ccidnet????

出版日期:2002-03-11 总期号:1099 本年期号:16

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
东北专刊
华东专刊
华南专刊
西北专刊
西南专刊
 SSL和SET谁更有前途
电子商务安全协议
王冬春

  安全协议是目前电子支付技术安全问题中的热点,作为电子商务中支持支付系统的关键技术,安全套接层(SSL)和安全电子交易(SET),便成了我们关注的焦点。在这里,让人们来看一看,两者之中谁将领导未来。


  SSL:基于Web的安全法宝
  安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于Web应用的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息,来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。

set与ssl协议购物过程的对比表

交易模式

set

ssl

优点

身份确认
交易安全
资料完整
交易不可否认

消费者使用方便

缺点

需要向银行取
得信用卡和在
线取得数字证
书的时间和动作

风险负担较大
黑客容易侵入
信用卡易被冒刷
和外漏

安全性

风险责任归属

set相关银行组织

商家及消费者

  SSL安全协议主要提供以下三方面的服务:

  ● 用户和服务器的合法性认证。

  ● 加密数据以隐藏被传送的数据。

  ● 保护数据的完整性。


  SET:为信用卡而生
  安全电子交易协议(SET,Secure Electronic Transaction)是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。这个规范自推出之后,就得到了IBM、Netscape、Microsoft、Oracle等众多厂商的支持。其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的就是为了保证网络交易的安全。SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。


  SET支付系统中六个参与方之间的关系图

  SET的运作是通过四个软件组件来完成的,其中包括电子钱包(Electronic Wallet)、电子证书(Digital Certificate)、支付网关(Payment Gateway)和认证中心(Certification Authority)。这四个软件分别存储在持卡人、网络商店、银行以及认证中心的计算机中,通过相互运作来完成整个SET的交易服务。持卡人主要指持有信用卡的消费者;电子商家主要职能是支持为网络购物的电子商店等提供电子交易服务的企业组织;收单银行主要是使用支付系统的专用网关提供各商家的因特网在线借款服务;发卡银行负责处理信用卡的发放、账目管理、付款清算等。由此,我们可以看出,参与SET交易有四个主要角色持卡人(Cardholder)、商家(Merchant)、 CA(Certification Authority)、支付网关(Payment Gateway),除了这四个角色以外,还有收单银行(Acquirer)和发卡银行(Issuer)共六个参与方。


  SSL与SET谁更有前途
  为了让我们能够清晰地看清SSL和SET的异同,下面通过表格来做一下对比,通过对比SSL与SET,我们可以得出以下五个结论:

  1.认证机制:SET的安全要求较高,因此所有参与SET交易的成员(持卡人、商家、支付网关等)都必须先申请数字证书来识别身份,而在SSL中只有商店端的服务器需要认证,客户端认证则是有选择性的。

  2.设置成本:持卡者希望申请SET交易,除了必须先申请数字证书之外,也必须在计算机上安装符合SET规格的电子钱包软件,而SSL交易则不需要另外安装软件。

  3.安全性:一般公认SET的安全性较SSL高,主要是因为整个交易过程中,包括持卡人到商店端、商店到付款转接站再到银行网络,都受到严密的保护,而SSL的安全范围只限于持卡人到商店端的信息交换。

  4.基于Web的应用:SET是为信用卡交易提供安全的,它更通用一些。然而,如果电子商务应用只通过Web或是电子邮件,则可能并不需要SET。

  通过以上分析,我们可以看出,SET从技术上和流程上都相对优于SSL,但这是否就意味着未来SET就会超过SSL的应用,最后完全取代SSL呢?问题的结论是:不一定。因为虽然SET通过制定标准和采用各种技术手段,解决了一直困扰电子商务发展的安全问题,其中包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。但是由于SET成本太高,互操作性差,且实现过程复杂,所以还有待完善。而SSL的自主开发性强,我国已有很多单位均已自主开发了128位对称加密算法,并通过了检测,这大大提高了它的破译难度;并且SSL协议已发展到能进行表单签名,在一定程度上弥补了无数字签名的不足。


  安全认证协议在我国的前景
  所以,结合我国的具体情况来看,我们可以预见,安全认证在我国的发展趋势将可能为以下两种:一,SET与SSL共存,优势互补。如美国较多采用的是“面向商家的SET协议”,即在银行与商家之间采用SSL协议,但这对银行的要求就更高了;二,随着SET与SSL的融合程度上升,有可能出现一种新的安全认证体系,类似于目前的公钥基础结构(PKI)。从广义上来说,所有提供公钥加密和数字签名服务的系统都可叫做PKI系统,因此它既支持SET、SSL,还支持其它一些协议,并且可为B to B及B to C两种电子商务模式提供兼容性服务,其前景目前较为看好。