電子商務(wù)安全主要內(nèi)容概述典型安全問題相關(guān)法律法規(guī)標(biāo)準(zhǔn)相關(guān)安全技術(shù)安全保障案例概述基本概念、范疇、發(fā)展基本概念電子商務(wù)B2B,B2C,C2C,O2O電子商務(wù)安全電子支付,網(wǎng)上銀行,CA,SET電子商務(wù)定義廣義：各種現(xiàn)代信息技術(shù)+全部商業(yè)活動狹義：互聯(lián)網(wǎng)+商品服務(wù)交易電子商務(wù)分類

電子商務(wù)分類（根據(jù)交易對象劃分）

B2BBusinesstoBusiness

企業(yè)-企業(yè)企業(yè)與企業(yè)之間通過互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)信息傳遞，開展商務(wù)活動的運(yùn)行模式，如電子貿(mào)易、電子采購、網(wǎng)上招標(biāo)等服務(wù)商生產(chǎn)商批發(fā)商零售商

電子商務(wù)分類（根據(jù)交易對象劃分）

C2CConsumertoConsumer

消費(fèi)者-消費(fèi)者消費(fèi)者個(gè)人之間通過互聯(lián)網(wǎng)進(jìn)行的商品買賣及其他交易行為個(gè)人賣家消費(fèi)者

電子商務(wù)分類（根據(jù)交易對象劃分）

B2CBusinesstoConsumer企業(yè)-消費(fèi)者企業(yè)與消費(fèi)者之間進(jìn)行的電子商務(wù)活動，即企業(yè)以經(jīng)銷商或渠道商的身份獲得品牌商品，再通過網(wǎng)絡(luò)直接銷售給終端消費(fèi)者?；蛘呱a(chǎn)商自身建立網(wǎng)上商城，向終端消費(fèi)者銷售成品網(wǎng)站自身（進(jìn)貨/庫存）消費(fèi)者下單配送

電子商務(wù)分類（根據(jù)交易對象劃分）

B2B2C：BusinesstoBusinesstoConsumer企業(yè)（商家）-企業(yè)（平臺）-消費(fèi)者企業(yè)搭建網(wǎng)上商城，為各類商家提供商品展示和銷售平臺，幫助商家直接面向消費(fèi)者銷售商品各類商家（進(jìn)貨/庫存）消費(fèi)者下單配送

綜合類B2C國內(nèi)兩大書籍音像購物網(wǎng)站先后成立與1999年、2000年最初以銷售書籍為主，后產(chǎn)品種類擴(kuò)充到百貨、家居、3C類當(dāng)當(dāng)網(wǎng)2009宣布率先實(shí)現(xiàn)盈利，目前籌備上市中卓越網(wǎng)2004年被亞馬遜收購

綜合類C2C國內(nèi)四大C2C網(wǎng)站商品種類多樣，商家與消費(fèi)者都以個(gè)人為主目前分別歸屬阿里巴巴、騰訊、TOM/eBay、百度綜合類B2B2C淘寶商城是淘寶網(wǎng)上專門針對品牌類廠商、經(jīng)銷商所開設(shè)的網(wǎng)上商城在淘寶原有的C2C模式基礎(chǔ)上衍生出的品牌商城，商家數(shù)量嚴(yán)格限制，商品強(qiáng)調(diào)品牌，質(zhì)量充分保障商品種類多樣國內(nèi)購物網(wǎng)站服務(wù)環(huán)節(jié)介紹—支付網(wǎng)絡(luò)購物支付方式電子支付71.3%貨到付款35.7%郵局匯款14.7%其他0.2%數(shù)據(jù)來源：CNNIC2008網(wǎng)購電子支付各種類比例支付寶76.2%網(wǎng)上開戶銀行直接支付32.5%信用卡支付11.6%財(cái)付通5.8%手機(jī)支付1.8%安付通1.3%貝寶0.8%云網(wǎng)支付0.6%環(huán)迅支付0.1%?總體看，電子支付、貨到付款和郵局匯款是目前網(wǎng)購最主要的三類支付方式?電子支付方面，目前比例最大的是第三方支付，其次是網(wǎng)上銀行支付。?值得注意的是，除了第三方支付和網(wǎng)銀支付外，手機(jī)支付已初露頭角。國內(nèi)購物網(wǎng)站服務(wù)環(huán)節(jié)介紹-第三方支付阿里巴巴旗下第三方支付公司截至今年Q1國內(nèi)市場份額最大（47.1%）核心服務(wù)：網(wǎng)上支付、中介擔(dān)保騰訊公司旗下第三方支付公司截至今年Q1國內(nèi)市場份額第二大（20.4%）核心服務(wù)：網(wǎng)上支付、中介擔(dān)保

