电子商务安全教学课件作者张波05安全协议与安全标准

第5章平安协议与平安标准学习目的了解电子商务平安协议与平安标准的概念、属性等内容；掌握平安套接层协议、平安电子交易协议、电子支付协议等主要平安协议知识；把握常用信息平安标准和电子商务平安标准等内容。引例

匿名汇票“双重花费〞问题这第一个协议是一个有关匿名汇票的简单化的物理协议：〔1〕Alice准备了100张1000美元的匿名汇票。〔2〕Alice把每张汇票和一张复写纸放进100个不同信封内，她把这些全部交给银行。〔3〕银行开启99个信封并确认每个都是一张1000美元的汇票。〔4〕银行在余下的一个未开启的信封上签名，签名通过复写纸印到汇票上。银行把这个未开启的信封交还Alice，并从她的帐户上扣除1000美元。〔5〕Alice翻开信封并在一个商人处花掉了这张汇票。〔6〕商人检查银行的签名以确信这张汇票是合法的。〔7〕商人拿着这张汇票到银行。〔8〕银行验证它的签名并把1000美元划入这个商人的帐户。这个协议能起作用。银行从未看到它签的那张汇票，故当这个商人把它带到银行时，银行不知道它是Alice的，虽然如此，银行还是相信它有效，那是因为这个签名的缘故。这个协议防止了Alice在一张汇票上写入比她宣称的更多的钱，但它没有防止Alice将这张汇票照样复制并两次花掉它。这叫做“双重花费问题〞，为了解决这个问题，人们又需要一个复杂的协议。资料来源：肖德琴主编.电子商务平安保密技术与应用[M].广州:华南理工大学出版社,2003。5.1概述电子商务平安协议是一种特殊的应用范围很广的平安协议，它比一般的网络平安协议具有更多的平安属性，除应具有认证性、原子性、正确性和保密性之外，还应具有不可否认性、可追究性、公平性、适时中止性等重要平安属性。电子商务平安标准那么是电子商务平安活动的行动指南和操作标准。以下介绍五个关键平安属性：〔1〕认证性认证性是主体进行身份识别的过程。当外部第三方修改错误消息、重发消息、成心发送错误消息、消息不全或在网络数据丧失的情况下，不能导致任意一方支付或产品的损失。认证是最重要的平安性质之一，其他平安性质的实现都依赖于认证性。认证是分布式网络系统中的主体进行身份识别的过程。主体与认证效劳器共享一个秘密，通过对拥有此秘密的证明，主体可建立对其的信任，如在多用户环境中使用口令效劳就是一个例子。〔2〕公平性在一个协议消息交换开始前，交易双方〔或多方〕已就将要交换的项达成了一致。一个合法的参与方能按照协议标准产生消息并根据某些特定的消息推导规那么处理消息。可信第三方的参与是保证公平性的常用方法。双方直接进行通信时执行的是主协议，如果一个交易方不能从另一个参与方接收到所期望的消息，就能觉察到这一点，单边中止主协议，并根据需要向第三方发起子协议。可信第三方应能独立对交易方的请求做出响应，否那么协议隐含了交易方是老实和可靠的假设，协议就不可能到达公平性和其他平安目标。可合理地假设一个子协议只涉及一个交易方，在一次交换中一个交易方至多只需发起一个子协议即能满足其平安需求，可信第三方可通过某种安排使得子协议的执行具有原子性。〔3〕原子性一个协议的原子性是指在任何情况下，交易完成正确的金额，交换了正确的物品，或者当交易取消后就不存在金额与物品的交换。〔4〕不可否认性不可否认性是电子商务平安协议的一个重要性质。其目的在于通过通信主体提供对方参与协议交换的证据来保证其合法利益不受侵害，即协议主体必须对自己的合法行为负责，不能也无法事后否认。不可否认协议主体的目的在于收集证据，以便事后能够向仲裁方证明对方主体确实发送或接收了消息。证据一般是以签名消息的形式出现的，从而将消息与消息的发送方和接受方进行绑定。其两个根本目标是提供发送方和接收方非否认依据，即发送方非否认依据〔EOO,EvidenceofOrigin〕和接收方非否认依据〔EOR,EvidenceofReceipt〕。在不可否认协议中，主体目标互不相同。而要达成不可否认这一目标，协议必须具有证据的正确性及交易的公平性两个特点。在不可否认性之中还可引申出电子商务一些其他的相关性质，如适时中止性、公平性、可追究性等。〔5〕可追究性可追究性是指电子商务交易发生纠纷时，可通过历史信息获取交易当时的情况，从而获得解决交易纠纷的能力。另外，还有一些平安属性易于理解，如隐私性。