1、电子商务安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证主要内容概述典型安全问题相关法律法规标准相关安全技术安全保障案例概述基本概念、范畴、发展中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本概念电子商务B2B,B2C,C2C,O2O电子商务安全电子支付,网上银行,CA,SET中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务定义广义广义:各种现代信息技术各种现代信息技术+全部商业活动全部商业活动狭义:互联网狭义:互联网+商品服务交易商品服务交易中国信息安全认证中心中国信息安全认证中心
2、信息安全保障人员认证信息安全保障人员认证电子商务分类电子商务分类(根据交易对象划分)电子商务分类(根据交易对象划分)B2BBusiness to Business 企业企业-企业企业企业与企业之间通过互联网进行数据信息传递,开展商务活动的运行模式,如电子贸易、电子采购、网上招标等服务商服务商生产商生产商批发商批发商零售商零售商电子商务分类(根据交易对象划分)电子商务分类(根据交易对象划分)C2CConsumer to Consumer 消费者消费者-消费者消费者消费者个人之间通过互联网进行的商品买卖及其他交易行为个人卖家个人卖家消费者消费者电子商务分类(根据交易对象划分)电子商务分类(根据交易
3、对象划分)B2CBusiness to Consumer 企业企业-消费者消费者 企业与消费者之间进行的电子商务活动,即企业以经销商或渠道商的身份获得品牌商品,再通过网络直接销售给终端消费者。或者生产商自身建立网上商城,向终端消费者销售成品网站自身网站自身(进货(进货/库存)库存)消费者消费者下单配送电子商务分类(根据交易对象划分)电子商务分类(根据交易对象划分)B2B2C:Business to Business to Consumer 企业(商家)企业(商家)-企业(平台)企业(平台)-消消费者费者 企业搭建网上商城,为各类商家提供商品展示和销售平台,帮助商家直接面向消费者销售商品各类商家
4、各类商家(进货(进货/库存)库存)消费者消费者下单配送 综合综合类类B2C 国内两大书籍音像购物网站 先后成立与1999年、2000年 最初以销售书籍为主,后产品种类扩充到百货、家居、3C类 当当网2009宣布率先实现盈利,目前筹备上市中 卓越网2004年被亚马逊收购 综合综合类类C2C 国内四大C2C网站 商品种类多样,商家与消费者都以个人为主 目前分别归属阿里巴巴、腾讯、TOM/eBay、百度 综合综合类类B2B2C 淘宝商城是淘宝网上专门针对品牌类厂商、经销商所开设的网上商城 在淘宝原有的C2C模式基础上衍生出的品牌商城,商家数量严格限制,商品强调品牌,质量充分保障 商品种类多样 国内国
5、内购物网站服务环节介绍购物网站服务环节介绍支付支付网络购物支付方式电子支付71.3%货到付款35.7%邮局汇款14.7%其他0.2%数据来源:CNNIC 2008网购电子支付各种类比例支付宝76.2%网上开户银行直接支付32.5%信用卡支付11.6%财付通5.8%手机支付1.8%安付通1.3%贝宝0.8%云网支付0.6%环迅支付0.1%总体看,电子支付、货到付款和邮局汇款是目前网购最主要的三类支付方式电子支付方面,目前比例最大的是第三方支付,其次是网上银行支付。值得注意的是,除了第三方支付和网银支付外,手机支付已初露头角。国内国内购物网站服务环节介绍购物网站服务环节介绍-第三方支付第三方支付
6、阿里巴巴旗下第三方支付公司 截至今年Q1国内市场份额最大(47.1%)核心服务:网上支付、中介担保 腾讯公司旗下第三方支付公司 截至今年Q1国内市场份额第二大(20.4%)核心服务:网上支付、中介担保 数据来源:艾瑞2010年Q1网上支付报告 国内国内购物网站服务环节介绍购物网站服务环节介绍-配送配送中国速递行业最大国有运营商,配送范围覆盖中国所有地区及国外多数重要国家和地区。EMS是国内快递行业的著名品牌,价格较高,国内起重500克20元国内速递行业最大民营企业,第二大快递公司配送范围仅次于中国邮政,涵盖国内31个省(青海省、西藏自治区暂未开通)近200个大中城市及900多个县级市或城镇网点
7、多,速度快,服务好,价格中高端中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证范畴保护对象商务交易系统的安全支付的安全交易网络的安全信用安全本质对象业务交易信用信息订单信息支付信息信息系统环境中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务的构成主体企业、银行、商店、企业、银行、商店、政府机构、科研教政府机构、科研教育机构和个人等育机构和个人等具体的商务活动,如广具体的商务活动,如广告宣传、询价、报价、告宣传、询价、报价、签订合同、转账支付、签订合同、转账支付、商品运输等商品运输等从事商品和服务交换从事商品和服务交换的场所
