电子商务安全保障体系

合集下载

第九章电子商务安全保障体系

电子商务的安全需求
计算机网络系统的安全
（1）物理实体的安全
设备的功能失常
电源故障
由于电磁泄漏引起的信息失密
搭线窃听
电子商务的安全需求
计算机网络系统的安全
（2）自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。
电子商务的安全需求
9.1.2 电子商务安全交易标准与实施办法
安全电子交易协议（Secure Electronic Transaction, 简称 SET）涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。安全超文本传输协议（S-HTTP）依靠密钥对的加密，保障Web 站点间的交易信息传输的安全性。
电子商务的安全需求
计算机网络系统的安全
（6）计算机病毒的攻击
计算机病毒的破坏目标和攻击部位：
攻击系统数据区攻击文件攻击内存
干扰系统运行计算机速度下降攻击磁盘
扰乱屏幕显示干扰键盘操作使计算机的喇叭发出响声攻击CMOS （保存计算机基本启动信息的芯片）
干扰打印机
电子商务的安全需求
数字信封 “数字信封”(也称电子信封)技术。发送方将随机产生的对称秘钥用接收方的公钥加密就形成了数字信封。数字信封用于传递对称秘钥给接收方，接收方用自己的私钥解开数字信封后得到对称秘钥，才可将发送方的密文解开。 • 具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。

