基于SSL&SET协议的在线支付模型的研究

马琰

（无锡工艺职业技术学院，江苏 宜兴 214206）

1.前言

随着Internet的迅速发展，电子商务已被越来越多的企业和消费者所接受。我国每年因电子商务安全问题所造成的经济损失达上百亿元。电子商务的安全问题已成为阻碍电子商务发展的一个主要因素。

电子支付是电子商务交易活动中的一个重要环节，为了实现安全的电子支付，国际上已经提出了多种安全协议，其中最有代表性的是SSL和SET协议。

2.SSL和SET协议

2.1 安全套接层协议SSL

安全套接层协议SSL(Secure Socket Layer)使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，主要适用于点对点之间的信息传输。SSL协议实际上是一个终端对终端的加密了的通讯会话，它嵌套在传送层与应用层之间。

在电子商务网站中，处理银行卡支付之类的敏感数据时，必须在加密后通过安全的通道进行传递。SSL采用公开密钥技术，确保银行卡的信息安全。SSL在传递数据时必须完成以下任务：

(1)数据被加密；

(2)在源服务器和目标服务器之间建立一个安全连接；

(3)启用服务器身份验证。

SSL协议的执行过程如图1所示。

图1 SSL协议执行过程图

2.2 安全电子交易协议SET

SET协议是是一种基于消息流的协议，用来保证公共网络上银行卡支付交易的安全，是Internet上进行在线交易的电子付款系统规范。在SET协议中使用了以下安全措施：

(1)加密技术。

(2)数字签名技术。

(3)电子认证。

(4)电子信封。

SET协议的流程大致如图2所示。

图2 SET协议的流程图

3.SSL和SET协议的优缺点

3.1 SSL协议优缺点

简便易行是SSL协议的最大优点，同时其缺点也是显而易见的。首先，在交易过程中，客户的信息先到达商家那里，导致客户资料安全性无法保证；其次，SSL只能保证资料传递过程的机密性，而是否有人截取资料无法保证；再次，由于SSL协议的数据安全性是建立在RSA等算法上，因此其系统安全性较差。除此之外，由于SSL协议不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这就造成了SSL协议在电子银行应用中的最大不足。

3.2 SET协议优缺点

采用SET标准实现的银行卡支付方式在安全性、可靠性、不可抵赖性方面都是其它方式不可比拟的。每一步骤都通过数字证书验证对方身份；使用双重数字签名，商家只能看到被允许看到的信息，而无法看到银行卡信息。但在实际应用中，SET协议依然存在以下不足：

(1)协议没有说明收单银行给商家付款前，是否必须收到客户的货物接受证书。

(2)协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的客户发出的。

(3)SET技术规范没有提及在事务处理完成后如何安全地保存或销毁此类数据。

(4)交易过程复杂，使用成本高。

4.SSL&SET混合协议模型的设计

4.1 模型设计

为发挥SSL和SET协议各自的优势和弥补各自的缺点，可将SSL和SET协议充分融合，应用在一次网上交易过程中。在不降低安全性的前提下，尽可能带来方便性、简单性。为此，提出了以下设计方案：

在商家与顾客、商家与银行连接过程中使用SSL协议，在顾客与发卡行连接过程中使用SET协议，支付时可使用银行发行的银行卡。在交易模型中使用混合协议以及CA签发的数字证书，建立一个安全的交易模型。

基于SSL&SET混合协议的模型图如3所示。

图3 基于SSL&SET混合协议的模型图

4.2 模型分析

该模型中的商业银行作为支付站点，成为支付系统的主体，所有支付的交易活动都在商业银行中进行；顾客的支付信息不经过商家，不存在顾客的信用卡资料泄露给商家的问题。数字证书的验证避免了商家的网站恶意欺诈；在银行和商家之间，系统的设置成本较低；在持卡人与商家之间信息的传输过程中，由SET协议的相关软件来实现，并且使用CA签发的数字证书使安全性得到充分的保证。在持卡人支付请求和商家支付结果查询过程中，使用SSL传输协议，也使用CA签发的数字证书，较好地保障了安全。整个模型之间构成了良好的安全性环境，顾客和商家的整个交易活动都由商业银行执行，并且实施了相关的加密措施来保证信息在传递过程中的安全性，这样既保证了顾客支付信息和交易信息的安全性，也保证了商家交易的顺利进行。

5.总结与展望

电子商务的发展并不是简单地将一个传统企业的商品、服务搬上网站就结束了，很多新的问题需要解决，安全电子支付就是其中之一。本文对SSL和SET协议进行了分析、评价，在总结各自优缺点的前提下，考虑当前的实际应用情况，提出了将二者进行融合的思想，并对此给出了改进设计模型。

网络支付是一个相当复杂的系统，涉及消费者、商家、支付网关、收单行、发卡行以及认证中心等多边实体，有许多问题还需要继续研究。

[1]宋文官.电子商务实验[M].北京：清华大学出版社，2007.

[2]张宽海等.电子商务概论[M].北京：电子工业出版社，2003.

[3]Jonathart B.Knudsen.Java Cryptography[A].New York：ACM Press，2004.

[4]张宽海.金融与电子支付[M].北京：北京大学出版社，2008.

[5]张爱菊.电子商务安全技术[M].北京：清华大学出版社，2006.

[6]林松.电子支付安全体系结构的研究与实现[D].四川：四川大学，2005.

[7]卢佳妙.电子商务安全体系架构应用集成[D].福州：福州大学，2005.