电子商务的主要安全标准课件.pptx

1、1-2 1-2 电子商务的安全标准电子商务的安全标准主讲：祝凌曦北京交通大学 交通运输学院 交通信息管理系邮箱：2-2-电子商务的安全标准电子商务的安全标准主讲：祝凌曦单位：北京交通大学办公室：土建楼321邮箱：ZHULINGXI139.COM今天，你今天，你移动支付了吗移动支付了吗？1-2 1-2 电子商务的安全标准电子商务的安全标准1.安全套接层协议 SSL 2.安全电子交易协议 SET 3.安全超文本传输协议SHTTP4.第三方支付行业数据安全标准 PCI DSS1-2 1-2 电子商务的安全标准电子商务的安全标准安全套接层协议安全套接层协议(SSL)SSL(Secure Sockets

2、 Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL为Netscape所研发，用以保障在Internet上数据传输的安全，利用数据加密(Encryption)的技术，可确保数据在网络上的传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。1-2 1-2 电子商务的安全标准电子商务的安全标准安全套接层协议安全套接层协议(SSL)DefinedProtocolYearSSL 1.0n/aSSL 2

3、.01995SSL 3.01996TLS 1.01999TLS 1.12006TLS 1.22008TLS 1.3TBD1-2 1-2 电子商务的安全标准电子商务的安全标准安全套接层协议安全套接层协议(SSL)SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、

4、协商加密算法、交换加密密钥等。1-2 1-2 电子商务的安全标准电子商务的安全标准1-2 1-2 电子商务的安全标准电子商务的安全标准安全电子交易协议 安全电子交易协议(Secure Electronic Transaction,简称SET协议)是基于信用卡在线支付的电子商务安全协议，它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET通过制定标准和采用各种密码技术手段，解决了当时困扰电子商务发展的安全问题。它已获得IETF（国际互联网工程任务组，The Internet Engineering Task Force，简称 IETF）标准的认可，已经成为事实

5、上的工业标准。SET协议还通过证书机制以及数字签名、双重数字签名等技术手段，可以为不可否认性提供重要证据。1-2 1-2 电子商务的安全标准电子商务的安全标准安全电子交易协议 SET为解决用户、商家和银行之间通过信用卡支付的交易而设计的，可以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准。1-2 1-2 电子商务的安全标准电子商务的安全标准安全电子交易

6、协议 SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。SET协议采用公钥密码体制和X.509数字证书标准，提供了消费者，商家和银行之间的认证，确保了交易数据的机密性，真实性，完整性和交易的不可否认性，特别是具有不将消费者银行卡号暴露给商家，消费者的订单信息不透漏给银行等优点。1-2 1-2 电子商务的安全标准电子商务的安全标

7、准 S-HTTP全称Secure Hypertext Transfer Protocol，即安全超文本传输协议。是面向安全信息通信的协议，可以和 HTTP 结合起来使用。S-HTTP 能与 HTTP 信息模型共存并易于与 HTTP 应用程序相整合。S-HTTP 协议为 HTTP 客户机和服务器提供了多种安全机制，是为了适用于万维网上各类潜在用户。使用 S-HTTP 的客户机能够与没有使用 S-HTTP 的服务器连接，反之亦然。S-HTTP 为客户机和服务器提供了相同的性能同时维持 HTTP 的事务模型和实施特征。虽然 S-HTTP 可以利用大多现有的认证系统，但 S-HTTP 的应用并不必依赖

8、这些系统。安全超文本传输协议1-2 1-2 电子商务的安全标准电子商务的安全标准,第三方支付行业数据安全标准PCI DSS在网上支付过程中，信用卡数据泄漏是引发的各类欺诈行为的最大隐患。但随着卡基支付的发展，原先支付卡各自为战的安全标准不利于信息保密统一标准。2004年VISA和MasterCard联合多家机构，成立了支付卡行业数据安全标准委员会（PCISSC）为了建立统一的业界标准，最大程度的降低支付卡风险，标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安全的数据安全标准，即PCI-DSS安全认证标准。1-2 1-2 电子商务的安全标准电子商务的安全标准 PCI DSS对于

9、所有涉及信用卡信息机构的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS（Payment Card Industry(PCI)Data Security Standard）信息安全标准有6大目标，12个大类要求，整个PCI安全标准基本就围绕这些项目进行的，PCI DSS1-2 1-2 电子商务的安全标准电子商务的安全标准已通过已通过PCIDSS认证但不局限于以下组织认证但不局限于以下组

10、织：华为云托付科技（厦门）有限公司（Paytos支付）网银在线（北京）科技有限公司（Chinabank)迅付信息科技有限公司（IPS支付）北京通融通信息技术有限公司（易宝支付）支付宝（中国）网络技术有限公司（Alipay)快钱支付清算信息有限公司（99Bill支付）上海汇阜信息技术有限公司（E汇通支付）易智付科技（北京）有限公司（首信易支付）深圳速汇通网络科技有限公司（速汇通支付）上海盛付通电子商务有限公司（盛付通）武汉市易收通电子科技有限公司（易收通）深圳金付网络科技有限公司（“king365pay”）汇付数据服务有限公司（汇付天下）重庆艾克沃电子商务有限公司（Ecward）中银金融商务昆山分公司（中银商务）深圳鼎付信息技术有限公司（GleePay）银联商务有限公司（ChinaUMS）上海浩付网络技术有限公司（91hpay）