數(shù)據(jù)來源：艾瑞2010年Q1網(wǎng)上支付報(bào)告國內(nèi)購物網(wǎng)站服務(wù)環(huán)節(jié)介紹-配送中國速遞行業(yè)最大國有運(yùn)營商，配送范圍覆蓋中國所有地區(qū)及國外多數(shù)重要國家和地區(qū)。EMS是國內(nèi)快遞行業(yè)的著名品牌，價(jià)格較高，國內(nèi)起重500克20元國內(nèi)速遞行業(yè)最大民營企業(yè)，第二大快遞公司配送范圍僅次于中國郵政，涵蓋國內(nèi)31個(gè)?。ㄇ嗪Ｊ?、西藏自治區(qū)暫未開通）近200個(gè)大中城市及900多個(gè)縣級市或城鎮(zhèn)網(wǎng)點(diǎn)多，速度快，服務(wù)好，價(jià)格中高端范疇保護(hù)對象商務(wù)交易系統(tǒng)的安全支付的安全交易網(wǎng)絡(luò)的安全信用安全本質(zhì)對象業(yè)務(wù)支付信息訂單信息信用信息交易信息系統(tǒng)環(huán)境電子商務(wù)的構(gòu)成主體企業(yè)、銀行、商店、政府機(jī)構(gòu)、科研教育機(jī)構(gòu)和個(gè)人等具體的商務(wù)活動，如廣告宣傳、詢價(jià)、報(bào)價(jià)、簽訂合同、轉(zhuǎn)賬支付、商品運(yùn)輸?shù)葟氖律唐泛头?wù)交換的場所，由商務(wù)活動參與者，利用各種通信設(shè)備，通過網(wǎng)絡(luò)連接成一個(gè)統(tǒng)一的整體電子商務(wù)的特點(diǎn)（優(yōu)勢）時(shí)空優(yōu)勢任何時(shí)間、任何地點(diǎn)提供任何方式（anyway）的交易成本優(yōu)勢降低交易成本（縮短資金周轉(zhuǎn)周期、降低營銷成本、降低庫存成本）、降低采購成本。服務(wù)優(yōu)勢全球化、全天候、全方位、個(gè)性化的服務(wù)管理優(yōu)勢提高內(nèi)部資源的管理效率；完善客戶關(guān)系管理系統(tǒng)；企業(yè)流程再造。發(fā)展歷程萌芽與起步期商業(yè)&互聯(lián)網(wǎng)的初次交集冰凍與調(diào)整期電子商務(wù)網(wǎng)站大洗牌復(fù)蘇與回暖期電子商務(wù)行業(yè)的務(wù)實(shí)化崛起與高速發(fā)展期電子商務(wù)行業(yè)規(guī)模再次快速擴(kuò)展轉(zhuǎn)型與升級期電子商務(wù)行業(yè)更加細(xì)化和細(xì)分融合發(fā)展期電子商務(wù)和多領(lǐng)域不斷交叉，融合發(fā)展，對安全的空前重視萌芽與起步融合發(fā)展冰凍與調(diào)整崛起與高速發(fā)展轉(zhuǎn)型與升級復(fù)蘇與回暖電子商務(wù)發(fā)展歷程——全球

