電子商務安全協議概念

A. 電子商務安全是指什麼

簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網路安全所要研究的領域，包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。
電子商務安全要素體現在：
信息的機密性：密碼技術
信息的完整性：散列函數
數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異；
數據傳輸過程中的信息丟失、重復、差異；
黑客對信息的篡改和假冒
完整性一般可通過提取消息文摘獲得，包括兩方面：
數據傳輸的完整性
完整性檢查、上下文檢查：內容的差異和語法規則
信息的有效性：電子文檔的法律確認
認證性：身份確認
信息的不可抵賴性：數字簽名
不可修改性：完整性
部分告知：交易與支付的部分分離
另行確認
系統的可靠性
計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒、自然災害等

電子商務安全技術主要有：
密碼技術
加密技術是保證電子商務安全的重要手段，是信息安全的核心。
密鑰管理技術
最棘手的問題：分發和存儲
數字簽名：公鑰加密技術
網路安全技術
操作系統安全、防火牆技術、VPN、漏洞檢測、審核技術等

B. 什麼是電子商務安全協議

隆力奇直銷
Modern e-commerce security policy
[Abstract] In this paper, an open Internet environment, e-commerce security threats and security needs of e-commerce security technologies, including encryption, authentication, security protocols and firewall technology, VPN technology, and on this basis a reasonable strategy for e-commerce security.
[Key words] e-commerce encryption technology, authentication technology security policy

With the continuous development of the Internet, e-commerce as a combination of network and commercial procts, is close to people's lives, more and more people attracted attention. However, e to the openness of the Internet and the anonymity, there are a lot of inevitable security risks. In e-commerce, security is the core issue must be taken into account, the requirements to provide network security solutions.
A, e-commerce security issues
E-commerce in the Internet an open network environment, always a threat to security, the security threats can be divided into four broad categories: 1. The interception and theft of information: If no measures taken or encryption strength of encryption is not enough to attack through the use of various means of illegal access to confidential user information. 2. The distortion of information: the attacker using various technologies and means of information on the network mid-course correction, concurrent to the destination, thereby undermining the integrity of information. 3. Information counterfeiting: the attacker through the network to decrypt data or business law information, pseudo-legal users or send fake messages to deceive their customers. 4. Transaction repudiation: refers to the transaction or both unilateral repudiation of the transaction.
E-commerce security threats faced by the emergence of electronic commerce has led to the demand for security, including confidentiality, integrity, authentication and non-repudiation, validity of five aspects.
Second, e-commerce security technology
For e-commerce security technologies, including encryption, authentication technology and e-commerce security protocols, firewall technology.
1. Encryption technology
In order to ensure the security of data and transactions to prevent fraud, to confirm the true identity of the transaction between the two sides, e-commerce encryption technology to be used, encryption technology means that by using the code or password to protect data security. For data encryption as an express, express, after effects of a certain encryption algorithm, to convert ciphertext, we will be expressly for the ciphertext for this process is known as encryption, to ciphertext by the decryption algorithm output express after the formation of this a process known as decryption. Encryption algorithm used as the key parameters. The longer the key length, the space key, and traverse the key space, the more time spent, the smaller the possibility of deciphering. Encryption technology can be divided into two categories: symmetric and asymmetric encryption technology, encryption technology. Symmetric encryption technology, data encryption standard DES (Data Encryption Standard) algorithm for a typical representative. Usually non-symmetric encryption technology to RSA (Rivest Shamir Adleman) algorithm to represent.
2. Authentication
Commonly used security authentication technology are:
(1) digital signature. Signature is used to ensure the authenticity of documents, the validity of a measure, as to proce the same as handwritten signatures. Ways is to hash function and public key algorithm combining sender text from the message generates a hash value, and use their own private key to encrypt the hash value to form a sender's digital signature; then this digital signature as the message text of the annex and the reported message to send to the receiver; message from the receiver to receive the first message in the original hash value is calculated, and then using the sender's public key to attached to the message to decrypt the digital signature; If these two the same hash value, then the recipient will be able to confirm the digital signature is the sender.
(2) digital certificates. CA digital certificate is issued for the identity of the parties to the transaction documents, it is a digital signature by the CA, including the applicant a certificate (public key owner) personal information and public key files. Based on public key system (PKI) digital certificate is used to verify both the identity of e-commerce transaction security tool, since it was made by the Certificate Authority Center digital signature, so that no third parties can not modify the contents of the certificate. Only the parties to apply for any transaction to the appropriate digital certificate in order to participate in the security of e-commerce transactions on the Internet.
(3) digital time stamp. In order to prevent transactions in the electronic document signed by the time the information is modified, the digital time-stamp provided by the corresponding security. Digital Time Stamp Service (DTS) is provided by specialized agencies. Digital Time Stamp is an encrypted certificate after the formation of the document, which includes three components: the documents need to add time stamp Abstract; DTS document received date and time; DTS digital signature institutions.

