电子商务安全管理与支付

A. 简述电子商务的安全交易和支付主要保证的四个方面 简述电子商务安全认证中心的基本功能

安全交易和支付主要保证以下四个方面：
一、信息保密性：交易中的商务信息均有保密的要求回。如信用卡答的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。
二、交易者身份的确定性：网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
三、不可否认性：由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
四、不可修改性：交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改，以保障商务交易的严肃和公正。
电子商务安全认证中心(CA)的基本功能是：
1、生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
2、 对数字证书和数字签名进行验证。
3、 对数字证书进行管理，重点是证书的撤消管理，同时追求实施自动管理（非手工管理）。
4、 建立应用接口，特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。

B. 电子商务安全与支付的人民邮电出版社教材

书名电子商务安全与支付丛 书 名21世纪高等学校经济管理类规划教材·高校系列标准书号ISBN 978-7-115-29503-3 作者祝凌曦 陆本江 编著责任编辑滑玉开本16 开印张21.5字数537 千字页数334 页装帧平装版次第1版第1次初版时间2013年4月本 印 次2013年4月首 印 数-- 册定价42.80 元 第1章电子商务安全概述1内容提要1学习目标1案例导读11.1电子商务安全与支付现状21.1.1电子商务在身边21.1.2电子商务安全现状31.1.3电子商务支付现状51.2电子商务安全的基本要求81.2.1交易的认证性81.2.2交易的保密性111.2.3交易的完整性121.2.4交易的不可否认性141.2.5其他安全需求151.3电子商务的安全交易标准151.3.1安全套接层协议161.3.2安全电子交易协议161.3.3安全超文本传输协议161.3.4安全交易技术协议171.3.5安全电子邮件管理协议171.4电子商务发展的法律保障17本章小结18思考题19拓展阅读19
第2章电子商务的安全技术23内容提要23学习目标23案例导读232.1数据加密技术242.2身份认证与访问控制技术282.2.1身份认证292.2.2访问控制312.3网络安全技术332.3.1防火墙技术332.3.2计算机病毒及防护372.3.3入侵检测技术42本章小结45思考题45拓展阅读46
第3章数字证书与协议48内容提要48学习目标48案例导读483.1密码学的应用493.1.1对称密码学503.1.2非对称密码学523.1.3杂凑函数563.1.4数字签名573.2数字证书583.2.1数字证书的概念583.2.2数字证书认证机构593.3数字证书的应用——SET协议603.3.1SET协议介绍603.3.2基本概念613.3.3SET协议信息结构623.3.4SET协议处理逻辑673.4数字证书的应用——SSL协议773.4.1SSL的主要组成协议773.4.2SSL记录层协议783.4.3SSL握手协议793.4.4SSL的具体应用803.4.5SET和SSL的比较81本章小结82思考题83拓展实验83
第4章电子支付概述84内容提要84学习目标84案例导读844.1支付和支付系统844.1.1支付和支付系统854.1.2支付系统的发展864.1.3我国的支付系统874.2电子支付概论894.2.1电子支付现状894.2.2电子支付的定义904.2.3电子支付的分类914.2.4电子支付产业存在的问题934.3网络支付944.3.1网络支付的概念944.3.2网络支付的条件954.3.3网络支付的特征964.3.4网络支付的安全性问题964.3.5网络支付系统方式97本章小结99思考题99拓展阅读100
第5章ATM与POS103内容提要103学习目标103案例导读1035.1银行卡1045.1.1银行卡概述1045.1.2信用卡1065.1.3借记卡1065.1.4IC卡1075.2银行卡的“费”1085.2.1信用卡年费1085.2.2信用卡利息1105.2.3信用卡提现1135.2.4信用卡分期付款1165.2.5银行卡交易手续费1175.3ATM1185.3.1ATM系统概述1185.3.2ATM系统的网络结构及处理流程1205.4ATM系统的安全1225.5ATM使用的若干安全问题及对策1235.5.1窃取卡号、密码信息1235.5.2ATM“吞卡”1245.5.3交易信息外泄1245.5.4严防电话和短信诈骗1245.5.5其他ATM诈骗手段1255.6POS1265.6.1POS系统概述1265.6.2POS系统的网络结构及处理流程1295.6.3POS系统的安全1315.6.4POS系统实例132本章小结133思考题134拓展阅读134
