妖刀姬 封面人物:介绍一下 SET协议和SSL协议的区别

两种都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。
SSL叫安全套接层协议，是国际上最早用的，已成工业标准，但它的基点是商家对客户信息保密的承诺，因此有利于商家而不利于客户。
SET叫安全电子交易协议，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。因它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心，所以对消费者与商家同样有利。它越来越得到众人认同，将会成为未来电子商务的规范

近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：

(1) 安全超文本传输协议（S-HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

(2) 安全套接层协议（SSL协议：Secure Socket Layer)是由网景（Netscape）公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。

(3) 安全交易技术协议(STT：Secure Transaction Technology)：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

(4) 安全电子交易协议（SET：Secure Electronic Transaction）：SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。

支付系统是电子商务的关键，但支持支付系统的关键技术的未来走向尚未确定。安全套接层（SSL）和安全电子交易（SET）是两种重要的通信协议，每一种都提供了通过Internet进行支付的手段。但是，两者之中谁将领导未来呢？SET将立刻替换SSL吗？SET会因其复杂性而消亡吗？SSL真的能完全满足电子商务的需要吗？我们可以从以下几点对比作管中一窥：

SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。

SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。

SET是一种基于消息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验，但大多数在Internet上购的消费者并没有真正使用SET。

SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。

. SSL安全协议

SSL安全协议最初是由Netscape Communication公司设计开发的，又叫“安全套接层（Secure Sockets Layer）协议”，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及所有TC/IP应用程序。

SSL安全协议主要提供三方面的服务：

用户和服务器的合法性认证
认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，安全套接层协议要求在握手交换数据进行数字认证，以此来确保用户的合法性。

加密数据以隐藏被传送的数据
安全套接层协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手情息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。

护数据的完整性
安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

要说明的是，安全套接层协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护。例如，一台客户机与一台主机连接上了，首先是要初始化握手协议，然后就建立了一个SSL。对话进段。直到对话结束，安全套接层协议都会对整个通信过程加密，并且检查其完整性。这样一个对话时段算一次握手。而HTTP协议中的每一次连接就是一次握手，因此，与HTTP相比。安全套接层协议的通信效率会高一些。

（1）接通阶段：客户通过网络向服务商打招呼，服务商回应；
（2）密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；
（3）会谈密码阶段：客户与服务商间产生彼此交谈的会谈密码；
（4）检验阶段：检验服务商取得的密码；
（5）客户认证阶段：验证客户的可信度；
（6）结束阶段，客户与服务商之间相互交换结束的信息。

当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。

发送时信息用对称密钥加密，对称密钥用非对称算法加密，再把两个包绑在一起传送过去。

接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。

在电子商务交易过程中，由于有银行参与，按照SSL协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。

SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有很多网上商店使用。在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家将商品寄给客户。这里，商家是可以信赖的，所以客户先付款给商家。在电子商务的开始阶段，商家也是担心客户购买后不付款，或使用过期的信用卡，因而希望银行给予认证。SSL安全协议正是在这种背景下产生的。

SSL协议运行的基点是商家对客户信息保密的承诺。但在上述流程中我们也可以注意到，SSL协议有利于商家而不利于客户。客户的信息首先传到商家，商家阅读后再传至（银行，这样，客户资料的安全性便受到威胁。商家认证客户是必要的，但整个过程中，缺少了客户对商家的认证。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出，SSL协议的缺点完全暴露出来。SSL协议将逐渐被新的电子商务协议（例如SET）所取代。
[page]
11. SET安全协议
在开放的因特网上处理电子商务，保证买卖双方传输数据的安全成为电子商务的重要的问题。为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，为了达到交易安全及合乎成本效益的市场要求，VISA国际组织及其它公司如Master Card、Micro Soft、IBM等共同制定了安全电子交易（SET：Secure Electronic Transactions）公告。这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。由于设计合理，SET协议得到了许多大公司和消费者的支持，己成为全球网络的工业标准，其交易形态将成为未来“电子商务”的规范。

安全电子交易规范，为在因特网上进行安全的电子商务提供了一个开放的标准。SET主要使用电子认证技术，其认证过程使用RS
参考资料：www.net130.com

相同点：
两种都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。

区别：
SSL叫安全套接层协议，是国际上最早用的，已成工业标准，但它的基点是商家对客户信息保密的承诺，因此有利于商家而不利于客户。

SET叫安全电子交易协议，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。因它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心，所以对消费者与商家同样有利。