8、,由商务活动的场所,由商务活动参与者,利用各种通参与者,利用各种通信设备,通过网络连信设备,通过网络连接成一个统一的整体接成一个统一的整体中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务的特点(优势)时空优势任何时间、任何地点提供任何方式(anyway)的交易成本优势降低交易成本(缩短资金周转周期、降低营销成本、降低库存成本)、降低采购成本。服务优势全球化、全天候、全方位、个性化的服务管理优势提高内部资源的管理效率;完善客户关系管理系统;企业流程再造。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证发展历程萌芽与起步期商业
9、&互联网的初次交集冰冻与调整期电子商务网站大洗牌复苏与回暖期电子商务行业的务实化崛起与高速发展期电子商务行业规模再次快速扩展转型与升级期电子商务行业更加细化和细分融合发展期电子商务和多领域不断交叉,融合发展,对安全的空前重视萌芽与起步融合发展冰冻与调整崛起与高速发展转型与升级复苏与回暖中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务发展历程全球1、19世纪中叶20世纪60年代:基于电话、电报、传真机的电子商务,企业内部及与企业之间电话、电报、传真机的大量使用,使商务活动方便、快捷2、20世纪60年代90年代:基于EDI(电子数据交换)的电子商务,企业与企
10、业之间,企业与机构之间传输统一格式的电子文件,节约成本,提高效率3、20世纪90年代以来:基于Internet的电子商务,Internet具有费用低、覆盖广、功能全、使用简单等优势,网络电子商务迅速发展起来,成为当前主流。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务发展历程中国(一)萌芽与起步期(1997-1999年)(二)冰冻与调整期(2000-2002年)(三)复苏与回暖期(2003-2005年)(四)崛起与高速发展期(2006-2007年)(五)转型与升级期(2008-2009年)(六)纵深发展阶段期(2010年)参考资料来源:中国B2B研究中
11、心中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务发展历程中国(一)萌芽与起步期(1997-1999年)特征:从国外引进互联网运用,出现第一批新经济创业者,把传统的贸易信息会借助互联网进行交流和传播,电子商务初步发展。数据:在目前已经成立的电子商务网站(约1.6万家)当中,有5.2将%创办于20世纪90年代。事件:8848、阿里巴巴、易趣网、当当网成立中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务发展历程中国(二)冰冻与调整期(2000-2002年)特征:互联网泡沫破灭,电商企业进行调整,全行业进入寒冬,资本介入
12、,新企业成立数据:这三年间创建的电子商务网站不到现有网站总数的12.1%。事件:8848倒闭;慧聪网、卓越网成立;阿里巴巴获高盛、软银投资;eBay购入易趣网33%股份中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务发展历程中国(三)复苏与回暖期(2003-2005年)特征:“非典”推动子电子商务快速复苏回暖;各类型、各垂直行业电商企业兴起数据:目前现有电子商务网站总数的30.1%诞生于该阶段。事件:淘宝、拍拍、支付宝、京东商城、红孩子成立并迅速发展;eBay完全并购易趣网;亚马逊收购卓越网中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息
13、安全保障人员认证电子商务发展历程中国(四)崛起与兴盛期(2006-2007年)特征:互联网环境的改善、理念的普及推动了我国电子商务进入新一轮高速发展与商业模式创新阶段,衍生出更为丰富的服务形式与盈利模式,而电子商务网站数量也快速增加数据:仅2007年,国内各类电子商务网站的创办数量就超过了现有网站总数的30.3%。事件:阿里巴巴成功上市;PPG成立,开启男装B2C新型网络直销新模式;京东商城获今日资本1000万美元投资,开创国内家电3C网购新时代中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务发展历程中国(五)转型与升级期(2008-2009年)特征:全
14、球金融海啸冲击,外贸B2B深受影响,内贸B2B与垂直B2C高速发展,传统厂商也纷纷涉水,B2C全面繁荣;C2C领域,随着百度的进入,行业竞争更加激烈化;电子商务行业模式创新层出不穷数据:在此二年不到时间内创建的电子商务网站占现有网站总数的22.3%,且有75.4%的电子商务网站专注于细分行业的B2C。事件:敦煌网逆势增长,08年交易额超过10亿元;百度“有啊”上线;VANCL等服装B2C直销网站兴盛;淘宝商城成立,标志着淘宝开始进入品牌商城运营模式当当网宣布率先实现盈利中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证中国信息安全认证中心中国信息安全认证中心信息安