第6章第三方支付——支付宝138内容提要138学习目标138案例导读1386.1第三方支付1396.1.1第三方支付的概念1396.1.2第三方支付的模式1396.2支付宝概述1416.2.1支付宝发展现状1416.2.2支付宝的特点及主要产品1426.3支付宝支付1446.3.1快捷支付(含卡通)1446.3.2支付宝余额支付1456.3.3网上银行支付——以中国工商银行为例1456.3.4网点付款1466.3.5消费卡付款1466.3.6找人代付1476.4支付宝其他应用1486.4.1我要付款1486.4.2手机充值1496.5网上支付的风险及应对措施1506.5.1买家风险及安全策略1516.5.2卖家风险及安全策略1546.5.3支付宝的安全策略1556.6国内其他账户型第三方支付1596.6.1财付通1596.6.2安付通1596.6.3PAYPAL1606.6.4YeePay160本章小结161思考题162拓展阅读162
第7章第三方支付——拉卡拉164内容提要164学习目标164案例导读1647.1线下支付1657.1.1线下支付的定义1657.1.2线下支付在中国支付体系中的定位1657.1.3线下支付的发展历史1657.1.4线下支付市场产业链整体分析1667.1.5线下支付带来的影响1677.2拉卡拉概述1677.2.1拉卡拉公司介绍1677.2.2拉卡拉的发展1687.2.3拉卡拉合作伙伴1697.2.4拉卡拉的主要业务功能1697.3拉卡拉刷卡机1717.3.1拉卡拉公共网点刷卡机1717.3.2Mini拉卡拉家用刷卡机1767.3.3拉卡拉刷卡机的风险及防范1787.4拉卡拉超级盾1807.4.1拉卡拉超级盾简介1807.4.2拉卡拉超级盾安装及开通1807.4.3信用卡还款1827.4.4账户直充1837.4.5支付宝交易1847.4.6财付通账户充值1857.4.7账单号付款1867.4.8其他1877.4.9超级盾使用过程中常见问题及相关业务费用1887.5其他混合型第三方支付模式1907.5.1嗖！付1907.5.2缴费易190本章小结191思考题191拓展阅读192
第8章第三方支付——首信易支付193内容提要193学习目标193案例导读1938.1网关支付概述1948.1.1网关支付概念1948.1.2网关型支付主要模式1948.1.3网关型支付的发展现状1948.2首信易支付概述1958.2.1发展背景与历程1958.2.2发展趋势1968.3面向用户的功能及基本操作演示1978.3.1会员资料管理及注册认证演示1978.3.2我要收款2018.3.3我要付款2028.3.4购物付款演示2028.3.5我要充值2048.3.6返点查询2058.3.7其他资金管理2068.3.8用户账户管理2088.4支付平台功能及基本操作演示2098.4.1B2C支付2098.4.2B2B支付2118.4.3易收汇2128.5易支付安全案例分析及使用攻略2138.5.1案例2138.5.2首信易支付安全使用攻略2158.6第三方支付典型平台对比分析218本章小结219思考题220拓展阅读220
第9章大额电子汇兑系统223内容提要223学习目标223案例导读2239.1电子汇兑系统概述2249.1.1汇兑系统的涵义2249.1.2汇兑系统的特点2249.1.3汇兑系统的类型2259.1.4电子汇兑的处理流程与控制2259.2国内的电子汇兑系统2269.2.1中国国家金融数据通信网络系统2269.2.2中国国家现代化支付系统2369.2.3中国其他电子汇兑系统2459.3国外著名的电子汇兑系统2509.3.1SWIFT2509.3.2CHIPS2569.3.3FedWire2589.3.4其他电子汇兑系统2619.3.5国际汇兑系统运作示例263本章小结265思考题266拓展阅读266
第10章网上银行269内容提要269学习目标269案例导读26910.1网上银行概述27010.1.1网上银行的概念27010.1.2网上银行的特点27110.1.3网上银行与传统银行的比较27210.1.4网上银行系统的组成27310.1.5网上银行的经营模式27310.2网上银行的发展及主要业务27410.2.1网上银行发展的四个阶段27410.2.2网上银行发展现状27710.2.3网上银行的主要业务27810.3网上银行功能及操作实例28010.3.1中国工商银行网上银行功能简介28010.3.2注册及登录28110.3.3我的账户28110.3.4定期存款28710.3.5转账存款28810.3.6网上贷款29110.3.7网上挂失29210.3.8缴费站29310.3.9信用卡服务29410.4网上银行风险及应对措施29610.4.1网上银行典型风险29610.4.2网上银行风险的应对300本章小结303思考题304拓展阅读304
第11章移动支付306内容提要306学习目标306案例导读30611.1移动支付概述30711.1.1移动支付的概念30711.1.2移动支付的分类30811.1.3移动支付发展阶段30811.1.4移动支付的发展现状30911.2移动支付内容31011.2.1移动支付业务31011.2.2移动支付的运营模式31011.2.3移动支付终端解决方案31211.2.4移动支付的主要障碍31611.2.5移动支付的解决办法31711.3移动支付实战演练31811.3.1开户31911.3.2充值32011.3.3手机支付卡通32211.3.4支付32411.3.5收付款32511.3.6提现32711.4移动支付的安全问题32811.4.1移动支付面临的安全问题32811.4.2移动支付安全技术329本章小结330思考题331拓展阅读331

