SSL协议和SET协议的区别

前言

如何才能拥有一个安全的在线电子支付环境是用户、商家及金融机构最为关注的问题，为此，众多IT精英们共同开发了安全在线支付协议，一个是安全套接层协议（SSL, Secure Sockets Layer ），另一个是安全电子交换协议（SET， Secure Electronic Transaction）。

一、 SSL协议

SSL协议是使用浏览器访问WEB服务器时，为了提高安全性而定下的一些规矩，包括在接到请求后的动作步骤，何时需要采用身份验证技术和加密技术等，SSL协议可以保证其数据传输的安全性。

（一）SSL工作原理

SSL提供在Web上两台机器间的安全通道，其原理如下：

（1） 利用认证技术识别各种身份。顾客向服务器发出连接消息后，SSL要求服

务器向浏览器出示数字证书。顾客了浏览器通过验证交易信息进而验证顾客身份信息，保证安全性。 （2） 利用加密技术保证通道的保密性。互相认证身份后，浏览器随机产生一个

密钥，并用这个密钥将数据采用对称加密的方式加密成一份密文，然后服务器中的数字证书里的公开密钥对产生的密钥加密，并将加密后的密钥和密文一起发送出去。由于传输密钥只能由对应的私钥解密，从而保证了信息传输的安全。 （3） 利用数字签名技术保证信息传送的完整性。

（二）SSL交易过程

客户首先在网页浏览商品，决定购买后向商家服务器发送交易指令，此时SSL协议开始介入。商家在接到顾客的订单和付款信息后，将其转发给银行以验证真伪，在获得银行认可后，通知客户购买成功并开始付款发货。 SSL （三）SSL优、缺点

优点： 1、支持多加密算法 2、过程简单 3、于应用层协议

缺点： 1、只能建立两点之间的安全连线（所以顾客信息不能直接发给银行，

须经商家转发） 2、只能保证连接通道是安全的，即不能保证商家会私自保留或盗用 顾客付款及身份信息

正是由于上述协议的不完善，众多技术开发人士又推出了一个新的更加全面的协议：SET协议。

二、 SET协议

SET协议是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议，其复杂度较深，涵盖了信用卡在电子商务交易中的交易流程，以及应用的信息保密问题、资料完整及CA认证问题、数字签名等问题。 主要包括：

(1)保障付款信息的安全（交易数据不会被截获或丢失）；

(2)保障付款过程的安全。第一点体现在顾客发给商户的交易信息中有关顾客的个人信息及信用卡密码等信息不会对外公开，即商户无法看到顾客的付款信息，从而保证了信息的安全；第二点体现在SET协议要求参与付款的各方都要提供数字认证，保障信用安全；

(3)保证付款过程遵守相同的协议和标准，确保在不同的硬件和软件平台上均可以使用。

（一）SET交易过程

由于SET协议安全性较高，其操作过程也就较为复杂，主要包括以下6个步骤： （1）消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。

（2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。

（3）消费者选择付款方式，确认订单签发付款指令。此时SET开始介入。 （4）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。

（5）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。

（6）在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。

（二）SET优、缺点

优点： 1、提供了更好的安全服务 2、保护了商家免受损失 3、扩展了银行和信用卡商的业务 缺点： 1、需要安装相应软件才能使用 2、必须向各方发放证书 3、价格昂贵

三、SSL协议和SET协议的比较

SSL 用户 接口 无需安装软件（已被浏览器和Web服务器内置） 需要安装软件（客户端需要安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应软件） 处理速度 快 认证要求 无（在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但仍不能实现多方认证） 必须认证（所有参与SET交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题） 安全性 较低（公钥加密、信息摘要和MAC检测） 协议层和功能 传输层（不具备电子商务的商务性、协调性和集成性功能） 应用层（规范了整个电子商务活动的流程、且制定了严格的加密和认证标准，具有商务性、协调性和集成性功能） 应用 领域 主要是和Web应用一起工作 SET 慢（1.5min~2min）需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密 较高（公钥加密、信息摘要和数字签名、双重签名） SET是为信用卡交易提供安全，因此如果电子商务应用只是通过Web或是电子邮件，则可以不要SET 结束语

综上所述，我们看到SSL和SET各有利弊，但都不够完善。我们应该尽快推出新的更加完善的在线电子交易协议，综合两者之长，改善两个协议都没有完善的地方，使得电子商务发展的更加快速，成型。