护角多少钱:万分着急！！！！

我有这本书，但记不清是不是他写的了。要的话给我留言吧。

一、课程的性质与任务
《电子商务安全管理》是一门综合性的经济科学，也是一门应用性的正在发展的经济学科。它涉及社会科学的许多基础学科，如经济学、市场学、法律学、管理学等等，同时也涉及电子技术学科，特别是网络系统。电子商务是当今世界商务活动的现实，也是商务活动发展的趋势，并将在本世纪的一定时期内独领风骚。作为来自电子商务实践又指导电子商务实践的电子商务理论正在发展和走向成熟。因此学生必须把电子商务概论中所阐述的理论和生动活泼的实践结合起来，消化理论，掌握理论，深化对理论的理解，同时还必须结合书刊杂志，掌握电子商务理论的最新进展的脉博。

设立本课程的目的在于通过对电子商务的理论和实践的学习、研究和分析，掌握电子商务的现状和发展趋势，它的基本知识和基本原理，提高学生从事商务实践的理论素养和电子商务的能力。

二、课程的教学内容
第一章 电子商务安全导论
对称加密系统

1、电子商务面临的安全问题
不对称加密系统

2、电子商务系统安全的构成
两种加密方法的联合使用

电子商务系统安全概述
3、数字签名技术

系统实体安全
4、密钥管理技术

系统运行安全
5、验证技术

信息安全
6、数字证书技术

3、电子商务安全的保障
第四章 Internet安全

第二章 电子商务安全管理
1、Internet安全概述

1、安全标准与组织
2、防火墙技术

2、安全协调机构与政策
3、IP协议安全

3、电子商务安全管理制度
4、电子商务应用安全协议

4、电子商务安全的法律保障
第五章 数字证书

第三章 信息安全技术
1、数字证书简介

1、信息安全概述
2、数字证书的格式

2、加密技术
3、公私密钥对的管理

4、数字证书的申请与发放
5、PKI的不可否认机制

5、数字证书的分发
6、几类不同的PKI

6、数字证书的撤销
第七章 安全认证实例

第六章 公钥基础设施PKI
1、CA建设概况

1、PKI概述
2、CFCA的证书管理策略

2、CA的结构
3、SHECA证书的申请与使用

3、CA的证书策略
4、VerSign数字证书的申请与使用

4、CP与CPS的主题内容

三、课程的教学要求

《电子商务安全管理》是电子商务的主干课程之一。本课程的教学目的旨在使学生认识电子商务活动的组织形态与管理对象；系统学习电子商务活动组织有关的人、财、物、时间、信息、技术、环境、客户等要素系统组成的信息流、物流、资金流的资源管理内容；掌握电子商务管理过程中有关的供应链管理、客户关系管理、ERP系统管理等管理方法，为从事电子商务活动奠定基础。

通过本课程的学习考试，要求考生全面系统地掌握电子商务安全的基本理论、基本知识和基本方法，对电子商务中将会遇到的各种安全风险游一个清醒的认识，知道如何制定安全标准、安全规则和安全管理措施来对电子商务的安全问题进行管理。