C. 电子商务安全支付问题和set安全协议

SET是一个基于可信的第三方人证中心的方案，它要实现的主要目的如下所述：
⒈保障付款安全：确保付款资料之隐秘性及完整性，提供持卡人，特约商店，收单银行之认证，并定义安全服务所需之演算法及相关协定。
⒉确定应用之互通性：提供一个开放式的标准，明确定义细节，以确保不同厂商开发之应用程序可共同运作，促成软件互通；并在现存各种标准下建构该协定，允许在任何软硬件平台上的执行，使标准达到相容性与接受性的目标。

D. 电子商务如何支付，付款方式与特点，安全性

在我国电子商务发展的过程中，B2C、C2C电子商务产生了多种支付方式，包括汇款、货到付款、网上支付、电话支付、手机短信支付等方式，并且这些方式同时并存。据2005年CNNT统计，消费者常采用多种支付方式，其中汇款用户占总用户数量的43．2％、网上支付占41．9％、货到付款支付占34．7％、手机支付占1．7％。
2．1 汇款
银行汇款或邮局汇款是一种传统支付方式，也是目前为止电子商务支付方式中最常用的支付方式。邮局汇款是顾客将订单金额通过邮政部门汇到商户的一种结算支付方式。采用银行或邮局汇款，可以直接用人民币交易，避免了诸如黑客攻击、账号泄漏、密码被盗等问题，对顾客来说更安全。但采用此种支付方式的收发货周期时间长，例如卓越网的邮局汇款支付期限为14天，银行电汇为10天，而采用其他网上支付则只需1－2天。此外，顾客还必须到银行或邮局才能进行支付，支付过程比较繁琐。对于商家来说，这种交易方式也无法体现电子商务高速、交互性强、简单易用且运作成本低等优势。因此，这种支付方式并不能适应电子商务的长期高速发展。
2．2 货到付款
货到付款又称送货上门，指按照客户提交的订单内容，在承诺配送时限内送达顾客指定交货地点后，双方当场验收商品，当场交纳货款的一种结算支付方式。目前，很多购物网站都提供这种支付方式。这是一个充满中国特色的B2C电子商务支付方式、物流方式，既解决了中国网上零售行业的支付和物流两大问题，又培养了客户对网络的信任。货到付款仍然是中国用户最喜欢的支付方式之一。但是，将支付与物流结合在一起存在很多问题。首先，付款方式采用现金付费，因此只局限在小额支付上，例如卓越网的订单金额不可高于15 000元，对于商家的大额交易则无法实现。其次，由于送货上门受到地区的局限，而EMS费用又较高，所以顾客选择最多的还是普通邮寄，这就会带来必然的时间损耗，给用户造成不便。比如当当书店送货上门服务，送到北京市内读者手中需1－2天，而送到其他城市则需3－7天，普通邮寄则是更需1－2周，这还不包括边远地区。送货上门单张订单购物金额满30元免5元平邮费用，单张订单购物金额满200元免加急费用，这个费用对于小额购物的顾客来说是无法接受的。
2．3 网上支付
所谓网上支付，是以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，以电子计算机技术和通信技术为手段，以二进制数据形式存储，并通过计算机网络系统以电子信息传递形式实现的流通和支付。
2006年网上支付在整个电子支付市场规模中所占的比例为97％，网上支付仍是电子支付形式中的绝对主力，国内目前采用网上支付业务的网上书店总数已超过10万家。网上支付的方式主要有：银行卡支付方式、电子支票支付方式和电子货币支付方式。其中比较成熟的是银行卡支付方式，银行卡支付方式是目前在国内网上购物实现在线支付的最主要的手段。
