電子商務安全管理與支付

A. 簡述電子商務的安全交易和支付主要保證的四個方面 簡述電子商務安全認證中心的基本功能

安全交易和支付主要保證以下四個方面：
一、信息保密性：交易中的商務信息均有保密的要求回。如信用卡答的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。
二、交易者身份的確定性：網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
三、不可否認性：由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
四、不可修改性：交易的文件是不可被修改的，否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改，以保障商務交易的嚴肅和公正。
電子商務安全認證中心(CA)的基本功能是：
1、生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
2、 對數字證書和數字簽名進行驗證。
3、 對數字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理（非手工管理）。
4、 建立應用介面，特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。

B. 電子商務安全與支付的人民郵電出版社教材

書名電子商務安全與支付叢 書 名21世紀高等學校經濟管理類規劃教材·高校系列標准書號ISBN 978-7-115-29503-3 作者祝凌曦 陸本江 編著責任編輯滑玉開本16 開印張21.5字數537 千字頁數334 頁裝幀平裝版次第1版第1次初版時間2013年4月本 印 次2013年4月首 印 數-- 冊定價42.80 元 第1章電子商務安全概述1內容提要1學習目標1案例導讀11.1電子商務安全與支付現狀21.1.1電子商務在身邊21.1.2電子商務安全現狀31.1.3電子商務支付現狀51.2電子商務安全的基本要求81.2.1交易的認證性81.2.2交易的保密性111.2.3交易的完整性121.2.4交易的不可否認性141.2.5其他安全需求151.3電子商務的安全交易標准151.3.1安全套接層協議161.3.2安全電子交易協議161.3.3安全超文本傳輸協議161.3.4安全交易技術協議171.3.5安全電子郵件管理協議171.4電子商務發展的法律保障17本章小結18思考題19拓展閱讀19
第2章電子商務的安全技術23內容提要23學習目標23案例導讀232.1數據加密技術242.2身份認證與訪問控制技術282.2.1身份認證292.2.2訪問控制312.3網路安全技術332.3.1防火牆技術332.3.2計算機病毒及防護372.3.3入侵檢測技術42本章小結45思考題45拓展閱讀46
第3章數字證書與協議48內容提要48學習目標48案例導讀483.1密碼學的應用493.1.1對稱密碼學503.1.2非對稱密碼學523.1.3雜湊函數563.1.4數字簽名573.2數字證書583.2.1數字證書的概念583.2.2數字證書認證機構593.3數字證書的應用——SET協議603.3.1SET協議介紹603.3.2基本概念613.3.3SET協議信息結構623.3.4SET協議處理邏輯673.4數字證書的應用——SSL協議773.4.1SSL的主要組成協議773.4.2SSL記錄層協議783.4.3SSL握手協議793.4.4SSL的具體應用803.4.5SET和SSL的比較81本章小結82思考題83拓展實驗83
第4章電子支付概述84內容提要84學習目標84案例導讀844.1支付和支付系統844.1.1支付和支付系統854.1.2支付系統的發展864.1.3我國的支付系統874.2電子支付概論894.2.1電子支付現狀894.2.2電子支付的定義904.2.3電子支付的分類914.2.4電子支付產業存在的問題934.3網路支付944.3.1網路支付的概念944.3.2網路支付的條件954.3.3網路支付的特徵964.3.4網路支付的安全性問題964.3.5網路支付系統方式97本章小結99思考題99拓展閱讀100
第5章ATM與POS103內容提要103學習目標103案例導讀1035.1銀行卡1045.1.1銀行卡概述1045.1.2信用卡1065.1.3借記卡1065.1.4IC卡1075.2銀行卡的「費」1085.2.1信用卡年費1085.2.2信用卡利息1105.2.3信用卡提現1135.2.4信用卡分期付款1165.2.5銀行卡交易手續費1175.3ATM1185.3.1ATM系統概述1185.3.2ATM系統的網路結構及處理流程1205.4ATM系統的安全1225.5ATM使用的若干安全問題及對策1235.5.1竊取卡號、密碼信息1235.5.2ATM「吞卡」1245.5.3交易信息外泄1245.5.4嚴防電話和簡訊詐騙1245.5.5其他ATM詐騙手段1255.6POS1265.6.1POS系統概述1265.6.2POS系統的網路結構及處理流程1295.6.3POS系統的安全1315.6.4POS系統實例132本章小結133思考題134拓展閱讀134