C. 電子商務的安全協議中的哪個協議的作用是保障web網站數據的安全

Web資料庫是基於Internet/Intranet的應用系統，由於互連網開放性和通信協議的安全缺陷，以及在網路環境中數據存儲和對其訪問與處理的分布性特點，網上傳輸的數據容易受到破壞、竊取、篡改、轉移和丟失。這些危害通常是對網路的攻擊引起的。到現在，針對Web資料庫的應用級入侵已經變得越來越猖獗，如SQL注入、跨站點腳本攻擊和未經授權的用戶訪問等。所有這些入侵都有可能繞過前台安全系統並對資料庫系統攻擊。如何保證Web資料庫的安全性已成為新的課題。電子商務營銷http://www.zhangxiaolei.com/

D. 請講解一些電子商務安全的重要概念

電子商務安全問題及措施研究
2005年第11期(總第85期)

--------------------------------------------------------------------------------

彭銀香，白貞武
（湖南經濟管理幹部學院，湖南 長沙 410004）

【摘 要】電子商務在改變人們的商務模式的同時，安全問題也成為人們日益關注的重點。文章分析了電子商務應用中所存在的問題，並從計算機網路安全、商務交易安全出發，提出了電子商務應採取的主要安全措施。
【關鍵詞】電子商務；網路安全；交易安全；加密；認證；協議
【中圖分類號】 TP393 【文獻標識碼】 A 【文章編號】 1008-1151(2005)11-0162-02