2．3．1 网上银行卡转帐支付
网上银行卡转帐支付指的是电子商务的交易通过网络，利用银行卡进行支付的方式。客户通过Internet向商家订货后，在网上将银行卡卡号和密码加密发送到银行，直接要求转移资金到商家银行账户中，完成支付。银行卡的卡类可以包括信用卡、借记卡和智能卡等。
我国目前网上银行卡转账支付可以分为有数字证书和无数字证书两种方式。一般的用户如果不去银行申请启用有数字证书保护的网上支付功能，就只能使用无数字证书保护的网上支付。不启用数字证书保护的网上支付在功能上会有一定的限制，例如只能进行账户查询或只能进行小额支付。而启用数字证书保护的网上支付不仅拥有更高的安全性，而且能享受网上银行所提供的全部服务，支付的金额不受限制。
银行卡网上直接转账支付存在着安全性和方便性方面的矛盾，例如要起用数字证书保护，付款人必须经过向银行申请安装数字证书，下载指定软件等多道手续，对有些对电脑操作不熟悉的顾客而言就很难实现了。另外，因客户直接将货款转移到商家的帐户上，如果出现交易失败的情况，那么讨回货款的过程就可能变得非常繁琐和困难。
2．3．2 第三方支付平台结算支付
第三方结算支付是指客户和商家都首先在第三方支付平台处开立账户；并将各自的银行账户信息提供给支付平台的账户中，第三方支付平台通知商家已经收到货款，商家发货；客户收到并检验商品后，通知第三方支付平台可以付款给商家，第三方支付平台再将款项划转到商家的账户中。这样客户和商家的银行帐户信息只需提供给第三方支付平台，比较安全，且支付通过第三方支付平台完成，如果客户未收到商品或商品有问题则可以通知第三方支付平台拒绝划转货款到商家。而商家则可以在货款有保障的情况下放心发货，有效地降低了交易风险。第三方平台结算支付是当前国内服务数量最多的支付模式。国内当前从事网上支付的企业已经从2004年的10多家增加到现在的50多家，2005年我国第三方支付平台规模增长到161亿元。来自赛迪顾问的调查表明，2007年我国第三方支付平台规模已达到215亿元。国内目前第三方支付公司中，比较知名的有阿里巴巴的支付宝、易趣的安付通、贝宝、腾讯的财付通、易宝、网银在线、银联电子支付、环讯的IPS、云网等等。
由于第三方支付平台的介入，解决了电子商务支付过程中的一系列问题。如安全问题、信用问题、成本问题。与此同时，中国现有的第三方支付平台也存在一定的问题。
（1）中国法律规定只有金融机构才有权吸纳代理用户的钱，其他企业机构不得从事类似活动，支付平台的法律地位也受到一部分人的质疑。
（2）货款在第三方支付平台中滞留的时间内将产生一定的利息，这部分利息如何分配目前也缺乏明确的规范和严格的监督。
（3）支付平台解决的电子商务支付过程中的安全性问题只限于客户和厂商之间，其他安全性问题如客户在支付平台填写银行资料时信息的保密性、有效性和完整性问题还有待进一步解决。
（4）操作还不够简便，客户在使用支付平台时都必须进行一系列繁琐的申请。
（5）贷款会在第三方支付平台的账号中滞留一段时间，非实时性支付带来存款风险，如第三方支付企业不能完全保证货款安全，将大大损害客户和商家的利益。
（6）第三方支付平台可能会被利用，通过捏造虚假交易从信用卡套现，甚至存在可能被利用来进行洗钱的风险。

