付款后商家发来电子协议

一、SSL协议

在Internet中所使用的网络协议为TCP/IP[1]协议，它能为用户提供可靠的信息传输。但由于历史的原因，TCP/IP协议在制定的过程中并没有考虑安全因素，Internet上的用户可能会丢失信息或者得到错误的、被人更改过的信息。以下是一些常见的在Internet上进行欺骗的模式：①采用假的服务器来欺骗用户的终端；②采用假的用户来欺骗服务器；③在信息的传输过程中截取信息；④在Web服务器及Web用户之间进行双方欺骗。这些欺骗模式之所以能得逞，在于相应的安全措施的缺乏，在这种情况下SSL（Secure Sockets Layer，安全套接层）协议应运而生。

（一）SSL协议的工作原理

SSL和TLS（Transport Layer Security，安全传输层）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL协议可以在Web上两台机器之间提供安全通道，其实现原理如下。

1）利用认证技术识别各自的身份。在客户机向服务器发出要求建立连接的消息后，SSL要求服务器向浏览器出示数字证书；客户的浏览器通过验证数字证书从而实现对服务器的验证。在对服务器端的验证通过以后，如果需要对客户机的身份进行验证，也可以通过验证其数字证书的方式。

2）利用加密技术保证通道的保密性。在相互验证了身份以后，浏览器端随机产生一个密钥，并用该密钥加密要传输的数据文件，产生密文，此时采用的是对称加密方法。然后用包含在服务器数字证书上的公开密钥对产生的密钥加密，把加密过的密钥和密文一起发送到服务器端，出于传输密钥只能出对应的私有密钥来解密，密钥和密文可以通过浏览器安全地抵达Web服务器。

3）利用数字签名技术保证信息传送的完整性。在相互传送数据上加载数字签名，从而保证信息的完整性。

（二）SSL协议的安全交易过程

遵循SSL协议的电子商务交易过程如下：客户首先在网上浏览商品；在决定购买后向商家的服务器发出采购订单付款信息，此时SSL协议开始真正介入；商家在接到顾客的订单和付款信息后，先把付款信息转发给银行，要求银行对该信息进行确认；在获得银行的认可或付款成功后，商家通知顾客购买成功并开始付货，顾客可以在得到商家通知后打印交易数据，留作凭证。

（三）SSL协议的优点和缺点

SSL协议的优点是支持很多加密算法；另外，其实现过程比较简单，独立于应用层协议；目前被大部分的浏览器和服务器内置，实现方便。至今还有很多网上商店使用这一协议进行交易。

SSL协议的缺点也很明显，它只能建立两点之间的安全连线（所以顾客只能把付款信息先发送到商家，再由商家转发到银行）而且只能保证连接通道是安全的而没有其他的保证，即它只保证两点之间数据的传输安全，而不能保证商家会私自保留或盗用他的付款信息，而这一缺陷随着网上商店数目的不断增加，信誉的良莠不齐越来越突出，因而人们研制了新的协议——SEL协议。

二、SET协议

SET协议（Secure Electronic Transaction，安全电子交易协议）是VISA和Master Card两大信用卡组织联合开发的电子商务安全协议，用来保证电子商务中信用卡支付交易的安全。由于SET协议得到了HP、IBM、Microsoft等大公司的支持，其在全球电子商务支付领域得到了广泛的应用，成为Internet上进行在线交易的电子付款系统事实上的标准。

（一）SET协议的主要目标

SET协议是一个复杂协议，涵盖了信用卡在电子商务交易中的交易流程，详细而准确地规定了交易各方之间的各种关系。它的主要目标包括以下几个方面。

1）保障付款信息的安全。SET协议首先要保障付款信息的安全传输，保证顾客的交易数据不会被截获或丢失。

2）保障付款过程的安全。SET协议的付款过程与SSL协议不同，顾客虽然把信用卡账号密码等信息发往商家，但由于SET协议采用的特殊技术却可以保障商家看不到账户等顾客付款信息，从而保证付款过程的信息安全；同时SET协议要求参与付款的各方都要提供数字证书进行身份认证，保证付款过程的信用安全。

3）保证付款过程遵守相同的协议和格式标准。SET协议提供开放的标准，规定交易的技术细节，确保不同厂商开发的应用程序只要遵守它的规范就可以相互通用，使标准达到良好兼容性并被广泛接受，可以运行在不同的硬件和软件平台上。

（二）基于SET协议的交易流程

基于SET协议的交易流程可以简单归纳如下。

1）顾客在网上浏览商品。

2）顾客开始购买商品，向商家发送购买请求及付款账户，此时SET协议开始介入购买流程。在SET协议中使用了一种双重签名技术，即当持卡人发出购买指令时包括了订购和付款两条指令，商户只能看到订购指令，而网关只能看到付款指令，这样持卡人的账户对商户来说是不可的。持卡人订单消息由商户处理，付款消息由网关处理，这两部分组成一个消息由持卡人一起发送。

3）商家处理订购信息。商家在接到订购信息后首先向顾客持有信用卡的金融机构请求支付认可，在接到确认消息后，商家就可以相信顾客的付款能力和自己的货款安全了，从而接收订单，并向顾客发送确认信息，顾客可在自己的客户端记录该交易，留作交易凭证。

4）准备发送货物，同时向为顾客提供信用卡的金融机构提出付款请求，完成交易。

（三）SET协议的优点和缺点

首先，SET协议对顾客提供了更好的安全保护。SET协议是一个针对多方的报文协议，它定义了银行、商户、持卡人之间数据传输技术标准和操作流程，而SSL协议只能在两方之间建立安全连接，只能通过商家转发顾客的账户信息。因此SET协议对顾客交易数据可以提供比SSL更高的安全性。另外SSL协议是面向连接的，即只允许在建立连接的时候安全传输数据，而SET允许各方之间的报文交换不是实时的。

其次，SET协议为商家提供了保护自己的手段。SET协议通过使用加密技术和严格执行多方身份的验证，保证了信息的安全传输和货款的安全划拨，使商家免除了后顾之忧。

对银行和发卡机构以及各种信用卡组织来说，因为SET协议可以帮助它们将业务扩展到Internet这个广阔的空间，从而使得信用卡网上支付具有更低的欺骗概率，这使它比其他支付方式具有更大的竞争力。

但SET协议提供这些功能的前提是SET要求在银行网络、商家服务器、顾客的PC上安装相应的软件。这些阻止了SET的广泛发展。另外，SET还要求必须向各方发放证书，这也成为阻碍之一。因此，SET比SSL昂贵得多。

综合考虑这两种协议的特点，可以把它们结合在一起使用。例如，一些商家在与银行连接中使用SET，而与顾客连接时仍然使用SSL。这种方案既回避了在顾客机器上安装特殊软件，同时又获得了SET提供的很多优点。

实践训练

防病毒软件

1．实训目的

1）了解杀毒软件的基本知识。

2）掌握杀毒软件的使用方法。

2．实训内容

1）使用搜索引擎，查找目前网络用户广泛使用的杀毒软件。

2）下载金山毒霸杀毒软件，并按照说明进行安装。

3）注册“金山通行证”，并对已安装的杀毒软件进行升级。

4）升级成功后，打开金山毒霸杀毒软件，对计算机进行全盘杀毒。

5）使用金山清理专家对个人计算机进行系统漏洞扫描，并修复扫描出的系统漏洞。