4.6　电子商务交易的安全机制

电子商务的发展受到最大的考验就是在线交易的安全性。由于在线交易时必须在网站上输入个人私密的资料，例如身份证号码、信用卡卡号等，如果这些资料不慎被第三者截取，那么将造成用户的困扰与损害。特别是在移动设备普及后，越来越多的用户通过智能手机或平板电脑浏览网页，店家或个人都想借助移动设备的便利性获取各种便捷的应用服务，因而移动设备方面的安全问题就成为近年来必须面对的课题。为了让消费者在线交易能得到基本的安全保障，就必须加强安全机制，提升用户使用上的安全感以及信任感。

如果消费者对于在线支付没有安全感，就不敢轻易在网络上购买产品或付款了。为了打消消费者对网络购物安全的疑虑，建立消费者在线交易的信心，相关机构和组织为网络购物设计了很多安全原则和建议。但是，到目前为止，仍然没有成立一个国际标准化组织来规范出一个完整的安全机制与协议的标准，以用于所有的网络交易。在这种情况下，市场上就形成了各个厂商自己定义的标准。在国际上，目前被商家和消费者所接受的电子安全交易机制是SSL和SET这两种。

4.6.1　安全套接字层协议

安全套接字层协议（Secure Socket Layer, SSL）是一种128位传输加密的安全机制，由网景（Netscape）公司于1994年提出，是目前网络上十分流行的数据安全传输加密协议。在支持的厂商中，也有像微软这种知名的公司，SSL的目的在于协助用户在数据传输过程中保护数据的安全。SSL数字证书包含一对公钥／私钥以及已经通过验证的识别信息，并且使用RSA算法及证书管理架构，它在客户端与服务器之间进行加密与解密的过程。

目前大部分网页服务器或浏览器都能够支持SSL安全机制，其中包含微软的Internet Explorer和Edge浏览器。为了提升网站安全性，像百度、谷歌（Google）等知名网站都已陆续增添了HTTPS加密，例如防范网络钓鱼的首要方法就是要能分辨网页是否安全，一般而言有安全机制的网站，它们的网址通信协议必须是https://，而不是http://。HTTPS组合了SSL和HTTP的通信协议。另一个识别方式是在网址栏中看看网址前面是否显示了SSL安全保护的标记——一把类似锁头的图标，在这个标记上连续单击两次就会显示安全认证信息，如图4-19所示就是在微软的Edge浏览器中浏览百度网站时看到的Global Sign提供的SSL网站认证。

图片来源：https://www.baid.com/

图4-19　采用SSL安全机制的网页

使用SSL的优点是，消费者不需要申请数字证书就能够直接解决数据传输的安全问题，缺点则是当商家将数据内容还原，并准备向银行收款时，就会知道消费者个人的相关资料。如果商家管理不严格而让这些资料外泄，或者是商家的不良员工盗用了消费者信用卡的信息，就会出现消费者的信用卡被盗刷等问题。另外，SSL协议并无法完全保障数据在传送的过程中不会被截获并解密，还是可能被黑客破解经过加密的数据。

4.6.2　安全电子交易协议

由于SSL并不是最安全的电子交易机制，为了达到更安全的标准，信用卡国际公司VISA和MasterCard于1996年共同制定并发表了“安全电子交易协议”（Secure Electronic Transaction, SET），通过系统持有的公钥与用户的私钥进行加解密，以保障传递数据的完整性与隐秘性，并陆续获得IBM、Microsoft、HP及Compaq等软硬件大公司的支持，加上SET安全机制采用非对称密钥加密和对称密钥加密组合的加密技术，即著名的RSA和DES加密算法，使得传输于网络上的数据更安全，可以满足身份确认、隐私权保密、数据完整性和交易不可否认性的安全交易需求。

SET机制的工作方式是消费者和网络商家无法直接在互联网上单独进行交易，双方在进行交易前，必须预先向“认证中心”（CA）取得各自的SET数字认证证书。进行电子交易时，持卡人和特约商店所使用的SET软件会在电子数据交换前确认双方的身份。