【收稿日期】2005-08-05
【作者簡介】彭銀香（1972—），女，湖南邵陽人，湖南經濟管理幹部學院講師，研究方向：網路安全，電子商務。

隨著Internet的發展，電子商務已經逐漸成為人們進行商務活動的新模式。相對於傳統商務模式，電子商務具有便捷、高效的特點與優點。但目前全球通過電子商務渠道完成的貿易額仍只是同期全球貿易額中的一小部分。究其原因，電子商務是一個復雜的系統工程，它的實現還依賴於眾多從社會問題到技術問題的逐步解決與完善。其中，電子商務安全是制約電子商務發展的一個核心和關鍵問題，電子商務安全技術也成為各界關注和研究的熱點。
一、電子商務安全問題
保證交易數據的安全是電子商務系統的關鍵。由於Internet本身的開放性，使電子商務系統面臨著各種各樣的安全威脅。目前電子商務主要存在的安全隱患有以下幾個方面：
（1）對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，從而獲得非法利益。
（2）對信息的竊取。攻擊者在網路的傳輸信道上，通過物理或邏輯的手段，對數據進行非法的截獲與監聽，從而得到通信中敏感的信息。
（3）對信息的篡改。攻擊者有可能對網路上的信息進行截獲後篡改其內容，如修改消息次序、時間，注入偽造消息等，從而使信息失去真實性和完整性。
（4）拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻，例如使一個業務口被濫用而使其他用戶不能正常工作。
（5）對發出的信息予以否認。某些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。
（6）非法入侵和病毒攻擊。計算機網路會經常遭受非法的入侵攻擊以及計算機病毒的破壞。
電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為計算機網路安全和商務交易安全兩大部分。
二、計算機網路安全措施
計算機網路安全的內容包括計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題，實施網路安全增強方案，以保證計算機網路自身的安全性為目標。
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
（一）保護網路安全。網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下：
（1）全面規劃網路平台的安全策略。
（2）制定網路安全的管理措施。
（3）使用防火牆。
（4）盡可能記錄網路上的一切活動。
（5）注意對網路設備的物理保護。
（6）檢驗網路平台系統的脆弱性。
（7）建立可靠的識別和鑒別機制。
（二）保護應用安全。保護應用安全，主要是針對特定應用（如Web伺服器、網路支付專用軟體系統）所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
（三）保護系統安全。保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施：
（1）在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。
（2）技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。
（3）建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。
三、商務交易安全措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務安全協議等。
（一）加密技術。加密技術是電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。
（1）對稱加密。對稱加密又稱私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
（2）非對稱加密。非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。
（二）認證技術。認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
（1）數字簽名。數字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來，發送方從報文文本中生成一個散列值，並用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名；然後，將這個數字簽名作為報文的附件和報文一起發送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密；如果這兩個散列值相同，那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。
（2）數字證書。數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構（CA），如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書，然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。
（三）電子商務的安全協議。除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協議。目前，比較成熟的協議有SET、SSL等。
（1）安全套接層協議SSL。SSL協議位於傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時，雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致，然後互相驗證對方身份，最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息，客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數，對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC，然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
（2）安全電子交易協議SET。SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，給定交易信息傳送流程標准。SET主要由三個文件組成，分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜，交易數據需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有發卡行、收單行、認證中心、支付網關等其它參與者。
四、結語
計算機網路安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網路安全作為基礎，商務交易安全就無從談起。沒有商務交易安全保障，即使計算機網路本身再安全，仍然無法達到電子商務所特有的安全要求。
隨著電子商務的發展，電子交易手段更加多樣化，安全問題會變得更加重要和突出。電子商務對計算機網路安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數計算機網路更高，因此電子商務安全應作為系統工程，而不是解決方案來實施。

【參考文獻】
[1]楊德禮，王茜.電子商務的安全體系結構及技術研究[J].計算機工程，2003，29（1）．
[2]樊晉寧.電子商務的安全問題和相應措施[J].科技情報開發與經濟，2004，14（8）．
[3]柯新生.網路支付與結算[M].電子工業出版社，2004．

