电子商务支付与安全概述

电子商务支付与安全臧良运主编电子支付安全协议

技能精通，基础先行，要成为高水平的电子商务人才，必须要精通电子支付与安全。模块8学习目标知识目标：了解HTTP协议掌握SSL协议流程掌握SET协议流程了解其他电子支付协议能力目标：掌握SSL协议的具体应用掌握SET协议的具体应用知道SSL协议与SET协议的优缺点素质目标：培养时刻关注互联网上的欺骗行为习惯培养并逐步具备管理、使用电子支付安全体系的能力养成严谨、规范的遵守安全协议的工作习惯第1单元

安全协议概述情景案例张丽艳同学在淘宝网购买一本《电子商务支付与安全》的参考书，选择好图书并下了订单后，利用支付宝，选择中国邮政储蓄银行卡进行网上实时支付。张丽艳同学学习了模块5《电子商务系统的安全》的内容后，知道了网上交易安全面临很多威胁，她担心银行卡资料会不会被支付平台、卖家看到？会不会被黑客通过技术手段盗取？电子商务网站如何保证数据传输的机密性、完整性和支付的安全性呢？任务思考在这一电子交易的过程中，如何确保张丽艳同学付款资料的隐密性及完整性？对持卡人、特约商店、收单银行怎么认证，如何保证电子交易的安全？不同厂商开发的应用程序、不同的银行卡在现存各种标准下应构建什么协定，允许在任何软硬件平台上执行，使标准达到相容性与接受性目标？任务分析为了保障电子商务交易安全，人们开发了各种用于加强电子商务安全的协议。这些协议主要有：安全套接层协议SSL、安全电子交易协议SET、超文本传输协议SHTTP、3-Dsecure协议和安全电子邮件协议(PEM、S/MIME)等。安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理，而安全协议的安全性分析验证仍是一个悬而未决的问题。相关知识1．电子商务安全体系（1）电子商务安全体系的构成。电子商务安全体系的基本构成如图8-1所示。（2）网络服务层存在的安全隐患。网络层为TCP/IP的Internet层或IP层的开放式的构造，使得IP层很容易成为黑客攻击的目标。（3）安全协议。也称作密码协议，是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。主要有：安全超文本传输协议（S—HTTP）、“安全套接层”协议（SSL：SecureSocketsLayer）、安全交易技术协议、安全电子交易协议（SET：SecureElectronicTransaction）等。

（1）http://：代表超文本传输协议，通知服务器显示Web页，通常不用输入

（3）M/：这是装有网页的服务器的域名，或站点服务器的名称

（4）China/：为该服务器上的子目录，就好像我们的文件夹

。

（5）Index.htm：index.htm是文件夹中的一个HTML文件（网页）

（2）HTTP协议工作原理。HTTP协议是基于请求/响应范式的（相当于客户机/服务器），一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求。最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成。在Internet上，HTTP通讯通常发生在TCP/IP连接之上。缺省端口是TCP80，但其它的端口也是可用的。但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。HTTP只预示着一个可靠的传输。实践训练

1．课堂讨论（1）电子商务安全体系有哪几部分构成？（2）什么是安全协议？（3）什么是HTTP协议？工作原理是什么？2．案例分析

安全超文本转移协议（SecureHypertextTransferProtocol,S-HTTP）是一种结合HTTP而设计的消息的安全通信协议。S-HTTP协议为HTTP客户机和服务器提供了多种安全机制，这些安全服务选项是适用于Web上各类用户的。还为客户机和服务器提供了对称能力（及时处理请求和恢复，及两者的参数选择）同时维持HTTP的通信模型和实施特征。S-HTTP不需要客户方的公用密钥证明，但它支持对称密钥的操作模式。这意味着在没有要求用户个人建立公用密钥的情况下，会自发地发生私人交易。它支持端对端安全传输，客户机可能首先启动安全传输（使用报头的信息），用来支持加密技术。在语法上，S-HTTP报文与HTTP相同，由请求行或状态行组成，后面是信息头和主体。请求报文的格式由请求行、通用信息头、请求头、实体头、信息主体组成。响应报文由响应行、通用信息头、响应头、实体头、信息主体组成。

