關鍵詞： 商務（Electronic Commerce）是在Internet開放的環境下，基于瀏覽器/服務器方式，實現消費者的網上購物、商戶之間的網上交易和在線電子支付的一種新型的商業運營模式。 Internet上的電子商務可以分為三個方面：信息服務、交易和支付。主要包括：電子商情廣告；電子選購和交易、電子交易憑證的交換；電子支付與結算以及售后的網上服務等。主要交易類型有與個人的交易(B to C方式)和企業之間的交易(B to B方式)兩種。 參與電子商務的實體一般來講有四類：顧客(個人消費者或企業集團)、商戶(包括銷售商、制造商、儲運商)、銀行(包括發卡行、收單行)及認證中心。 電子商務是Internet爆炸式的直接產物，是網絡技術應用的全新發展方向。Internet本身所具有的開放性、全球性、低成本、高效率的特點，也成為電子商務的內在特征，并使得電子商務大大超越了作為一種新的貿易形式所具有的價值，它不僅會改變企業本身的生產、經營、管理活動，而且將到整個的運行與結構。 現階段推動電子商務面臨的最大是如何保障電子商務過程中的安全性，交易的安全是網上貿易的基礎和保障，同時也是電子商務技術的難點。近年來，國際上已實施和制定了一系列的來解決網上交易的安全性問題。 1、電子商務的安全控制要求概述 電子商務發展的核心和關鍵問題是交易的安全性。由于Internet本身的開放性，使網上交易面臨了種種危險，也由此提出了相應的安全控制要求。 1.1信息保密性 交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。 1.2交易者身份的確定性 網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家而言要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。 1.3不可否認性 由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。 1.4不可修改性 交易的文件是不可被修改的，如其能改動文件內容，那么交易本身便是不可靠的，客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。 2、電子商務安全交易的有關標準和實施方法 2.1安全交易的雛形 在電子商務實施初期，曾采用過一些簡易的安全措施，這些措施包括： (1) 部分告知(Partial Order)：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然后再用電話告之，以防泄密。 (2) 另行確認(Order Confirmation)：即當在網上傳輸交易信息之后，再用電子郵件對交易作確認，才認為有效。 (3) 在線服務(Online Service)：為了保證信息傳輸的安全，用企業提供的內部網來提供聯機服務。 以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。 2.2安全交易標準的制定 近年來，IT業界與行業一起，推出不少更有效的安全交易標準。主要有： (1) 安全超文本傳輸協議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。 (2) 安全套接層協議（SSL協議：Secure Socket Layer)是由網景（Netscape）公司推出的一種安全通信協議，是對機之間整個會話進行加密的協議，提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用于Netscape Communicator和Microsoft IE瀏覽器，用以完成需要的安全交易操作。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。 (3) 安全交易技術協議(STT：Secure Transaction Technology)：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在Internet Explorer中采用這一技術。 (4) 安全電子交易協議（SET：Secure Electronic Transaction）：SET協議是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。 公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標準被公認為全球網際網絡的標準，其交易形態將成為未來“電子商務”的規范。 支付系統是電子商務的關鍵，但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層（SSL）和安全電子交易（SET）是兩種重要的通信協議，每一種都提供了通過Internet進行支付的手段。但是，兩者之中誰將領導未來呢？SET將立刻替換SSL嗎？SET會因其復雜性而消亡嗎？SSL真的能完全滿足電子商務的需要嗎？我們可以從以下幾點對比作管中一窺： SSL提供了兩臺機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建，在線銀行和其他金融系統也常常構建在SSL之上。雖然基于SSL的信用卡支付方式促進了電子商務的發展，但如果想要電子商務得以成功地廣泛開展的話，必須采用更先進的支付系統。SSL被廣泛應用的原因在于它被大部分Web瀏覽器和Web服務器所內置，比較容易被應用。 SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。 SET是一種基于消息流的協議，它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布，用來保證公共網絡上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用并經受了考驗，但大多數在Internet上購的消費者并沒有真正使用SET。 SET是一個非常復雜的協議，因為它非常詳細而準確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上，SET遠遠不止是一個技術方面的協議，它還說明了每一方所持有的數字證書的合法含義，希望得到數字證書以及響應信息的各方應有的動作，與一筆交易緊密相關的責任分擔。 3、目前安全電子交易的手段 在近年來發表的多個安全電子交易協議或標準中，均采納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種： 3.1密碼技術 采用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種： （1）公共密鑰和私用密鑰（public key and private key） 這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密后發給該用戶，而一旦信息加密后，只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。 （2）數字摘要(digital digest) 這一加密方法亦稱安全Hash編碼法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是“真身”的“指紋”了。 上述兩種方法可結合起來使用，數字簽名就是上述兩法結合使用的實例。 3.2數字簽名(digital signature) 在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處，采用數字簽名，也能確認以下兩點： a. 信息是由簽名者發送的。 b. 信息在傳輸過程中未曾作過任何修改。 這樣數字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發送信息；或發出（收到）信件后又加以否認等情況發生。