E. 急求：電子商務安全協議的發展趨勢

隨著技術和觀念的日新月異，網路購物也以其便宜，豐富和方便的特性，成為越來越多的人購物方式之一。最近幾年尤其08年更是隨著中國網民數量的猛增，整個中國的網購市場也突破了千億大關，已經成為國內零售市場的重要部分。也許不久的將來網購會徹底顛覆人的生活方式。將來誰能夠擁有面對終端客戶的平台，誰就掌握了駕馭市場的主動性。
總體策劃
在沒有自己的產品，沒有自己的市場。也沒有自己終端的前提下，在一無所有，僅憑對電子商務粗絡的了解和經驗的前提下，在面對眾多大大小小的電子商務的壓力和競爭下，如何去做自己的電子商務平台，能夠如何讓別知道你的存在。
首先，還要兩條腿走路，前期在沒有任何優勢資源的情況下，如何吸引會員和留住會員將是關鍵。（這主要涉及運營和營銷方面）這是其一：其二，就是規劃網購平台，網站的構架對於網站的建設很重要，是整個網站設計，建設和運營的基礎，也是購物的最主要場所，是直接面對消費者第一平台，因此在設計的時候要想的遠，想的細，為以後的擴充留有餘地，少走彎路。
針對自己首先要面對的消費者，首先要明確自己要賣給誰，賣什麼。以及眾多已經存在並且做得很好的競爭對手來說，必須給網購平台一個清晰的定調：
1：以日用百貨。女性產品和小家電為主，同時兼顧生活必需品，不斷開發新產品。目前很多電子商務做的好都是以3為主，兼顧其他產品，為了避開自己的劣勢，以開發新產品為主。
2：目標客戶群：以需要生活必需品的公司上班族，女性，大學生以及喜歡上網的人群。年齡段在18歲到45歲的人群。還可以在細分。以地區來說：目前，根據一些統計數據來看，網路購物的重點在華東，其次是華南。
3：盈利模式，目前來說就是靠銷售收入來取得盈利是唯一的方式。開始的時候不可能以自己的網夠平台為主，而是通過各種傳統渠道方式和各種電子媒體以及網路來吸引消費者成為會員。可以說，前期基本上還會以傳統模式來帶動網路會員的增加。
4：運營管理：這是最主要的方面，也是能否生存下去的關鍵。主要涉及到以下幾個方面：
A：商品管理。商品是一個電子商務網站生存的基礎，也是客戶需求的動力。開發產品是重中之重，只有開發可更多的客戶喜愛的物美價廉產品，才能吸引客戶和回頭率。這也是網站的生存之本。另外就是商品價格，這是客戶最關心最敏感的關鍵因數之一。目前的產品雷同性相當多，大家做的產品都差不多。在服務差不多的情況下，客戶很在意商品價格。往往低價可以吸引更多的會員客戶，這是除此之外就是要商品的目錄管理，上架管理，資料管理，排序和品牌管理。
B：網站的推廣：需要線上宣傳和線下推廣相結合來進行。開始的時候以傳統和線下為主，比如，可以不定期的走進大學，而且這是最好培養未來穩定會員的方式之一，我們可以針對學生的特點，組織一批適合年輕人和季節的產品，走進大學搞促銷活動。而且這些學生會員，一旦接受，就是將來最穩定的客戶群體之一。有過這樣的例子。
C：促銷管理：需要線上宣傳和線下推廣相結合來進行，贈品：包括電子貨幣，單品贈品、等級送贈品；推薦套餐、最佳組合商品和客戶套購DIY三種形式；特價推薦：限時驚爆、尋寶等活動
D：倉儲物流運輸管理：建立自己的獨立物流和通過第三方平台。
E：支付系統管理：支付流程是比較順暢的，貨到付款、在線支付、銀行電匯、門店付款等，此外貨到付款准備增加移動POS機刷卡服務，在線支付也准備增加分期付款服務等，將更加滿足客戶需求的多樣性；

F：客戶服務管理：尤其是在線客服方面，實現多方面的客戶服務，例如，銷售過程中的咨詢回復、信息提示和導購，售後的訂單跟蹤和客戶回訪，突發事件的處理等，盡最大可能讓客戶滿意度提升
G：會員系統管理：會員營銷是指針對會員進行的主動營銷。進行會員營銷，也就是，在知道我們服務過的客戶是誰，並且知道他們喜歡什麼，他們有可能還需要什麼的情況下，對他們進行針對性的商品推薦。因此，會員營銷必須是建立在客戶分析的基礎上的。不定期的通過郵件簡訊和促銷目錄來聯系會員。保持一定的互動。
5：網站推廣：推廣是提高網站知名度的重要手段。特別是在網站起步的時候，推廣工作做得好，可以讓網站的發展速度提高幾個數量級。
A：網下推廣：根據實際情況來，例如產品線，經營模式，服務特色，發展目標等，網上商城的宣傳和推廣是多點開花
B：網路推廣：1：內部優化：結構優化、關鍵字識別、網頁內容優化；
2:外部優化：合作推廣、有效鏈接等。

任何一個電子商務網站的建設和運營，都必須以客戶為中心，從客戶出發。因此，網上商城的運營設計，需要從前台客戶體驗出發，明確網站管理的思想，並且清晰網站日常管理和經營活動所必須做好的要點每個要點的執行。

F. 電子商務系統安全的概念

由於電子商務是來在開放的網上進行的貿自易，大量的商務信息計算機上存放，傳輸，從而形成信息傳輸風險 ，交易信用風險，管理方面的風險，法律方面的風險等各種風險，為了對付這種風險，從而形成了電子商務安全體系。

電子商務安全要求數據傳輸的安全性，對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。

對數據的安全性保護是通過採用數據加密來實現的，數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。

(6)電子商務安全協議概念擴展閱讀：

電子商務系統安全系統結構包括以下部分：

基本加密演算法；以基本加密演算法為基礎的CA體系以及數字信封、數字簽名等基本安全技術；以基本加密演算法、安全技術、CA體系為基礎的各種安全應用協議。

以上部分構成了電子商務的安全體系，在此安全體系之上建立電子商務的支付體系和各種業務應用系統。有關基本加密演算法、數字信封、數字簽名以及各種安全協議的實現應符合相關標準的規定。

