2-电子商务的主要安全标准.pptx

1、单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,1-2,电子商务的安全标准,主讲：祝凌曦北京交通大学 交通运输学院 交通信息管理系,邮箱：,zhulingxi,2-,电子商务的安全标准,主讲：祝凌曦单位：北京交通大学,办公室：土建楼,321,邮箱：,ZHULINGXI,今天，你,移动支付了吗,？,1-2,电子商务的安全标准,1.,安全套接层协议,SSL,2.,安全电子交易协议,SET,3.,安全超文本传输协议,SHTTP,4.,第三方支付行业数据安全标准,PCI DSS,1-2,电子商务的安全标准,安全套接层协议,(SSL),SSL(Secure Socke

2、ts Layer,安全套接层,),及其继任者,传输层安全,（,Transport Layer Security,，,TLS,）是为,网络通信,提供安全及,数据完整性,的一种安全协议,。,TLS,与,SSL,在,传输层,对,网络,连接进行加密,。,SSL,为,Netscape,所研发，用以保障在,Internet,上,数据传输,的安全，利用,数据加密,(Encryption),的技术，可确保数据在,网络,上的传输过程中不会被截取及,窃听,。,SSL,协议位于,TCP/IP,协议,与各种,应,用层协议之间，为,数据通讯,提供安全,支持。,1-2,电子商务的安全标准,安全套接层协议,(SSL),De

3、fined,Protocol,Year,SSL 1.0,n/a,SSL 2.0,1995,SSL 3.0,1996,TLS 1.0,1999,TLS 1.1,2006,TLS 1.2,2008,TLS 1.3,TBD,1-2,电子商务的安全标准,安全套接层协议,(SSL),SSL,协议位于,TCP/IP,协议,与各种,应用层,协议之间，为,数据通讯,提供安全支持,。,SSL,协议可分为两层：,SSL,记录协议（,SSL Record Protocol,）,：,它,建立在可靠的,传输协议,（如,TCP,）之上，为高层协议提供,数据封装,、压缩、加密等基本功能的支持。,SSL,握手协议,（,SSL

4、 Handshake Protocol,）,：,它,建立在,SSL,记录协议之上，用于在实际的数据传输开始前，通讯双方进行,身份认证,、协商,加密算法,、交换加密,密钥,等。,1-2,电子商务的安全标准,1-2,电子商务的安全标准,安全电子交易协议,安全电子交易协议,(Secure Electronic Transaction,简称,SET,协议,),是基于信用卡在线支付的电子商务安全协议，它是由,VISA,和,MasterCard,两大信用卡公司于,1997,年,5,月联合推出的规范。,SET,通过制定标准和采用各种密码技术手段，解决了当时困扰电子商务发展的安全问题。它已获得,IETF,（国

5、际互联网工程任务组，,The Internet Engineering Task Force，,简称,IETF,）标准的认可，已经成为事实上的工业标准。,SET,协议还通过证书机制以及数字签名、双重数字签名等技术手段，可以为不可否认性提供重要证据,。,1-2,电子商务的安全标准,安全电子交易协议,SET,为解决用户、商家和银行之间通过信用卡支付的交易而设计的，可以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。,SET,中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。,目前公布的,SET,正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密

6、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准。,1-2,电子商务的安全标准,安全电子交易协议,SET,是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。,SET,定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，,SET,远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。,SET,协议采用公钥密码体制和,X.509,数字证书标准，提供了消费者，商家和银行之间的认证，确保了交易数据的机密性，真实性，完整性和交易的不可否认

7、性，特别是具有不将消费者银行卡号暴露给商家，消费者的订单信息不透漏给银行等优点。,1-2,电子商务的安全标准,安全超文本传输协议,S-HTTP,全称,Secure Hypertext Transfer Protocol，,即安全超文本传输协议。是面向安全信息通信的协议，可以和,HTTP,结合起来使用。,S-HTTP,能与,HTTP,信息模型共存并易于与,HTTP,应用程序相整合。,S-HTTP,协议为,HTTP,客户机和服务器提供了多种安全机制，是为了适用于万维网上各类潜在用户。使用,S-HTTP,的客户机能够与没有使用,S-HTTP,的服务器连接，反之亦然。,S-HTTP,为客户机和服务器提

8、供了相同的性能同时维持,HTTP,的事务模型和实施特征。,虽然,S-HTTP,可以利用大多现有的认证系统，但,S-HTTP,的应用并不必依赖这些系统。,1-2,电子商务的安全标准,第三方支付行业数据安全标准,PCI DSS,在网上支付过程中，信用卡数据泄漏是引发的各类欺诈行为的最大隐患。但随着卡基支付的发展，原先支付卡各自为战的安全标准不利于信息保密统一标准。,2004,年,VISA,和,MasterCard,联合多家机构，成立了支付卡行业数据安全标准委员会（,PCISSC,）,为了建立统一的业界标准，最大程度的降低支付卡风险，标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安

9、全的数据安全标准，即,PCI-DSS,安全认证标准。,1-2,电子商务的安全标准,PCI,DSS,PCI DSS,对于所有涉及信用卡信息机构的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。,PCI DSS,适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。,PCI DSS,（,Payment Card Industry(PCI)Data Security Standard,）信息安全标准有,6,大目标，,12,个大类要求，整个,PCI,安全标准基本就围绕这些项

10、目进行的，,1-2,电子商务的安全标准,已通过,PCIDSS,认证但不局限于以下组织,：,华为云,托付,科技（厦门）有限公司（,Paytos,支付,）,网,银在线（北京）科技有限公司（,Chinabank),迅付信息科技有限公司（,IPS,支付,）,北京,通融通信息技术有限公司（易宝支付）,支付宝,（中国）网络技术有限公司（,Alipay,),快,钱支付清算信息有限公司（,99Bill,支付）,上海汇阜信息技术有限公司（,E,汇通支付,）,易,智付科技（北京）有限公司（首信易支付）,深圳速汇通网络科技有限公司（速汇通支付,）,上海,盛付通电子商务有限公司（盛付通）,武汉市易收通电子科技有限公司（易收通,）,深圳金付网络科技有限公司（“,king365pay”,）,汇付数据服务有限公司（汇付天下,）,重庆,艾克沃电子商务有限公司（,Ecward,）,中银金融商务昆山分公司（中银商务,）,深圳,鼎付信息技术有限公司（,GleePay,）,银联商务有限公司（,ChinaUMS,）,上海,浩付网络技术有限公司（,91hpay,）,