如何通过电子支付安全地完成整个交易过程，又是人们在选择网上交易时所必须面对的而且是首先要考虑的问题。就目前而言，虽然电子支付安全问题还没有形成一个公认的成熟的解决办法，但人们还是不断通过各种途径进行大量探索，SSL安全协议和SET安全协议就是这种探索的两个重要结果，它们已经广泛在国际间的电子支付中使用。
　　（一）SSL安全协议
　　SSL安全协议最初是由Netscape Communication公司设计开发的，又叫安全套接层（Secure Sockets Layer）协议，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及了所有TCP/IP应用程序。
　　SSL安全协议主要提供三方面的服务：
　　1．认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。
　　2．加密数据以隐藏被传送的数据。
　　3．维护数据的完整性，确保数据在传输过程中不被改变。
　　4．SSL安全协议的动作步骤
　　SSL安全协议的运行步骤包括六步：
　　（1）接通阶段。客户通过网络向服务商打招呼，服务商回应。
　　（2）密码交换阶段。客户与服务商之间交换双方认可的密码。一般选用RSA密码算法，也有的选用Diffie-Hellman和Fortezza-KEA密码算法。
　　（3）会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码。
　　（4）检验阶段。检验服务商取得的密码。
　　（5）客户认证阶段。验证客户的可信度。
　　（6）结束阶段。客户与服务之间相互交换结束的信息。
　　当上述动作完成之后，两者间的资料传送就会加以密码，等到另外一端收到资料后，再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的宇密码算法，也不能获得可读的有用资料。
　　在电子商务交易过程中，由于有银行参与，按照SSL协议，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户。
5．SSL安全协议的应用
　　SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议，至今仍能有许多网上商店在使用。然而，在使用时，SSL协议根据邮购的原理进行了部分改进。在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家再把商品寄给客户。这里，商家是可以信赖的，所以，客户须先付款给商家。在电子商务的开始阶段，商家也是担心客户购买后不付款，或使用过期废的信用卡，因而希望银行给予认证。SSL安全协议正是在这种背景下应用于电子商务的。
　　SSL协议运行的基点是商家对客户信息保密的承诺。如美国著名的亚马逊（Anazon）网上书店在它的购买说明中明确且示：“当你在亚马逊公司购书时，受到‘亚马逊公司安全购买保证’保护，所以，你永远不用为你的信息卡安全担心①”。但在上述流程中我们也可以注意到，SSL协议有利于商家而不利于客户。客户的信息首先是必要的，但整个过程中缺少了客户对商家的认证。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出。SSL协议的缺点完全暴露出来。SSL协议逐渐被新的SSL协议所取代。
　　目前我国开发的电子支付系统，无论是中国银行的长城卡电子支付系统，还是上海长作电信局的网上支付系统，均没有采用SSL协议。主要原因就是无法保证客户资金的安全性。
　　（二）SET安全协议
　　在开放的因特网上处理电子商务，如何保证买卖双方传输数据的安全成为电子商务能否普及的最重要的问题。为了克服SSL安全协议的缺点，两大信用卡组织，Visa和 Master-Card，联合开发了SET电子商务交易安全协议。这是一个为了在因特网上进行在线交易的而设立的一个开放的以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。由于设计合理，SET协义得到了IBM、HP、Microsoft 、Netscape、 VeriFone、 GTE、 VeriSign等许多大公司的支持，已成为事实上的工业标准。目前，它已获得IETF标准的认可。
　　安全电子交易是基于因特网的卡基支付，是授权业务信息传输的安全标准，它采用RSA公开密钥体系对通信双方进行认证，利用DES、RC4或任何标准对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪，有无涂改。在SET体系中有一个关键的认证机构（CA），CA根据X.509标准发布和管理证书。
　　1．SET安全协议运行的目标
　　SET安全协议要达到的目标主要有五个：
　　（1）保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。
　　（2）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。
　　（3）解决两方认证问题。不仅要对消息者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。
　　（4）保证网上交易的实时性，使所有的支付过程都是在线的。
　　（5）效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。
　　2．SET安全协议涉及的范围
　　SET协议规范所涉及的对象有：
　　（1）消费者。包括个人消费者和团体消费者，按照在线商店的要求填写订货单，通过发卡银行发选择信用卡进行付款。
　　（2）在线商店。提供商品或服务，具备相应电子货币使用的条件。
　　（3）收单银行。通过支付网关处理消费者和在线商店之间的交易付款问题。
　　（4）电子货币（如智能卡、电子现金、电子钱包）发行公司，以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付工作。
　　（5）认证中心（CA）。负责对交易对方的身份确认，对厂商信誉度和消费者的支付手段进行认证。
　　SET协议规范的技术范围包括：
　　（1）加密算法的应用（例如RSA和DES）。
　　（2）证书信息和对象格式。
　　（3）购买信息和对象格式。
　　（4）认可信息和对象格式。
　　（5）划帐信息和对象格式。
　　（6）对话实体之间消息的传输协议
　　3．SET安全协议的工作原理

　　根据SET协议的工作流程图，可将整个工作程序分为下面七个步骤：
　　（1）消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上在线输入货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。

　　（2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。
　　（3）消费者选择付款方式，确认订单，签发付款指令。此时SET开始介入。
　　（4）在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。
　　（5）在线商店接受订单后，向消费者所在银行请求支付订单。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。
　　（6）在线商店发送订单信息给消费者。消费者端软件可记录交易日志，以备将来查询。
　　（7）在线商店发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。
　　在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结一天的帐。
　　前两步与SET无关，从第三步开始SET起作用，一直到第七步。在处理过程中，通信协议、请求信息格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，消费者、在线商店、支付网关都通过CA来验证通信主体的身份，以确保通信和对方不是冒名顶替。所以，也可以简单地认为，SET规格充分发挥了认证中心的作用，以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性。
　　4．SET安全协议的缺陷
　　从1996年4月SET安全协议1.0版面市以来，大量的现场实验和实施效果获得了商业界的支持，促进SET良好的发展趋势。但细心的观察家也发现了一些问题。这些问题包括：
　　（1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。否则的话，在线商品提供的货物不符合质量标准，消费者提出疑义，责任由谁承担。
　　（2）协议没有担保“非拒绝行为”，这意味在线商店没有办法证明订购不是由签署证书的消费者发出的。
　　（3）SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。
　　SET存在的缺陷促使人们设法改进它。中国商品交易中心、中国银行和上海长途电信局都提出了自己的设计方案。　　读者可以从本书提供的案例中发现这些方案的可取之处。
　　美国安全第一网络银行（SFNB）因特网的网址为:http://www.Sfnb.com
　　参见因特网：http://www.com/lbidos/subst/help/payment.html