CA認證體系通常以各種基本加密演算法為基礎，同時採用各種基本安全技術，為上層的安全應用協議提供證書認證功能。

G. 安全電子商務交易協議有ssl和set兩種，各有哪些優缺點

SSL(Secure Socket Layer)

SSL協議是由首先發表的網路資料安全傳輸協定,其首要目的是在兩個通信間提供秘密而可靠的連接。該協議由兩層組成，底層是建立在可靠的傳輸協議(例如：TCP)上的是SSL的記錄層，用來封裝高層的協議。SSL握手協議准許伺服器端與客戶端在開始傳輸數據前，能夠通過特定的加密演算法相互鑒別。SSL的先進之處在於它是一個獨立的應用協議，其它更高層協議能夠建立在SSL協議上。

目前大部分的Web
Server及Browser大多支持SSL的資料加密傳輸協定。因此，可以利用這個功能，將部分具有機密性質的網頁設定在加密的傳輸模式，如此即可避免資料在網路上傳送時被其他人竊聽。

SSL是利用公開密鑰的加密技術(RSA)來作為用戶端與主機端在傳送機密資料時的加密通訊協定。目前，大部分的Web
Server及Browser都廣泛使用SSL 技術。

SET(Secure Electronic Transaction)

SET是IBM、信用卡國際組織(VISA/MasterCard)以及相關廠商針對網路電子交易共同制定的安全協議，它運用了RSA安全的公鑰加密技術，具有資料保密性、資料完整性、資料來源可辨識性及不可否認性，是用來保護消費者在Internet持卡付款交易安全中的標准。SET
1.0版於1997年6月正式問世。現在，SET已成為國際上所公認的在Internet電子商業交易中的安全標准。

SET協議用在安全電子銀行卡的支付系統中，使用客戶端的瀏覽器，應用於從商業站點到商業銀行中。網上銀行使用已經存在的程序和設備通過確認信用卡，清算客戶銀行戶頭完成交易。SET協議則通過隱藏信用卡號來保證整個支付過程的安全。所以，SET必須保證信用卡持有者與銀行在現存系統和網路上，能夠保持持續的聯系。SET協議為在不同的系統中使用信用卡創建了一套完整的解決辦法。可靠的身份驗證使SET成為一個非常好的在線支付系統。它使交易中每個合法參與者能夠擁有一個合理的身份，而對持卡者的身份驗證是由銀行來進行的。當然這其中還包括其它服務，比如：身份認證、客戶服務等。這是建立另外一個可靠的用戶連接的方法。同時可以方便在發生糾紛時進行仲裁。

SET與SSL都是做消費者的認證工作的，也就是說不僅全球數據網購物站需要在認證單位進行認證，消費者也必須從認證機構獲取認證。

SET是由Electronic Wallet(電子錢包)、Merchant Server(商店端服務機)、Payment
Gateway(付款轉接站)和Certification Authority(認證中心)組成的，它們構成了Internet
上符合SET標準的信用卡授權交易。

一般來說，在開放式網路上進行金融交易以SSL及SET交易協定為主，其中又以
SET被國際公認為最安全的。有鑒於此，VISA/MASTER在1997年6月提出了名為電子交易(SET：Secure Electronic
Transaction)的網路交易安全規格，這個規格基本上也是利用與SSL同樣的大數值編碼技術，來保證資料保密與使用者認證的工作。

目前信用卡的安全交易標准SET仍在進行前期建設。在該系統尚未正式運作前，消費者在網路上利用信用卡進行購物時，仍須承擔信用卡資料被盜用的風險。

敏感性資料在傳遞過程中被竊聽，交易資料在傳遞過程中被篡改，交易的雙方身份被假冒，完全相同的訂單重復送出，這些問題即使對於目前SET安全交易標准來說仍舊有一定困難。利用WWW給用戶提供機密性的資料時更多的會使用User
Profile、SSL或CA，以避免資料在網路上傳送時被其他人竊聽。
SSL（Secure Sockets Layer 安全套接層）