第6章第三方支付——支付寶138內容提要138學習目標138案例導讀1386.1第三方支付1396.1.1第三方支付的概念1396.1.2第三方支付的模式1396.2支付寶概述1416.2.1支付寶發展現狀1416.2.2支付寶的特點及主要產品1426.3支付寶支付1446.3.1快捷支付(含卡通)1446.3.2支付寶余額支付1456.3.3網上銀行支付——以中國工商銀行為例1456.3.4網點付款1466.3.5消費卡付款1466.3.6找人代付1476.4支付寶其他應用1486.4.1我要付款1486.4.2手機充值1496.5網上支付的風險及應對措施1506.5.1買家風險及安全策略1516.5.2賣家風險及安全策略1546.5.3支付寶的安全策略1556.6國內其他賬戶型第三方支付1596.6.1財付通1596.6.2安付通1596.6.3PAYPAL1606.6.4YeePay160本章小結161思考題162拓展閱讀162
第7章第三方支付——拉卡拉164內容提要164學習目標164案例導讀1647.1線下支付1657.1.1線下支付的定義1657.1.2線下支付在中國支付體系中的定位1657.1.3線下支付的發展歷史1657.1.4線下支付市場產業鏈整體分析1667.1.5線下支付帶來的影響1677.2拉卡拉概述1677.2.1拉卡拉公司介紹1677.2.2拉卡拉的發展1687.2.3拉卡拉合作夥伴1697.2.4拉卡拉的主要業務功能1697.3拉卡拉刷卡機1717.3.1拉卡拉公共網點刷卡機1717.3.2Mini拉卡拉家用刷卡機1767.3.3拉卡拉刷卡機的風險及防範1787.4拉卡拉超級盾1807.4.1拉卡拉超級盾簡介1807.4.2拉卡拉超級盾安裝及開通1807.4.3信用卡還款1827.4.4賬戶直充1837.4.5支付寶交易1847.4.6財付通賬戶充值1857.4.7賬單號付款1867.4.8其他1877.4.9超級盾使用過程中常見問題及相關業務費用1887.5其他混合型第三方支付模式1907.5.1嗖！付1907.5.2繳費易190本章小結191思考題191拓展閱讀192
第8章第三方支付——首信易支付193內容提要193學習目標193案例導讀1938.1網關支付概述1948.1.1網關支付概念1948.1.2網關型支付主要模式1948.1.3網關型支付的發展現狀1948.2首信易支付概述1958.2.1發展背景與歷程1958.2.2發展趨勢1968.3面向用戶的功能及基本操作演示1978.3.1會員資料管理及注冊認證演示1978.3.2我要收款2018.3.3我要付款2028.3.4購物付款演示2028.3.5我要充值2048.3.6返點查詢2058.3.7其他資金管理2068.3.8用戶賬戶管理2088.4支付平台功能及基本操作演示2098.4.1B2C支付2098.4.2B2B支付2118.4.3易收匯2128.5易支付安全案例分析及使用攻略2138.5.1案例2138.5.2首信易支付安全使用攻略2158.6第三方支付典型平台對比分析218本章小結219思考題220拓展閱讀220
第9章大額電子匯兌系統223內容提要223學習目標223案例導讀2239.1電子匯兌系統概述2249.1.1匯兌系統的涵義2249.1.2匯兌系統的特點2249.1.3匯兌系統的類型2259.1.4電子匯兌的處理流程與控制2259.2國內的電子匯兌系統2269.2.1中國國家金融數據通信網路系統2269.2.2中國國家現代化支付系統2369.2.3中國其他電子匯兌系統2459.3國外著名的電子匯兌系統2509.3.1SWIFT2509.3.2CHIPS2569.3.3FedWire2589.3.4其他電子匯兌系統2619.3.5國際匯兌系統運作示例263本章小結265思考題266拓展閱讀266
第10章網上銀行269內容提要269學習目標269案例導讀26910.1網上銀行概述27010.1.1網上銀行的概念27010.1.2網上銀行的特點27110.1.3網上銀行與傳統銀行的比較27210.1.4網上銀行系統的組成27310.1.5網上銀行的經營模式27310.2網上銀行的發展及主要業務27410.2.1網上銀行發展的四個階段27410.2.2網上銀行發展現狀27710.2.3網上銀行的主要業務27810.3網上銀行功能及操作實例28010.3.1中國工商銀行網上銀行功能簡介28010.3.2注冊及登錄28110.3.3我的賬戶28110.3.4定期存款28710.3.5轉賬存款28810.3.6網上貸款29110.3.7網上掛失29210.3.8繳費站29310.3.9信用卡服務29410.4網上銀行風險及應對措施29610.4.1網上銀行典型風險29610.4.2網上銀行風險的應對300本章小結303思考題304拓展閱讀304
第11章移動支付306內容提要306學習目標306案例導讀30611.1移動支付概述30711.1.1移動支付的概念30711.1.2移動支付的分類30811.1.3移動支付發展階段30811.1.4移動支付的發展現狀30911.2移動支付內容31011.2.1移動支付業務31011.2.2移動支付的運營模式31011.2.3移動支付終端解決方案31211.2.4移動支付的主要障礙31611.2.5移動支付的解決辦法31711.3移動支付實戰演練31811.3.1開戶31911.3.2充值32011.3.3手機支付卡通32211.3.4支付32411.3.5收付款32511.3.6提現32711.4移動支付的安全問題32811.4.1移動支付面臨的安全問題32811.4.2移動支付安全技術329本章小結330思考題331拓展閱讀331

C. 電子商務安全支付問題和set安全協議

SET是一個基於可信的第三方人證中心的方案，它要實現的主要目的如下所述：
⒈保障付款安全：確保付款資料之隱秘性及完整性，提供持卡人，特約商店，收單銀行之認證，並定義安全服務所需之演演算法及相關協定。
⒉確定應用之互通性：提供一個開放式的標准，明確定義細節，以確保不同廠商開發之應用程序可共同運作，促成軟體互通；並在現存各種標准下建構該協定，允許在任何軟硬體平台上的執行，使標准達到相容性與接受性的目標。