1、19世紀(jì)中葉—20世紀(jì)60年代：基于電話、電報(bào)、傳真機(jī)的電子商務(wù),企業(yè)內(nèi)部及與企業(yè)之間電話、電報(bào)、傳真機(jī)的大量使用，使商務(wù)活動方便、快捷2、20世紀(jì)60年代—90年代：基于EDI（電子數(shù)據(jù)交換）的電子商務(wù),企業(yè)與企業(yè)之間，企業(yè)與機(jī)構(gòu)之間傳輸統(tǒng)一格式的電子文件，節(jié)約成本，提高效率3、20世紀(jì)90年代以來：基于Internet的電子商務(wù)，Internet具有費(fèi)用低、覆蓋廣、功能全、使用簡單等優(yōu)勢，網(wǎng)絡(luò)電子商務(wù)迅速發(fā)展起來，成為當(dāng)前主流。電子商務(wù)發(fā)展歷程——中國

（一）萌芽與起步期（1997-1999年）（二）冰凍與調(diào)整期（2000-2002年）（三）復(fù)蘇與回暖期（2003-2005年）（四）崛起與高速發(fā)展期（2006-2007年）（五）轉(zhuǎn)型與升級期（2008-2009年）（六）

縱深發(fā)展階段期（2010年）

參考資料來源：中國B2B研究中心電子商務(wù)發(fā)展歷程——中國

（一）萌芽與起步期（1997-1999年）特征：從國外引進(jìn)互聯(lián)網(wǎng)運(yùn)用，出現(xiàn)第一批新經(jīng)濟(jì)創(chuàng)業(yè)者，把傳統(tǒng)的貿(mào)易信息會借助互聯(lián)網(wǎng)進(jìn)行交流和傳播，電子商務(wù)初步發(fā)展。數(shù)據(jù)：在目前已經(jīng)成立的電子商務(wù)網(wǎng)站（約1.6萬家）當(dāng)中，有5.2將%創(chuàng)辦于20世紀(jì)90年代。事件：8848、阿里巴巴、易趣網(wǎng)、當(dāng)當(dāng)網(wǎng)成立電子商務(wù)發(fā)展歷程——中國

（二）冰凍與調(diào)整期（2000-2002年）特征：互聯(lián)網(wǎng)泡沫破滅，電商企業(yè)進(jìn)行調(diào)整，全行業(yè)進(jìn)入寒冬，資本介入，新企業(yè)成立數(shù)據(jù)：這三年間創(chuàng)建的電子商務(wù)網(wǎng)站不到現(xiàn)有網(wǎng)站總數(shù)的12.1%。事件：8848倒閉；慧聰網(wǎng)、卓越網(wǎng)成立；

阿里巴巴獲高盛、軟銀投資；eBay購入易趣網(wǎng)33%股份電子商務(wù)發(fā)展歷程——中國

（三）復(fù)蘇與回暖期（2003-2005年）特征：“非典”推動子電子商務(wù)快速復(fù)蘇回暖；各類型、各垂直行業(yè)電商企業(yè)興起數(shù)據(jù)：目前現(xiàn)有電子商務(wù)網(wǎng)站總數(shù)的30.1%誕生于該階段。事件：淘寶、拍拍、支付寶、京東商城、紅孩子成立并迅速發(fā)展；eBay完全并購易趣網(wǎng)；亞馬遜收購卓越網(wǎng)電子商務(wù)發(fā)展歷程——中國