SSL及其繼任者傳輸層安全(Transport Layer
Security，TLS)是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網路連接進行加密。

SSL (Secure Socket
Layer)為Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網路上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40
bit之安全標准，美國則已推出128 bit之更高安全標准，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。

當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密數據傳輸。
SSL協議位於TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL協議可分為兩層：
SSL記錄協議(SSL Record Protocol)：它建立在可靠的傳輸協議(如TCP)之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。
SSL握手協議(SSL Handshake
Protocol)：它建立在SSL記錄協議之上，用於在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。

SET協議為電子交易提供了許多保證安全的措施。它能保證電子交易的機密性，數據完整性，交易行為的不可否認性和身份的合法性。SET協議設計的證書中包括：銀行證書及發卡機構證書、支付網關證書和商家證書。

(1)保證客戶交易信息的保密性和完整性

SET協議採用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收用戶的訂單信息;而金融機構看不到交易內容，只能接收到用戶支付信息和帳戶信息，從而充分保證了消費者帳戶和定購信息的安全性。

(2)確保商家和客戶交易行為的不可否認性

SET協議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是不可否認機制，採用的核心技術包括X.509電子證書標准，數字簽名，報文摘要，雙重簽名等技術。

(3)確保商家和客戶的合法性

SET協議使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證，可以確保交易中的商家和客戶都是合法的，可信賴的。

電商網站要實現SSL協議即https加密訪問，需要到合法第三方CA機構申請SSL證書，必須是第三方合法CA，比如沃通CA等，自簽名SSL證書不能保證電商網站的數據安全。

H. 電子商務安全定義概念是什麼

電子商務安全是指指導安全電子交易的原則，允許通過互聯網購買和銷售商品和服務，但有適當的協議為相關人員提供安全保障。成功的在線業務取決於客戶對公司擁有電子商務安全基礎的信任。

電子商務安全要求包括四個方面：

（1）數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。

（2）數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

（3）身份驗證。由於網上的通信雙方互不見面，必須在交易時（交換敏感信息時）確認對方等真實身份；在涉及到支付時，還需要確認對方的賬戶信息是否真實有效。身份認證是採用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

（4）交易的不可抵賴。網上交易的各方在進行數據傳輸時，必須帶有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。

(8)電子商務安全協議概念擴展閱讀：

保護電子商務或在線商店的5種最佳方式

1.選擇安全的電子商務平台

正如他們所說，「掌握基本知識，其餘部分將落實到位。」構建安全電子商務網站的第一步是使用安全平台。有很多開源和專有的電子商務平台可供選擇最適合您的電子商務平台。但是，超過三分之二的活躍電子商務網站都在使用Magento或WordPress WooCommerce。

無論您決定使用哪個平台，請確保您的伺服器符合PCI合規性要求。在伺服器上運行PCI掃描以驗證您是否符合要求。此外，請確保您運行的是最新版本的軟體。每當有新補丁可用時，請確保立即安裝。

2.實施SSL證書

在保護在線交易時，SSL是事實上的標准。SSL證書在存儲和傳輸時驗證用戶的身份並加密數據。實施SSL對於電子商務網站在最終用戶系統和您的網站之間建立安全連接至關重要。對於精通技術的買家，地址欄中帶有HTTPS的掛鎖圖標是提供個人詳細信息和信用卡信息的必要先決條件。如果消費者認為供應商正在盡一切可能保護他們的交易，他們更有可能與他們做生意。

3.考慮雙因素身份驗證

被盜或受損的用戶憑據是導致Web安全漏洞的常見原因。有多種「網路釣魚」方法可以竊取或猜測有效的用戶憑據並損害在線商店的安全性。這就是需要成熟的用戶認證機制的地方。它是保護您的在線商店免受黑客攻擊的基礎。

許多電子商務網站正在實施雙因素身份驗證（2FA），以便為其在線商店增加額外的安全保障。雙因素身份驗證是一種安全流程，其中有效用戶需要提供兩種識別方式，一種通常是用戶名/密碼組合，而第二種方式通常是實時生成的代碼，並發送到由用戶。黑客可能會破解密碼，但他們無法竊取此代碼，通常會在短時間後過期。