电子商务平台的安全保障体系

电子商务平台的安全保障体系随着电子商务的广泛普及，人们越来越依赖互联网购物，电商平台的安全保障问题也成为了人们关注的焦点。

在这个信息爆炸的时代，网络安全问题日益复杂，因此一个安全可靠的电商平台的建立已经成为必不可少的事情。

一、用户账号的安全首先，用户账号的安全是电商平台安全保障体系的重要部分。

用户账号的信息包括用户名、密码、用户手机号、邮箱等，是电商平台上所有交易和数据的唯一标识。

如果用户账号泄露，将严重威胁用户的财产安全和个人隐私。

电商平台的应当采取措施加强账号安全。

例如账号密码应采用加密方式存储，让黑客在入侵时难以获取用户的登录信息，同时平台还应提醒用户不应使用过于简单的密码，并且应定期更改密码。

二、订购过程的安全电子商务平台的订购过程涉及交易数据，支付信息以及客户的个人信息等机密内容。

为了保护消费者的信息不被黑客窃取及删除，亚马逊等电商巨头通过 SSL 技术以及虚拟 POS 进行数据传输加密以及支付安全。

同时进行支付时因特网货币交易传输的 PGP安全协议被所有电商平台认可，确保西联、PayPal 账号泄露风险不存在。

三、交付过程的安全电商的交付过程包含订单传输、发货和物流等。

而此过程中隐私和财产的安全都面临危险。

因此，一个安全的物流系统是电商平台安全保障体系的重要组成部分。

许多电商平台已经采用了市场上最安全的物流服务，旨在降低交付过程中的风险。

此外，物流公司对货物的追踪系统也为顾客提供了物流信息，帮助顾客追踪订单。

四、售后服务的安全电商平台需要提供良好的售后服务来保证客户的权益，缓解用户购物过程的压力，让顾客放心购物。

在售后服务过程中，电商平台需要严格审核退换货政策，防止销售者及互联网诈骗者滥用其功能。

电商平台的客服团队也应经受专业培训，随时准备面对不同各样的交付、商品及付款上的问题。

总结如今，电商平台已经成为众多顾客购物的首选。

然而，安全问题成为了用户购物的无形威胁。

电子商务平台需要建立一个完备的安全保障体系来保护顾客的权益。

电子商务的安全体系

电子商务的安全体系摘要随着电子商务的快速发展，安全问题日益成为一个关注的焦点。

电子商务的安全体系是确保在线交易安全的关键要素。

这篇文档将探讨电子商务的安全体系的重要性以及其中的关键组成部分。

1. 引言电子商务的快速发展给商业领域带来了巨大的机遇和挑战。

随着越来越多的人选择在线交易，保证电子商务的安全性变得至关重要。

安全体系是确保在线交易安全的关键要素之一。

2. 电子商务的安全威胁在探讨电子商务的安全体系之前，我们需要先了解电子商务所面临的安全威胁。

以下是一些常见的电子商务安全威胁：2.1 网络攻击网络攻击是最常见的电子商务安全威胁之一。

黑客利用各种技术手段，包括网络钓鱼、分布式拒绝服务攻击等，来获取用户的敏感信息，例如信用卡号码和密码。

2.2 信任问题电子商务的一个重要方面是信任。

消费者需要相信他们的个人和金融信息在交易过程中是安全的。

如何建立和维护用户的信任是电子商务安全体系中的重点问题之一。

2.3 数据泄露数据泄露是电子商务安全面临的另一个主要问题。

如果商家的数据库被黑客入侵并泄露，用户的个人信息可能会落入坏人之手。

这样的事件会对用户的隐私和商家的声誉产生负面影响。

3. 电子商务的安全体系的重要性电子商务的安全体系对于保护用户和商家的利益至关重要。

以下是电子商务的安全体系的重要性：3.1 保护用户的隐私和敏感信息电子商务的安全体系可以确保用户的隐私和敏感信息在传输和存储过程中得到保护。

通过加密技术和访问控制策略，可以有效防止黑客窃取用户的个人和金融信息。

3.2 建立和维护用户的信任一个健全的安全体系是建立和维护用户信任的关键。

当用户相信他们的个人和金融信息在交易过程中是安全的，他们更有可能进行在线交易。

3.3 保护商家的声誉电子商务的安全体系还可以保护商家的声誉。

通过保护用户的个人信息和防止诈骗行为，商家可以建立良好的声誉并增加客户对其的信任度。

这对于商家的长期发展非常重要。

4. 电子商务的安全体系的关键组成部分一个完善的电子商务的安全体系应该包含以下关键组成部分：4.1 用户认证与访问控制为了确保只有合法用户可以访问系统和完成交易，用户认证和访问控制是必不可少的。

第六章电子商务安全保障体系总结

第六章电子商务安全保障系统本章概要电子商务的安全控制安全电子交易的数据加密安全电子交易的认证技术与数字证书安全电子交易（SET ）标准安全电子交易的操作技术和网络建设的安全性学习目标掌握电子商务的安全控制的要乞降安全交易标准和实行方法认识安全电子交易的数据加密，理解一般的数据加密模型掌握认证技术与数字证书和安全电子交易的有关知识掌握网络建设的安全性中的网络安全面对的威迫和网络安全体制的实现知识构造图6、 1 电子商务的安全控制1、电子商务的安全控制电子商务顺利展开的中心和重点问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点。

用户关于安全的需要主要包含以下五个方面，（见下列图）所示。

交易的不能否定性主要包含1、源点不能否定性，即信息发送者过后没法否定其发送的信息；2、接受不能否定性，即信息接收方没法否定其遇到信息；3、回执不能否定性，即发送责任回执的各个环节均没法推辞其应负的责任。

2、电子商务安全交易标准与实行方法最近几年来，信息技术业界与金融行业为适应电子商务需要，共同研究公布了一些 Internet 标准，以保障交易的安全性，（见下列图）所示。

安全电子交易协议涵盖了信誉卡在电子商务交易中的交易协议、信息保密、资料完好及数字认证、数字署名等。

这一标准被公以为全世界网际网络的标准，其交易形态成为将来“电子商务”的规范。

安全超文本传输协议依赖密钥加密，保障Web 站点间的交易信息传输的安全性。

安全交易技术协议由 Microsoft 公司提出的安全交易协议， STT 将认证和解密在阅读器中分别开，用以提升安全控制能力。

安全套接层协议由 Netscape 公司提出的安全交易协议，供给加密、认证服务和报文完好性。

6、 2 安全电子交易的数据加密1、数据加密技术综述加密技术与密码学密切相连，利用密码技术能够把某些重要信息或数据从一个可理解的明文形式变换成为一种错杂的、不行理解的密文形式，称为加密过程；密文经过线路传递到达目的端后，用户按特定的解密方法将密文复原为明文，称为解密的过程。