一、SSL(Secure Sockets Layer)安全套接层协议
是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接，对整个会话进行了加密，从而保证了安全传输。SSL协议建立在可靠的TCP传输控制协议之上，并且与上层协议无关，各种应用层协议(如：HTTP，FTP，TELNET等)能通过SSL协议进行透明传输。
1、SSL协议分为两层：SSL握手协议和SSL记录协议。
2、SSL协议提供的安全连接具有以下三个基本特点：
(1)连接是保密的：对于每个连接都有一个唯一的会话密钥，采用对称密码体制（如DES、RC4等）来加密数据；
(2)连接是可靠的：消息的传输采用MAC算法（如MD5、SHA等）进行完整性检验；
(3)对端实体的鉴别采用非对称密码体制（如RSA、DSS等）进行认证。
3、SSL握手协议
SSL握手协议用于在通信双方建立安全传输通道，具体实现以下功能：
（1）在客户端验证服务器，SSL协议采用公钥方式进行身份认证；（2）在服务器端验证客户（可选的）；（3）客户端和服务器之间协商双方都支持的加密算法和压缩算法，可选用的加密算法包括：IDEA、RC4、DES、3DES、RSA、DSS、Diffie_hellman、Fortezza、MD5、SHA等；（4）产生对称加密算法的会话密钥；（5）建立加密SSL连接。
握手过程分为4个阶段：
（1）初始化逻辑连接，客户方先发出ClientHello消息，服务器方也应返回一个ServerHello消息，这两个消息用来协商双方的安全能力，包括协议版本、随机参数、会话ID、交换密钥算法、对称加密算法、压缩算法等。
（2）服务器方应发送服务器证书（包含了服务器的公钥等）和会话密钥，如果服务器要求验证客户方，则要发送CertificateRequest消息。最后服务器方发送ServerHelloDone消息，表示hello阶段结束，服务器等待客户方的响应。
（3）如果服务器要求验证客户方，则客户方先发送Certificate消息，然后产生会话密钥，并用服务器的公钥加密，封装在ClientKeyExchange消息中，如果客户方发送了自己的证书，则再发送一个数字签名CertificateVerify来对证书进行校验。
（4）客户方发送一个ChangeCipherSpec消息，通知服务器以后发送的消息将采用先前协商好的安全参数加密，最后再发送一个加密后的Finished消息。服务器在收到上述两个消息后，也发送自己的ChangeCipherSpec消息和Finished消息。至此，握手全部完成，双方可以开始传输应用数据。
SSL握手协议在通信双方建立起合适的会话状态信息要素，如下表所示：
会话状态信息要素 描述
对话标识 服务器选择的用于标识一个活跃的、重新开始的对话标识
对等证书 对等实体的X509证书
压缩方法 所采用的数据压缩算法
加密说明 所采用的数据加密算法和MAC算法
会话密钥 客户端和服务器所共享的会话密钥
可重开始 标识此对话是否可以用来初始化新的标志
4、SSL记录协议
SSL记录协议从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去。在SSL协议中，所有的传输数据都被封装在记录中，SSL记录协议规定了记录头和记录数据的格式。
每个SSL记录包含以下信息：（1）内容类型：指SSL的高层协议；（2）协议版本号：指所用的SSL协议版本号，目前已有2.0和3.0版本；（3）长度：指记录数据的长度，记录数据的最大长度为16383个字节；（4）数据有效载荷：将数据用SSL握手阶段所定义的压缩方法和加密方法进行处理后得到的结果；（5）MAC：MAC在有效数据被加密之前计算出来并放入SSL记录中，用于进行数据完整性检查，若使用MD5算法，则MAC数据长度是16个字节。SSL记录协议采用了RFC2104中关于HMAC结构的修正版，在HASH函数作用之前将一个序号放入消息中，以抵抗各种形式的重传攻击，序号是一个32位的递增计数器。
二、 SET协议
1、SET协议概述
SET（Secure Electronic Transaction）安全电子交易协议是1996年由MasterCard(维萨)与Visa(万事达)两大国际信用卡公司联合制订的安全电子交易规范。它提供了消费者、商家和银行之间的认证，确保交易的保密性、可靠性和不可否认性，保证在开放网络环境下使用信用卡进行在线购物的安全。
2、SET协议中采用的数据加密模型
该模型具有以下特点：
（1）交易参与者的身份鉴别采用数字证书的方式来完成，数字证书的格式一般采用X.509国际标准；
（2）交易的不可否认性用数字签名的方式来实现。由于数字签名是由发送方的私钥产生，而发送方的私钥只有他本人知道，所以发送方便不能对其发送过的交易数据进行抵赖；
（3）用报文摘要算法来保证数据的完整性；
（4）由于非对称加密算法的运算速度慢，所以要和对称加密算法联合使用，用对称加密算法来加密数据，用数字信封来交换对称密钥。
3、SET协议的数据交换过程
SET协议的购物系统由持卡人、商家、支付网关、收单银行和发卡银行五个部分组成，这五大部分之间的数据交换过程如图四所示。
图四　SET协议的数据交换过程
3 SSL协议和SET协议的对比
SSL协议和SET协议的差别主要表现在以下几个方面：
（1）用户接口：SSL协议已被浏览器和WEB服务器内置，无需安装专门软件；而SET协议中客户端需安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应的软件。
（2）处理速度：SET协议非常复杂、庞大，处理速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密，整个交易过程可能需花费1.5至2分钟；而SSL协议则简单得多，处理速度比SET协议快。
（3）认证要求：早期的SSL协议并没有提供身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证，但仍不能实现多方认证，而且SSL中只有商家服务器的认证是必须的，客户端认证则是可选的。相比之下，SET协议的认证要求较高，所有参与SET交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
（4）安全性：安全性是网上交易中最关键的问题。SET协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性，且SET协议采用了双重签名来保证各参与方信息的相互隔离，使商家只能看到持卡人的订购数据，而银行只能取得持卡人的信用卡信息。SSL协议虽也采用了公钥加密、信息摘要和MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但缺乏一套完整的认证体系，不能提供完备的防抵赖功能。因此，SET的安全性远比SSL高。
（5）协议层次和功能：SSL属于传输层的安全技术规范，它不具备电子商务的商务性、协调性和集成性功能。而SET协议位于应用层，它不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能。
三、总结：
由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而目前取得了广泛的应用。但随着电子商务规模的扩大，网络欺诈的风险性也在提高，在未来的电子商务中SET协议将会逐步占据主导地位。