15、全保障人员认证信息安全保障人员认证电子商务发展历程中国(六)纵深发展阶段期(2010年)特征:井喷、井喷、井喷;电子商务遍地开花,网上购物日趋火爆数据(艾瑞5月14日最新发布):第一季度中国电子商务市场整体交易额规模达到10152.7亿元,其中网络购物交易规模突破千亿元,达到1026.9亿元第一季度中国网民的数量达到4.04亿目前电子商务只占中国全社会消费品零售总额的1%-2%,,美国是4%,而近邻韩国则高达10%,中国电子商务还存在很大的上升空间事件:京东商城年初获得1.5亿美元融资,服务升级,发展提速;苏宁易购1月上线,开启传统家电卖场电商新局面淘宝网在3月得到3000万美元的新一轮融资;
16、百度与日本乐天合资建立的网购商城“乐酷天”上线;“特产世界”网站悄悄筹备,蓄势待发!典型安全问题中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型数据安全问题内部人员破坏数据外部攻击破坏数据机密性丧失隐私被嗅探、泄露中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型载体安全问题商业机密被嗅探窃取用户权利被侵犯中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型环境安全问题电子商务商家的利益被损害电子商务用户的安全被损害电子商务主体信用的安全问题中国信息安全认证中心中国信息安全认证中心信息安全保障
17、人员认证信息安全保障人员认证典型边界安全问题电子商务网站被攻击支付系统设备被攻击中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 电子商务安全体系法律、规范、道德、纪律法律、规范、道德、纪律管理细则、保护措施管理细则、保护措施物理实体安全物理实体安全网络系统安全网络系统安全网络交易安全网络交易安全网络信息安全网络信息安全社会层面社会层面管理层面管理层面技术层面技术层面应用层面应用层面电子商务安全不仅仅是技术层面问题,而且是包含预防、检测、管理和制度层面在内的一整套体系的建设问题。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 (
18、1)网络系统安全针对物理技术系统的安全 保证网络设施的正常运行 可靠安装、维护、管理 避免受到外界的恶意攻击 设置防火墙、防止病毒 (2)网络信息安全 针对商务逻辑系统的安全 信息保密 信息完整 身份认证 不可抵赖 信息有效加密技术加密技术认证技术认证技术中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 (3)网络交易安全 参与对象之间交易过程的安全,如安全套接层协议(SSL)、安全电子交易协议(SET)、公钥基础设施(PKI)。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务业务系统电子商务业务系统电子商务支付系统电子商
19、务支付系统 安全交易协议安全交易协议SET、SSL、S/HTTP、S/MIME、PKI安全认证技术安全认证技术数字摘要、数字签名、数字信封、数字摘要、数字签名、数字信封、CA证书证书 加密技术加密技术非对称密钥加密、对称密钥加密、非对称密钥加密、对称密钥加密、DES、RSA 安全策略、防火墙、查杀病毒、虚拟专用网安全策略、防火墙、查杀病毒、虚拟专用网安全应用安全应用信息安全信息安全网络安全网络安全电子商务安全技术结构示意图电子商务安全技术结构示意图相关法律法规标准中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关法律法规国际上有关法律法规联合国国际贸易法委员会
20、(UNCITRAL)有关电子商务的立法国际经济合作与发展组织(OECD)有关电子商务的立法世界贸易组织(WTO)有关电子商务的立法世界知识产权组织(WIPO)有关电子商务的立法欧盟有关电子商务的立法美国的电子商务安全立法新加坡的电子商务立法中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关法律法规国内电子商务安全相关政策与法规关于加快电子商务发展的若干意见2006-2020年国家信息化发展战略电子商务发展“十一五”规划中华人民共和国电子签名法电子商务支付指引(第一号)商务部关于促进电子商务规范发展的意见网络购物服务规范电子商务信用认证规则网络交易平台服务规范关
21、于规范网络购物促销行为的通知网络商品交易及服务监管条例其它中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关标准ISO27001BS ISO/IEC29100-2011信息技术.安全技术.隐私框架支付卡行业数据安全标准(PCI DSS)其它相关安全技术中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子数据交换EDI原理工作步骤功能模块构成安全性手段实验:电子数据交换EDI.doc中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证安全电子交易协议SET起源采用的安全机制构成要素工作步骤扩展中国信息安