第一章 电子商务安全导论

1、掌握电子商务安全涉及的问题

2、掌握实体安全

3、了解风险分析

4、掌握身份认证

第二章 电子商务安全管理

1、掌握ISO开放系统参考模型的安全服务

2、了解我国信息安全管理的格局

3、掌握电子商务安全管理制度的具体内容

第三章 信息安全技术

1、掌握信息安全的5种服务

2、对称加密和非对称加密

3、掌握消息验证码

4、密钥的生命周期。

5、数字证书安全发送方、接受方的主要工作

第四章 Internet安全

1、掌握网络层安全、应用层安全

2、系统安全层的主要安全措施有那些

3、了解防火墙

4、了解安全关联

5、掌握PEM、SET

第五章 数字证书

1、掌握数字证书的概念

2、掌握X.509的证书版本内容

3、掌握数字证书生成的步骤

4、了解撤销原因代码

第六章 公钥基础设施PKI

1、掌握PKI、CA功能

2、了解交叉认证

3、掌握认证的基本步骤

4、了解证书策略

5、掌握不可否认机制

6、掌握实现不可否认的实现的方法

第七章 安全认证实例

1、我国CA认证的类型

2、CFCA的CA体系

3、了解CACF提供几类类别的证书

4、了解如何为自己申请一个免费的数字证书

四、课程的学时分配
教学内容
讲课
实验
教学内容
讲课
实验

第一章 电子商务安全导论
第五章 数字证书

1、电子商务面临的安全问题
2

1、数字证书简介
2
4

2、电子商务系统安全的构成
2

2、数字证书的格式

3、电子商务安全的保障

3、公私密钥对的管理
2

第二章 电子商务安全管理
4、数字证书的申请与发放
2

1、安全标准与组织
2

5、数字证书的分发

2、安全协调机构与政策

6、数字证书的撤销

3、电子商务安全管理制度
2

第六章 公钥基础设施PKI

4、电子商务安全的法律保障

1、PKI概述
2

第三章 信息安全技术
2、CA的结构
2

1、信息安全概述
2

3、CA的证书策略

2、加密技术
4

4、CP与CPS的主题内容
2

3、数字签名技术
2

5、PKI的不可否认机制
2

4、密钥管理技术
2

6、几类不同的PKI

5、验证技术

第七章 安全认证实例

6、数字证书技术
2

1、CA建设概况
2

第四章 Internet安全
2、CFCA的证书管理策略

1、Internet安全概述
2
4
3、SHECA证书的申请与使用
2

2、防火墙技术
2
4、VerSign的申请与使用

3、IP协议安全
2
2

4、电子商务应用安全协议

五、教材及主要参考书

1、《电子商务安全与管理》 劳帼龄主编 高等教育出版社

楼上的打不开~

第1章 电子商务安全与管理导论
1. 1 电子商务面临的安全问题
1. 1. 1 电子商务网络系统自身的安全问题
1. 1. 2 电子商务交易信息传输过程中的安全问题
1. 1.3 电子商务企业内部安全管理问题
1. 1. 4 电子商务安全法律保障问题
1. 1. 5 电子商务的信用安全问题
1. 1. 6 电子商务安全支付问题
1. 2 电子商务流程
1. 2. 1 电子商务的基本交易过程
1. 2. 2 网上商品交易流程
1. 3 电子商务模式
l. 3. 1 网上直销型电子商务模式
1. 3. 2 网上中介型电子商务模式
1.4 电子商务安全管理
1. 4. 1 电子商务安全管理的思路
1. 4. 2 电子商务安全管理方法
复习题
思考题
第2章 通信过程的安全风险
2. 1 Internet安全与风险
2. 1. 1 风险分析理论
2. 1. 2 Internet上的安全风险分析
2. 1. 3 Internet上最容易受到侵袭的薄弱环节
2. 2 Internet通信协议中的安全风险
2. 2. 1 Intemet通信协议简介
2. 2. 2 Internet协议中的安全风险
2. 3 Intemet应用风险
2. 3. 1 文件传输(FTP)的安全问题
2. 3. 2 远程登录(Telnet)的安全问题
2. 3. 3 WWW的安全问题
2. 3. 4 电子邮件的安全问题
2. 3. 5 DNS服务的安全问题
2. 3. 6 网络文件系统(NFS)的安全问题
复习题
思考题
第3章 通信过程的安全控制
3. 1 保证非安全网络安全通信的加密技术
3. 1. 1 密码学的理论基础
3. 1. 2 对称密钥加密技术
3. 1. 3 公钥加密技术
3. 2 电子商务应用安全协议
3. 2. 1 安全套接层(SSL)协议
