圖1《電子商務(wù)基礎(chǔ)與實(shí)操》下頁電子商務(wù)安全圖2下頁3.1電子商務(wù)系統(tǒng)的安全要求3.2數(shù)據(jù)加密技術(shù)3.3認(rèn)證技術(shù)3.4電子商務(wù)的安全交易標(biāo)準(zhǔn)目錄電子商務(wù)安全圖33.4電子商務(wù)的安全交易標(biāo)準(zhǔn)3.4.1安全套接層協(xié)議(SSL)3.4.2安全電子交易協(xié)議(SET)圖4電子商務(wù)實(shí)施初期

采用的安全措施部分告知（partialorder）。在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)，如信用卡帳號及交易金額等略去，然后再用電話告知，以防泄密。另行確認(rèn)

(orderconfirmation)。在網(wǎng)上傳輸交易信息之后，再用電子郵件對交易進(jìn)行確認(rèn)，才認(rèn)為有效。在線服務(wù)

(onlineservice)。為了保證信息傳輸?shù)陌踩闷髽I(yè)提供的內(nèi)部網(wǎng)來提供聯(lián)機(jī)服務(wù)。圖53.4.1安全套接層協(xié)議SSL(securesocketslayer)是由Netscape公司是由設(shè)計(jì)開發(fā)的，其目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性，從而實(shí)現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信。圖6SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，已經(jīng)廣泛用于Internet，它使用的是RSA數(shù)字簽名算法，可以支持X.509證書和多種保密密鑰加密算法。其運(yùn)行機(jī)制是：在建立連接過程中采用公共密鑰；在回話過程中采用專有密鑰；加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。圖71、SSL提供的基本服務(wù)功能信息保密。使用公共密鑰和對稱密鑰技術(shù)實(shí)現(xiàn)信息保密。SSL客戶機(jī)和SSL服務(wù)器之間的所有業(yè)務(wù)都使用在SSL握手過程中建立的密鑰和算法進(jìn)行加密，這樣就防止了某些用戶進(jìn)行非法竊聽。信息完整性。SSL利用機(jī)密共享和Hash函數(shù)組提供信息完整性服務(wù)。相互認(rèn)證。是客戶機(jī)和服務(wù)器相互識別的過程。圖8圖92.SSL協(xié)議通信過程①接通階段：客戶機(jī)呼叫服務(wù)器，服務(wù)器回應(yīng)客戶。②認(rèn)證階段：服務(wù)器向客戶機(jī)發(fā)送服務(wù)器證書和公鑰；如果服務(wù)器需要雙方認(rèn)證，還要向?qū)Ψ教岢稣J(rèn)證請求；客戶機(jī)用服務(wù)器公鑰加密向服務(wù)器發(fā)送自己的公鑰，并根據(jù)服務(wù)器是否需要認(rèn)證客戶身份，向服務(wù)器發(fā)送客戶端證書。圖10③確立會話密鑰階段：客戶和服務(wù)器之間協(xié)議確立會話密鑰。④會話階段：客戶機(jī)與服務(wù)器使用會話密鑰加密交換會話信息。⑤結(jié)束階段：客戶機(jī)與服務(wù)器交換結(jié)束信息，通信結(jié)束。圖11凡是支持送SSL協(xié)議的網(wǎng)頁，都會以https://作為URL的開頭。客戶在與服務(wù)器進(jìn)行SSL會話中，如果使用的是微軟的IE瀏覽器，可以在右下方狀態(tài)欄中看到一只金黃色的鎖形安全標(biāo)志，用鼠標(biāo)雙擊該標(biāo)志，就會彈出服務(wù)器證書信息。圖12SSL的安全性服務(wù)對終端用戶盡可能透明。與標(biāo)準(zhǔn)的HTTP連接申請不同，支持SSL的典型網(wǎng)絡(luò)主機(jī)接收SSL連接的默認(rèn)端口是443。圖13當(dāng)客戶機(jī)連接該端口時(shí)，首先初始化握手協(xié)議，建立一個(gè)SSL對話時(shí)段。握手結(jié)束后，將對通信加密，并檢查信息完整性，直到這個(gè)對話時(shí)段結(jié)束為止。每個(gè)SSL對話時(shí)段只發(fā)生一次握手。圖143、SSL2.0和SSL3.0比較第一代Netscape產(chǎn)品采用了SSL2.0協(xié)議，如今的Netscape產(chǎn)品采用了新的SSL3.0協(xié)議。SSL2.0和SSL3.0在一些基本的SSL服務(wù)器上是相同的，例如信息完整性、私密性、相互認(rèn)證性。圖15SSL3.0增加了的功能有：①為提高握手速度而減少握手信息；②支持更多的密鑰交換和加密算法；③支持fortezza插卡，這是走向智能加密卡的第一步；④改進(jìn)了客戶機(jī)證明申請協(xié)議。圖164、SSL協(xié)議的電子交易過程圖17交易過程的步驟①客戶購買的信息首先發(fā)往商家；②商家再將信息轉(zhuǎn)發(fā)銀行；③④銀行驗(yàn)證客戶信息的合法性后，再通知客戶和商家付款成功；⑤商家再通知客戶購買成功。圖18當(dāng)用于銀行卡網(wǎng)上支付流程時(shí)的缺點(diǎn)首先，客戶的銀行資料信息先送到商家，讓商家閱讀，這樣，客戶銀行資料的安全性就得不到保證。其次，SSL協(xié)議雖然提供了資料傳遞過程的安全通道，但SSL協(xié)議安全方面有缺少數(shù)字簽名功能、沒有授權(quán)和存取控制、多方互相認(rèn)證困難、不能抗抵賴、用戶身份可能被冒充等弱點(diǎn)。