目前有两种方法来建立连接：HTTPSURI方案（RFC2818[14]）和HTTP1.1请求头（由RFC2817[15]引入）。由于浏览器对后者的几乎没有任何支持，因此HTTPSURI方案仍是建立安全超文本协议连接的主要手段。安全超文本连接协议使用https://代替http://。讨论与分析：HTTP协议存在哪些不足？需要做哪些改进？S-HTTP协议有哪些优势？3．实务训练请上网查询HTTP/1.1协议的特点和八种请求方法。实训说明：（1）本部分实训可在授课后集中或者分散进行实训。（2）讨论HTTP协议的优缺点。4．课后拓展上网查询HTTP协议的详细工作流程，进一步对HTTP协议的有所了解。第2单元电子支付系统应用情景案例

上个单元的案例讨论与分析中提出了一个问题：HTTP协议存在哪些不足？张艳丽同学课后学习发现，HTTP协议虽然使用极为广泛，但是却存在不小的安全缺陷，主要是其数据的明文传送和消息的完整性检测的缺乏，而这两点恰好是网络支付、网络交易应用中安全方面最需要关注的。如何为通信双方提供安全可靠的通信协议服务，在通信双方间建立一个传输层安全通道，安全套接层协议SSL弥补了HTTP协议存在的不足，是保证通信安全、支付安全的重要协议。任务思考什么是安全套接层协议SSL？它的工作流程是什么？SSL是如何保证通信安全的呢？任务分析

HTTP协议先天固有的安全缺陷可对web服务器的安全性造成重大的影响。有可能导致服务器被入侵、传输信息被截取、客户端被攻击、服务被拒绝等情况。为了加强web服务的安全性，最初有Netscape提出了HTTPS协议，用来提供安全可靠的数据传输。针对HTTP协议的安全缺陷，HTTPS通过在TCP层与HTTP层之间增加了一个SSL（SecureSocketLayer）来加强安全性，数据传输过程中，加密解密均由SSL进行，与上层的HTTP无关，对HTTP来说是透明的。HTTPS增强的安全性表现在其双向的身份认证确保身份都是真实可靠的，其数据传输的机密性提高，数据完整性检验更严格，数据报被重放攻击的可能性降低。相关知识（1）SSL协议构成。SSL实际上是由共同工作的两层协议组成，如图8-2所示。①SSL修改密文协议。②SSL报警协议。③SSL握手协议。④SSL记录协议。握手协议修改密文协议报警协议SSL记录协议TCPIP（2）SSL协议的服务。SSL提供的服务可以归纳为如下三个方面：①用户和服务器的合法性认证。②加密数据以隐藏被传送的数据。③维护数据的完整性。2．SSL协议流程（1）SSL的运行步骤。SSL采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。SSL安全协议的工作流程如图8-3所示（2）SSL协议的握手过程。①客户端的浏览器向服务器传送客户端SSL协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。②服务器向客户端传送SSL协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的CA是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。④用户端随机产生一个用于后面通讯的“对称密码”，然后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中获得）对其加密，然后将加密后的“预主密码”传给服务器。⑤如果服务器要求客户的身份认证（在握手过程中为可选），用户可以建立一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。⑥如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA是否可靠，发行CA的公钥能否正确解开客户证书的发行CA的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密码”，然后执行一系列步骤来产生主通讯密码（客户端也将通过同样的方法产生相同的主通讯密码）。⑦服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于SSL协议的安全数据通讯的加解密通讯。同时在SSL通讯过程中还要完成数据通讯的完整性，防止数据通讯中的任何变化。⑧客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。⑨服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。⑩SSL的握手部分结束，SSL安全通道的数据通讯开始，客户和服务器开始使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验。（3）SSL应用情况。SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网络商店在使用。SSL提供的保密连接有很大的漏洞，SSL除了传输过程以外不能提供任何安全保证，SSL并不能使客户确信此公司接收信用卡支付是得到授权的。SSL位于TCP层之上，应用层之下，它相对于应用层来说是独立的，应用层是直接建立在SSL上的。在实际应用中，SSL可保证信息的真实性、完整性和保密性，却无法提供交易的不可否认性，这是由于SSL不对应用层的消息进行数字签名。为解决这一问题，Netscape公司在推出Web浏览器Communicator3.0版本时，在浏览器中引入“表单签名”功能，以弥补这一缺陷。在国内，开展网上银行业务的银行对安全标准的选择也不一致，中国银行网上支付的安全协议采用的是SET标准，而建设银行、招商银行采用的是SSL协议。实践训练1．课堂讨论（1）什么是SSL协议？由几部分构成？（2）SSL协议的工作流程是什么？（3）SSL协议有哪些优缺点？2．案例分析