3. 2. 2 安全电子交易(SET)协议
3. 2. 3 其他安全协议
3. 3 数字证书
3. 3. 1 数字证书的原理与认证
3. 3. 2 认证中心(CA)
3. 4 公钥基础设施
3. 4. 1 PKI简介
3. 4. 2 PKI技术的信任服务及意义
3. 4. 3 PKI的标准及体系结构
3. 4. 4 PKI的应用
复习题
思考题
第4章 网站的安全风险
4. 1 信息安全与计算机犯罪
4. 1. 1 网站的信息安全
4. 1. 2 反病毒管理
4. 1. 3 计算机犯罪
4. 2 访问控制(认证系统)中的安全风险
4. 2. 1 口令的选择
4. 2. 2 口令捕捉的常见方法
4. 2. 3 口令文件的保护
4. 3 www、Gopher及FTP信息服务的安全风险
4. 3. 1 www服务器的安全风险
4. 3. 2 Gopher服务器的安全风险
4. 3. 3 匿名FTP服务器的安全风险
复习题
思考题
第5章 网站的安全控制
5. 1 系统安全的标准与组织
5. 1. 1 黄皮书(美国)(TCSEC)
5. 1. 2 欧洲的ITSEC标准目录
5. 2 网站的安全配置
5. 2. 1 Windows NT环境常用服务器的安装与配置
5. 2. 2 网站的安全配置
5. 3 防火墙的体系结构、分类与功能
5. 3. 1 防火墙的定义及其宗旨
5. 3. 2 防火墙的主要设计特征
5. 3. 3 防火墙系统的体系结构
5. 3. 4 基于信息包过滤器的防火墙
5. 3. 5 线路中继器和应用网关防火墙
5. 3. 6 防火墙系统的局限性
5. 4 侵袭模拟器
5. 4. 1 侵袭模拟器概述
5. 4. 2 系统安全性检查软件
5. 4. 3 其他监视工具
5. 5 数据库安全控制
5. 5. 1 安全性
5. 5. 2 完整性
5. 5. 3 并发控制
5. 5. 4 数据库恢复
复习题
思考题
第6章 不安全系统中的商务风险与管理
6. 1 与不安全通信网络相关的风险
6. 1. 1 消费者所面临的风险
6. 1. 2 销售代理所面临的风险
6. 2 与企业内部网相关的风险
6. 2. 1 离职员工的破坏活动
6. 2. 2 在职员工的威胁
6. 3 贸易伙伴间商业交易数据传输中的风险
6. 3. 1 企业内部网、企业外部网及互联网之间的关系
6. 3. 2 数据截取
6. 3. 3 受保密措施维护的档案文件、主文件与参考数据所面临的风险
6. 4 风险管理模式
6. 4. 1 风险管理模式
6. 4. 2 电子商务风险类型
6. 4. 3 内部控制体系
6. 4. 4 内部控制在风险管理中的作用
6. 5 控制风险与实施计划
6. 5. 1 控制支出不足与控制支出风险
6. 5. 2 灾害拯救计划
6. 6 电子商务的第三方保证
6. 6. 1 标准制定
6. 6. 2 合法性确认
6. 6. 3 影响机制
6. 6. 4 解决纠纷
6. 7 智能代理与电子商务
6. 7. 1 智能代理的定义
6. 7. 2 智能代理的能力
6. 7. 3 代理组合
6. 7. 4 智能代理与电子商务
6. 7. 5 代理的局限性
6. 7. 6 代理与安全
复习题
思考题
第7章 电子商务法律法规环境
7. 1 国内外电子商务的立法现状
7. 1. 1 国外电子商务的立法的现状
7. 1. 2 我国电子商务立法现状
7. 2 加密技术的相关政策与法律问题
7. 2. 1 密钥长度问题
7. 2. 2 密钥第三者保存与密钥复原问题
7. 2. 3 国际加密问题
7. 3 网络隐私问题
7. 3. 1 隐私权与网络隐私权概述
7. 3. 2 网络隐私权的侵权根源
7. 3. 3 国外关于网络隐私权的法律保护
7. 3. 4 网络隐私权的相关法律保护
7. 4 网络链接的法律问题
7. 4. 1 网络链接概述
7. 4. 2 网络链接引起的争议和法律纠纷
7. 5 域名侵权纠纷
7. 5. 1 域名的概念和法律特征及作用
7. 5. 2 域名侵权纠纷的界定
7. 5. 3 域名侵权纠纷的表现形式
7. 5. 4 国外关于域名侵权纠纷的立法
7. 5. 5 我国当前关于域名侵权纠纷的立法状况
7. 6 电子商务税收问题
7. 6. 1 税收的基本理论
7. 6. 2 电子商务对现行税收体系的挑战与冲击
7. 6. 3 国外电子商务税收对策
7. 6. 4 我国电子商务税收政策的选择
复习题
思考题
附录A 国际电子商务立法大事记
附录B 国内有关电子商务的颁布与实施
附录C 与网络安全有关的请求说明(RFC)索引