对于商户以外的参与者，订单信息〔支付金额和产品详细信息〕等应被屏蔽。5.2商务平安协议5.2.1平安套接层协议1.SSL协议简介SSL采用对称密码技术和公开密码技术相结合，提供了如下三种根本的平安效劳：●秘密性。SSL客户机和效劳器之间通过密码算法和密钥的协商，建立起一个平安通道。以后在平安通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。●完整性。SSL利用密码算法和hash函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以防止效劳器和客户机之间的信息内容受到破坏。●认证性。利用证书技术和可信的第三方CA，可以让客户机和效劳器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户)，SSL要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。SSL协议体系结构如图5-1所示。图5-1SSL协议体系结构

从体系结构图可以看出，SSL协议可分为两层：●SSL记录协议〔SSLRecordProtocol〕：建立在可靠的传输协议〔如TCP〕之上，为高层协议提供数据封装、压缩、加密等根本功能的支持。●SSL握手协议〔SSLHandshakeProtocol〕：建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议实际上是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。〔1〕SSL记录协议SSL记录协议为SSL连接提供两种效劳：机密性和报文完整性。SSL记录协议主要操作流程如图5-2所示。图5-2SSL记录协议的操作流程〔2〕SSL警告协议SSL警告协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。警示消息有两种：●Fatal错误,如传递数据过程中发现错误的MAC,双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录。●Warning消息,这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影响。SSL握手协议可以使得效劳器和客户能够相互鉴别对方,协商具体的加密算法和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。〔3〕SSL修改密文协议为了保障SSL传输过程的平安性,客户端和效劳器双方应该每隔一段时间改变加密标准。所以有了SSL修改密文协议。SSL修改密文协议是三个高层的特定协议之一,也是其中最简单的一个。在客服端和效劳器完成握手协议之后,它需要向对方发送相关消息(该消息只包含一个值为1的单字节)，通知对方随后的数据将用刚刚协商的密码标准算法和关联的密钥处理，并负责协调本方模块按照协商的算法和密钥工作。〔4〕SSL握手协议SSL握手协议被封装在记录协议中，该协议允许效劳器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时，效劳器与客户机交换一系列消息。这些消息交换能够实现如下操作：●客户机认证效劳器；●允许客户机与效劳器选择双方都支持的密码算法；●可选择的效劳器认证客户；●使用公钥加密技术生成共享密钥；●建立加密SSL连接；1〕SSL握手协议报文头由三个字段构成●类型〔1字节〕：该字段指明使用的SSL握手协议报文类型。●长度〔3字节〕：以字节为单位的报文长度。●内容〔≥1字节〕：使用的报文的有关参数。2〕SSL握手协议的报文类型〔表5-1〕报文类型参数hello_request空client_hello版本、随机数、会话ID、密文族、压缩方法server_hello版本、随机数、会话ID、密文族、压缩方法certificatex.509V3证书链server_key_exchange参数、签名certificate_request类型、授权server_done空certificate_verify签名client_key_exchange参数、签名finishedHash值表5-1SSL握手协议报文类型3〕SSL握手协议的过程图5-4SSL握手协议的过程〔带*的传输是可选的，或者与站点相关的，并不总是发送的报文〕2.SSL协议平安性分析〔1〕系统不符合国务院最新公布的?