电子商务支付与认证的标准和法规课件

电子商务支付与认证的标准和法规天马行空官方博客：/tmxk_docin；QQ:1318241189；QQ群24/20221中国金融学院电子商务研究所电子商务支付与认证的标准和法规天马行空官方博客：http:/电子商务时代21世纪将进入电子商务时代：是社会发展的必然，我们将别无选择地生活在电子商务时代。如何面对电子商务方式、如何适应数字化生存并积极参与电子商务时代的国际竞争，是涉及到每个人、每个企业、部门及国家发展与生存的重大问题，也国家部门现在应该开始解决的问题。电子商务环境国际互连网络安全信息传输电子货币支付数字化社会电子商务活动环境要求电子商务经济、社会环境天马行空官方博客：/tmxk_docin；QQ:1318241189；QQ群24/20222中国金融学院电子商务研究所电子商务时代21世纪将进入电子商务时代：是社会发展的必然，我电子商务活动电子商务活动方式电子业务方式电子消费方式电子贸易方式电子数据传输电子认证电子化管理面对电子商务认识电子商务掌握电子商务方法开展电子商务活动参与电子商务的国际竞争11/24/20223中国金融学院电子商务研究所电子商务活动电子商务活动方式11/22/20223中国金融学电子货币系统电子货币：

是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以电子计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。电子货币系统包括：电子支票系统信用卡系统电子现金系统电子货币具有以下特点：以电子计算机技术为依托，进行储存支付和流通；应用广泛，可广泛应用于生产、交换、分配和消费领域；融储蓄、信贷和非现金结算等多种功能为一体；电子货币具有使用简便、安全、迅速、可靠的特征；现在阶段电子货币的使用通常以银行卡（磁卡、智能卡）为媒体；11/24/20224中国金融学院电子商务研究所电子货币系统电子货币：11/22/20224中国金融学院电子电子货币支付方式的发展电子货币支付方式：分别代表着电子货币支付发展的不同阶段。第一阶段是银行利用计算机处理银行之间的货币汇划业务，办理汇划结算；第二阶段是银行计算机与其他机构计算机之间资金的汇划，如代发工资等业务；第三阶段是利用网络终端向客户提供各项银行服务，如客户在自动柜员机（ATM）上进行取、存款操作等；第四阶段是利用银行销售点终端（POS）向客户提供自动的扣款服务，这是现在阶段电子货币支付的主要方式；第五阶段是最新发展阶段，电子货币可随时随地通过公共网络（INTERNET）进行直接转帐结算，形成电子商务环境。这是正在发展的形式，也将是下一世纪的主要金融支付方式。11/24/20225中国金融学院电子商务研究所电子货币支付方式的发展电子货币支付方式：11/22/2022网上电子货币的发展

网上金融服务已经在世界范围内开展。网络金融服务包括了人们的各种需要内容，网上消费、网上银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行及时电子支付与结算。Internet上的电子货币系统发展非常快，典型的电子货币包括：电子支票系统（E-check\NetBill\NetCheque）信用卡系统（CyberCash\FirstVirtualHolding）数字化电子现金系统（MONDEX\NetCash\Digicash）11/24/20226中国金融学院电子商务研究所网上电子货币的发展网上金融服务已经在世界范围内开各国政府的七大政策挑战电子商务的政策问题：网际网络的基础设施法律条例架构交易安全隐私问题税务电子货币11/24/20227中国金融学院电子商务研究所各国政府的七大政策挑战电子商务的政策问题：11/22/202电子商务主要的安全要素1、有效性2、机密性3、完整性4、不可抵赖性5、可审查性11/24/20228中国金融学院电子商务研究所电子商务主要的安全要素1、有效性11/22/20228中国金网上支付标准PKI标准：公共密钥体系(PublicKeyInfrastructure)SSL标准：安全套接层协议（SecureSocketsLayer）SET标准：安全电子交易标准(SecureElectronicTransactions，简称SET)X5.95标准：帐户数字签名工业标准(AccountAuthorityDigitalSignatures,orAADS),提供了标准化信用卡处理和帐户管理方法。X.509标准：电子商务证书发放标准（ISO/IEC/ITUX.509，基于PKI，简称PKIX)X.500标准：电子出版目录查询标准（目录服务协议LDAP（X.500协议））11/24/20229中国金融学院电子商务研究所网上支付标准PKI标准：公共密钥体系(PublicKeyPKI新的安全技术和安全规范。PKI必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统。11/24/202210中国金融学院电子商务研究所PKI新的安全技术和安全规范。PKI必须具有11/22/20SSL安全协议SSL安全协议主要提供三方面的服务：认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性，确保数据在传输过程中不被改变。11/24/202211中国金融学院电子商务研究所SSL安全协议SSL安全协议主要提供三方面的服务：11/22SET安全协议