（四）崛起與興盛期（2006-2007年）特征：互聯(lián)網(wǎng)環(huán)境的改善、理念的普及推動了我國電子商務(wù)進(jìn)入新一輪高速發(fā)展與商業(yè)模式創(chuàng)新階段，衍生出更為豐富的服務(wù)形式與盈利模式，而電子商務(wù)網(wǎng)站數(shù)量也快速增加數(shù)據(jù)：僅2007年，國內(nèi)各類電子商務(wù)網(wǎng)站的創(chuàng)辦數(shù)量就超過了現(xiàn)有網(wǎng)站總數(shù)的30.3%。事件：阿里巴巴成功上市；PPG成立，開啟男裝B2C新型網(wǎng)絡(luò)直銷新模式；京東商城獲今日資本1000萬美元投資，開創(chuàng)國內(nèi)家電3C網(wǎng)購新時(shí)代電子商務(wù)發(fā)展歷程——中國

（五）轉(zhuǎn)型與升級期（2008-2009年）特征：全球金融海嘯沖擊，外貿(mào)B2B深受影響，內(nèi)貿(mào)B2B與垂直B2C高速發(fā)展，傳統(tǒng)廠商也紛紛涉水，B2C全面繁榮；C2C領(lǐng)域，隨著百度的進(jìn)入，行業(yè)競爭更加激烈化；電子商務(wù)行業(yè)模式創(chuàng)新層出不窮數(shù)據(jù)：在此二年不到時(shí)間內(nèi)創(chuàng)建的電子商務(wù)網(wǎng)站占現(xiàn)有網(wǎng)站總數(shù)的22.3%，且有75.4%的電子商務(wù)網(wǎng)站專注于細(xì)分行業(yè)的B2C。事件：敦煌網(wǎng)逆勢增長，08年交易額超過10億元；百度“有啊”上線;

VANCL等服裝B2C直銷網(wǎng)站興盛；淘寶商城成立，標(biāo)志著淘寶開始進(jìn)入品牌商城運(yùn)營模式當(dāng)當(dāng)網(wǎng)宣布率先實(shí)現(xiàn)盈利電子商務(wù)發(fā)展歷程——中國

（六）

縱深發(fā)展階段期（2010年）特征：井噴、井噴、井噴；電子商務(wù)遍地開花，網(wǎng)上購物日趨火爆數(shù)據(jù)（艾瑞5月14日最新發(fā)布）：第一季度中國電子商務(wù)市場整體交易額規(guī)模達(dá)到10152.7億元,其中網(wǎng)絡(luò)購物交易規(guī)模突破千億元，達(dá)到1026.9億元第一季度中國網(wǎng)民的數(shù)量達(dá)到4.04億目前電子商務(wù)只占中國全社會消費(fèi)品零售總額的1%-2%,，美國是4%，而近鄰韓國則高達(dá)10%，中國電子商務(wù)還存在很大的上升空間事件：京東商城年初獲得1.5億美元融資，服務(wù)升級，發(fā)展提速；蘇寧易購1月上線，開啟傳統(tǒng)家電賣場電商新局面淘寶網(wǎng)在3月得到3000萬美元的新一輪融資；百度與日本樂天合資建立的網(wǎng)購商城—“樂酷天”上線；“特產(chǎn)世界”網(wǎng)站悄悄籌備，蓄勢待發(fā)?。?！典型安全問題典型數(shù)據(jù)安全問題內(nèi)部人員破壞數(shù)據(jù)外部攻擊破壞數(shù)據(jù)機(jī)密性喪失隱私被嗅探、泄露典型載體安全問題商業(yè)機(jī)密被嗅探竊取用戶權(quán)利被侵犯典型環(huán)境安全問題電子商務(wù)商家的利益被損害電子商務(wù)用戶的安全被損害電子商務(wù)主體信用的安全問題典型邊界安全問題電子商務(wù)網(wǎng)站被攻擊支付系統(tǒng)設(shè)備被攻擊