* 国立中正大学资讯工程研究所教授兼教育部顾问室主任

** 国立中正大学资讯工程研究所博士生

前言

网际网路(Internet) 和全球资讯网(World Wild Web, 简称WWW)可说是二十世纪末最热门且影响最深远的资讯技术。由於网际网路的蓬勃发展与迅速成长，及其无远弗界的特性，再加上WWW 技术的推波助澜，造就了网际网路成为现代最大的资讯传播网及行销媒体。在可以预见的将来网路空间(Cyberspace) 势必发展成为二十一世纪最大的商场。

而以网际网路为应用主干的电子商务(Electronic Commerce) ，不仅为企业带来了无限商机，提供商业竞争的优势，并也逐渐地影响到国家整体经济的竞争力。因此，国内不少企业与商家纷纷投入此新兴的的电子商场，政府相关单位并积极地拟订相关政策和研拟各种因应措施，而学术研究机构也致力於安全交易架构及技术的研究发展，以因应此波电子商务热潮所衍生的资讯安全问题及交易纠纷。

本文主要探讨电子商务的交易安全和介绍电子付款系统。

一、电子商务简介

首先，我们对电子商务作一简单的介绍。电子商务发展起源於企业为了简化内部的作业流程、改善与客户间的互动，以及企业和企业伙伴间资讯交换之需求。常见的应用如银行间透过网路来做电子资金转换，企业间的电子付款，以及连锁企业利用网路来进行电子资料交换(EDI) 和电子邮件(e-mail) 的传递[1, 2, 3, 4] 。直到1990 年代WWW 技术出现於网际网路上，不但提供了网际网路一个多元化的资讯传播方式，也让电子商务的发展变得更容易。电子商务提供企业一个比较便宜的广告行销及交易方式，开辟了一个虚拟的电子商场[4]，而创造出更多的生意机会。

利用全球性的资讯分享及广告，可降低行销成本并提供快速回应且低廉的客户服务，所以大部分的企业都被电子商务所提供的经济效益，以及广阔而无国界的消费市场所吸引，积极进攻此网路商场以维持竞争力。我们可以说举凡经由网际网路所进行的资讯传送、产品行销、服务或付款的商业行为都是电子商务的范畴。

二、电子商务架构

电子商务不仅改变交易进行的方式（无实体的资讯货物、资讯服务及电子钱），与传统市场也有很大的差异，接下来我们将介绍电子商务的一般架构( 如图1 所示[2]) 。

图1 电子商务的一般架构图

( 一 ) 、网路基础架构

所谓的网路空间除了现有的资讯网路外，应该整合不同类型的传送系统及各种形式的传输网路，包括区域网路、电话线路、有线电视网、无线电及卫星通讯系统，以便发展成为资讯高速公路系统。有了完整快速的资讯网之后各种多媒体资料（含文字、声音、影像、图形及影片的），才有可能在网路上畅行无阻。而透过彼此互相连接之不同形式的传输网路，我们便可以在家里，利用PC 经由电话拨接连上网际网路，进入到美国迪士尼公司的主机，浏览该公司的各类产品，或者欣赏最新的动画电影。

( 二) 、多媒体内容及网路出版基础架构

资讯高速公路是实现多媒体资料传输的一个传送基础。WWW 是目前最流行的网路出版及资源分享的技术，个人或企业可以很容易地将研究成果或产品资讯，经由超文字标示语言（Hyper Text Markup Language, 简称HTML ）的描述，将其出版於Web 伺服器上面。除了HTML 之外，目前各种视觉或物件导向语言( 如JAVA、VB) 也都有支援多媒体内容及网路出版的相关技术。