商務（Electronic Commerce）是在Internet開放的環境下，基于瀏覽器/服務器方式，實現消費者的網上購物、商戶之間的網上交易和在線電子支付的一種新型的商業運營模式。

Internet上的電子商務可以分為三個方面：信息服務、交易和支付。主要包括：電子商情廣告；電子選購和交易、電子交易憑證的交換；電子支付與結算以及售后的網上服務等。主要交易類型有與個人的交易(B to C方式)和企業之間的交易(B to B方式)兩種。

參與電子商務的實體一般來講有四類：顧客(個人消費者或企業集團)、商戶(包括銷售商、制造商、儲運商)、銀行(包括發卡行、收單行)及認證中心。

電子商務是Internet爆炸式的直接產物，是網絡技術應用的全新發展方向。Internet本身所具有的開放性、全球性、低成本、高效率的特點，也成為電子商務的內在特征，并使得電子商務大大超越了作為一種新的貿易形式所具有的價值，它不僅會改變企業本身的生產、經營、管理活動，而且將到整個的運行與結構。

現階段推動電子商務面臨的最大是如何保障電子商務過程中的安全性，交易的安全是網上貿易的基礎和保障，同時也是電子商務技術的難點。近年來，國際上已實施和制定了一系列的來解決網上交易的安全性問題。

1、電子商務的安全控制要求概述

電子商務發展的核心和關鍵問題是交易的安全性。由于Internet本身的開放性，使網上交易面臨了種種危險，也由此提出了相應的安全控制要求。

1.1信息保密性

交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

1.2交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家而言要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。

1.3不可否認性

由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改動文件內容，那么交易本身便是不可靠的，客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

2、電子商務安全交易的有關標準和實施方法

2.1安全交易的雛形

在電子商務實施初期，曾采用過一些簡易的安全措施，這些措施包括：

(1) 部分告知(Partial Order)：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然后再用電話告之，以防泄密。

(2) 另行確認(Order Confirmation)：即當在網上傳輸交易信息之后，再用電子郵件對交易作確認，才認為有效。

(3) 在線服務(Online Service)：為了保證信息傳輸的安全，用企業提供的內部網來提供聯機服務。

以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。

2.2安全交易標準的制定

近年來，IT業界與行業一起，推出不少更有效的安全交易標準。主要有：

(1) 安全超文本傳輸協議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。

(2) 安全套接層協議（SSL協議：Secure Socket Layer)是由網景（Netscape）公司推出的一種安全通信協議，是對機之間整個會話進行加密的協議，提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用于Netscape Communicator和Microsoft IE瀏覽器，用以完成需要的安全交易操作。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。

(3) 安全交易技術協議(STT：Secure Transaction Technology)：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在Internet Explorer中采用這一技術。

(4) 安全電子交易協議（SET：Secure Electronic Transaction）：SET協議是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。

公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標準被公認為全球網際網絡的標準，其交易形態將成為未來“電子商務”的規范。

支付系統是電子商務的關鍵，但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層（SSL）和安全電子交易（SET）是兩種重要的通信協議，每一種都提供了通過Internet進行支付的手段。但是，兩者之中誰將領導未來呢？SET將立刻替換SSL嗎？SET會因其復雜性而消亡嗎？SSL真的能完全滿足電子商務的需要嗎？我們可以從以下幾點對比作管中一窺：

SSL提供了兩臺機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建，在線銀行和其他金融系統也常常構建在SSL之上。雖然基于SSL的信用卡支付方式促進了電子商務的發展，但如果想要電子商務得以成功地廣泛開展的話，必須采用更先進的支付系統。SSL被廣泛應用的原因在于它被大部分Web瀏覽器和Web服務器所內置，比較容易被應用。

SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。

SET是一種基于消息流的協議，它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布，用來保證公共網絡上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用并經受了考驗，但大多數在Internet上購的消費者并沒有真正使用SET。

SET是一個非常復雜的協議，因為它非常詳細而準確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上，SET遠遠不止是一個技術方面的協議，它還說明了每一方所持有的數字證書的合法含義，希望得到數字證書以及響應信息的各方應有的動作，與一筆交易緊密相關的責任分擔。

3、目前安全電子交易的手段

在近年來發表的多個安全電子交易協議或標準中，均采納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種：

3.1密碼技術

采用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種：

（1）公共密鑰和私用密鑰（public key and private key）

這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密后發給該用戶，而一旦信息加密后，只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。

（2）數字摘要(digital digest)

這一加密方法亦稱安全Hash編碼法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是“真身”的“指紋”了。

上述兩種方法可結合起來使用，數字簽名就是上述兩法結合使用的實例。

3.2數字簽名(digital signature)

在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處，采用數字簽名，也能確認以下兩點：

a. 信息是由簽名者發送的。

b. 信息在傳輸過程中未曾作過任何修改。

這樣數字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發送信息；或發出（收到）信件后又加以否認等情況發生。