商用密码治理条例?中对商用密码产品不得使用国外密码算法的规定，要通过国家密码治理委员会的审批会碰到相当困难。〔2〕系统平安性差。SSL协议的数据平安性其实就是建立在RSA等算法的平安性上，因此从本质上来讲，攻破RSA等算法就等同于攻破此协议。不过SSL协议的逻辑表达在SSL握手协议上，SSL握手协议本身是一个很复杂的过程，情况也比较多，因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的，所以研究SSL协议的逻辑正确性是一个很有价值的问题。另外，SSL协议在“重传攻击〞上，有它独到的解决方法。SSL协议为每一次平安连接产生了一个128位长的随机数——“连接序号〞。然而，SSL协议并没有从根本上解决“信息重传〞这种攻击方法，有效的解决方法是采用“时间戳〞。5.2.2平安电子交易协议1.SET协议简介〔1〕SET协议的构成及功能SET支付系统主要由持卡人〔CardHolder〕、商家〔Merchant〕、发卡行〔IssuingBank〕、收单行〔AcquiringBank〕、支付网关〔PaymentGateway〕、认证中心〔CertificateAuthority〕等六个局部组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。SET协议是信用卡在因特网上进行支付的一种开放式平安协议和格式。解决持卡人、商家和银行之间通过信用卡来进行网上支付的交易，旨在保证支付命令的机密性、支付过程的完整性、商家以及持卡人身份的合法性以及可操作性。SET使用多种密钥技术来到达平安交易的要求，其中对称密钥技术、公钥加密技术和Hash算法是其核心。综合应用以上三种技术产生了数字签名、数字信封、数字证书等加密与认证技术。〔2〕SET协议的工作过程

SET协议的工作过程中要对商家、客户、支付网关等交易各方进行身份认证，因此它的工作过程相对复杂。具体流程如图5-5所示：图5-5SET协议的工作过程2.SET协议平安性分析SET协议提供了多层次平安保障，复杂程度显著增加；这些平安环节在一定程度上增加了交易的复杂性。另外，SET协议目前只局限于银行卡的网上支付，对其他方式的支付没有给出很好的解决方案。SET协议只支持B2C模式的电子商务，而不支持目前最具有前途和影响力的B2B电子商务交易。SET由于其高度的平安性和标准性，使其逐步开展成为目前平安电子支付的国际标准。由于SSL协议的本钱低、速度快、使用简单，对现有网络系统不需进行大的修改，因而目前取得了广泛的应用。但随着电子商务规模的扩大，网络欺诈的风险性也在提高，在未来的电子商务中SET协议将会逐步占据主导地位。3.SET协议与SSL协议的比较SSL和SET是当前在电子商务中应用最为广泛的平安协议．两者的差异主要表达在以下几个方面。〔1〕在认证要求方面〔2〕在平安性方面〔3〕在网络层协议位置方面〔4〕在应用领域方面〔5〕在用户接口方面〔6〕在处理速度方面5.2.3电子支付专用协议1.NetBill协议Netbill协议涉及三方：客户、商家及Netbill效劳器。客户持有的Netbill帐号等价于一个虚拟电子信用卡帐号。协议步骤如下〔图5-6所示〕：图5-6NetBill协议流程2.FirstVirtual协议〔1〕客户户把在FirstVirtual的ID号发给商家；〔2〕商家联结FirstVirtual效劳器验证ID号的合法性，如果合法，商家把客户所需的信息直接发送给客户；〔3〕FirstVirtual效劳器向客户以E－mail形式发送询问信息，征询客户是否愿意为其付费，客户同样以E－mail形式回复“是〞或“否〞。如果客户的回复为“是〞，FirstVirtual通过用户信用卡的代理获得相应的款项；〔4〕在90天的延时后，FirstVirtual效劳器将款项转给相应的商家。3.iKP协议iKP(i－Key－Protocol，i=1，2，3)是一族平安电子支付协议。该族协议与现有的商业模式和支付系统根底设施相匹配。