电子商务平台安全保障规定

电子商务平台安全保障规定一、背景介绍随着互联网的快速发展，电子商务成为了商业活动的重要形式之一。

电子商务平台的安全保障对于保障消费者权益、促进商业发展至关重要。

因此，制定一套完善的电子商务平台安全保障规定势在必行。

二、用户信息保护1. 用户信息的收集与使用电子商务平台应遵守个人隐私保护原则，明确告知用户需要收集的个人信息及原因，并严格按照法律法规的规定使用用户的个人信息，不得违背用户的意愿将其信息用于其他用途。

2. 用户信息的存储和保护电子商务平台应采取必要的技术和措施，确保用户信息的安全存储，防止用户信息泄露、丢失或被篡改。

平台应严格限制对用户信息的访问权限，并定期进行安全评估和风险评估。

三、交易安全保障1. 商品合规性验证电子商务平台要求商家提供商品的合法证明文件，确保商品的质量和合规性。

平台应对商家提交的证明文件进行审核，并建立严格的商品追溯体系，以保护消费者的权益。

2. 交易数据加密为保障交易的安全进行，电子商务平台应采取适当的加密技术，对用户的交易数据进行保护，确保交易信息不被恶意获取和篡改。

3. 第三方支付监管电子商务平台应与第三方支付机构建立良好的合作关系，确保第三方支付的安全可靠。

平台应监管第三方支付机构的资金结算，及时发现和解决支付风险。

四、售后服务保障1. 售后服务规范电子商务平台应制定明确的售后服务规范，规定商家的售后责任和用户的售后权益。

用户在交易过程中遇到问题时，平台应及时介入并提供帮助。

2. 消费者投诉机制电子商务平台应建立健全的消费者投诉机制，为用户提供便捷的投诉通道，并及时受理、调查和处理消费者的投诉。

平台应保证投诉处理的公正性和效率性。

五、知识产权保护1. 知识产权保护意识电子商务平台要与商家建立良好的合作关系，并加强知识产权保护宣传，加强商家对知识产权保护的认识，依法经营。

2. 侵权投诉处理平台应设立专门的侵权投诉处理机构，及时受理用户的侵权投诉，对涉嫌侵权行为进行调查、处理，并采取适当的措施保护知识产权。

电子商务平台安全保障机制

电子商务平台安全保障机制概述电子商务平台安全保障机制是指为了保护电子商务平台的用户信息和交易安全而采取的一系列措施和机制。

这些机制旨在防止网络攻击、数据泄露和欺诈行为，确保用户可以安全地进行在线交易和数据传输。

机制1. 网络安全防护电子商务平台应实施严格的网络安全措施，包括但不限于防火墙、入侵检测系统和安全认证机制等。

这些措施可以防止黑客攻击、恶意软件和病毒的侵入，保证平台的稳定和可靠性。

2. 用户身份认证为了防止欺诈行为，电子商务平台应建立完善的用户身份认证机制。

用户在注册和登录过程中，需要提供真实有效的个人信息，并经过验证后方可使用平台的服务。

此举可以有效降低欺诈交易和虚假账号的风险。

3. 加密技术保护电子商务平台应采用先进的加密技术，对用户敏感信息和交易数据进行加密保护。

只有经过授权的用户能够解密和访问这些信息，确保数据传输的机密性和完整性。

4. 交易风险管理电子商务平台应实施有效的交易风险管理机制，监测和识别可疑交易行为。

通过使用风险评估工具和数据分析技术，可以及时发现并阻止潜在的欺诈交易，保护用户的权益。

5. 客户服务和纠纷解决机制电子商务平台应提供多种渠道的客户服务，并建立快速响应机制，及时回应用户的问题和投诉。

同时，平台还应建立公正、透明的纠纷解决机制，以解决交易纠纷，维护良好的商业信誉和用户满意度。

总结电子商务平台安全保障机制是确保用户信息和交易安全的关键措施。

通过网络安全防护、用户身份认证、加密技术保护、交易风险管理和客户服务纠纷解决机制，可以有效降低欺诈和交易风险，提升用户的信任度和满意度。

电子商务平台应不断改进和完善这些安全保障机制，以应对日益复杂的网络威胁和安全挑战。

电子商务安全保障体系研究

３２电子商务安全实现的主要目标．
１真实性：）对信息的来源进行判断，能对伪造来源的信息予以鉴别；）保密性：２保证机密信息不被窃听，或窃听者不能
了解信息的真实含义；）完整性：证数据的一致性，防止数３保
据被非法用户篡改；）４可用性：保证合法用户对信息和资源的