電子商務(wù)安全體系法律、規(guī)范、道德、紀(jì)律管理細(xì)則、保護(hù)措施物理實(shí)體安全網(wǎng)絡(luò)系統(tǒng)安全網(wǎng)絡(luò)交易安全網(wǎng)絡(luò)信息安全社會層面管理層面技術(shù)層面應(yīng)用層面電子商務(wù)安全不僅僅是技術(shù)層面問題，而且是包含預(yù)防、檢測、管理和制度層面在內(nèi)的一整套體系的建設(shè)問題。

（1）網(wǎng)絡(luò)系統(tǒng)安全——針對物理技術(shù)系統(tǒng)的安全

保證網(wǎng)絡(luò)設(shè)施的正常運(yùn)行可靠安裝、維護(hù)、管理避免受到外界的惡意攻擊設(shè)置防火墻、防止病毒

（2）網(wǎng)絡(luò)信息安全

——針對商務(wù)邏輯系統(tǒng)的安全 信息保密 信息完整身份認(rèn)證不可抵賴 信息有效加密技術(shù)認(rèn)證技術(shù)

（3）網(wǎng)絡(luò)交易安全

——參與對象之間交易過程的安全，如安全套接層協(xié)議（SSL）、安全電子交易協(xié)議（SET）、公鑰基礎(chǔ)設(shè)施（PKI）。電子商務(wù)業(yè)務(wù)系統(tǒng)電子商務(wù)支付系統(tǒng)

安全交易協(xié)議

SET、SSL、S/HTTP、S/MIME、PKI???安全認(rèn)證技術(shù)

數(shù)字摘要、數(shù)字簽名、數(shù)字信封、CA證書???

加密技術(shù)

非對稱密鑰加密、對稱密鑰加密、DES、RSA???安全策略、防火墻、查殺病毒、虛擬專用網(wǎng)安全應(yīng)用信息安全網(wǎng)絡(luò)安全電子商務(wù)安全技術(shù)結(jié)構(gòu)示意圖相關(guān)法律法規(guī)標(biāo)準(zhǔn)相關(guān)法律法規(guī)國際上有關(guān)法律法規(guī)聯(lián)合國國際貿(mào)易法委員會（UNCITRAL）有關(guān)電子商務(wù)的立法國際經(jīng)濟(jì)合作與發(fā)展組織（OECD）有關(guān)電子商務(wù)的立法世界貿(mào)易組織（WTO）有關(guān)電子商務(wù)的立法世界知識產(chǎn)權(quán)組織（WIPO）有關(guān)電子商務(wù)的立法歐盟有關(guān)電子商務(wù)的立法美國的電子商務(wù)安全立法新加坡的電子商務(wù)立法相關(guān)法律法規(guī)國內(nèi)電子商務(wù)安全相關(guān)政策與法規(guī)《關(guān)于加快電子商務(wù)發(fā)展的若干意見》《2006-2020年國家信息化發(fā)展戰(zhàn)略》《電子商務(wù)發(fā)展“十一五”規(guī)劃》《中華人民共和國電子簽名法》《電子商務(wù)支付指引（第一號）》《商務(wù)部關(guān)于促進(jìn)電子商務(wù)規(guī)范發(fā)展的意見》《網(wǎng)絡(luò)購物服務(wù)規(guī)范》《電子商務(wù)信用認(rèn)證規(guī)則》《網(wǎng)絡(luò)交易平臺服務(wù)規(guī)范》《關(guān)于規(guī)范網(wǎng)絡(luò)購物促銷行為的通知》《網(wǎng)絡(luò)商品交易及服務(wù)監(jiān)管條例》其它相關(guān)標(biāo)準(zhǔn)ISO27001BSISO/IEC29100-2011信息技術(shù).安全技術(shù).隱私框架支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCIDSS）其它相關(guān)安全技術(shù)電子數(shù)據(jù)交換EDI原理工作步驟功能模塊構(gòu)成安全性手段實(shí)驗(yàn)：電子數(shù)據(jù)交換EDI.doc安全電子交易協(xié)議SET起源采用的安全機(jī)制構(gòu)成要素工作步驟擴(kuò)展SET流程性質(zhì)SET的特點(diǎn)開放標(biāo)準(zhǔn)SET是針對因特網(wǎng)上安全交易與支付的開放標(biāo)準(zhǔn)工業(yè)背景SET的工業(yè)背景是Visa和MasterCard的絕對壟斷平臺獨(dú)立SET設(shè)計(jì)為獨(dú)立于各種不同的硬件和軟件平臺協(xié)作性SET唯一支持多方協(xié)同合作擴(kuò)展已有基礎(chǔ)設(shè)施SET把成熟的信用卡制度推向因特網(wǎng)安全性SET用加密技術(shù)保護(hù)持卡人的敏感信息身分認(rèn)證SET用數(shù)字證書證明交易各方的身份信任機(jī)制SET采用五層協(xié)議的證書認(rèn)證機(jī)制，以便全球范圍使用非點(diǎn)對點(diǎn)的解決方案SET能確認(rèn)并保護(hù)交易中的每一方利益移植與擴(kuò)充SET可以安全且方便地移植與擴(kuò)充面向未來SET為因特網(wǎng)上交易建立了強(qiáng)大的安全模型，能夠支持迅速擴(kuò)張的電子商務(wù)世界