D. 電子商務如何支付，付款方式與特點，安全性

在我國電子商務發展的過程中，B2C、C2C電子商務產生了多種支付方式，包括匯款、貨到付款、網上支付、電話支付、手機簡訊支付等方式，並且這些方式同時並存。據2005年CNNT統計，消費者常採用多種支付方式，其中匯款用戶占總用戶數量的43．2％、網上支付佔41．9％、貨到付款支付佔34．7％、手機支付佔1．7％。
2．1 匯款
銀行匯款或郵局匯款是一種傳統支付方式，也是目前為止電子商務支付方式中最常用的支付方式。郵局匯款是顧客將訂單金額通過郵政部門匯到商戶的一種結算支付方式。採用銀行或郵局匯款，可以直接用人民幣交易，避免了諸如黑客攻擊、賬號泄漏、密碼被盜等問題，對顧客來說更安全。但採用此種支付方式的收發貨周期時間長，例如卓越網的郵局匯款支付期限為14天，銀行電匯為10天，而採用其他網上支付則只需1－2天。此外，顧客還必須到銀行或郵局才能進行支付，支付過程比較繁瑣。對於商家來說，這種交易方式也無法體現電子商務高速、交互性強、簡單易用且運作成本低等優勢。因此，這種支付方式並不能適應電子商務的長期高速發展。
2．2 貨到付款
貨到付款又稱送貨上門，指按照客戶提交的訂單內容，在承諾配送時限內送達顧客指定交貨地點後，雙方當場驗收商品，當場交納貨款的一種結算支付方式。目前，很多購物網站都提供這種支付方式。這是一個充滿中國特色的B2C電子商務支付方式、物流方式，既解決了中國網上零售行業的支付和物流兩大問題，又培養了客戶對網路的信任。貨到付款仍然是中國用戶最喜歡的支付方式之一。但是，將支付與物流結合在一起存在很多問題。首先，付款方式採用現金付費，因此只局限在小額支付上，例如卓越網的訂單金額不可高於15 000元，對於商家的大額交易則無法實現。其次，由於送貨上門受到地區的局限，而EMS費用又較高，所以顧客選擇最多的還是普通郵寄，這就會帶來必然的時間損耗，給用戶造成不便。比如當當書店送貨上門服務，送到北京市內讀者手中需1－2天，而送到其他城市則需3－7天，普通郵寄則是更需1－2周，這還不包括邊遠地區。送貨上門單張訂單購物金額滿30元免5元平郵費用，單張訂單購物金額滿200元免加急費用，這個費用對於小額購物的顧客來說是無法接受的。
2．3 網上支付
所謂網上支付，是以金融電子化網路為基礎，以商用電子化工具和各類交易卡為媒介，以電子計算機技術和通信技術為手段，以二進制數據形式存儲，並通過計算機網路系統以電子信息傳遞形式實現的流通和支付。
2006年網上支付在整個電子支付市場規模中所佔的比例為97％，網上支付仍是電子支付形式中的絕對主力，國內目前採用網上支付業務的網上書店總數已超過10萬家。網上支付的方式主要有：銀行卡支付方式、電子支票支付方式和電子貨幣支付方式。其中比較成熟的是銀行卡支付方式，銀行卡支付方式是目前在國內網上購物實現在線支付的最主要的手段。
2．3．1 網上銀行卡轉帳支付
網上銀行卡轉帳支付指的是電子商務的交易通過網路，利用銀行卡進行支付的方式。客戶通過Internet向商家訂貨後，在網上將銀行卡卡號和密碼加密發送到銀行，直接要求轉移資金到商家銀行賬戶中，完成支付。銀行卡的卡類可以包括信用卡、借記卡和智能卡等。
我國目前網上銀行卡轉賬支付可以分為有數字證書和無數字證書兩種方式。一般的用戶如果不去銀行申請啟用有數字證書保護的網上支付功能，就只能使用無數字證書保護的網上支付。不啟用數字證書保護的網上支付在功能上會有一定的限制，例如只能進行賬戶查詢或只能進行小額支付。而啟用數字證書保護的網上支付不僅擁有更高的安全性，而且能享受網上銀行所提供的全部服務，支付的金額不受限制。
銀行卡網上直接轉賬支付存在著安全性和方便性方面的矛盾，例如要起用數字證書保護，付款人必須經過向銀行申請安裝數字證書，下載指定軟體等多道手續，對有些對電腦操作不熟悉的顧客而言就很難實現了。另外，因客戶直接將貨款轉移到商家的帳戶上，如果出現交易失敗的情況，那麼討回貨款的過程就可能變得非常繁瑣和困難。
2．3．2 第三方支付平台結算支付
第三方結算支付是指客戶和商家都首先在第三方支付平台處開立賬戶；並將各自的銀行賬戶信息提供給支付平台的賬戶中，第三方支付平台通知商家已經收到貨款，商家發貨；客戶收到並檢驗商品後，通知第三方支付平台可以付款給商家，第三方支付平台再將款項劃轉到商家的賬戶中。這樣客戶和商家的銀行帳戶信息只需提供給第三方支付平台，比較安全，且支付通過第三方支付平台完成，如果客戶未收到商品或商品有問題則可以通知第三方支付平台拒絕劃轉貨款到商家。而商家則可以在貨款有保障的情況下放心發貨，有效地降低了交易風險。第三方平台結算支付是當前國內服務數量最多的支付模式。國內當前從事網上支付的企業已經從2004年的10多家增加到現在的50多家，2005年我國第三方支付平台規模增長到161億元。來自賽迪顧問的調查表明，2007年我國第三方支付平台規模已達到215億元。國內目前第三方支付公司中，比較知名的有阿里巴巴的支付寶、易趣的安付通、貝寶、騰訊的財付通、易寶、網銀在線、銀聯電子支付、環訊的IPS、雲網等等。
由於第三方支付平台的介入，解決了電子商務支付過程中的一系列問題。如安全問題、信用問題、成本問題。與此同時，中國現有的第三方支付平台也存在一定的問題。
（1）中國法律規定只有金融機構才有權吸納代理用戶的錢，其他企業機構不得從事類似活動，支付平台的法律地位也受到一部分人的質疑。
（2）貨款在第三方支付平台中滯留的時間內將產生一定的利息，這部分利息如何分配目前也缺乏明確的規范和嚴格的監督。
（3）支付平台解決的電子商務支付過程中的安全性問題只限於客戶和廠商之間，其他安全性問題如客戶在支付平台填寫銀行資料時信息的保密性、有效性和完整性問題還有待進一步解決。
（4）操作還不夠簡便，客戶在使用支付平台時都必須進行一系列繁瑣的申請。
（5）貸款會在第三方支付平台的賬號中滯留一段時間，非實時性支付帶來存款風險，如第三方支付企業不能完全保證貨款安全，將大大損害客戶和商家的利益。
（6）第三方支付平台可能會被利用，通過捏造虛假交易從信用卡套現，甚至存在可能被利用來進行洗錢的風險。