4.使用虛擬專用網路

在處理金融交易時，在使用公共網路時要非常小心。通過公共網路傳輸的數據很容易被惡意用戶攔截。在這種情況下，VPN服務可以派上用場。它通過加密連接將您連接到安全的非現場伺服器，這可防止第三方在您和伺服器之間插入自身。

如果您擔心傳統VPN服務所涉及的成本，那麼您可以選擇基於SSL的VPN來降低成本。OpenVPN是一個受歡迎的選擇，它提供了一個基於社區的開源版本，您可以免費使用。

5.教育客戶和員工

用戶需要對影響客戶數據的法律和政策進行培訓。因此，要教育您的客戶以及您的員工，了解您的信息安全實踐。讓他們知道您如何保護客戶的信用卡信息，以及他們應該如何做到以保證財務信息的安全。

突出顯示組織的數據安全最佳實踐，並告訴他們不要通過電子郵件，文本或聊天通信來披露敏感數據。您的員工還必須接受有關保證客戶數據安全所需的操作的培訓。指導您的員工嚴格遵守強制性安全協議和政策，以保護您的企業免受潛在的法律後果。

參考資料：網路——電子商務安全體系

I. 通常電子商務信息安全協議有哪些

圖片，要打上水印好點

J. 電子商務安全協議的定義

伴隨著internet的蓬勃發展，電子商務正以其高效、低成本的優勢，逐步成為新興的經營模式和理念，b2b、b2c等經營模式的不斷優化和成熟更是推動了世界范圍內電子商務的發展。人們己不再滿足於信息瀏覽和發布，而是渴望著能夠享受網路所帶來的更多的便利。為了滿足人們的需求，越來越多的網站投身到提供電子商務服務的行列中來，越來越多的企業開始將自己的業務通過internet的形式直接提供給客戶，一個基於internet的全球電子商務框架正在形成。而移動電子商務不僅具備電子商務快速、靈活、方便等特點，更是以其隨時隨地接入互聯網進行商務活動的隨時性、可移動性，引發其作為信息時代寵兒的「高溫」效應。但是，由於電子商務本身存在的安全問題以及移動設施引發的新的商務安全隱患，使得其安全問題成為「高溫」下的炸彈，直接關繫到移動電子商務模式的運行前景。

移動電子商務雖然誕生於電子商務，但是其通過移動終端上網的特性決定了它存在和普通電子商務不同的安全性。在探討移動安全的特性時，我們首先要考慮的是移動終端本身的安全性。只有當移動電子商務賴以依存的移動終端安全了，才可能進一步談其它的移動安全問題。如今用於上網的移動終端主要有手提電腦、手機、pda等等，保障這些設備本身的安全以及在使用這些設備時遵循安全操作規范進行操作是移動電子商務安全保障的一個前提。當設備安全的前提得以保證後，我們就需要保證移動電子商務在應用中的安全，通常我們需要保障以下的一些安全問題：

1、無線應用軟體效能監控與系統效能管理；
2、審核和檢測針對移動電子商務的存取是否合法或授權；
3、網頁做到安全性認證的整合，以確保資料安全以及人員存取合法
與保密；
4、數字證書或加密管理，實現不可否認性與完整性；
5、wireless lan是否有入侵以及數據包中是否隱藏病毒；
6、wireless網路的效能以及預測失敗或錯誤預警事件；
7、pda等設備在與電腦連接存取時的安全(包括wap、wireless等存取方式)；
8、gateway主機以及所提供的服務加以監控；
9、實網路環境中加強防火牆、入侵偵測和弱點掃描，使企業交易內部的主機得到完全的保護。

這九點中在前面的論述己經提到了一些解決方法，針對移動的特性，可通過vpn來解決移動上網中的安全問題。vpn一一虛擬專用網就是在公用的internet網路上通過隧道協議建立起安全的私有網路。它可以滿足以下三個安全的需要：
1、和你正在通信的人確實是那個你想要通信的人，你可能遇到的安全性問題是，在通信過程中，可能會碰到一個偽裝者。
2、沒有人能偷聽你的通信內容，你的通信信息是保密的。
3、你接收到的通信信息在傳輸過程中沒有被篡改。