①保證訂貨信息和支付信息的安全保密傳輸。 ②保證傳輸數(shù)據(jù)的完整性。 ③提供持卡人身份認(rèn)證，證明其是某一支付卡賬戶的合法使用者。 ④提供商家的身份認(rèn)證，使之可以通過它與其所屬金融機(jī)構(gòu)的關(guān)系進(jìn)行基于支付卡的交易。 ⑤可以使用最好的安全措施和系統(tǒng)設(shè)計(jì)技術(shù)來保護(hù)電子商務(wù)中的各方。 ⑥創(chuàng)建一個(gè)協(xié)議，使之機(jī)獨(dú)立于網(wǎng)絡(luò)傳輸安全機(jī)制（如SLL），又不妨礙網(wǎng)絡(luò)傳輸安全機(jī)制的使用。SET應(yīng)該足夠強(qiáng)壯，能夠適用于各種不同的傳輸網(wǎng)絡(luò)。 ⑦應(yīng)該鼓勵(lì)軟件與網(wǎng)絡(luò)供應(yīng)商之間的協(xié)作性，在開發(fā)硬件和軟件的過程中，公司之間將更容易合作。SET必須滿足電子商務(wù)在安全方面的七個(gè)需求

（1）持卡人：網(wǎng)上消費(fèi)者或客戶。（2）發(fā)卡行：面對持卡人服務(wù)的銀行。（3）商家：商家服務(wù)器。（4）收單行：面對商家服務(wù)的銀行。（5）支付網(wǎng)關(guān)：處理支付卡授權(quán)和支付。（6）品牌：不同支付卡有不同的政策，確定發(fā)卡行、收單行與持卡人和商家之間的關(guān)系。（7）第三方：有時(shí)由發(fā)卡行或收單行指定第三方來處理支付卡業(yè)務(wù)，或者是指成立獨(dú)立的認(rèn)證機(jī)構(gòu)。SET環(huán)境里的角色

①

SET協(xié)議支持多層認(rèn)證，只要交易各方都能尋到同樣的根，就能交易成功。

②

CA管理證書（證書發(fā)放、更新、撤銷）。

③

CA確認(rèn)證書的有效性，并將認(rèn)證信息傳遞給持卡人、商家和支付網(wǎng)關(guān)。SET系統(tǒng)的功能

SET交易主要包括5個(gè)流程：持卡人注冊申請證書、商戶注冊申請證書、購買請求、支付認(rèn)證、獲取支付。（1）持卡人注冊申請證書：持卡人要求注冊持卡人獲得響應(yīng)并請求注冊表格持卡人收到表格并請求證書持卡人收到證書認(rèn)證機(jī)構(gòu)發(fā)出響應(yīng)認(rèn)證機(jī)構(gòu)處理請求并發(fā)出注冊表格認(rèn)證機(jī)構(gòu)處理請求并創(chuàng)建證書持卡人計(jì)算機(jī)認(rèn)證機(jī)構(gòu)處理發(fā)出請求請求響應(yīng)注冊表注冊表格持卡人的證書請求持卡人的證書持卡人注冊申請流程示意圖