E. 電子商務的安全支付問題

1、電子商務的安全控制要求概述

電子商務發展的核心和關鍵問題是交易的安全性。由於Internet本身的開放性，使網上交易面臨了種種危險，也由此提出了相應的安全控制要求。

1.1信息保密性

交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

1.2交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家而言要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。

1.3不可否認性

由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改動文件內容，那麼交易本身便是不可靠的，客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

2、電子商務安全交易的有關標准和實施方法

2.1安全交易的雛形

在電子商務實施初期，曾採用過一些簡易的安全措施，這些措施包括：

(1) 部分告知(Partial Order)：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然後再用電話告之，以防泄密。

(2) 另行確認(Order Confirmation)：即當在網上傳輸交易信息之後，再用電子郵件對交易作確認，才認為有效。

(3) 在線服務(Online Service)：為了保證信息傳輸的安全，用企業提供的內部網來提供聯機服務。

以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。

2.2安全交易標準的制定

近年來，IT業界與金融行業一起，推出不少更有效的安全交易標准。主要有：

(1) 安全超文本傳輸協議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。

(2) 安全套接層協議（SSL協議：Secure Socket Layer)是由網景（Netscape）公司推出的一種安全通信協議，是對計算機之間整個會話進行加密的協議，提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器，用以完成需要的安全交易操作。在SSL中，採用了公開密鑰和私有密鑰兩種加密方法。

(3) 安全交易技術協議(STT：Secure Transaction Technology)：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。

(4) 安全電子交易協議（SET：Secure Electronic Transaction）：SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。

目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准，其交易形態將成為未來「電子商務」的規范。

支付系統是電子商務的關鍵，但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層（SSL）和安全電子交易（SET）是兩種重要的通信協議，每一種都提供了通過Internet進行支付的手段。但是，兩者之中誰將領導未來呢？SET將立刻替換SSL嗎？SET會因其復雜性而消亡嗎？SSL真的能完全滿足電子商務的需要嗎？我們可以從以下幾點對比作管中一窺：

SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建，在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展，但如果想要電子商務得以成功地廣泛開展的話，必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置，比較容易被應用。

SET和SSL除了都採用RSA公鑰演算法以外，二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。

SET是一種基於消息流的協議，它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布，用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗，但大多數在Internet上購的消費者並沒有真正使用SET。

SET是一個非常復雜的協議，因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上，SET遠遠不止是一個技術方面的協議，它還說明了每一方所持有的數字證書的合法含義，希望得到數字證書以及響應信息的各方應有的動作，與一筆交易緊密相關的責任分擔。

3、目前安全電子交易的手段

在近年來發表的多個安全電子交易協議或標准中，均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種：

3.1密碼技術

採用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種：

（1）公共密鑰和私用密鑰（public key and private key）

這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密後發給該用戶，而一旦信息加密後，只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。

（2）數字摘要(digital digest)

這一加密方法亦稱安全Hash編碼法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文，這一串密文亦稱為數字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是「真身」的「指紋」了。

上述兩種方法可結合起來使用，數字簽名就是上述兩法結合使用的實例。

3.2數字簽名(digital signature)

