电子商务支付系统的安全要求包括：保密性、认证、数据完整性、交互操作性等。目前，国内外使用的保障电子商务支付系统安全的协议包括：SSL（Secure Socket Lay-er,安全套按字层）、SET（Secure Electronic Transaction）等协议标准。

　　2.1 SSL协议

　　安全套接层方法(Secure Socket Layer, SSL)协议在网络上普遍使用，能保证双方通信时数据的完整性、保密性和互操作性，在安全要求不太高时可用。它包括：

　　（1）握手协议。即在传送信息之前，先发送握手信息以相互确认对方的身份。确认身份后，双方共同持有一个共享密钥。
　　（2）消息加密协议。即双方握手后，用对方证书(RSA公钥)加密一随机密钥，再用随机密钥加密双方的信息流，实现保密性。

　　由于他被IE，NESCAPE等浏览器所内置，实现起来非常方便。目前的B-C网上支付大多采用这种办法。利用招商银行提供的网上支付接口可以很方便的实现基于此协议的网上支付。
　　SSL使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传送给商家。它等价于使用一个安全电话连接将用户的信用卡通过电话读给商家。

　　SSL交易过程图

　　虽然SSL握手协议可以用于双方互相确认身份，但实际上基本只使用客户认证服务器身份，即单方面认证。这一协议不能防止心术不正的商家的欺诈,因为该商家掌握了客户的信用卡号。商家欺诈是SSL协议所面临的最严重的问题之一。另外由于加密算法受到美国加密出口的限制，浏览器和Web Server都存在所谓的"512/40"的问题。既DES对称加密为40位，RSA加密为512位。加密强度偏低使B-C的SSL协议难于推广到有更高要求的B-B领域。

　　2.2 安全电子交易协议SET

　　SET是实现在开放的网络（Internet或公众多媒体网）上使用付款卡（信用卡、借记卡和取款卡等）支付的安全事务处理协议。它的实现不需要对现有的银行支付网络进行大改造。该协议的1.0版本于1997年5月31日发布。

　　SET规定了电子商务支付系统各方购买和支付消息传送的流程。附图为SET协议结构流程图。可见，电子商务支付系统的交易三方为：持卡人、商家和支付网关。交易流程为：

　　（1）持卡人决定购买，向商家发出购买请求；
　　（2）商家返回同意支付等信息；
　　（3）持卡人验证商家身份，将定购信息和支付信息安全传送给商家，但支付信息对商家来说是不可见的（用银行公钥加密）；
　　（4）商家验证支付网关身份，把支付信息传给支付网关，要求验证持卡人的支付信息是否有效；
　　（5）支付网关验证商家身份，通过传统的银行网络到发卡行验证持卡人的支付信息是否有效，并把结果返回商家；
　　（6）商家返回信息给持卡人，送货；
　　（7）商家定期向支付网关发送要求支付信息，支付网关通知卡行划帐，并把结果返回商家，交易结束。

　　安全电子交易使用的安全技术包括：加密（公开密钥加密、秘密密钥加密）、数字信封、数字签名、双重数字签名、认证等。它通过加密保证了数据的安全性，通过数字签名保证交易各方的身份认证和数据的完整性，通过使用明确的交互协议和消息格式保证了互操作性。

　　由于它实现起来比较复杂，每次交易都需要经过多次加密、HASH及数字签名，并且须在客户端安装专门的交易软件。因此现在使用该协议的电子支付系统并不多。目前中国银行的网上银行中的支付方式是基于SET。