SSL和SET都是電子商務中的核心安全技術,但是,由於技術和人為的因素,這兩種技術目前都存在著套用局限性。
保證電子商務安全,其核心在於安全協定。目前套用得最廣泛的是安全套接層協定(SSL),它已成為事實上的工業標準。它基於強公鑰加密技術及RSA的專用密鑰技術,建立進程對進程安全傳輸服務和加密傳輸信道,把參與通信的相應進程之間的數據信道按“私用”和“已認證”進行監管。SSL協定獨立於套用層,可載入任何高層套用協定,因此,SSL協定適合為各類客戶/伺服器產品提供安全傳輸服務。
SSL協定提供一種加密的握手會話,使客戶端和伺服器端實現身份驗證、協商加密算法和壓縮算法、交換密鑰信息。這種握手會話通過數字簽名和數字證書來實現客戶和伺服器雙方的身份驗證,採用DES、MD5等加密技術實現數據的保密性和完整性。在用數字證書對雙方的身份驗證後,雙方就可以用密鑰進行安全會話。
改進後的SSL版本3分為SSL記錄層和SSL協商層,它們分別對應以下兩個協定:
(1)SSL記錄協定。它涉及應用程式提供的信息分段、壓縮、數據認證和加密。
(2)SSL握手協定。用來交換版本號、加密算法、(相互)身份認證並交換密鑰。
Internet號碼分配當局(IANA)已經為具備SSL功能的套用分配了固定端口號,例如,帶SSL的HTTP被分配的連線埠號為443,帶SSL的SMTP被分配的連線埠號為465,帶SSL的NNTP被分配的連線埠號為563。
但是,SSL目前並不完備,缺陷是只能保證傳輸過程的安全,無法知道在傳輸過程中是否受到竊聽,黑客可破譯SSL的加密數據,破壞和盜竊Web信息。此外,SSL在全球的大規模使用還有一定的難度。SSL產品的出口受到美國國家安全局的限制,美國政府只允許加密密鑰為40位以下的算法出口,而美國的商家一般都使用128位的SSL,致使美國以外的國家很難真正在電子商務中充分利用SSL。新的SSL協定被命名為TLS(Transport Layer Security),安全可靠性可有所提高,但仍不能消除原有技術的基本缺陷。又由於SSL協定將客戶的信用卡號傳送給商家,容易被心術不正的商家欺詐。
因此,SSL目前面臨著非常大的套用難題。為了實現更加完善的電子交易,Master Card和Visa以及其他一些廠商制訂並發布了SET協定。
SET協定是專為保護持卡人、發卡人、商家和收單者之間,在網際網路上進行信用卡支付的安全交易協定。該方法將銷售商伺服器中的信用卡號碼進行編碼,規定了信用卡持卡人用其信用卡通過Internet進行付費的方法,向基於信用卡進行電子化交易的套用提供了實現安全措施的規則。這套機制的後台有一個證書頒髮結構,提供對X.509證書的支持。只有銀行和信用卡公司才能知道該號碼。SET協定為電子交易提供的安全措施,保證了電子交易的機密性、數據完整性、身份的合法性和抗否認性,使人們在網上被欺詐的機會要比現實生活中少得多。但是,SET協定不能解決電子商務所遇到的全部問題,且它不同尋常地複雜,該協定的描述有好幾百頁之多,目前該協定幾乎面臨停頓,而國內僅有少數套用。