１）计算机和信息系统、网络本身存在的不安全因素；）２窃取：非法用户通过数据窃听的手段获得敏感信息；２）截
２电子交易环境保障体系
电子商务是商务的一部分，电子商务的诚信环境是整个社会的商务环境的组成部分，因此，电子商务诚信环境建设有赖于整个社会的诚信环境。这意味着，现行的社会诚信、商业
管制行为延伸至网络环境，建立在线经营主体公示制度，切
实维护在线交易的安全；现行的商务行为的一些管制以适将当的方式延伸到网络环境，维持正当在线经营秩序；打击网
络欺诈等网络犯罪。修订或完善我国《刑法》《、刑事诉讼法》，
打击网络犯罪，确保交易安全，切实维护电子商务经营者和我国消费者的合法权利；励行业自治组织的建立，并为其发鼓展提供指导与帮助；加大对于电子商务的宣传，建立必要的可行性惩处机制，奖惩分明，促进电子商务环境的诚信建设。
２１．４Ｏ１０
了如何确保主体的真实性、应性，何保证交易资金的安全，对如
诚信建设所有制度、措施、手段均可以应用于电子商务的诚信建设。不过，电子商务亦存在一些特殊问题需要解决，这便是虚拟的交易环境、非直接的面对面交易、迅婕即时交易等，

电子商务安全体系

电子商务安全体系随着互联网的飞速发展，电子商务已经成为人们日常生活中不可或缺的一部分。

从网上购物到在线支付，从电子票务到数字金融，电子商务的应用场景越来越广泛。

然而，与此同时，电子商务面临的安全威胁也日益严峻。

为了保障电子商务的健康发展，构建一个完善的电子商务安全体系至关重要。

电子商务安全体系主要包括技术层面、管理层面和法律层面三个方面。

在技术层面，加密技术是保障电子商务安全的核心手段之一。

通过对数据进行加密，可以将敏感信息转化为难以理解的密文，只有拥有正确密钥的接收方才能将其解密还原为明文。

常见的加密算法包括对称加密算法（如 AES）和非对称加密算法（如 RSA）。

此外，数字签名技术能够确保信息的完整性和不可否认性。

发送方使用自己的私钥对信息进行处理生成数字签名，接收方使用发送方的公钥验证签名的有效性，从而确认信息是否被篡改以及发送方的身份。

认证技术也是电子商务安全体系中的重要组成部分。

身份认证用于确认交易双方的真实身份，常见的认证方式有用户名/密码认证、数字证书认证、生物特征认证（如指纹识别、人脸识别）等。

访问控制技术则可以限制用户对系统资源的访问权限，防止非法访问和越权操作。

防火墙和入侵检测系统能够有效地防范外部网络攻击。

防火墙作为网络边界的安全屏障，根据预设的规则对网络流量进行过滤和控制。

入侵检测系统则实时监测网络活动，发现并响应潜在的入侵行为。

在管理层面，建立完善的安全管理制度是保障电子商务安全的基础。

企业需要制定明确的安全策略，明确安全目标和责任分工。

对员工进行安全培训，提高员工的安全意识和防范能力，让他们了解常见的安全威胁和应对方法，避免因人为疏忽导致的安全漏洞。

同时，要加强对电子商务系统的风险管理。

定期进行风险评估，识别可能存在的安全风险，并采取相应的风险控制措施。

建立应急响应机制，在发生安全事件时能够迅速采取措施，降低损失。

此外，对电子商务系统的日常运维管理也不容忽视。

及时更新软件和补丁，修复已知的安全漏洞；定期备份重要数据，以防数据丢失；监控系统运行状态，及时发现并解决异常情况。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

目的要求：通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案重点难点：解决安全威胁的技术手段和方案组织教学：点名考勤；复习；引入新课；讲解理论知识；实例演示；指导学生练习；总结总结复习导入新课：。

提问：1、什么是电子商务？教学方式、手段、媒介：讲授、多媒体；媒介：教材教学内容：第一节电子商务一、公钥基础设施公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成，管理密钥和证书的系统或平台。

用于解决电子商务中安全问题的PKI 技术。

PKI(Public Key Infrastructure）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