所有的iKP协议都基于公钥密码学，但它随着拥有自己公钥对的成员数目而变化，分别称为1KP协议、2KP协议和3KP协议，其平安性和复杂性递增。〔1〕1KP协议是最简单的协议，它只要求支付网关拥有一对公私钥，用户和商户只需拥有支付网关认证了的公钥或经一个权威机构认证了的支付网关公钥(该机构通过签名证书来使支付网关的公钥合法化)。〔2〕2KP协议要求支付网关和商户都拥有公钥对和公钥证书。〔3〕3KP协议要求支付网关、顾客和商人三方都拥有公钥对，并提供完全的多方平安。5.2.4平安超文本传输协议1.S-HTTP简介2.S-HTTP与SSL的比较S-HTTP和SSL是从不同角度提供Web的平安性的。S－HTTP建立在HTTP之上，旨为HTTP事务提供身份认证和加密手段。SSL那么建立在HTTP的下一层，并可用于FTP、Gopher等其他协议。S-HTTP对单个文件作“私人/签字〞之区分，而SSL那么把参与相应进程之间的数据通道接“私用〞和“已认证〞进行监管。S-HTTP是应用层的加密协议，它能感知到应用层数据的结构，而不是像SSL一样完全当作流来处理，也就是说，S-HTTP把消息当成对象进行签名或加密传输，而SSL那么主动把数据流分帧处理，而不理会消息的边界。也由于这样，S-HTTP可以提供基于消息的抗抵赖性证明，而SSL不可以。因此，S-HTTP比SSL更灵活，功能更强大，但是实现较困难，而使用也更困难，也因此现在使用基于SSL的HTTPS要比S-HTTP要更普遍。目前SSL根本取代了S-HTTP。大多数Web贸易均采用传统的Web协议，并使用SSL加密的HTTP来传输敏感的账单信息。5.2.5平安电子邮件协议1.PEM标准PEM是通过Internet传输平安性商务邮件的非正式标准。它提供了四种平安效劳：●数据隐蔽:使数据免遭非授权的泄露,防止有人半路截取和窃听。●数据完整性:提供通信期间数据的完整性可用于侦查和防止数据的伪造和篡改。●对发送方的鉴别:用来证明发送方的身份防止有人冒名顶替。●防发送方否认:结合上述功能,防止发送方事后不成认发送过此文件。PEM目前尚未提供存取控制和防接收方否认等平安功能。PEM对报文的处理包括如下过程：1〕做标准化处理：为了使PEM与MTA(报文传输代理)兼容，按SMTP协议对报文进行标准化处理；2〕MIC(MessageIntegrityCode)计算；3〕把处理过的报文转化为适于SMTP系统传输的格式。2.S/MIME多用途网际邮件扩充协议(SecureMultipurposeInternetMailExtensions.S/MIME)是多功能电子邮件扩充报文根底上添加数字签名和加密技术的一种协议，它是从PEM和MIME开展而来的。具体来说，MIME允许邮件包括：●单个消息中可含多个对象；●文本文档不限制一行长度或全文长度；●可传输ASCII以外的字符集，允许非英语语种的消息；●多字体消息；●二进制或特定应用程序文件；●图象、声音、视频及多媒体消息。5.2.6电子数据交换协议1.EDI的根本原理〔1〕映射〔Mapping〕——生成EDI平面文件〔2〕翻译〔Translation〕——生成EDI标准格式文件〔3〕通信——这一步由计算机通信软件完成〔4〕EDI文件的接受和处理2.EDI的平安威胁与平安策略

〔1〕EDI系统的平安威胁●冒充：MTA之间是以交换明文形式的MTA名称彼此证实的，一个未知的MTA可能会通过发送一个的MTA而与其它的MTA互连，冒名顶替、偷窃工作资源和信息。●篡改数据：篡改数据除破坏数据的完整性外，还包括在递交不可抵赖之后对源点本地存储的文电内容作篡改，以及在投递不可抵赖后对接收端存储的报文内容作出篡改。●偷看、窃取数据：这是指EDI系统的用户及外来者未经授权偷看或窥视他人的文电内容以获取商业秘密。●报文丧失：EDI系统中的报文丧失主要有三种情况，一是UA、MS或MTA的错误而丧失文电；二是因平安保密措施不当而丧失文电；三是在不同的责任区域之间传递时丧失报文。●抵赖或矢口否认：EDI处理的合同、订单等贸易数据，在起草、递交、投递等环节中都可能发生抵赖或否认，尤其是在MHS环境中，由于采用自动转发、重新定向等效劳方式，危险性就更大了。●拒绝效劳：因局部系统的失误及通信协议的不一致会导致系统中断，从而拒绝效劳。局部系统出于自我保护目的而成心中断通信更会导致拒绝效劳。