在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處，採用數字簽名，也能確認以下兩點：

a. 信息是由簽名者發送的。

b. 信息在傳輸過程中未曾作過任何修改。

這樣數字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發送信息；或發出（收到）信件後又加以否認等情況發生。

數字簽名採用了雙重加密的方法來實現防偽、防賴。其原理為：

（1） 被發送文件用SHA編碼加密產生128bit的數字摘要（見上節）。

（2） 發送方用自己的私用密鑰對摘要再加密，這就形成了數字簽名。

（3） 將原文和加密的摘要同時傳給對方。

（4） 對方用發送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產生又一摘要。

（5） 將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。

3.3數字時間戳(digital time-stamp)

交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。

在電子交易中，同樣需對交易文件的日期和時間信息採取安全措施，而數字時間戳服務(DTS：digital time-stamp service)就能提供電子文件發表時間的安全保護。

數字時間戳服務（DTS）是網上安全服務項目，由專門的機構提供。時間戳（time-stamp）是一個經加密後形成的憑證文檔，它包括三個部分：1）需加時間戳的文件的摘要(digest)，2）DTS收到文件的日期和時間，3）DTS的數字簽名。

時間戳產生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然後將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。由Bellcore創造的DTS採用如下的過程：加密時將摘要信息歸並到二叉樹的數據結構；再將二叉樹的根值發表在報紙上，這樣更有效地為文件發表時間提供了佐證。注意，書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。因此，時間戳也可作為科學家的科學發明文獻的時間認證。

3.4數字憑證(digital certificate, digital ID)

數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中，如雙方出示了各自的數字憑證，並用它來進行交易操作，那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。

數字憑證的內部格式是由CCITT X.509國際標准所規定的，它包含了以下幾點：

(1) 憑證擁有者的姓名，

(2) 憑證擁有者的公共密鑰，

(3) 公共密鑰的有效期，

(4) 頒發數字憑證的單位，

(5) 數字憑證的序列號（Serial number），

(6) 頒發數字憑證單位的數字簽名。

數字憑證有三種類型：

(1) 個人憑證(Personal Digital ID)：它僅僅為某一個用戶提供憑證，以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件（S/MIME）來進行交易操作。

(2) 企業（伺服器）憑證（Server ID）：它通常為網上的某個Web伺服器提供憑證，擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。

(3) 軟體（開發者）憑證（Developer ID）：它通常為Internet中被下載的軟體提供憑證，該憑證用於和微軟公司Authenticode技術（合法化軟體）結合的軟體，以使用戶在下載軟體時能獲得所需的信息。

上述三類憑證中前二類是常用的憑證，第三類則用於較特殊的場合，大部分認證中心提供前兩類憑證，能提供各類憑證的認證中心並不普遍。

3.5認證中心(CA：Certification Authority)

在電子交易中，無論是數字時間戳服務（DTS）還是數字憑證(Digital ID)的發放,都不是靠交易的雙方自己能完成的,而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心（CA）就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS：Certification Practice Statement)來實施服務操作。

上述五個方面介紹了安全電子交易的常用手段，各種手段常常是結合在一起使用的，從而構成比較全面的安全電子交易體系。

4、應用動態

根據最新報道,我國第一個安全電子商務系統：「網上訂票與支付系統」經過半年試運行後，於1999年8月8日投入正式運行,其發起單位由上海市政府商業委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務安全證書管理中心有限公司等共同發起、投資與開發。