PKI 的核心组成部分CA(Certification Authority），即认证中心，它是数字证书的签发机构。

数字证书，有时被称为数字身份证，是一个符合一定格式的电子文件，用来识别电子证书持有者的真实身份。

1、认证中心认证中心（Certificate Authority, 简称CA），也称之为电子认证中心，是电子商务的一个核心环节，是在电子交易中承担网上安全电子交易认证服务，签发数字证书，确认用户身份，与具体交易行为无关权威第三方权威机构。

为安全电子交易中之重要单位，为一公正、公开的代理组织，接受持卡人和特约商店的申请，会同发卡及收单银行核对其申请资料是否一致，并负责电子证书之发放、管理及取消等事宜。

是在线交易的监督者和担保人。

主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。

CA类似于现实生活中公证人的角色，具有权威性，是一个普遍可信的第三方。

认证中心可官方将某个公钥授权给用户。

如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书，就可能会出现这样一个机构。

Netscape和Xcert提供了用于管理数字证书的证明服务器。

当很多用户共用一个证明权威时，证明权威应该是个受到大家信赖的可靠方。

证明权威甚至可以是个规模更大、公用程度更高的实体，比如GTE、Nortel或Verisign，它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。

兴原认证中心是经国家认监委批准、国家认可委认可的权威认证机构。

从事QMS、EMS、OHSMS认证和核供应商评价。

认证中心承担网上安全电子交易认证服务，能签发数字证书，并确认用户身份的服务机构。

认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发以及对数字凭证的管理。

认证中心通过向电子商务各参与方发放数字证书，来确认各方的身份，保证网上支付的安全性。

认证中心主要包括三个组成部分：注册服务器（RS）、注册管理机构（RA）和证书管理机构（CA）。

注册管理机构（RA）负责证书申请的审批，是持卡人的发卡行或商户的收单行。

因此，认证中心离不开银行的参与。

认证中心所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。

持卡人证书中包括持卡人ID，这其中包含了有关该持卡人所使用的支付卡的数据和相应的账户信息。

商户证书也同样包含了有关其账户的信息。

支付网关一般为收单行或为收单行参加的银行卡组织。

从这里的分析不难看出，RA的角色为什么必须由银行来担当。

当前，在国际上也已有一些CA建设方面的经验值得我们借鉴。

Visa和Mastercard在1997年12月共同成立SETCO公司，被授权作为SET根CA；香港电子商务认证中心JETCO（银行卡联营组织）负责建设；新加坡电子商务认证中心由NETS负责运作和管理。

银行卡组织由会员银行组成，作为认证中心有着固有的优势。

2、证书库LDAPLDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

3、密钥备份及恢复系统加密文件系统 (EFS) 是 Windows 的一项功能，它允许您将文件夹和文件以加密的形式存储在硬盘上。

加密是 Windows 所提供的保护信息安全的最强的保护措施。

在首次加密计算机上的文件夹或文件时，Windows 将会颁发一个证书，该证书关联一个加密密钥，EFS 使用该密钥来加密和解密数据。

在您加密文件夹或文件后，Windows 会在后台为您处理所有的加密和解密工作。

您可以按照通常的方式使用文件。

在关闭文件时，该文件将被加密；在重新打开该文件时，它将会被解密，以便您能够使用。

4、证书作废处理系统用作证书的作废5、应用接口二、安全套接层协议SSL（Secure Socket Layer）安全套接层是Netscape公司率先采用的网络安全协议。

它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。

SSL广泛支持各种类型的网络，同时提供三种基本的安全服务，它们都使用公开密钥技术。

SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL的体系结构SSL被设计成使用TCP来提供一种可靠的端到端的安全服务，不是单个协议，而是二层协议，低层是SSL记录层，用于封装不同的上层协议，另一层是被封装的协议，即SSL握手协议，它可以让服务器和客户机在传输应用数据之前，协商加密算法和加密密钥，客户机提出自己能够支持的全部加密算法，服务器选择最适合它的算法。