E. 电子商务的安全支付问题

1、电子商务的安全控制要求概述

电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。

1.1信息保密性

交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

1.2交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家而言要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。

1.3不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改动文件内容，那么交易本身便是不可靠的，客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

2、电子商务安全交易的有关标准和实施方法

2.1安全交易的雏形

在电子商务实施初期，曾采用过一些简易的安全措施，这些措施包括：

(1) 部分告知(Partial Order)：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

(2) 另行确认(Order Confirmation)：即当在网上传输交易信息之后，再用电子邮件对交易作确认，才认为有效。

(3) 在线服务(Online Service)：为了保证信息传输的安全，用企业提供的内部网来提供联机服务。

以上所述的种种方法，均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

2.2安全交易标准的制定

近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：

(1) 安全超文本传输协议（S-HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

(2) 安全套接层协议（SSL协议：Secure Socket Layer)是由网景（Netscape）公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。

(3) 安全交易技术协议(STT：Secure Transaction Technology)：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

(4) 安全电子交易协议（SET：Secure Electronic Transaction）：SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。

支付系统是电子商务的关键，但支持支付系统的关键技术的未来走向尚未确定。安全套接层（SSL）和安全电子交易（SET）是两种重要的通信协议，每一种都提供了通过Internet进行支付的手段。但是，两者之中谁将领导未来呢？SET将立刻替换SSL吗？SET会因其复杂性而消亡吗？SSL真的能完全满足电子商务的需要吗？我们可以从以下几点对比作管中一窥：

SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。

SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。

SET是一种基于消息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验，但大多数在Internet上购的消费者并没有真正使用SET。

SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。

3、目前安全电子交易的手段

在近年来发表的多个安全电子交易协议或标准中，均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种：

3.1密码技术

采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：

（1）公共密钥和私用密钥（public key and private key）

这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

（2）数字摘要(digital digest)

这一加密方法亦称安全Hash编码法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。

上述两种方法可结合起来使用，数字签名就是上述两法结合使用的实例。

3.2数字签名(digital signature)

在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：

a. 信息是由签名者发送的。

b. 信息在传输过程中未曾作过任何修改。

这样数字签名就可用来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。

数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：

（1） 被发送文件用SHA编码加密产生128bit的数字摘要（见上节）。

（2） 发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。

（3） 将原文和加密的摘要同时传给对方。

（4） 对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。

（5） 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

3.3数字时间戳(digital time-stamp)

交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS：digital time-stamp service)就能提供电子文件发表时间的安全保护。

数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：1）需加时间戳的文件的摘要(digest)，2）DTS收到文件的日期和时间，3）DTS的数字签名。

时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。由Bellcore创造的DTS采用如下的过程：加密时将摘要信息归并到二叉树的数据结构；再将二叉树的根值发表在报纸上，这样更有效地为文件发表时间提供了佐证。注意，书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。因此，时间戳也可作为科学家的科学发明文献的时间认证。

3.4数字凭证(digital certificate, digital ID)