以往，电子商务的许多应用是不进行客户机认证的。不过，目前各公司都将SSL作为一项协议供数据中心里的新应用使用。对于基于SSL的VPN，以及那些需要对终端用户进行额外认证的应用而言，客户机认证正在成为一种趋势。客户机认证使得服务器可以使用与允许客户机对服务器进行认证相同的技术，在协议之内对用户身份进行确认。尽管两者认证的信息流极为不同，但是从概念上来看，其过程与服务器认证是相同的。这一过程同样也会在SSL握手子协议之内进行。在这种情况下，客户机必须向服务器提供有效的证书。服务器可以通过使用公共密钥密码学的标准技术对终端用户的有效性进行认证。SSL所具有的灵活性和强劲的生命力使其无所不在。可以预言的是，在SSL成为企业应用、无线访问设备、Web服务以及安全访问管理的关键性协议的同时，SSL的应用将继续大幅度增长。讨论与分析：什么是客户机认证？它对提高电子商务支付的安全性有何作用？3．实务训练目前我国开发的许多电子支付系统，比如中国银行的长城卡电子支付系统，为什么没有采用SSL协议？实训说明：（1）本部分实训在授课后集中或者分散实训（2）上网查询相关知识，进行课堂讨论。4．课后拓展SSL还存在哪些不足？需要做哪些改进？第3单元SET协议情景案例信用卡是最为常见的网上支付工具，信用卡的泄密、被盗等现象也是屡见不鲜。张丽艳同学在上个单元的学习中，对SSL协议有了较深的了解，但是中国银行的长城卡电子支付系统为什么没有采用SSL协议呢？一定还会有其他的电子支付安全协议，通过课后学习，了解到中国银行的长城卡电子支付系统采用的是SET协议。这是为什么呢？任务思考那么，什么是SET安全协议？它的特点是什么？SET协议是如何保证通信安全的呢？SET协议与SSL协议有什么不同？等等。任务分析

为了克服SSL安全协议的缺点，VISA国际组织及其它公司如MasterCard、MicroSoft和IBM等共同制定了安全电子交易SET（SecureElectronicTransactions）协议。SET是一个为在线交易而设立的一个开放的以电子货币为基础的电子付款系统规范，它采用公钥密码体制和X.509数字证书标准，主要应用于BtoC模式中保障支付信息的安全性。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。SET安全电子交易协议是一种基于消息流的协议，该协议主要是为了解决用户、商家和银行之间通过信用卡在线支付而设计的，以保证支付信息的机密、支付过程的完整、持卡人的合法身份以及可操作性，SET中的核心技术主要有公开密钥加密、数字签名、数字信封和数字证书等

相关知识

1．SET协议简介电子商务面临的最大挑战，即交易的安全问题。在网上购物的环境中，持卡人希望在交易中保密自己的帐户信息，使之不被人盗用；商家则希望客户的定单不可抵赖，并且在交易过程中，交易各方都希望验明对方的身份，以防止被欺骗。1995年10月，包括Mastercard、Netscape和IBM在内的联盟开始着手进行安全电子支付协议（SEPP）的开发。随后，Visa和微软组成的联盟开始开发另外一种不同的网络支付规范，叫做安全交易技术（SecureElectronicTransaction，STT）。由于两大信用卡组织Mastercard利Visa分别支持独立的网络支付解决方案，影响了网络支付的发展，所以1996年1月，VISA和Mastercard联合发起并推动了“安全电子交易”SET（SecureElectronicTransaction）协议的制定、测试和实施，并于1997年5月发布正式的1.0版本标准。SET协议即安全电子交易标准，利用RSA和DES技术实现安全性，用于支持使用信用卡进行交易的在线电子支付。它采用公钥密码体制和X.509数字证书标准，主要应用于BtoC模式中保障支付信息的安全性。SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。中国银行是国内第一家使用SET协议的金融机构。2．SET协议的目标和特点（1）SET协议的目标。①保证电子商务参与者信息的相互隔离，客户的资料加密或打包后经过商家到达银行，但是商家不能看到客户的账户和密码信息；②保证信息在Internet上安全传输，防止数据被第三方窃取；③解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证；④保证了网上交易的实时性，使所有的支付过程都是在线的；⑤规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。（2）SET协议的特点。SET协议比SSL协议有了很大改进。其特点是：①保证信息在Internet上安全传输，保证网上传输的数据不被黑客窃听。②订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息，从而保证电子商务参与者信息的相互隔离。③持卡人和商家的相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信方双方提供信用担保，从而解决了多方认证问题。④保证网上交易的实时性．使所有的支付过程都在网络上进行。⑤要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。3．SET安全协议涉及的对象和技术范围（1）SET协议规范的对象。