22、全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证SET流程客户商家服务器$银行支付网关发卡机构Internet信息浏览订单/支付信息处理订单/支付信息结算和支付信息支付和授权信息确认授权商品和服务信息发布/订单处理/支付管理/货款结算付款卡管理和确认信息浏览订单/支付信息处理协议转换和数据接口安全及鉴别管理性性 质质SET 的特点的特点开放标准开放标准SET是针对因特网上安全交易与支付的开放标准是针对因特网上安全交易与支付的开放标准工业背景工业背景SET的工业背景是的工业背景是Visa和和 MasterCard的绝对垄断的绝对垄断平台独立平台独立SET设计为独立于各种不同
23、的硬件和软件平台设计为独立于各种不同的硬件和软件平台协作性协作性SET唯一支持多方协同合作唯一支持多方协同合作扩展已有基础设施扩展已有基础设施SET把成熟的信用卡制度推向因特网把成熟的信用卡制度推向因特网安全性安全性SET用加密技术保护持卡人的敏感信息用加密技术保护持卡人的敏感信息身分认证身分认证SET用数字证书证明交易各方的身份用数字证书证明交易各方的身份信任机制信任机制SET采用五层协议的证书认证机制,以便全球范围采用五层协议的证书认证机制,以便全球范围使用使用非点对点的解决方案非点对点的解决方案SET能确认并保护交易中的每一方利益能确认并保护交易中的每一方利益移植与扩充移植与扩充SET可
24、以安全且方便地移植与扩充可以安全且方便地移植与扩充面向未来面向未来SET为因特网上交易建立了强大的安全模型,能够为因特网上交易建立了强大的安全模型,能够支持迅速扩张的电子商务世界支持迅速扩张的电子商务世界中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 保证订货信息和支付信息的安全保密传输。保证传输数据的完整性。提供持卡人身份认证,证明其是某一支付卡账户的合法使用者。提供商家的身份认证,使之可以通过它与其所属金融机构的关系进行基于支付卡的交易。可以使用最好的安全措施和系统设计技术来保护电子商务中的各方。创建一个协议,使之机独立于网络传输安全机制(如SLL),又不
25、妨碍网络传输安全机制的使用。SET应该足够强壮,能够适用于各种不同的传输网络。应该鼓励软件与网络供应商之间的协作性,在开发硬件和软件的过程中,公司之间将更容易合作。SET 必须满足电子商务在安全方面的七个需求中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 (1)持卡人:网上消费者或客户。(2)发卡行:面对持卡人服务的银行。(3)商家:商家服务器。(4)收单行:面对商家服务的银行。(5)支付网关:处理支付卡授权和支付。(6)品牌:不同支付卡有不同的政策,确定发卡行、收单行与持卡人和商家之间的关系。(7)第三方:有时由发卡行或收单行指定第三方来处理支付卡业务,或者
26、是指成立独立的认证机构。SET环境里的角色中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 SET协议支持多层认证,只要交易各方都能寻到同样的根,就能交易成功。CA管理证书(证书发放、更新、撤销)。CA确认证书的有效性,并将认证信息传递给持卡人、商家和支付网关。SET 系统的功能中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 SET交易主要包括5个流程:持卡人注册申请证书、商户注册申请证书、购买请求、支付认证、获取支付。(1)持卡人注册申请证书:持卡人要求注册持卡人要求注册持卡人获得响应持卡人获得响应并请求注册表格并请求注册表格
27、持卡人收到表格持卡人收到表格并请求证书并请求证书持卡人收到证书持卡人收到证书认证机构认证机构发出响应发出响应认证机构处理请求认证机构处理请求并发出注册表格并发出注册表格认证机构处理请求认证机构处理请求并创建证书并创建证书持卡人计算机持卡人计算机认证机构处理认证机构处理发出请求发出请求请求响应请求响应注册表注册表注册表格注册表格持卡人的证书请求持卡人的证书请求持卡人的证书持卡人的证书持卡人注册申请流程示意图持卡人注册申请流程示意图 SET的流程中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 (2)商户注册申请证书:与持卡人注册申请证书的流程类似。(3)购买请求:
28、持卡人开始请求持卡人开始请求持卡人收到应答持卡人收到应答并发出请求并发出请求持卡人收到持卡人收到购物应答购物应答商家发送证书商家发送证书商家处理请求信息商家处理请求信息初始化请求初始化请求初始化响应初始化响应购物请求购物请求购物应答购物应答购买请求流程示意图购买请求流程示意图中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 (4)支付认证:商家请求授权商家请求授权商家处理商家处理授权响应授权响应支付网关处理支付网关处理授权请求授权请求支付授权请求支付授权请求支付授权响应支付授权响应支付认证流程示意图支付认证流程示意图(5)获取付款:)获取付款:商家请求支付商家请