数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。

数字凭证的内部格式是由CCITT X.509国际标准所规定的，它包含了以下几点：

(1) 凭证拥有者的姓名，

(2) 凭证拥有者的公共密钥，

(3) 公共密钥的有效期，

(4) 颁发数字凭证的单位，

(5) 数字凭证的序列号（Serial number），

(6) 颁发数字凭证单位的数字签名。

数字凭证有三种类型：

(1) 个人凭证(Personal Digital ID)：它仅仅为某一个用户提供凭证，以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件（S/MIME）来进行交易操作。

(2) 企业（服务器）凭证（Server ID）：它通常为网上的某个Web服务器提供凭证，拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。

(3) 软件（开发者）凭证（Developer ID）：它通常为Internet中被下载的软件提供凭证，该凭证用于和微软公司Authenticode技术（合法化软件）结合的软件，以使用户在下载软件时能获得所需的信息。

上述三类凭证中前二类是常用的凭证，第三类则用于较特殊的场合，大部分认证中心提供前两类凭证，能提供各类凭证的认证中心并不普遍。

3.5认证中心(CA：Certification Authority)

在电子交易中，无论是数字时间戳服务（DTS）还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心（CA）就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS：Certification Practice Statement)来实施服务操作。

上述五个方面介绍了安全电子交易的常用手段，各种手段常常是结合在一起使用的，从而构成比较全面的安全电子交易体系。

4、应用动态

根据最新报道,我国第一个安全电子商务系统：“网上订票与支付系统”经过半年试运行后，于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。

系统结构采用网上订票与支付系统由四个子系统组成：商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。

商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为：www.cea.online.sh.cn；它是中国安全电子商务第一网站。

客户子系统是安装于PC机上的电子钱包软件，是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后，方可进行网上消费。

支付网关子系统通常是指由收款银行运行的一套设备，用来处理商户的付款信息以及持卡人发出的付款指令。

数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。

其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点：

1) 遵循SET国际标准、具有SET标准规定的安全机制，是目前国际互联网上运行的比较安全的电子商务系统；

2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点，具有一定的中国特色；

3) 具有开放特性，可与经SETCO国际组织认证的任何电子商务系统进行互操作；

F. 电子商务系统的交易与支付安全需求有哪些

1.保证网络上资金流数据的保密性

2.保证网络上资金流数据不被随意篡改，即保证相内关网络支付信息的完整性。容

3.保证网络上资金结算双方身份的认定

4.保证网络上有关资金的支付结算行为发生的事实及发生内容的不可抵赖性

5.保证网络支付系统运行的温度可靠，快捷，做好数据备份与灾难恢复功能，并且保证一定的支付结算速度。

G. 电子商务网站是如何做到安全支付的

一、移动支付中的安全问题
在整个移动支付的过程中涉及到的支付参与者包括：消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象，移动运营商提供网络支持，银行方提供银行相关服务，第三方服务提供商提供支付平台服务，通过各方的结合以实现业务。移动支付需要考虑以下安全问题：（1)移动终端接入支付平台的安全，包括用户注册时，签约信息的安全传递，以及用户通过移动终端登录系统，其间传递的数据如签约用户名、签约密码等的安全性。(2)支付平台内部数据传输的安全，即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全，涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。
二、移动支付的安全认证技术
当前，移动设备的大量普及为移动支付的实现提供了必要的条件，但也存在许多问题制约着移动支付的实施，如移动终端的计算环境和通信环境都非常有限，这就需要对相应的安全认证做一些特殊要求。
1.WPKI安全标准概况
WPKI(WirelessPKI）是有线PKI的一种扩展，它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术，有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础，通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM（WAPIdentityMole，无线应用协议识别模块）、WMLSCrypt（WMLScriptCryptoAPI，WML脚本加密接口）、WTLS（，无线传输安全层）和WPKI四个部分。以上各部分对实现无线网络应用的安全分别起着不同的作用。WPKI作为安全基础设施平台，一切基于身份验证的应用都需要WPKI技术的支持，它可与WTLS、TCP/IP相结合，实现身份认证、私钥签名等功能。WPKI的主要组件包括：终端实体应用程序（EE）、PKI门户（PKIPortal)、认证中心（CA）、目录服务(PKIDirectory)、WAP网关，在应用模型中还涉及数据提供服务器等设备，WPKI的基本结构和数据流向如图所示。