①消费者

②在线商店

③支付网关

④收单银行

⑤电子货币发行⑥认证中心CA）（2）SET协议规范的技术范围。包括以下六个方面：①加密算法的应用（例如RSA和DES）。②证书信息和对象格式。③购买信息和对象格式。④认可信息和对象格式。⑤划账信息和对象格式。⑥对话实体之间消息的传输协议。4．SET安全协议的工作原理（1）SET协议的工作流程。分为下面七个步骤：①消费者在Internet上搜索所要购买的商品，通过计算机输入订货单。②通过电子商务服务器与有关在线商店联系，在线商店做出应答，以确认订单条款的准确性。③消费者选择付款方式，确认订单，签发付款指令。④消费者对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。⑤在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认，批准交易后，返回确认信息给在线商店。⑥在线商店发送订单确认信息给消费者。⑦在线商店发送货物或提供服务，并通知收单银行进行转账通知发卡行请求支付。（2）SET支付流程。

如图8-4所示，一个完整的SET支付流程如下：

①支付初始化请求和响应阶段。当客户决定要购买商家的商品并使用SET钱夹付钱时，商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱，SET钱夹则要求客户输入口令然后与商家服务器交换“握手”信息，使客户和商家相互确认，即客户确认商家被授权可以接受信用卡，同时商家也确认客户是一个合法的持卡人。②支付请求阶段。客户发一报文，包括订单和支付命令。在订单和支付命令中必须有客户的数字签名，同时利用双重签名技术保证商家看不到客户的账号信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。③授权请求阶段。商家收到订单后，POS组织一个授权请求报文，其中包括客户的支付命令，发送给支付网关。支付网关是一个Internet服务器，是连接Internet和银行内部网络的接口。授权请求报文通过到达收单银行后，收单银行再到发卡银行确认。④授权响应阶段。收单银行得到发卡银行的批准后，通过支付网关发给商家授权响应报文。⑤支付响应阶段。商家发送订单确认信息给顾客，顾客端软件可记录交易日志，以备将来查询。同时商家给客户装运货物，或完成订购的服务。5．SET安全协议的不足之处（1）协议并没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书，如果在线商店提供货物不符合质量标准，消费者提出疑义，责任该由谁来承担。（2）协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。（3）SET技术规范没有提及事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里，这些漏洞可能使这些数据以后受到潜在的攻击。（4）SET协议过于复杂，使用麻烦，成本高，数据处理时间相对较长，而且只适用于客户具有电子钱包的场合。（5）SET的证书格式比较特殊，虽然也遵循X.509标准，但它主要是由Visa和MasterCard开发并按信用卡支付方式进行定义的，因而SET主要支持卡支付业务，对其它支付方式存在一定的限制。（6）在SET协议中，虽然用户账号不会明文传递，通常采用1024位RSA不对称密钥加密，但在实际应用中发现大多数商户都收到了持卡人的账号，所以用户账号泄漏问题仍然存在。6．SSL和SET协议比较SET与SSL相比具有如下优点：（1）SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，使商家的运营成本降低。（2）对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取，SET替消费者保守了更多的秘密使其在线购物更加轻松。（3）银行和发卡机构以及各种信用卡组织来说，因为SET可以帮助它们将业务扩展到Internet这个广阔的空间，从而使得信用卡网上支付具有更低的欺骗概率，这使得它比其他支付方式具有更大的竞争力。（4）SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。实践训练1．课堂讨论（1）什么是SET协议？有什么特点？（2）SET协议的工作流程是什么？（3）SSL协议有哪些优点和不足？2．案例分析SET协议的扩展（1）商家初始授权扩展（TheMerchantInitiatedAuthorizationExtension）版本。标准的SET协议，其授权是从持卡人采用SET协议开始的。而商家初始授权扩展允许一个商家为非SET的订购进行授权和请款（CaptureRequest）。这些订购是由持卡人采用非SET的传输方式完成的，如采用电话、传真、SSL等方式通知商家支付信息，由商家采用SET协议向银行发出授权请求。该扩展拓宽了SET协议的应用场合，实现了现有电子商务的支付方式向SET模式的平滑过渡。（2）在线个人识别号扩展（OnlinePINExtensiontoSET1.0）版本。个人识别号PIN是用户为支付卡设定的个人密码。SET协议在线个人识别号扩展版本定义了两种使用PIN的扩展方式。一是持卡人通过任何方式（包括键盘）来输入PIN；二是通过安全设备来输入PIN。在实际应用中，根据支付卡的政策决定使用方式。该扩展版本增强了信用卡的认证信息，为借记卡和IC卡采用SET协议提供了新的用户信息识别方式。（3）芯片卡扩展（CommonChipExtension）版本。芯片卡（如IC卡）与磁卡相比，具有存储信息容量大、安全性能高、使用快捷方便等优点。SET1.0标准出台时没有考虑对芯片卡的支持。1999年9月，SETC0批准公布了EuropeInternational、MasterCardInternational、VISAInternational提交的“CommonChipExtensionSET1.0”，支持芯片卡采用SET协议进行安全电子交易，并使SET具有处理芯片卡数据的通用扩展性能。讨论与分析：SET协议的扩展对提高电子商务支付的安全性有何作用？3．实务训练上网和和查阅其他参考书，查找哪些银行使用SSL协议，哪些使用SET协议，比较两个协议的优缺点，说明两种协议并存的原因。实训说明：本部分实训在授课后分散实训。4．课后拓展SET协议还存在哪些不足？需要做哪些改进？知识小结电子支付是电子商务得以实现的重要条件。是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，实现支付的综合系统。是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。电子支付的一个重要条件就是必须允许将电子货币从一个系统转移到另一个系统，支付系统具有：使用数字签名和数字证书实现对各方的认证、使用加密技术对业务进行加密、使用消息摘要算法以确认业务的完整性、当交易双方出现纠纷时，保证对业务的不可否认性的功能。电子支付工具大致可以分为三大类：电子信用卡类，包括智能卡、信用卡、借记卡、电话卡等；电子货币类，如电子现金、电子钱包等；电子支票类，如电子支票、电子汇款（EFT）、电子划款等。ATM系统、POS系统、电子汇兑系统、网上支付系统是电子支付系统的具体应用。第三方支付平台是指与银行（通常是多家银行）签约，并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。第三方支付平台的功能大致可归纳为3项：第一，接收、处理、并向开户银行传递网上客户的支付指令；第二，进行跨行之间的资金清算（清分）；第三，代替银行，开展金融增值服务。