SET的流程

（2）商戶注冊申請證書：與持卡人注冊申請證書的流程類似。（3）購買請求：持卡人開始請求持卡人收到應(yīng)答并發(fā)出請求持卡人收到購物應(yīng)答商家發(fā)送證書商家處理請求信息初始化請求初始化響應(yīng)購物請求購物應(yīng)答購買請求流程示意圖

（4）支付認(rèn)證：

商家請求授權(quán)商家處理授權(quán)響應(yīng)支付網(wǎng)關(guān)處理授權(quán)請求支付授權(quán)請求支付授權(quán)響應(yīng)支付認(rèn)證流程示意圖（5）獲取付款：商家請求支付支付網(wǎng)關(guān)處理獲取請求商家收到獲取付款的響應(yīng)獲取付款請求獲取付款響應(yīng)獲取付款流程示意圖數(shù)字信封技術(shù)原理工作流程 數(shù)字信封的實(shí)現(xiàn)過程：①發(fā)送方：

——

用對稱密鑰對明文加密，形成密文；

——

再用接收方的公鑰對對稱密鑰加密，形成密鑰密文；

——

將密文和密鑰密文一同發(fā)給接收方。②接收方：

——

用自己的私鑰對密鑰密文解密，得到對稱密鑰；

——

再用對稱密鑰對密文解密，得到明文。對稱密鑰明文密文密鑰密文密文密鑰密文明文對稱密鑰B方私鑰B方公鑰對稱密鑰A方B方數(shù)字信封實(shí)現(xiàn)過程示意圖數(shù)字時(shí)間戳技術(shù)用途產(chǎn)生過程安全要求（1）使用數(shù)字時(shí)間戳的意義：在傳統(tǒng)交易中，文件簽署的日期是十分重要的信息，不容隨意偽造和篡改。在電子交易中更需要對時(shí)間采取安全措施。（2）數(shù)字時(shí)間戳服務(wù)：是網(wǎng)上安全服務(wù)項(xiàng)目之一，由專門機(jī)構(gòu)（認(rèn)證中心）提供。（3）實(shí)現(xiàn)過程：（用戶與專門機(jī)構(gòu)之間的關(guān)系）

——

用戶將明文生成數(shù)字摘要；

——

用戶將數(shù)字摘要發(fā)送給專門機(jī)構(gòu)的DTS；

——DTS加入日期和時(shí)間信息，再對它們加密（數(shù)字簽名），最后返回給用戶。源文件數(shù)字摘要數(shù)字摘要數(shù)字摘要+時(shí)間新摘要數(shù)字摘要+時(shí)間數(shù)字時(shí)間戳數(shù)字時(shí)間戳Hash

算法Hash

算法加時(shí)間第三方私鑰加密發(fā)送方第三方數(shù)字時(shí)間戳的實(shí)現(xiàn)過程多重身份認(rèn)證技術(shù)用途基本原理常見實(shí)現(xiàn)方式基于SSL協(xié)議的支付技術(shù)基本流程安全特征和SET的區(qū)別應(yīng)用現(xiàn)狀

安全套接層協(xié)議（SecureSockedLayer,SSL）

1.SSL簡介

Internet上的安全套接層協(xié)議是1994年底由Nescape首先引入的，目前已有2.0和3.0版本。其主要目的是解決Web上信息傳輸?shù)陌踩檻]。除了Netscape外，參與制定SSL協(xié)議的廠商還包括：