〔2〕EDI系统的平安策略针对上述EDI应用所面临的威胁和攻击，EDI系统的平安策略应是：●他人无法冒充合法用户利用网络及其资源；●他人不能非法窃取或偷看报文的内容；●他人无法篡改、替换或扰乱数据；●与报文交换有关的各种活动及其发生时间均有准确、完整的记录和审计；●确保报文在交换过程中不丧失；●防止因自然灾害、人为原因和机器故障而引起的系统拒绝效劳。为实现这些目标,EDI系统中的用户所需求的平安业务主要有以下几种：●鉴别：包括源点鉴别和实体鉴别，即要能准确鉴别报文的来源。●用户身份识别。它包括访问控制和证书管理两方面的内容。前者确保只有合法用户才能进入EDI系统；后者为合法用户签发证书并实行有效管理。●数据保密与数据完整性：保护数据不被第三者得悉，不被篡改、乱序、删除和重复。●防抵赖：即源点不可抵赖、接收不可抵赖和回执不可抵赖。5.2.7IPSec平安协议1.IPSec根本概念IPSec〔InternetProtocolSecurity〕是通过对IP协议〔互联网协议〕的分组进行加密和认证来保护IP协议的网络传输协议族〔一些相互关联的协议的集合〕。IPSec由两大局部组成：〔1〕建立平安分组流的密钥交换协议；〔2〕保护分组流的协议。前者为互联网密钥交换〔IKE〕协议。后者包括加密分组流的封装平安载荷协议〔ESP协议〕或认证头协议〔AH协议〕，用于保证数据的机密性、来源可靠性〔认证〕、无连接的完整性并提供抗重播效劳。IPSec能提供的平安效劳包括访问控制、无连接的完整性、数据源认证、拒绝重发包〔局部序列完整性形式〕、保密性和有限传输流保密性。IPSec通过使用基于密码学的保护效劳、平安协议和动态密钥管理，可实现以下目标：〔1〕认证IP报文的来源〔2〕保证IP数据报的完整性〔3〕确保IP报文的内容在传输过程中未被读取〔4〕确保认证报文没有重复2.IPSec协议结构图5-7显示了IPSec的体系结构、组件及各组件间的相互关系。IPSec组件包括平安协议认证头(AH)和封装平安载荷(ESP)，平安联结(SA)、密钥交换(IKE)及加密和验证算法等。图5-7IPSec的体系结构IPSec的处理简图如图5-8：图5-8IPSec处理简图〔1〕IPSecAH——IPSec认证头协议AH协议头格式如图5-9所示：上层协议负荷长度保留字段安全参数索引值序号认证数据图5-9AH协议头格式〔2〕IPSecESP——IPSec封装平安负载ESP头(包)的格式如图5-10所示：图5-10ESP头(包)的格式〔3〕IPSecIKE——Internet密钥交换协议Internet密钥交换〔IPSecInternetKeyExchangeProtocol，IPSecIKE〕是IPSec体系结构中的一种主要协议。它是一种混合协议，使用局部Oakley和局部SKEME，并协同ISAKMP提供密钥生成材料和其它平安连系，比方用于IPSecDOI的AH和ESP。IKE的实施必须支持以下的属性值：●DES用在CBC模式，使用弱、半弱、密钥检查；●MD5[MD5]和SHA[SHA]；●通过预共享密钥进行认证；●缺省的组1上的MODP。〔4〕IPSecISAKMP——Internet平安连接和密钥管理协议Interne平安连接和密钥管理协议〔InternetSecurityAssociationandKeyManagementProtocol，ISAKMP〕是IPSec体系结构中的一种主要协议。该协议结合认证、密钥管理和平安连接等概念来建立政府、商家和因特网上的私有通信所需要的平安。ISAKMP关于DOI定义如下方面：1〕特定DOI协议标识的命名模式；2〕位置字段解释；3〕可应用平安策略集；4〕特定DOISA属性语法；5〕特定DOI有效负载目录语法；6〕必要情况下，附加密钥交换类型；7〕必要情况下，附加通知信息类型。3.IPSec工作原理IPSec的工作原理〔如图5-11所示〕类似于包过滤防火墙。图5-11IPSec工作原理(1)IPSec流出处理1〕查找适宜的平安策略。从IP包中提取出“选择符〞来检索SPD，找到该IP包所对应的流出策略，之后用此策略决定对该IP包如何处理：绕过平安效劳以普通方式传输此包或应用平安效劳。2〕查找适宜的SA。根据策略提供的信息，在平安关联数据库中查找为该IP包所应该应用的平安关联SA。