這三點用信息的安全術語來說就是第一：認證，確認信息源；第二：信息保密性，傳輸的信息是加密的；第三：數據完整性，確認數據沒有被篡改。只有當我們達到了這三點要求，才有可能保證移動電子商務在交易過程中的安全。
虛擬專用網主要基於以下技術：
1、ipsec，ietf (internet 工程師任務組)制定的ip安全標准；
2、通過認證機構(ca)發放數字證書和進行第二方認證，或使用「共享密鑰認證」用於小規模的安全虛擬專用網；
3、隧道技術，允許公司內部專用ip地址穿越internet。通過這些技術，再集成上pki(公共密鑰體系)就可以說是最完美最嚴密的vpn解決方案了，它通過密鑰管理、安全交換以及隧道協議來實現上述的移動設備的通訊安全。

移動電子商務還有一個顯著的特徵就是一般通過無線上網來進行商務交易。目前所用的無線上網技術主要有:無線應用協議(wap)、移動ip技術、藍牙技術、802.11b協議。無線應用協議是移動電子商務的核心技術之一，通過wap，手機用戶就可以隨時隨地的接入互聯網，真正做到不受時間和地域限制的移動電子商務。移動ip技術通過在網路層改變ip協議，從而實現notebook在網路中的無逢漫遊，進行不間斷的電子商務交易。藍牙技術是一種取代線纜、實現數字空間的無線互聯的一種技術，它可以很方便的和周圍的網路設備進行連接，建立一個基於個人空間的無線網路。

802.11b協議是和藍牙技術類似的一種技術，它實現的功能和藍牙一樣，但是其傳輸協議和傳輸距離都要強於藍牙，它是基於企業的無線網路。這些無線協議本身的安全直接關繫到移動電子商務的安全問題。假如我們使用的是802.11b技術進行移動上網，那麼就等於將無線登陸入口公之於眾，並「鼓勵」所有擁有與之相匹配的網路適配卡的人登錄，這時就需要使用wep(一種資料加密的處理方式)和虛擬專用網共同來保障其安全性。如果使用手機上網，那麼我們就要注意數據傳輸過程中的加密問題，wap手機是無法進行端到端的加密，因此使用的是wap網關來保障數據的保密性。但是wap網關在使用過程中極易被黑客攻破，因此要真正實現安全，我們通常把無線傳輸層協議(wtls)和wap網關配套使用，並針對窄帶通信信道進行優化，從而實現以下的功能：
1、數據完整性:確保終端和應用程序伺服器之間傳送數據的正確性。
2、私有性:確保在終端和應用程序伺服器之間傳送數據的私有性，任何中途試圖截獲數據流的設備均無法破譯。
3、簽權:可以在終端和應用程序伺服器之間建立簽權機制。
4、拒絕服務保護:可以檢測和拒絕那些要求重傳的數據或未成功檢驗的數據。w t l s使許多常見的拒絕服務攻擊更難以實現，從而保護了上層協議。

這樣我們就可以有效的實現人們在使用手機進行電子商務活動時的安全問題了。目前，由於藍牙產品本身的安全性沒有得到很好的解決，其安全機制很薄弱，因此在移動電子商務交易過程中我們建議暫時不使用藍牙產品，待其本身的安全機製得以提高後，那麼藍牙技術在移動電在商務中的運用會逐步增多。

隨著無線通訊技術的發展，移動電子商務也展示出更加亮麗的前景，它創造的是一種「無論何時何地」的新概念。賽博研究機構最近發布的一份題為《中國移動電子商務的現狀及未來發展》專業研究報告稱，基於無線互聯網的移動電子商務(m-commerce)在國內擁有良好的市場前景，其發展將超過電子商務。在這如此熱的領域里，我們還應該清醒的看到移動電子商務中存在的許多安全問題，詳細分析其可能出現的情況並加以解決。只有當我們真正解決了移動電子商務中的安全隱患，排除了這枚炸彈，才可能吸引更多的人使用移動電子商務，才能帶動移動電子商務的飛速發展。