系統結構採用網上訂票與支付系統由四個子系統組成：商戶子系統、客戶子系統、銀行支付網關子系統、數字證書授權與認證子系統。

商戶子系統的第一個應用是用來購買購買飛機票的中國東方航空公司網站。網址為：www.cea.online.sh.cn；它是中國安全電子商務第一網站。

客戶子系統是安裝於PC機上的電子錢包軟體，是信用卡持有人進行網上消費的支付工具。電子錢包中必須加入客戶的信用卡信息與數字證書之後，方可進行網上消費。

支付網關子系統通常是指由收款銀行運行的一套設備，用來處理商戶的付款信息以及持卡人發出的付款指令。

數字證書授權與認證子系統為每個交易參與方生成一個數字證書作為交易方身份的驗證工具。

其技術特點是採用IBM的電子商務框架結構、嵌入經國家密碼管理委員會認可的加/解密用軟/硬體產品。這個電子商務系統具有如下的安全交易特點：

1) 遵循SET國際標准、具有SET標准規定的安全機制，是目前國際互聯網上運行的比較安全的電子商務系統；

2) 兼顧國內信用卡/儲蓄卡與國際信用卡的業務特點，具有一定的中國特色；

3) 具有開放特性，可與經SETCO國際組織認證的任何電子商務系統進行互操作；

F. 電子商務系統的交易與支付安全需求有哪些

1.保證網路上資金流數據的保密性

2.保證網路上資金流數據不被隨意篡改，即保證相內關網路支付信息的完整性。容

3.保證網路上資金結算雙方身份的認定

4.保證網路上有關資金的支付結算行為發生的事實及發生內容的不可抵賴性

5.保證網路支付系統運行的溫度可靠，快捷，做好數據備份與災難恢復功能，並且保證一定的支付結算速度。

G. 電子商務網站是如何做到安全支付的

一、移動支付中的安全問題
在整個移動支付的過程中涉及到的支付參與者包括：消費用戶、商戶用戶、移動運營商、第三方服務提供商、銀行。消費用戶和商戶用戶是系統的服務對象，移動運營商提供網路支持，銀行方提供銀行相關服務，第三方服務提供商提供支付平台服務，通過各方的結合以實現業務。移動支付需要考慮以下安全問題：（1)移動終端接入支付平台的安全，包括用戶注冊時，簽約信息的安全傳遞，以及用戶通過移動終端登錄系統，其間傳遞的數據如簽約用戶名、簽約密碼等的安全性。(2)支付平台內部數據傳輸的安全，即支付平台內部各模塊之間數據傳輸的安全性。(3)支付平台數據存儲的安全，涉及到簽約用戶的機密性的銀行卡賬戶、密碼、簽約用戶名、簽約密碼等的安全性。
二、移動支付的安全認證技術
當前，移動設備的大量普及為移動支付的實現提供了必要的條件，但也存在許多問題制約著移動支付的實施，如移動終端的計算環境和通信環境都非常有限，這就需要對相應的安全認證做一些特殊要求。
1.WPKI安全標准概況
WPKI(WirelessPKI）是有線PKI的一種擴展，它將互聯網電子商務中PKI的安全機制引入到移動電子商務中。WPKI採用公鑰基礎設施、證書管理策略、軟體和硬體等技術，有效地建立了安全和值得信賴的無線網路通信環境。WPKI以WAP的安全機制為基礎，通過管理實體間關系、密鑰和證書來增強電子商務安全。WAP安全機制包括WIM（WAPIdentityMole，無線應用協議識別模塊）、WMLSCrypt（WMLScriptCryptoAPI，WML腳本加密介面）、WTLS（，無線傳輸安全層）和WPKI四個部分。以上各部分對實現無線網路應用的安全分別起著不同的作用。WPKI作為安全基礎設施平台，一切基於身份驗證的應用都需要WPKI技術的支持，它可與WTLS、TCP/IP相結合，實現身份認證、私鑰簽名等功能。WPKI的主要組件包括：終端實體應用程序（EE）、PKI門戶（PKIPortal)、認證中心（CA）、目錄服務(PKIDirectory)、WAP網關，在應用模型中還涉及數據提供伺服器等設備，WPKI的基本結構和數據流向如圖所示。

在WPKI中，代替RA（RegistrationAuthority）的功能組件是PKI門戶（PKIPortal），它是一個網路伺服器，負責把WAP客戶的需求轉發給PKI中的RA和CA（CertificationAuthority）。CA主要負責生成證書、頒發證書和刷新證書等。WAPGateway負責處理客戶與源伺服器之間的協議轉換工作。WTLS是經傳統網路的TLS協議改進和優化而得來的，主要保證傳輸層的安全，WPKI也是對IETFPKIX標準的優化，使之更適合無線環境。
2.WPKI的加密演算法和密鑰
WPKI是通過管理實體間關系、密鑰和證書來增強電子商務安全的，與WAP安全標准相比，WPKI所採用的ECC（EllipticCurveCryptography，橢圓曲線密碼）密碼系統更適合在無線設備中使用。同樣強度的密鑰，ECC的密鑰長度（163bit）只是其他方案的六分之一(1024bit），但163bit的密鑰長度對窮舉密鑰攻擊幾乎是絕對安全的，因為窮舉163bit的密鑰個數有1.156×1049個，按每秒鍾測試1億個密鑰計算，也要3.6×1032年！