如果此SA尚未建立，那么会调用IKE，将这个SA建立起来。此SA决定了使用何种根本协议(AH或ESP)，采用哪种模式(隧道模式或传输模式)，以及确定了加密算法，验证算法，密钥等处理参数。3〕根据SA进行具体处理。根据SA的内容，对IP包的处理将会有几种情况：使用隧道模式下的ESP或AH协议，或者使用传输模式下的ESP或AH协议。(2)IPSec流入处理1〕IP包类型判断：如果IP包中不包含IPSec头，将该包传递给下一层；如果IP包中包含IPSec头，会进入下面的处理。2〕查找适宜的SA：从IPSec头中摘出SPI，从外部IP头中摘出目的地址和IPSec协议，然后利用<SPI，目的地址，协议>在SAD中搜索SPI。如果SA搜索失败就丢弃该包。如果找到对应SA，那么转入以下处理。3〕具体的IPSec处理：根据找到的SA对数据包执行验证或解密进行具体的IPSec处理。4〕策略查询：根据选择符查询SPD，根据此策略检验IPSec处理的应用是否正确。最后，将IPSec头剥离下来，并将包传递到下一层，根据采用的模式的不同，下一层或者是传输层，或者是网络层。运用IPSec进行平安通信的大体步骤是：1〕使用IKE协议协商IPSecSA；2〕在建立好IPSecSA的根底上，进行通信；3〕通信完毕，撤销IPSecSA；4〕当IPSecSA撤销以后，与其相应的其他SA也要进行撤销。5.3商务平安标准

5.3.1常用信息平安标准1.美国可信计算机系统评估标准〔TCSEC〕2.欧洲信息技术平安评估准那么〔ITSEC〕3.加拿大可信计算机产品评估准那么〔CTCPEC〕4.美国联邦信息技术平安准那么〔FC〕5.联合公共准那么〔CC〕6.ISO-17799/27001与BS7799信息平安管理标准7.系统平安工程能力成熟度模型〔SSE-CMM〕它们的关系如图5－12所示。图5-12几个重要的信息平安国际标准的关系8.我国计算机信息系统平安保护等级划分准那么国内主要是等同采用国际标准。中华人民共和国国家标准GB17859-1999?计算机信息系统平安保护等级划分准那么?的发布为计算机信息系统平安法规和配套标准的制定和执法部门的监督检查提供了依据，为平安产品的研制提供了技术支持，为平安系统的建设和管理提供了技术指导，是我国计算机信息系统平安保护等级工作的根底。我国?计算机信息系统平安保护等级划分准那么?将计算机信息系统平安保护能力划分为五个等级：用户自主保护级、系统审计保护级、平安标记保护级、结构化保护级和访问验证保护级。计算机信息系统平安保护能力随着平安保护等级的增高，逐渐增强。高级别的平安要求是低级别要求的超集。主要的平安考核指标有身份认证、自主访问控制、数据完整性、审计等，这些指标涵盖了不同级别的平安要求。5.3.2电子商务平安标准1999年12月14日，在美国加州旧金山的St.Francis饭店，公布了世界上第一个INTERNET商务标准〔TheStandardforInternetCommerce,Version1.0–1999〕。这一标准是由Ziff-Davis杂志牵头，组织了301位世界著名的INTERNET和IT业巨头、相关记者、民间团体、学者等经过半年时间，对七项、47款标准进行了两轮投票后才最终确定。虽只是1.0版，但已经在相当程度上标准了利用INTERNET从事零售业的网上商店需要遵从的标准，每一款项都注明是“最低要求〞，还是“最正确选择〞。如果一个销售商宣称自己的网上商店符合这一标准，那它必须到达所有的最低标准。虽然它的制定完全是按照美国标准，但显然对我国正在起步的电子商务事业有相当的参考价值。商务部称到2015年将建成电子商务法规标准体系商务部计划到2015年，建立协同、高效的电子商务管理与服务体制，逐步完善规范、诚信的电子商务交易环境；电子商务成为企业拓展市场、推动“中国制造”转型升级的有效手段、消费者方便安全消费的重要渠道；电子商务服务业形成规模，成为我国现代商贸流通体系建设的重要组成部分。同时商务部还将针对电子商务交易、信用、物流、供应链协同、融资服务等环节，制订一批具有前瞻性、可行性、开放性、兼容性的法规、规范、标准，维护电子商务交易秩序，防范交易风险。此外商务部还将建立电子商务信用体系。制订电子商务信用规范，指导建立电子商务纠纷投诉与调解机构，鼓励实名投诉与消费维权，加强消费监督；支持建立覆盖