29、求支付支付网关处理支付网关处理获取请求获取请求商家收到商家收到获取付款的响应获取付款的响应获取付款请求获取付款请求获取付款响应获取付款响应获取付款流程示意图获取付款流程示意图中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证数字信封技术原理工作流程中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 数字信封的实现过程:发送方:用对称密钥对明文加密,形成密文;再用接收方的公钥对对称密钥加密,形成密钥密文;将密文和密钥密文一同发给接收方。接收方:用自己的私钥对密钥密文解密,得到对称密钥;再用对称密钥对密文解密,得到明文。中国信息安全认证中
30、心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证对称密钥明文密文密钥密文密文密钥密文明文对称密钥B方私钥B方公钥对称密钥A方方B方方数字信封实现过程示意图数字信封实现过程示意图中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证数字时间戳技术用途产生过程安全要求中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 (1)使用数字时间戳的意义:在传统交易中,文件签署的日期是十分重要的信息,不容随意伪造和篡改。在电子交易中更需要对时间采取安全措施。(2)数字时间戳服务:是网上安全服务项目之一,由专门机构(认证中心)提供。(3)实
31、现过程:(用户与专门机构之间的关系)用户将明文生成数字摘要;用户将数字摘要发送给专门机构的DTS;DTS加入日期和时间信息,再对它们加密(数字签 名),最后返回给用户。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证源源文文件件数数字字摘摘要要数数字字摘摘要要数数字字摘摘要要+时时间间新新摘摘要要数数字字摘摘要要+时时间间数数字字时时间间戳戳数数字字时时间间戳戳Hash算法算法Hash算法算法加时加时间间第三方私钥加密第三方私钥加密发送方发送方第三方第三方数字时间戳的实现过程数字时间戳的实现过程中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全
32、保障人员认证多重身份认证技术用途基本原理常见实现方式中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基于SSL协议的支付技术基本流程安全特征和SET的区别应用现状中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 安全套接层协议(Secure Socked Layer,SSL)1.SSL简介 Internet上的安全套接层协议是1994年底由Nescape首先引入的,目前已有2.0和3.0版本。其主要目的是解决Web上信息传输的安全顾虑。除了Netscape外,参与制定SSL协议的厂商还包括:IBM,Microsoft,Spygla
33、ss,他们都将SSL加入到自己的客户端和服务器的应用方面。SSL构架在可靠传输层协议(TCP)和应用层协议之间。SSL是一个层次化的协议,共分两层:记录层(RecordLayer)和握手层(HandshakeLayer)。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 记录层用于封装上层协议数据。握手层完成服务器和客户之间的相互认证、协商加密算法和加密密钥等发生在应用协议层传输数据之前的事务。还负责协调客户端和服务器之间的状态。SSL的具体功能:把要传输的信息分成可以控制的数据段,对这些数据进行压缩、“文摘”、加密等操作(有的操作可选),然后传送结果。另一方面
34、,对收到的数据进行解密、检验、解压等操作后,把数据产给上层协议。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 2.SSL握手协议 SSL中的握手协议,是在客户机和服务器之间交换消息的强化性协议,一般有六个阶段:(1)接通阶段:(2)密钥交换阶段:(3)会话密钥生成阶段:(4)服务器证实阶段:(5)客户机认证阶段:(6)结束阶段:上述过程完成以后,双方之间的信息传送就会加以密码,另一端收到信息后,再将加密的信息还原。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证客户机客户机服务器服务器Client-HelloServer-He
35、lloClient-DH-KeyClient-Session-KeyServer-VerifyRequest-CertificationClient-CertificationClient-FinishedServer-FinishedClient-Master-Key接通接通密钥交换密钥交换会话密钥生成会话密钥生成服务器证实服务器证实客户机认证客户机认证结束结束可信赖的通信可信赖的通信中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 SSL协议运行基点是商家对客户信息保密的承诺。SSL协议的流程(如下图):客户信息首先传到商家,商家阅读后再传到银行。银行验证客