( 三 ) 、讯息传送及资讯收发基础架构

数位化资讯在网路上传送时，是由一连串的0和1 所组成，如果没有资料类型或格式的相关资讯就无法区别资讯原来代表的意义（可能是文字、数字、声音或影像），所以讯息传送方式对格式化或未格式化的资料都要提供沟通方式，而资讯收发的同时必须处理资料的解译及转换。而为了确保电子商务的安全起见，讯息传送方式必须保证讯息在传送的过程中没有被别人偷偷地复制或变造过。

( 四) 、一般的商业服务基础架构

商业服务基础建设主要是要解决线上付款工具的不足，以及不够坚实的资讯安全防护。为了使线上付款能够成功，并且保证相关资讯能安全传递，付款服务的基础建设必须发展出具有密码编码及身分鉴别的方法，来确保资讯在网路上传递的安全性及防止冒名交易。所以安全交易及安全的线上付款工具（如：电子钱包）的研究发展是推展电子商务的首要工作，也是电子商务成败的重要关键。

( 五 )、电子商务的两大支柱

对电子商务应用及各种基础建设的推展而言，公共政策的配合和技术标准的研拟是两大重要支柱。关於著作权、隐私权的保障、消费者的保护、非法交易的侦察、网路资讯的监督，以及交易纠纷的仲裁等，都须要制定相关的公共政策及法律条文来配合。此外，为了确保整体网路的相容性，在发展各项基础建设及电子商务应用时，各种工具、使用者界面及传输协定的标准化是绝对必要的。

三、交易安全

有越来越多的公司透过网际网路来提供产品及服务资讯，但是对於在公众网路上实施线上交易仍然兢兢业业，主要原因是对於网路及交易安全仍然有所疑虑。相同的，基於交易安全的考量，许多消费者对直接在网际网路上付款也有所顾忌。目前资讯在网际网路上传送，尚有被第三者窃取或变造的可能，特别是敏感的个人及财务重要资讯( 如：帐号及密码、信用卡卡号) ；资料库或网路资源仍有被骇客侵入，而导致资料被破坏、涂改、泄漏或滥用的可能性。

如果无法保证交易可以安全地进行，消费者就不会愿意在网际网路上面提供信用卡及付款的相关资讯。而且商家为了避免发生交易纠纷，也就不敢冒然提供线上购物的服务。若要电子商务成功且蓬勃地发展，则必须提升消费者对交易可靠性的信心，以及增强公众网路对外来非法入侵的防护措施。所以，交易安全是目前电子商务发展中，急待克服且深受嘱目的问题。

( 一)、交易安全的要求

一个安全交易系统需要具备下列特质：

隐私性：交易必须保持其不可侵犯性，经由网际网路送出及接收的讯息是不能被任何闯入者读取、修改或拦截的。骇客入侵电脑系统之前，往往是利用网路窥视，并事先搜集使用者在登入系统前所输入的帐号、密码及使用者姓名等重要讯息，再冒名侵入系统。

机密性：交易不能经由公共网路来追踪，未经授权的中间人无法取得交易复本。电子商务的环境中所有的讯息交通都是保密的，讯息在成功地送达目的地之后，除了稽核资讯外，所有存在於公共环境中的相关资讯会被删除。且讯息的储存必须在具备完善保护的系统下进行。

完整性：交易一定不能被破坏或干扰。电子交易的内容在用户端和伺服器间传递的过程中确认没有被改变，也就是讯息在交易的处理过程中不能被任意地加入、删除或修改。

因此，要确保交易的安全，必须要有坚固的网路安全防卫措施（如防火墙），以及安全的资讯保密技术(如加密技术、数位签章及凭证) 之辅助。

(二)、网路安全 – 防火墙

防火墙的使用是在企业内部网路（可信赖的安全网路）和外在的公众网路（不可靠的网路环境）之间建立一道安全屏障，以阻隔外来电脑骇客的侵扰，而内部人士仍然可以对外取得整体的服务。防火墙可以说是一种安全策略的实现，只有某些合法授权或遵循特定服务规则的使用者，才可连接上企业内部受保护的网路，也就是说，防火墙强迫所有的连接都必需经由它，并让资料可以根据既定的存取规范进行审查。