H. 電子商務安全的管理方法有哪些

電子商務是利用各種電子化手段進行的商務活動,其價值的實現主要依託於網路,尤其是互聯網,它已經成為互聯網應用的一個必然趨勢和金融商貿的主要模式之一.如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務必須直面的一個問題.
由於電子商務的重要技術特徵是利用網路來傳輸和處理商業信息,因此,電子商務安全主要包括兩個方面:網路安全和商務安全.而這些安全的實現又依託於一些具體的安全技術,遵循相關安全協議.
1 網路安全問題
網路安全主要是指計算機和網路本身可能存在的安全問題,也就是要保障電子商務平台的可用性和安全性.網路安全是電子商務的基礎,其問題一般表現為:
1.1 計算機本身潛在的安全隱患帶來的網路安全問題
計算機使用的是未經過相關的網路安全配置的操作系統,不論是什麼操作系統,在預設安裝的條件下都會存在一些安全問題,而僅僅將操作系統按預設安裝後,再配上很長的密碼就認為安全的想法是不可靠的.因為計算機本身存在的軟體漏洞和"後門"往往是網路攻擊的首選目標.
1.2 入侵者風險降低獲利升高帶來的刺激引發的網路安全問題
由於網路的全球性,開放性,共享性的發展,使得任何人都可以自由地接入互聯網,而這其中也包括了黑客,入侵者和病毒製造者.他們採用的攻擊方法越來越多,對電子商務的威脅也顯得越來越明顯.相對而言,襲擊者本身的風險卻非常小,甚至可以在襲擊後很快就消失得無影無蹤,使對方幾乎沒有實行報復打擊的可能,這使他們的活動更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點.
1.3 安全設備使用不當帶來的網路安全問題
雖然絕大多數網站採用了網路安全設備,有的甚至還耗費巨資,但由於安全設備本身因素或使用問題,這些設備並沒有起到應有的或期望的作用.很多安全廠商的產品對配置人員的技術背景要求很高,往往超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確地安裝,配置,一旦系統改動,需要改動相關安全設備的設置時,很容易產生許多安全問題.而通常意義上的網路管理者往往無法勝任這樣的工作.
因此在實施網路安全防範措施時應做到:首先要加強主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟體和軟體防火牆,加強內部網的整體防病毒措施;使用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用相應的數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行一定強度的數據加密;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊.同時充分利用已經公布的有關交易安全和計算機安全的法律法規為電子商務交易護航.再者,面對普通網路管理員的技術水平,在網路的建設和維護中可採用聯合開發維護的方式,通過前期的建設和維護不斷提高和完善自身團隊的技術水平,使其在成長中逐步勝任企業對網路安全的要求.
網路管理者在思想上高度重視安全問題也是相當有必要的.技術的產生一般相對於人們的需求有一定的滯後性,而建立和實施嚴密完善的網路安全制度和策略往往可以代替暫時無法實現的技術,畢竟這才是真正實現網路安全的基礎.
一個全方位的計算機網路安全體系結構通常包含網路的物理安全,訪問控制安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全.這一切的實現依賴於各種先進的主機安全技術,身份認證技術,訪問控制技術,密碼技術,防火牆技術,安全審計技術,安全管理技術,系統漏洞檢測技術,黑客跟蹤技術.隨著安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術的應用,從不同層面加強了計算機網路的整體安全性,漸漸在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意入侵的難度.
為了保證電子商務活動的順利進行,必須有安全完善的網路體系為其提供穩定可靠,強有力的支撐.
2 商務安全問題
商務安全指商務交易在網路媒介中體現出來的安全問題,也就是要實現電子商務信息的保密性,完整性,真實性和不可抵賴性.
在早期的電子交易中,曾採用過一些簡單的安全措施.例如將網上交易中最關鍵的數據如信用卡號碼及成交數額等用電話告知,以防泄密,網上交易後再用其他方式對交易做確認,以保證其真實性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實現其真正的安全性.
2.1 商務安全中普遍存在的幾種安全隱患
2.1.1 竊取信息
信息在傳輸過程中未採用相應的加密措施或加密強度不夠,導致數據信息在網路上以明文或近乎明文的形式傳送.入侵者在數據包經過的設備或線路上採用截獲方法截獲正在傳送的信息,通過對竊取數據參數的分析比對,找到信息的格式和規律,進而得到傳輸信息的內容,導致消費者消費信息,賬號密碼和企業商業機密等信息的外泄.
2.1.2 篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術方法和手段對網路傳輸中的信息進行截獲修改再發至原先指定目的地,從而破壞信息的真實性.入侵者通過改變信息流的次序,更改信息的內容,刪除信息的某些部分,甚至在信息中插入一些附加內容,使接收方做出錯誤的判斷與決策.
2.1.3 信息假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以進一步冒充合法用戶獲取和發送信息,而遠端接受方或發送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據,套取或修改相關程序的使用許可權等.
2.1.4 信息破壞
由於攻擊者已侵入網路,已獲得對網路中信息的修改許可權,如其對網路中現有機要信息進行修改乃至於刪除,其後果是非常嚴重的.
2.2 商務安全的要求
2.2.1 信息的保密性
交易中的商務信息都需要遵循一定的保密規則.因為其信息往往代表著國家,企業和個人的商業機密.在以往傳統的紙面貿易中採用郵寄封裝或通過可靠的通信渠道傳送商業信息來達到保密的目的和要求.而電子商務是建立在一個較為開放的互聯網路環境上的,它所依託的網路本身也就是由於開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性.一般用密碼技術來實現.
2.2.2 信息的完整性
不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網路的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整,統一出現了問題.由於數據輸入時的意外差錯(如計算機自動處理過程中死機,停電等),可能導致貿易各方信息的不一致.此外,數據傳輸過程中人為的或自然的信息丟失(如數據包丟失),信息重復或信息傳送的次序差異(如網路堵塞重發)也會導致貿易各方信息的不同.而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略.因此保持貿易各方信息的完整性是電子商務應用必備的基礎.完整性一般可通過提取信息消息摘要的方式來獲得.