36、户信息合法性后,通知商家付款成功。商家再通知客户购买成功,并将商品寄送客户。客户客户商家商家银行银行SSL协议流程图协议流程图中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 3.SSL记录协议 SSL记录协议提供通信、认证功能,并且在一个面向连接的可靠传输协议(TCP)之上提供保护。在SSL中,所有数据被封装在记录中。SSL记录的数据由三部分组成:MAC(Message Authentication Code)数据、实际数据和填充数据。其中:MAC数据用于数据完整性检查。MAC的计算公式:MAC数据=Hash密钥,实际数据,填充数据,序号 填充数据用于当加密长
37、度不是块长度的整数倍时填充最后不完整的数据块,使其完整。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证SSL与SET协议的比较 1.连接性 SSL提供了两台机器之间的安全连接,是面向连接的。SET是一个多方的消息报文协议,它定义了银行、商家、持卡人之间必须符合的报文规范,各方之间的报文交换不要求是实时的。2.认证机制 SSL中服务器需要认证,客户端认证则是有选择的。SET中所有成员都必须先申请数字证书来识别身份。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 3.风险性 SSL中,客户的风险:客户信息的安全性完全依赖于商家的保
38、密承诺。缺少客户对商家的认证。SSL中,商家的风险:无法保证购买者就是该信用卡的合法拥有者。(缺少第三方)SET提供了更完整的用于电子商务的卡支付系统,它定义了各方的互操作接口,降低了金融风险。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证 4.SET的缺陷及补救措施 (1)缺陷:要求在银行网络、商家服务器、顾客PC机上安装相应的软件,这给各方增加了附加费用。要求必须给各方发放证书,不变客户随意使用。(2)补救措施:因SET可以用在系统的一部分或全部,所以可以考虑商家与银行的连接使用SET,而商家与顾客的连接则使用SSL。在SET中,交易凭证中有客户签名。私钥
39、的安全保存非常重要。为避免操作系统的不安全性,智能卡提供了一种简便方法,用它存储私钥和证书,不仅安全,而且容易携带。安全保障案例第三方支付平台解决方案中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证案例背景第三方支付的蓬勃发展对第三方支付的需求本方案的应用领域中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述系统的交易业务流程中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述系统架构中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述系统安全功能设计中
40、国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述系统部署的网络架构中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述接入技术方案B2B企业级安全接入安全模式银行支付网关系统安全接入模式中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述接入技术方案B2B企业级安全接入安全模式银行支付网关系统安全接入模式中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述银行支付网关系统安全接入模式中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全
41、保障人员认证方案描述B2B企业级安全接入安全模式中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证分析和建议本系统需从在线交易环节和节点来防范外部的威胁与侵入,即在如下三个方面保证安全的接入:消费者安全接入支付平台商户安全接入支付平台与银行的直联交易中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证分析和建议平台安全体系结构图中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证分析和建议消费者安全接入支付平台的设计实现中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证分析和建议商户安全接入支付平台的设计实现中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证分析和建议银企直联系统安全模式设计实现中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证小结概述概念、保障对象、发展情况典型安全问题数据、载体、环境、边界安全问题相关法律法规标准相关安全技术案例分析第三方支付平台解决方案谢谢!
