 它运行在TCP/IP协议之上而在其她高层应用层协议（如HTTP、 FTP、 SMTP、 LDAP和IMAP等）之下。SSL协议在应用层协议通信之前就已经完成加密算法、 通信密钥协商以及服务器认证工作。在此以后应用层协议所传送数据都会被加密, 从而确保通信私密性。 SSL可分为两层: 一是握手层, 二是统计层。SSL握手协议描述建立安全连接过程, 在用户和服务器传送应用层数据之前, 完成诸如加密算法和会话密钥确定, 通信双方身份验证等功效; SSL统计协议则定义了数据传送格式, 上层数据包含SSL握手协议建立安全连接时所需传送数据都经过SSL统计协议再往下层传送。这么, 应用层经过SSL协议把数据传给传输层时, 已是被加密后数据, 此时TCP/IP协议只需负责将其可靠地传送到目地, 填补了 TCP/IP协议安全性较差弱点。 SSL协议安全性分析 1) 用户和服务器正当性认证: 用户和服务器都有各自识别号, 采取 公钥技术, 在握手阶段进行数字认证, 以确保用户正当性 2) 数据加密: 采取对称密钥加密传输数据 3) 数据完整性: 采取哈希函数等形成数字摘要, 确保数据完整性 不过, SSL协议也存在着部分问题, SSL刚开始并不是为了支持电子商务而设计。电于商务往往是用户、 网站、 银行三家协作完成, SSL 协议并不能协调各方面安全传输和信任关系, 而且, SSL并不支持完善防抵赖功效。 SET（Secure Electronic Transaction）安全电子交易协议 SET 协议是针对开放网络上安全、 有效银行卡交易, 是由 Visa 和Master card联合研制一个能确保经过开放网络进行安全资金支付技术标准。其实质是一个应用在Internet上、 以信用卡为基础电子付款系统规范, 目是为了确保网络交易安全。SET本身并不是一个支付系统, 而是一个安全协议集, SET规范确保了用户能够安全地在诸如Internet这么开放网络上应用现有信用卡支付设施来完成交易。SET 很好地处理了信用卡在电子商务交易中安全问题。 SET协议关键技术 SET使用多个密钥技术来达成安全交易要求, 其中对称密钥技术、 公钥加密技术和Hash算法是其关键。综合应用以上三种技术产生了数字署名、 数字信封、 数字证书等多个加密与认证技术。 数字署名是实现认证关键工具, 在网络中密钥分配、 电子安全交易等方面都相关键应用, 它能提供身份认证、 数据完整性、 不可抵赖等安全服务。数字署名分为署名和认证两部分。 数字信封技术: 在数字信封中, 信息发送方采取对称密钥来加密信息内容, 然后将此对称密钥用接收方公开密钥来加密（这部分称数字信封）以后, 将它和加密后信息一起发送给接收方, 接收方先用对应私有密钥打开数字信封, 得到对称密钥, 然后使用对称密钥解开加密信息。在传输信息时, 信息接收方若要解密信息, 必需先用自己私钥解密数字信封, 得到对称密码, 才能利用对称密码解密所得到信息。这么就确保了数据传输真实性和完整性。 双重署名技术: 双重署名目在连结两个不一样接收者消息。在这里, 消费者想要发送订单信息OI到特约商店, 且发送支付命令PI给银行。特约商店并不需要知道消费者信用卡卡号, 而银行不需要知道消费者订单具体信息。消费者需要将这两个消息分隔开, 而受到额外隐私保护三、 SSL 与SET协议比较分析 SSL和SET是目前在电子商务中应用最为广泛安全协议, 二者差异关键表现在以下多个方面。 1.工作层次 SSL属于传输层安全技术规范, 它不含有电子商务商务性、 协调性和集成性功效。SET协议位于应用层, 它不仅规范了整个商务活动步骤, 而且制订了严格加密和认证标准, 含有商务性、 协调性和集成性功效。 2.认证机制 早期SSL 协议并没有提供身份认证机制, 即使在SSL3. 0中能够经过数字署名和数字证书实现浏览器和WEB 服务器之间身份认证, 但仍不能实现多方认证。SET 协议要求全部参与交易活动各方都必需使用数字证书, 很好处理了用户与银行、 用户与商家、 商家与银行之间多方认证问题。 3.安全程度 SET 协议因为采取了非对称加密、 消息摘要和数字署名能够确保信息机密性、 认证性、 完整性和不可否认性, 尤其是SET协议采取了双重署名技术来确保各参与方信息相互隔离, 使商家只能看到持卡人订单信息, 而银行只能取得持卡人信用卡信息。SSL 协议虽也采取了公钥加密和信息摘要等技术, 也能够提供机密性、 完整性和一定程度身份验证功效, 但缺乏一套完整认证体系, 不能提供电子商务交易活动中非常关键不可否认性证实。 4.运行效率 SET协议非常复杂、 庞大、 运行速度慢。一个经典SET交易过需验证电子证书9次、 验证数字署名6次、 传输证书7次、 进5次署名4次对称加密和4次非对称加密, 整个交易过程非常耗时; 而SSL 协议则简单很多, 运行效率也比SET 协议高。 5.布署成本 SSL 协议已被大部分浏览器和WEB 服务器内置, 无须安装专门软件; 而SET 协议中用户端要安装专门电子钱包软件, 在商家服务器和银行网络上也需安装对应软件, 布署成本高。 SSL 协议与SET 协议比较汇总如表1所表示。 SSL协议 SET协议 工作层次 传输层 应用层 认证机制 双方认证 多方认证 安全程度 较高（不提供不可否认性） 很高（提供不可否认性） 运行效率 高 低 布署成本 低 高 参考文件: 1.陈果.移动电子商务密钥管理协议及加密算法研究[D].湖南: 湖南大学, .6. 2. 侯小梅, 毛宗源, 张波.电子商务中加密方法理论和应用研究[J].计算机工程与 应用, .11（11）