圖19(SecureElectronicTransaction，SET)背景：網(wǎng)上消費(fèi)者發(fā)出的支付指令在由商戶送到支付網(wǎng)關(guān)之前，是在公用網(wǎng)上傳送的，這一點(diǎn)與持卡POS消費(fèi)者有著本質(zhì)的不同。因此，在開放的網(wǎng)絡(luò)上處理交易，如何保證傳輸數(shù)據(jù)的安全成為電子商務(wù)能否普及的最重要的因素之一，SET正是在這種需求的推動(dòng)下應(yīng)運(yùn)而生的。它是由VISA和MasterCard兩大信用卡公司發(fā)起，會同IBM、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定發(fā)布的用于因特網(wǎng)事務(wù)處理的一種標(biāo)準(zhǔn)。3.4.2

安全電子交易協(xié)議圖20SET協(xié)議是信用卡在因特網(wǎng)上進(jìn)行支付的一種開放式該標(biāo)準(zhǔn)采用RSA公開密鑰體制對通信雙方進(jìn)行認(rèn)證，采用DES等對稱加密體制加密要傳輸?shù)男畔ⅲ⒂脭?shù)字摘要和數(shù)字簽名技術(shù)來鑒別信息的真?zhèn)渭捌渫暾裕诵庞每ㄔ陔娮由虅?wù)中的交易協(xié)定和信息保密、信息完整、身份認(rèn)證、數(shù)字簽名等技術(shù)，目前已經(jīng)被廣為認(rèn)可而成了事實(shí)上的國際通用的網(wǎng)上支付標(biāo)準(zhǔn)，其交易形態(tài)將成為未來電子商務(wù)的規(guī)范。圖211.SET協(xié)議的規(guī)范及功能①加密算法的應(yīng)用（例如RSA和DES）；②證書信息和對象格式；③購買信息和對象格式；④認(rèn)可信息和對象格式；⑤劃賬信息和對象格式；⑥對話實(shí)體之間信息的傳輸協(xié)議。圖22SET協(xié)議交互操作是通過特定的協(xié)議和信息格式設(shè)定的。SET中包含多種協(xié)議，每一協(xié)議用于處理一個(gè)事務(wù)的不同階段，通過復(fù)用公共密鑰和私有密鑰技術(shù)，單個(gè)SET事務(wù)最多可用六個(gè)不同的公共密鑰加密，從而實(shí)現(xiàn)了信息集成、全部金融數(shù)據(jù)的證實(shí)和敏感數(shù)據(jù)的加密等工作。圖23SET為電子商務(wù)提供的功能①信息保密性。②數(shù)據(jù)的完整性。③提供交易者的身份認(rèn)證和擔(dān)保。④互操作性。圖242.SET協(xié)議所涉及的角色①持卡人。②網(wǎng)上商店。③發(fā)卡銀行。④收單銀行。⑤支付網(wǎng)關(guān)。⑥CA認(rèn)證中心。圖25使用SET的網(wǎng)上購物流程：①客戶通過網(wǎng)絡(luò)瀏覽器瀏覽在線商家的商品目錄。②選擇要購買的商品；③填寫訂單，包括欲購商品名稱、規(guī)格、數(shù)量、交貨時(shí)間及地點(diǎn)等信息。訂單通過因特網(wǎng)發(fā)送給商家，商家進(jìn)行應(yīng)答，并告知以上訂單貨物單價(jià)、應(yīng)付款數(shù)額和交貨方式；④消費(fèi)者選擇付款方式，此時(shí)SET開始介入；3.應(yīng)用SET的購物流程圖26⑤消費(fèi)者發(fā)送給商家一個(gè)完整的訂單及其要求付款的指令。在SET中，訂單和付款指令由消費(fèi)者進(jìn)行數(shù)字簽名；同時(shí)利用雙重身份簽名技術(shù)，保證商家看不到消費(fèi)者的賬號信息。⑥在線商家接受訂單后，向客戶開戶銀行請求支付，此信息通過支付網(wǎng)關(guān)送達(dá)收單銀行，并進(jìn)一步提交發(fā)卡銀行確認(rèn)。確認(rèn)批準(zhǔn)后，發(fā)卡銀行返回確認(rèn)信息，經(jīng)收單銀行通過支付網(wǎng)關(guān)發(fā)給在線商家；⑦在線商家發(fā)送訂單確認(rèn)信息給客戶，客戶端記錄交易日志，以備日后查考；⑧在線商家發(fā)送商品或提供服務(wù)，并通知收單銀行將貨款從客戶賬號轉(zhuǎn)移到商家賬號，或通知發(fā)卡銀行請求支付。圖274.SET標(biāo)準(zhǔn)的應(yīng)用與局限性SET1.0版自1997年推出以來推廣應(yīng)用較慢，沒有達(dá)到預(yù)期的效果。最大的挑戰(zhàn)在于定期進(jìn)行網(wǎng)上購物的消費(fèi)者極少，原因主要是SET協(xié)議為了保證安全性而犧牲了簡便性、操作過于復(fù)雜、成本較高、具有較大競爭力的SSL協(xié)議的廣泛應(yīng)用以及部分經(jīng)濟(jì)發(fā)達(dá)國家的法律規(guī)定了持卡人承擔(dān)較低的信用卡風(fēng)險(xiǎn)等。SET協(xié)議提供了多層次安全保障，復(fù)雜程度顯著增加；這些安全環(huán)節(jié)在一定程度上增加了交易的復(fù)雜性。圖28圖29