一、SSL协议简介

SSL是Secure Socket Layer的缩写，中文名为安全套接层协议层。使用该协议后，您提交的所有数据会首先加密后，再提交到 易邮箱，从而可以有效防止黑客盗取您的用户名、密码和通讯内容，保证了您个人内容的安全。

四、https介绍

　　HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议

　　它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回 络上传送回的结果。HTTPS实际上应用了Netscape 的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL 使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。。

　　https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

　　它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由 景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维 上安全敏感的通讯，例如交易支付方面。

　　限制

　　它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.

　　一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡 不被偷窃。”实际上，与服务器的加密连接中能保护银行卡 的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在 站传输客户数据时发生，攻击者尝试窃听数据于传输中。

　　商业 站被人们期望迅速尽早引入新的特殊处理程序到金融 关，仅保留传输码(transaction number)。不过他们常常存储银行卡 在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。

五、以银行卡在SSL协议支持下进行 上支付为例，说明利用银行卡进行B2C 上支付的过程。

以银行卡在SSL协议支持下进行 上支付为例，说明利用银行卡进行B2C 上支付的过程：

SSL协议是 Netscape Communication公司推出在 络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和 文完整性。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。
　　1.SSL协议提供的服务主要有
　　(1)用户和服务器的合法性认证；
　　(2)加密数据以隐藏被传送的数据；
　　(3)维护数据的完整性，确保数据能完整准确地传输到目的地。
　　该协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式,它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。
　　2.SSL协议的工作流程
　　(1)接通阶段：客户通过 络向服务商发送连接信息，服务商回应；
　　(2)密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；
　　(3)会谈密码阶段：客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；
　　(4)检验阶段：服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。
　　(5)客户认证阶段：服务器通过数字签名验证客户的可信度；
　　(6)结束阶段，客户与服务商之间相互交换结束的信息。SSL协议运行的基点是商家对客户信息保密的承诺。从SSL 协议所提供的服务及其工作流程可以看出，该协议有利于商家而不利于消费者。客户的信息首先传到商家，商家阅读后再传给银行，这样，客户资料的安全性便受到威胁。商家认证客户是必要的，但整个过程中，缺少了客户对商家的认证。在电子商务的初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为 上信用卡支付提供了全球性的标准。

 SSL协议是两层协议，建立在TCP传输控制协议之上、应用层之下，并且与上层应用协议无关，可为应用层协议如HTTP、FTP、SMTP等提供安全传输，通过将HTTP与 SSL相结合，Web服务器就可实现客户浏览器与服务器间的安全通信。因此简便易行是SSL协议的最大优点，但与此同时其缺点也是显而易见的。首先，在交易过程中，客户的信息先到达商家那里，这就导致客户资料安全性无法保证；其次，SSL只能保证资料传递过程的安全性，而传递过程是否有人截取则无法保证；再次，由于SSL协议的数据安全性是建立在RSA等算法上，因此其系统安全性较差；最后，虽然SSL协议中也使用了数字签名来保证信息的安全，但是由于其不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这就造成了SSL协议在电子银行应用中的最大不足。

 客户在ICBC特约 站选定货物后，根据 站提示或链接，去虚拟收银台付款。点击中国工商银行在线支付图标，客户将被带到ICBC 上支付页面，订单信息加密传递到ICBC 站且不可更改。客户只需根据画面提示，输入自己的ICBC 上银行登录卡 及支付密码，确认提交即可。系统会提示 上支付是否成功，如果失败则提示失败原因。

进行 上支付的客户必须开通本人某张牡丹信用卡的 上支付功能。

由于 络速度、银行验证等原因，如果支付后不能及时显示结果，请耐心等待。如果长时间未有响应，可以返回工行支付平台界面重复提交申请。如果系统提示“已提交申请，请勿重复提交”，则说明该笔支付正在处理中。

 银行卡进行B2C 上支付条件：

　　1、申请成为农行电子商务B2C特约商户必须具备以下条件：

　　（1）在当地工商行政管理部门注册登记，并具有经营资格的企业、事业单位；

　　（2）在农业银行开立用于电子支付的资金结算账户；

　　（3）在电子渠道建有销售商品或提供服务的电子商务平台，并能通过电子渠道与农业银行电子商务支付系统进行安全稳定的链接；电子账单商户（缴费类）可以不自行搭建电子商务平台；

　　（4）企业的经营行为符合国家的相关法律法规且信誉良好；

　　（5）农业银行规定的其他条件。

　　2、商户办理B2C特约商户注册申请需提供资料包括：

　　（1）企业营业执照（政府机关、事业单位需提供事业单位登记证书或主管部门出具的有效批文等符合《人民币银行结算账户管理办法》规定的证明文件）原件和复印件；

　　（2）法定代表人、经办人员、商户操作员的有效身份证件原件和复印件；

　　（3）法人（法定代表人）授权委托书；

　　（4）《ICP经营许可证》或备案证等由**等部门颁发的 上经营许可证明文件；

　　（5）《域名注册证》或其他对所提供域名享有权利的证明；

　　（6）商户标识LOGO。

银行卡进行B2C 上支付流程：

http://blog.itpub.net/14466241/viewspace-669742

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树支撑应用程序的协议应用层的作用22337 人正在系统学习中 相关资源：Ztrans丹诚软件Z39.50客户端-其它工具类资源-CSDN文库