在WPKI中，代替RA（RegistrationAuthority）的功能组件是PKI门户（PKIPortal），它是一个网络服务器，负责把WAP客户的需求转发给PKI中的RA和CA（CertificationAuthority）。CA主要负责生成证书、颁发证书和刷新证书等。WAPGateway负责处理客户与源服务器之间的协议转换工作。WTLS是经传统网络的TLS协议改进和优化而得来的，主要保证传输层的安全，WPKI也是对IETFPKIX标准的优化，使之更适合无线环境。
2.WPKI的加密算法和密钥
WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的，与WAP安全标准相比，WPKI所采用的ECC（EllipticCurveCryptography，椭圆曲线密码）密码系统更适合在无线设备中使用。同样强度的密钥，ECC的密钥长度（163bit）只是其他方案的六分之一(1024bit），但163bit的密钥长度对穷举密钥攻击几乎是绝对安全的，因为穷举163bit的密钥个数有1.156×1049个，按每秒钟测试1亿个密钥计算，也要3.6×1032年！

H. 电子商务安全的管理方法有哪些

电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题.
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议.
1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为:
1.1 计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标.
1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点.
1.3 安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用.很多安全厂商的产品对配置人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配置,一旦系统改动,需要改动相关安全设备的设置时,很容易产生许多安全问题.而通常意义上的网络管理者往往无法胜任这样的工作.
因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件和软件防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击.同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航.再者,面对普通网络管理员的技术水平,在网络的建设和维护中可采用联合开发维护的方式,通过前期的建设和维护不断提高和完善自身团队的技术水平,使其在成长中逐步胜任企业对网络安全的要求.
网络管理者在思想上高度重视安全问题也是相当有必要的.技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础.
一个全方位的计算机网络安全体系结构通常包含网络的物理安全,访问控制安全,系统安全,用户安全,信息加密,安全传输和管理安全.这一切的实现依赖于各种先进的主机安全技术,身份认证技术,访问控制技术,密码技术,防火墙技术,安全审计技术,安全管理技术,系统漏洞检测技术,黑客跟踪技术.随着安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术的应用,从不同层面加强了计算机网络的整体安全性,渐渐在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意入侵的难度.
为了保证电子商务活动的顺利进行,必须有安全完善的网络体系为其提供稳定可靠,强有力的支撑.
2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性.
在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性.
2.1 商务安全中普遍存在的几种安全隐患
2.1.1 窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2.1.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策.
2.1.3 信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等.
2.1.4 信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的.
2.2 商务安全的要求
2.2.1 信息的保密性
交易中的商务信息都需要遵循一定的保密规则.因为其信息往往代表着国家,企业和个人的商业机密.在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求.而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性.一般用密码技术来实现.
2.2.2 信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题.由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致.此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同.而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略.因此保持贸易各方信息的完整性是电子商务应用必备的基础.完整性一般可通过提取信息消息摘要的方式来获得.
2.2.3 信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息.因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证.信息的保证可以通过对发送的消息进行数字签名来获取.身份的确定一般都采用证书机构CA和证书的方法来实现.让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情.
当然,在电子商务活动中还有许多要求,比如交易信息的时效界定问题,交易一旦达成后有无撤消和修改的可能等.相信在电子商务的发展中必将涌现各种技术和各项法律法规,规范人们的需求并帮助其实现,以保证电子商务交易的严肃性和公正性.
3 电子商务的安全技术
3.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
3.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
3.1.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
3.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
3.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
3.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
4 与电子商务安全有关的协议技术
4.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
4.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范.
5 结语
安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.

I. 电子商务网络支付与安全

支付与安全这两方面的内容太多了。你到网上随便一搜急有好多叫你如何处理的。不过我认为在网上交易肯定是有风险的，但网上交易也有了成为了必然的趋势。