路由器(Router) 过滤封包(Packets) ：第一代的防火墙技术是路由器过滤封包，由检查路由器根据检查法则来过滤通过防火墙的资讯封包，以查验出有问题的封包。

代理伺服器(Proxy Server) ：第二代的防火墙技术是代理伺服器，执行代理服务的主机电脑称为应用闸道(Application Gateway) ，位於公司网路和网际网路之间，对两边的使用者提供代理服务或中间人服务。所有进出公司网路的资讯，都必须透过此中间人代为传送。

( 三 )、 WWW 安全

为了进行电子商务，在不可信任的公众网路上，客户和伺服器之间的相互身份验证与确认是十分重要的。一个讯息进入公开的网际网路传送时，必须包含一些表示它的来源系统之资料。WWW并不会将通过它的资料予以加密，任何拦截WWW 资料传送的人都可取用包含在里面的资料。为了安全起见，Netscape公司发展出SSL (Secure Socket Layer) ，用以解决WWW 上资讯传送的安全顾虑，使用SSL 如果资料传错了目标，除了发送者及合法的接收者之外它所包含的资讯（如信用卡号码）第三者是无法阅读的。透过SSL ，资料在传送出去之前就自动加密了，并会在合法的接收端被解密。对於没有解密金钥的人来说，所收到的资料只是一堆没有意义的0 和1 而已。

( 四)、资讯保密技术

电子商务是十分依赖密码技术的，在网路上传送的资料可采用密码技术加以保护，加密过的讯息在网路上流通时就算被骇客窃取，他也无法将讯息还原(解密)。目前最常用的加密技术可归类成两种：传统( 秘密金钥) 加密法(Private-key) 和公开金钥(Public-key) 加密法[5, 6] 。

1 秘密金钥加密法(Private-key Encryption)

秘密金钥加密法又称对称(Symmetric) 加密法，讯息的加密和解密采用相同的金钥(密钥) 。所有参与者都必须完全信任且彼此了解，而每一位参与者都保有一把金钥复本。传送者和接收者在交换讯息之前，必须分享相同的金钥。而在协调产生金钥的过程中，任何有关金钥产生的讯息都必须保证不会被窃听( 透过安全通道来分配) 。一但金钥被第三者取得或算出，则讯息不保。最常被使用的秘密金钥加密法是资料加密标准(Data Encryption Standard, 简称DES)。

传统加密法速度快，适合加密大量资料。然而，在公众网路上通讯者之间的金钥分配( 金钥产生、传送和储存)是很麻烦的。所以，秘密金钥加密法很难直接应用於电子商务上，除非有安全的金钥分配方式。

2 公开金钥加密法(Public-key Encryption)

公开金钥加密法又称非对称(Asymmetric) 加密法，讯息的加密和解密采用不同的金钥，一把金钥用来加密讯息，而用另外一把金钥则用以将讯息还原。在网路上的通讯者，每人都拥有两把金钥：一把公开让所有人知道( 公钥) ，一把自己秘密保存( 密钥) 。但是两把都必须加以保护，防止被修改或窃取。假设甲方要传送资料给乙方，则甲方先用乙方的公钥将资料加密再送出，而乙方在接收到资料后，用自己的密钥就可解密而取得原来的资料了。最有名的公开金钥加密法是RSA 。

公开金钥加密法虽然没有金钥分配的问题，但是加解密计算较费时间，比较适合用来加密讯息或者摘要资料。而且放於网路上的公钥有被非法更改的可能。因此在电子商务的应用上，必须有数位凭证及可靠第三者的配合来提高安全性及可靠性，或者采用混合加密法( 即采用公开金钥加密法来分配秘密金钥加密法的金钥) 来提升加解密之速度。

3 数位签章(Digital Signature)