2.2.3 信息的不可抵賴性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息,或與之相反,接受方收到信息後並不承認曾經收到過該條消息.因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證.信息的保證可以通過對發送的消息進行數字簽名來獲取.身份的確定一般都採用證書機構CA和證書的方法來實現.讓素昧平生,相隔千里的雙方成為合作夥伴畢竟不是一件容易的事情.
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成後有無撤消和修改的可能等.相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求並幫助其實現,以保證電子商務交易的嚴肅性和公正性.
3 電子商務的安全技術
3.1 加密技術
加密技術是保證電子商務安全的重要手段,為保證電子商務安全使用加密技術對敏感的信息進行加密,保證電子商務的保密性,完整性,真實性和非否認服務.
3.1.1 加密技術的現狀
如同許多IT技術一樣,加密技術層出不窮,為人們提供了很多的選擇餘地,但與此同時也帶來了一個問題——兼容性,不同的企業可能會採用各自不同的標准.
另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口.雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務安全證書管理中心推出的128位SSL演算法,彌補了國內的這一空缺,也為我國電子商務安全帶來了廣闊的前景.
3.1.2 常用的加密技術
對稱密鑰密碼演算法:對稱密碼體制由傳統簡單換位代替密碼發展而成,加密模式上可分為序列密碼和分組密碼兩類.
不對稱型加密演算法:也稱公用密鑰演算法,其特點是有二個密鑰即公用密鑰和私有密鑰,兩者必須成對使用才能完成加密和解密的全過程.本技術特別適用於分布式系統中的數據加密,在網路中被廣泛應用.其中公用密鑰公開,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的接受方保管.
不可逆加密演算法:其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有輸入同樣的數據經過同一不可逆加密演算法的比對才能得到相同的加密數據.因為其沒有密鑰所以不存在密鑰保管和分發問題,但由於它的加密計算工作量較大,所以通常只在數據量有限的情況下,例如計算機系統中的口令信息的加密.
3.1.3 電子商務領域常用的加密技術
數字摘要:又稱安全Hash編碼法.該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋,具有固定的長度,並且不同的明文摘要其密文結果是不一樣的,而同樣的明文其摘要保持一致.
數字簽名:數字簽名是將數字摘要,公用密鑰演算法兩種加密方法結合使用.它的主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要).發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名,然後這個數字簽名將作為報文的附件和報文一起發送給報文的接收方.報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密.如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性,有效地防止了簽名的否認和非正當簽名者的假冒.
數字時間戳:是對交易文件的時間信息所採取的安全措施.該網上安全服務項目,由專門的機構提供.時間戳是一個經加密後形成的憑證文檔,它包括:需加時間戳的文件的摘要,數字時間戳服務收到文件的日期和時間,數字時間戳服務的數字簽名.
數字證書:數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網路資源的訪問許可權,主要有個人憑證,企業(伺服器)憑證,軟體(開發者)憑證三種.
3.2 身份認證技術
在網路上通過一個具有權威性和公正性的第三方機構——認證中心,將申請用戶的標識信息(如姓名,身份證號等)與他的公鑰捆綁在一起,用於在網路上驗證確定其用戶身份.前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的.
3.3 支付網關技術
支付網關,通常位於公網和傳統的銀行網路之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密.支付網關技術主要完成通信,協議轉換和數據加解密功能,並且可以保護銀行內部網路.此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和列印數據等擴展功能).
4 與電子商務安全有關的協議技術
4.1 SSL協議(Secure Sockets Layer)
SSL協議也叫安全套接層協議,面向連接的協議,是現在使用的主要協議之一,但當初並非為電子商務而設計.該協議使用公開密鑰體制和X.509數字證書技術來保護信息傳輸的機密性和完整性.SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道,在該通道上可透明載入任何高層應用協議(如HTTP,FTP,TELNET等)以保證應用層數據傳輸的安全性.由於其獨立於應用層協議,在電子交易中常被用來安全傳送信用卡號碼,但由於它是個面向連接的協議,只適合於點對點之間的信息傳輸,即只能提供兩方的認證,而無法滿足現今主流的加入了認證方的三方協作式商務模式,因此在保證信息的不可抵賴性上存在著缺陷.
4.2 SET協議(Secure Electronic Transaction)
SET協議也叫安全電子交易,對基於信用卡進行電子化交易的應用提供了實現安全措施的規則,與SSL協議相比較,做了些改進.在商務安全問題中,往往持卡人希望在交易中對自己的交易信息保密,使之不會被人竊取,商家希望客戶的定單真實有效,並且在交易過程中,交易各方都希望驗明對方的身份,以防止被欺騙.針對這種情況,Visa和MasterCard兩大信用卡組織以及微軟等公司共同制定了SET協議,一個能保證通過開放網路(包括Internet)進行安全資金支付的技術標准.它採用公鑰密碼體制和X.509數字證書標准,主要應用於保障網上購物信息的安全性.由於SET 提供了消費者,商家和銀行之間的認證,彌補了SSL的不足,確保了交易數據的安全性,完整性,可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為目前公認的信用卡/借記卡網上交易的國際安全標准.
除此之外還有安全超文本傳輸協議(SHTTP),安全交易技術協議(STT)等.協議為電子商務提供了規范.
5 結語
安全是電子商務的核心和靈魂.電子商務對網路安全與商務安全的雙重要求,使網路安全與商務安全密不可分.沒有計算機網路安全作為基礎,商務交易安全猶如空中樓閣,無從談起;沒有商務安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求.而電子商務相應的實現技術和各種協議正是安全得以實現的保證.

I. 電子商務網路支付與安全

支付與安全這兩方面的內容太多了。你到網上隨便一搜急有好多叫你如何處理的。不過我認為在網上交易肯定是有風險的，但網上交易也有了成為了必然的趨勢。