记录协议为不同的更高层协议提供基本的安全服务，其特点是为web客户/服务器的交互提供传输服务的超文本传输协议（HTTP）可在SSL上面运行。

三个更高层协议被定义成SSL的一部分：握手协议、修改密文规约协议和告警协议。

SSL中两个重要的概念是SSL会话和SSL连接，规约如下：（1）连接：连接是提供恰当类型服务的传输，对于SSL这样的连接是点对点的关系。

连接是短暂的，每个连接与一个会话相联系。

（2）会话：SSL的会话是客户和服务器之间的关联，会话通过握手协议来创建。

会话定义了加密安全参数的一个集合，该集合可以被多个连接所共享。

会话可用来避免为每个连接进行昂贵的新安全参数的协商。

SSL握手的过程一次SSL握手将发生以下事件：A）客户机和服务器交换X．509证明以便双方相互确认。

在此过程中可以交换全部的证明链，也可以选择只交换一些底层的证明。

证明的验证包括：检验有效日期和验证证明的签名权限。

B）客户机随机地产生一组密钥，它们用于信息加密和MAC计算。

这些密钥要先通过服务器的公开密钥加密再送往服务器。

总共有四个密钥分别用于服务器到客户机以及客户机到服务器的通信。

C）信息加密算法（用于加密）和Hash函数（用于确保信息完整性）是综合在一起使用的。

Netscape的SSL实现方案是：客户机提供自己支持的所有算法清单，服务器选择它认为最有效的密码。

服务器管理者可以使用或禁止某些特定的密码。

通过SSL握手协议、SSL密文协议、SSL告警协议和SSL记录协议实现了安全套接层的安全，对于web安全我们完全可以采用上述手段，因为它们的安全技术是可靠的。

过程双向证书认证的SSL握手过程。

以下简要介绍SSL协议的工作方式。

客户端要收发几个握手信号：1.发送一个“ClientHello”消息，说明它支持的密码算法列表、压缩方法及最高协议版本，也发送稍后将被使用的随机数。

2.然后收到一个“ServerHello”消息，包含服务器选择的连接参数，源自客户端初期所提供的“ClientHello”。

3.当双方知道了连接参数，客户端与服务器交换证书（依靠被选择的公钥系统）。

这些证书通常基于X.509，不过已有草案支持以OpenPGP为基础的证书。

4. 服务器请求客户端公钥。

客户端有证书即双向身份认证，没证书时随机生成公钥。

5.客户端与服务器通过公钥保密协商共同的主私钥（双方随机协商），这通过精心谨慎设计的伪随机数功能实现。

结果可能使用Diffie-Hellman交换，或简化的公钥加密，双方各自用私钥解密。

所有其他关键数据的加密均使用这个“主密钥”。

数据传输中记录层（Record layer）用于封装更高层的HTTP等协议。

记录层数据可以被随意压缩、加密，与消息验证码压缩在一起。

每个记录层包都有一个Content-Type段用以记录更上层用的协议。

三、安全电子交易协议安全电子交易协议(secure Electronic Transaction简称SET) 由威士(VISA)国际组织、万事达(MasterCard)国际组织创建，结合IBM、Microsoft、Netscope、GTE等公司制定的电子商务中安全电子交易的一个国际标准。

安全电子交易协议SET是一种应用于因特网（Internet）环境下，以信用卡为基础的安全电子交付协议，它给出了一套电子交易的过程规范。

通过SET协议可以实现电子商务交易中的加密、认证、密钥管理机制等，保证了在因特网上使用信用卡进行在线购物的安全。

其主要目的是解决信用卡电子付款的安全保障性问题，这包括：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息；保证支付信息的完整性，保证传输数据完整接收，在中途不被篡改；认证商家和客户，验证公共网络上进行交易活动包括会计机构的设置、会计人员的配备及其职责权利的履行和会计法规、制度的制定与实施等内容。

合理、有效地组织会计工作，意义重大，它有助于提高会计信息质量，执行国家财经纪律和有关规定；有助于提高经济效益，优化资源配置。

会计工作的组织必须合法合规。

讲求效益，必须建立完善的内部控制制度，必须有强有力的组织保证。

SET系统的组成SET支付系统主要由持卡人（CardHolder）、商家（Merchant）、发卡行（Issuing Bank）、收单行（Acquiring Bank）、支付网关（Payment Gateway）、认证中心（Certificate Authority）等六个部分组成。

对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

工作流程1）消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。

2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。