电子商务安全协议的分析与比较1.doc

电子商务安全协议的分析与比较 [摘　要] 随着社会的发展 ，科技的进步。人类迅速进入以网络为主的信息时代，Internet 的高速发展带来了商业和经济模式的重大变革。以 Internet 为主的电子商务慢慢成为人们进行商务活动的新模式。但是，与此同时安全问题成为了制约其发展的重要瓶颈。本文就电子商务安全问题及其主要协议：SSL协议 SET协议 进行简单的分析和比较。 [关键词] 电子商务　SSL　SET　 1引言 随着信息技术的迅速发展，基于Internet的电子商务已经深入到人们生活的方方面面。安全是电子商务的基石，如何保证电子商务交易活动中信息的机密性、真实性、完整性、不可否认性和存取控制等是电子商务发展中迫切需要解决的问题。 电子商务安全要素 为保证电子商务在整个商品交易过程中顺利安全进行，一般需要电子商务安全系统有以下安全要素。1) 有效性：电子商务系统可以对信息，交易实体的有效性进行鉴别 2) 可靠性和不可抵赖性：在进行电子商务交易时，交易信息在传输过程中将为参与交易的个人、企业、国家提供可靠的标识 3) 数据的完整性：即保护数据的完整性，防止有人没有经过授权就对数据内容进行修改，同时还要保证数据的一致性 4) 机密性：保证信息在存取和传输过程中的安全性 3. 安全套接层协议（SSL） 安全套接层协议(Secure Socket Layer，简称SSL)是美国网景在Internet环境下提供端到端的安全连接。它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。目前，几乎所有操作平台上的WEB浏览器（IE、Netscatp）以及流行的Web服务器（IIS、Netscape Enterprise Server等）都支持SSL协议，现在它已成为事实上的工业标准。SSL协议解决了目前TCP/IP协议难以满足的网络安全通信的要求，它运行在TCP/IP协议之上而在其他高层的应用层协议（如HTTP、FTP、SMTP、LDAP和IMAP等）之下。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。 SSL可分为两层：一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样，应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了 TCP/IP协议安全性较差的弱点。 SSL协议安全性分析 1) 用户和服务器的合法性认证：用户和服务器都有各自的识别号，采用 公钥技术，在握手阶段进行数字认证，以确保用户的合法性 2) 数据加密：采用对称密钥加密传输数据 3) 数据的完整性：采用哈希函数等形成数字摘要，保证数据的完整性 但是，SSL协议也存在着一些问题，SSL刚开始并不是为了支持电子商务而设计的。电于商务往往是用户、网站、银行三家协作完成，SSL 协议并不能协调各方面的安全传输和信任关系，并且，SSL并不支持完善的防抵赖功能。 SET（Secure Electronic Transaction）安全电子交易协议 SET 协议是针对开放网络上安全、有效的银行卡交易，是由 Visa 和Master card联合研制的一个能保证通过开放网络进行安全资金支付的技术标准。其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。SET本身并不是一个支付系统，而是一个安全协议集，SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。SET 较好地解决了信用卡在电子商务交易中的安全问题。 SET协议关键技术 SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥加密技术和Hash算法是其核心。综合应用以上三种技术产生了数字签名、数字信封、数字证书等多种加密与认证技术。 数字签名是实现认证的重要工具，在网络中的密钥分配、电子安全交易等方面都有重要应用，它能提供身份认证、数据完整性、不可抵赖等安全服务。数字签名分为签名和认证两部分。 数字信封技术： 在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开