数位签章是由公开金钥加密法研发得来，用以证明一个讯息的来源和内容之真确性。在网路上通讯者之间无法彼此确认对方的身份，数位签章[6]可被用来验证传送者的身份。接收者可确保某一讯息确实是由传送者所送出，没有被更改过，而传送者也无法否认曾经传送过此一讯息。

其实数位签章就像我们的印章一样。通常为了证明文件是我们所发出的，我们会在文件上加盖自己的印章或亲笔签名以资证明。当传送者要传送文件之前先透过一个Hash 函数将资料转换成一段讯息摘要，再将此讯息摘要和文件一齐送出。如果中途有人修改过此文件，那麼接收者将被修过的文件经过Hash 函数重新计算过后，将会发现算出来的摘要和传送者送来的摘要不相吻合，这就表示传输的文件在中途被人动过手脚了，如此我们就能顺利侦测到别人的伪造行为了。

至於如何验证传送者的身份呢？传送者只要在讯息摘要送出前用自己的密钥加密（签章），接收方在得到加密过的摘要后如果能用传送者的公钥正确解密（验证），那麼接收方就可以百分之百确信这个文件的确来自传送方。

4 数位凭证(Digital Certificate)

公钥是在公众网路上让别人作为传送资料给自己的加密工具，如果公钥被伪造散布，那麼伪造者就可以假冒你拦截传送给你的资料，并用对等的密钥将资料解开。所以我们在传送资料之前也必须先识别对方身分，确认公钥确实是接收者的，才可将资料送出。为了做到公钥的确认，可经由公钥的认证来完成，此即数位凭证[2] 。

在电子商务的应用上我们需要一位可信赖的第三者来做公钥的认证工作。这个第三者就是所谓的凭证管理中心(Certificate Authority, 简称CA) ，而CA 必须是可被传送者和接收者信赖的角色，他会依据合法申请者的请求发出数位凭证，数位凭证里面包含了申请人的辨识资料( 姓名) 、公钥及CA 对这把公钥的签章，有CA 的签章背书后，我们就可以信赖这把公钥。在网路上只要透过CA的公钥的验证我们就可以辨识对方的身份，如此一来，不同的个体就可以在高度的信赖下进行电子商务了。

有了数位凭证的使用，我们更进一步的加强了身份的验证，藉由使用一个共同的凭证管理中心，数位凭证对电子商务交易的参与者之间的互相信任，提供了一个既简单又便利的方法。

四、安全电子交易标准(Secure Electronic Transaction, SET)

SET 是VISA和MasterCard 两大发卡组织为了确保消费者在网路上使用信用卡交易的安全与IBM 共同发起制订的安全电子交易标准[7, 8, 9] ，让使用者能在公众网路上透过安全付款协定的使用，安心地使用信用卡进行交易。

( 一) 、SET 架构

一个标准的SET 环境包含下列元件( 如图2所示[7]) ：

l SET 通讯协定：提供私密的付款资讯、信用卡认证资讯、商店及请款机构。

l 持卡人(Card Holder) ：使用含SET标准的电子钱包(Electronic Wallet) ，辅助持卡人至认证中心(CA) 取得信用卡电子证书、产生公钥及密钥、储存与管理电子证书与密钥、电子证书更新与查询、提供交易时所需的授权与SET 协定、管理交易历史资料与查询、E-Cash ，E-Check与Micropayment 的整合( 未来) 、Configuration 之设定。

l 发卡单位（Card Issuer）：提供消费者对信用卡的申请与消费之管理，发卡单位须提供持卡人一个电子钱包，由申请人经由WWW或E-mail 到认证中心认证。

l 请款机构、付款闸道(Payment Gateway)：辅助请款机构至认证中心(CA)取得信用卡电子证书、产生公钥及密钥、储存与管理电子证书与密钥、电子证书更新与查询、与收单行交换加密公钥、提供交易时所需的授权及SET 协定、提供交易后请款、清算及SET 协定、与银行主机连线、报表与历史资料记录的产生、Configuration 之设定。