IBM,Microsoft,Spyglass，他們都將SSL加入到自己的客戶端和服務(wù)器的應(yīng)用方面。

SSL構(gòu)架在可靠傳輸層協(xié)議（TCP）和應(yīng)用層協(xié)議之間。

SSL是一個(gè)層次化的協(xié)議，共分兩層：記錄層（RecordLayer）和握手層（HandshakeLayer）。

記錄層用于封裝上層協(xié)議數(shù)據(jù)。握手層完成服務(wù)器和客戶之間的相互認(rèn)證、協(xié)商加密算法和加密密鑰等發(fā)生在應(yīng)用協(xié)議層傳輸數(shù)據(jù)之前的事務(wù)。還負(fù)責(zé)協(xié)調(diào)客戶端和服務(wù)器之間的狀態(tài)。

SSL的具體功能：把要傳輸?shù)男畔⒎殖煽梢钥刂频臄?shù)據(jù)段，對這些數(shù)據(jù)進(jìn)行壓縮、“文摘”、加密等操作（有的操作可選），然后傳送結(jié)果。另一方面，對收到的數(shù)據(jù)進(jìn)行解密、檢驗(yàn)、解壓等操作后，把數(shù)據(jù)產(chǎn)給上層協(xié)議。

2.SSL握手協(xié)議

SSL中的握手協(xié)議，是在客戶機(jī)和服務(wù)器之間交換消息的強(qiáng)化性協(xié)議，一般有六個(gè)階段：（1）接通階段：（2）密鑰交換階段：（3）會話密鑰生成階段：（4）服務(wù)器證實(shí)階段：（5）客戶機(jī)認(rèn)證階段：（6）結(jié)束階段：

上述過程完成以后，雙方之間的信息傳送就會加以密碼，另一端收到信息后，再將加密的信息還原?？蛻魴C(jī)服務(wù)器Client-HelloServer-HelloClient-DH-KeyClient-Session-KeyServer-VerifyRequest-CertificationClient-CertificationClient-FinishedServer-FinishedClient-Master-Key接通密鑰交換會話密鑰生成服務(wù)器證實(shí)客戶機(jī)認(rèn)證結(jié)束可信賴的通信

SSL協(xié)議運(yùn)行基點(diǎn)是商家對客戶信息保密的承諾。

SSL協(xié)議的流程（如下圖）：客戶信息首先傳到商家，商家閱讀后再傳到銀行。銀行驗(yàn)證客戶信息合法性后，通知商家付款成功。商家再通知客戶購買成功，并將商品寄送客戶?？蛻羯碳毅y行SSL協(xié)議流程圖

3.SSL記錄協(xié)議

SSL記錄協(xié)議提供通信、認(rèn)證功能，并且在一個(gè)面向連接的可靠傳輸協(xié)議（TCP）之上提供保護(hù)。在SSL中，所有數(shù)據(jù)被封裝在記錄中。

SSL記錄的數(shù)據(jù)由三部分組成：

MAC(MessageAuthenticationCode)數(shù)據(jù)、實(shí)際數(shù)據(jù)和填充數(shù)據(jù)。其中：①M(fèi)AC數(shù)據(jù)用于數(shù)據(jù)完整性檢查。

MAC的計(jì)算公式：

MAC數(shù)據(jù)=Hash[密鑰，實(shí)際數(shù)據(jù)，填充數(shù)據(jù)，序號]②填充數(shù)據(jù)用于當(dāng)加密長度不是塊長度的整數(shù)倍時(shí)填充最后不完整的數(shù)據(jù)塊，使其完整。SSL與SET協(xié)議的比較

1.連接性

SSL提供了兩臺機(jī)器之間的安全連接，是面向連接的。

SET是一個(gè)多方的消息報(bào)文協(xié)議，它定義了銀行、商家、持卡人之間必須符合的報(bào)文規(guī)范，各方之間的報(bào)文交換不要求是實(shí)時(shí)的。

2.認(rèn)證機(jī)制

SS