第三方支付使商家看不到客户的信用卡信息，同时又避免了信用卡信息在网络多次公开传输而导致的信用卡被窃事件。相对于其它的资金支付结算方式，第三方支付可以比较有效地保障了货物质量、交易诚信、退换要求等环节。移动支付是目前发展最快的一种支付系统，具有除存取现金外的银行ATM机的所有功能。第4单元

其他电子支付协议简介情景案例

张丽艳同学上网查找发现，中国工商银行网上银行采用的是SSL协议，而中国银行网上银行采用的是SET协议，是否还有其他电子支付协议呢？任务思考除了上面学习的SSL协议和SET协议以外，其他的电子支付协议都有哪些？有什么特点呢？项目任务分析SSL协议和SET协议是应用最为广泛的电子支付安全协议，除此之外，像Digicash协议、FirstVirtual协议、Netbill协议和iKP协议等也是应用比较多的安全支付协议。在不同的交易方式、交易对象和交易额度方面有不同的优缺点，下面做一简单介绍。相关知识1．Digicash协议Digicash协议是位于荷兰的Digicash公司的产品，是一个匿名的数字现金协议。所谓匿名是指消费者在消费中不会暴露其身份，例如现金交易（虽然钞票有号码，但交易中一般不会加以记录）。该协议的步骤如下：（1）消费者从银行取款，他收到一个加密的数字现金（Token），此Token可当钱用；（2）消费者对该Token作加密变换，使之仍能被商家检验其有效性，但已不能追踪消费者的身份；（3）消费者在某商家消费即使用该Token购物或购买服务，消费者进一步对该Token密码变换以纳入商家的身份；（4）商家检验该Token以确认以前未收到过此Token；（5）商家给消费者发货；（6）商家将该电子Token送银行；（7）银行检验该Token的唯一性，至此消费者的身份仍保密，除非银行查出该Token被消费者重复使用，则消费