l 商店(Merchant Server) ：辅助电子商家至认证中心(CA)取得信用卡电子证书、储存与管理电子证书与密钥、电子证书更新与查询、与收单行交换加密公钥、提供交易时所需的授权及SET协定、提供交易后请款与清算及SET协定、提供交易相关资料记录、回传服务、Configuration之设定。

l 认证机构(又称凭证管理中心)：提供持卡人、商店、付款闸道之认证服务。

SET架构图如图2所示：

图2 SET架构图

(二)、网际网路付款

在电子交易过程中使用者是使用电子现金和商家进行交易，电子现金顾名思义就是可在网路上流通的现金，使用现金的好处在於消费者可保持隐私，也不用像信用卡交易一样将重要的个人资料泄露出去，再加上消费者大多会在网路上交易的东西通常都是属於较低价位的资讯类产品，这时候现金就比信用卡好用多了！而且大多数的消费者对於现金的接受程度通常都比信用卡高，所以电子现金将会逐渐成为一股新主流。

在SET机制中，每个想要上网消费的消费者都必须在自己的电脑里安装一个称为「电子钱包」的软体，这个电子钱包就像真实生活中的钱包一样，负责存放消费者向银行买来的电子现金。底下，我们列出一个完整交易之过程：

步骤1： 首先消费者先向银行提领电子现金。

步骤2： 银行在验证了消费者的身份后，对消费者的真实帐户作扣款动作，并将等值的电子现金存入消费者的电子钱包。

步骤3： 当消费者透过WWW浏览器连接到网路商店观看商品并决定要购买某项商品时，他按下了「购买」键，商店端的软体就会将此商品的订单送给予消费者的电子钱包软体。

步骤4： 电子钱包就开始启动管理功能，将订单上所列的电子现金支付给商店端软体。

步骤5： 商店端在收到消费者送来的电子现金后就会传送到银行去验证这笔电子现金是否为银行发行的合法电子现金。

步骤6：如果验证无误的话银行就会通知商店验证成功，并将电子现金转成相对的真实现金金额存入商店的帐户。商店这时就可安心地将消费者所订的货品送出去了！这样就完成了一笔网路交易。

图3 网际网路付款流程

五、结论

电子商务是建立在网际网路上的一种商业应用，WWW让电子商务成为以比较低廉的成本来从事较大经济规模的商业活动。而电子商务是否可以蓬勃发展，进而掌控未来的经济命脉，则完全依赖各种资料安全技术的研究发展，以及安全交易架构之建立。

网路的应用带来商机，许多经济行为随之改变，此股热潮不仅对企业带来冲击和转机，也将引导使用者进入一个虚拟商城的购物世界。例如：没有店面的网路商店、没有柜台的网路银行、没有营业场所的网路证券商、没有会场的网路研讨会、没有纸张的电子书店及数位化图书馆及博物馆等。使用者将如何调适，政府机关将如何因应各种电子商务所引发的问题及纠纷，将是我们进入二十一世纪之前的一大挑战。

参考文献

R. Kalakota and A. B. Whinston (1996), Frontiers of Electronic Commerce, New York, Addison-Wesley publishing Company, 1996

R. Kalakota and A. B. Whinston (1997), Electronic Commerce: A Manager's Guide, New York, Addison-Wesley publishing Company, 1997.

果芸(1997) ：电子商务时代企业的新面貌，
URL：http://www.ec.org.tw/info/others/ectime.htm 。

果芸(1998) ：电子商务带来的机会与挑战，资讯与电脑，2 月号，pp. 22-25 。

张真诚(1990) ：电脑密码学与资讯安全，松岗电脑图书资料有限公司，1990 年十月第二版。

赖溪松、韩亮与张真诚(1995) ：近代密码学及其应用，松岗电脑图书资料有限公司， 1997 年五月第二版。

VISA/Master Card, "The Secure Electronic Transaction (SET) Specification," URL ：http://www.visa.com/cgi-bin/vee/sf/set , June 1996.

连维礼(1998) ：电子商业—安全交易架构，Fortune News ，12 月号，pp. 11-16 。

经济部网际网路商业应用网站，
URL： http://www.ec.org.tw/ 。