电子商务作为一种新兴的商业模式在全球引起了轰动。借助于不断增长的成本低廉的Internet，电子商务以其低成本、高效率的优势向传统商业模式提出挑战。在电子商务发展的诸多关键点中，安全因素是不可忽视的重点。电子商务安全包括保证交易的机密性、身份鉴别的可行性、交易不可否认性及交易的有效性和资源的可控性。安全本身是一个系统概念，系统中任何环节薄弱都将使整个系统的安全性降低。电子商务安全是一个包含诸多成分的复杂体系，但本文不对构成该体系的各成分一一论述，本文的讨论范围仅限于电子商务安全协议范围。本文总结了两个主流的电子商务安全协议——SSL和SET，对其安全性进行分析比较，以期对电子商务安全协议有清楚的认识和客观的评价。 SSL（安全套接字层）协议是最早应用于电子商务的安全协议之一。Netscape当初开发SSL是为了实现服务器和客户端的安全连接及双方的身份认证。在电子商务发展迅速而专门的安全协议尚未出台之时，SSL被作为最适宜的电子商务安全协议入选。协议分上下两层，下层SSL记录层协议，主要是定制数据格式和传送数据；上层SSL握手协议，主要是实现通信双方的身份鉴别并协商建立安全的通信连接所需的参数。记录层协议工作在握手协议商定的会话环境中，而握手协议作为上层协议使用记录层协议提供的服务，依靠记录层协议完成握手消息的传递。握手开始时的会话环境是无任何保护的明文通信。SSL结合运用了公钥密码技术、对称密码技术和完整性保护技术来实现其目标，采用数字证书证明实体身份。SSL认为大多数情况下服务器不需要验证客户端，故对客户端的验证是可选的。服务器证书将被发送给客户端，客户端通过验证证书鉴别服务器的可靠性，并用证书中的公钥加密一个预备秘密传给服务器。在公钥体系中，仅有相应的私钥才可解开特定公钥加密的密文，SSL据此保证只有服务器和客户端拥有预备秘密作为生成会话密钥的种子。SSL使用对称密码算法加密通信数据，并对传输的数据进行完整性检验。SSL用加密套件表示 对称密码算法和完整性检验使用的单向散列函数的组合，SSL支持的 加密套件从最强的三重DES＋SHAl到最弱的无加密＋MDS验证，双 方连接具体使用哪种套件在握手时商定，通常选择双方都支持的最强 的加密套件。对称密码算法使用的密钥由双方分别将预备秘密进行一 系列相同的处理过程产生。在实际应用中，SSL能够根据选择的加密 鲁件对传输内容的机密性予以一定程度的保护，能够防止网络监听攻 击、报文重发攻击，也能较好地阻止“中间人”攻击。但SSL握手协 议的内容全部以明文形式传递，有可能被篡改而导致双方选择较弱的 加密套件。由于SSL主要针对信息发布，通常不验证客户端身份，因 而在电于商务中使用 SSL时常常要以带外方式怕电话、E－mail等） 验证客户端身份。此外，在传统的采用SSL的电子商务交易模型中， 客户的敏感数据怕银行卡帐号信息等）需经过商家传递给银行，不 能保护客户免受商家欺诈。现行的SSL电子商务交易模型对此进行了 改进，使客户的敏感信息不经过商家亘接传递给银行。SSL不支待交 易的不可否认性，必须采用带外方式确认交易。对于破坏交易有效性 的因素，包括截取并丢弃数据包、拒绝服务攻击以及对主机系统的攻 击，S SL均不能防范。 S＊T安全电子交易）协议是1996年才提出的专门针对1血＊t 等不安全网络上采用银行卡支付的电子交易的安全协议。SET根据实 际的交易步骤在协议中规定了若干处理过程，包括持卡人注册、商家 注册、购买请求、支付授权、支付请款等。SET是三方支付协议，支 付网关作为银行系统与商家和客户的接口参与SET。在使用SET支付 以前，参与的三方（客户、商家、支付网关）必须取得相关的数字证 书。SET证书分两类：签名证书和密钥交换证书。签名证书用于对发 送消息的实体进行身份鉴别，密钥交换证书用于传递加密数据的对称 密钥。SET中持卡人只有签名证书，商家和支付网关既有签名证书又 有密钥交换证书。证书是SET实现安全通信和实体身份鉴别的重要手 段，SET采用了严格的树状层次证书管理体系结构。树状结构中除根 证书外的每一实体的证书均由上一级实体颁发，证书中包含上级实体 的签名和指向上级实体证书的链接。在根证书可信的条件下，通过逐 2 层向卜验证证书颁发者答名必定可以验证证书的可信性。为保证根证 书的可信，SET的初始根证书包含在SET软件中颁发，根证书的更新 也采取与其他证竹不问的力式石ET采用CRL鉴别有效期内由于私钥 泄