SET协议要达到的的目标主要有五个：

保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。保证了网上交易的实时性，使所有的支付过程都是在线的。效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。11/24/202212中国金融学院电子商务研究所SET安全协议SET协议要达到的的目标主要有五个：1SET安全协议涉及的范围）消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款。）在线商店，提供商品或服务，具备相应电子货币使用的条件。）收单银行，通过支付网关处理消费者和在线商店之间的交易付款问题。）电子货币（如智能卡、电子现金、电子钱包）发行公司，以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付工作。）认证中心（CA）。负责对交易对方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。11/24/202213中国金融学院电子商务研究所SET安全协议涉及的范围）消费者，包括个人消费者和团体消费者数字证书认证机构发放的数字证书目前主要应用于：安全的电子邮件系统安全通信信用卡网上安全支付。电子商务中认证证书标准。ISO/IEC/ITUX.509标准对证书格式的定义已被广泛接受（1988年为Ver1，1993年为Ver2，1996年发布Ver3）。11/24/202214中国金融学院电子商务研究所数字证书认证机构发放的数字证书目前主要应用于：11/22/2证书标准（x.509）X.509的具体内容

X.509标准是在通用的网络安全工具如公共密钥加密系统和使用CA(CertificateAuthority,证书管理机构),被用以保证在Internet及内部网上传送数据的安全的认证标准。它基于公共密钥密码格式。X.509证书已用于许多网络安全应用程序,其中包括IP安全(IPSec)、安全套层(SSL)、安全电子交易(SET)、安全多用途Internet邮件扩展(S/MIME)、NON-SET认证等。11/24/202215中国金融学院电子商务研究所证书标准（x.509）X.509的具体内容11/22/202X.500电子出版目录查询标准目录服务网络应用。

目录中按一定的格式记录了现实世界中大量对象的信息，供用户（人，计算机应用程序等）做各种频繁查询和相对少量的修改。实现目录服务的方式有多种，但目前趋于统一到ITU-TX.500系列建议标准。CCITT在1988年制定了第一版X.500建议，后ITU-T又在1993年做了显著的修订和补充，产生了第二版建议（但版本编号仍为1），ISO接受了此建议，把它作为ISO/IEC9594国际标准。11/24/202216中国金融学院电子商务研究所X.500电子出版目录查询标准目录服务网络应用。11/22/安全认证中心CA CA是受一个或多个用户信任，提供用户身份验证的第三方机构。认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是认证中心（RootCA），它是所有人公认的权威，如人民银行总行的CA。11/24/202217中国金融学院电子商务研究所安全认证中心CA CA是受一个或多个用户信任，提供用认证中心的主要功能1、证书的颁发2、证书的更新3、证书的查询4、证书的作废5、证书的归档11/24/202218中国金融学院电子商务研究所认证中心的主要功能1、证书的颁发11/22/202218中国安全认证的法律问题安全认证需要的法律问题包括：社会信用电子签名法电子交易法认证管理法律11/24/202219中国金融学院电子商务研究所安全认证的法律问题安全认证需要的法律问题包括：11/22/2认证中心应有的管理机制认证中心（CA）是进行网上合法身份和合法交易认证的权威证明机构，它依据国家法律、法规开展工作。它坚持公平、公正、信誉第一的原则，起到维护网上金融信誉、防止金融诈骗的作用。认证CA以独立于认证用户（商家和消费者）和参与者（检查和使用证书的相关方）的第三方的地位证明网上活动的合法有效性。其本身不从事商业业务，不进行网上采购和消费活动。它接受国家政府部门的监督和管理。认证中心具有独立法人地位，为用户管理认证证书；认证用户自原向认证中心申请认证证书以开展电子商务活动；参与方是自愿加入认证中心的会员单位，必须接受有效证书的信用，完成用户涉及的电子商务活动。11/24/202220中国金融学院电子商务研究所认证中心应有的管理机制认证中心（CA）是进行网上合法身份和合电子商务中各方的义务1）认证中心：发布用户认证证书、管理认证证书、保证认证的安全可靠，其本身必须满足管理、操作于系统的有关要求。对参与者进行严格的审查和认证保证发放的证书具有可靠的权威性和信任度发布可靠及时的认证信息2）认证用户（商家、消费者等）：合法使用认证机制、获得证书，开展电子商务活动。报出本身准确的相关信息及时检查证书内容和信息妥善包管好私人密钥及时汇报出现的问题，例如密钥泄露、交易异常等现象3）参与者（银行等其他相关方）：合法使用认证机制，按照有关规定进行电子商务操作。检查证书本身的合法有效性、进行证书失效检查通过其他方法确认证书的可靠性、保证业务24小时正常运行11/24/202221中国金融学院电子商务研究所电子商务中各方的义务1）认证中心：发布用户认证证书、管理认证电子商务中各方的责任1）、认证中心负有责任：由于管理漏洞出现问题，存在犯罪活动引起用户损失；由于CA方密钥泄露出现问题，引起用户损失；由于认证操作出现问题，证书不完善引起用户损失；由于失效信息发布问题，引起用户损失；由于用户注册信息泄露引起的用户损失；由于CA系统和设备问题（停机、终止、信息丢失等）引起的用户损失。2）、用户责任：用户信息问题出现的损失；个人密钥丢失没有及时通知CA引起的损失证书不全时进行交易产生的损失非法使用证书产生的损失3）参与者责任：证书检查不严格产生的损失；密钥泄露产生的损失；用户个人信息泄露产生的损失；超限制额度交易产生的损失；其他非法交易产生的损失。11/24/202222中国金融学院电子商务研究所电子商务中各方的责任1）、认证中心负有责任：2）、用户责任：认证中心的认证操作规则1）组织规则独立的中间机构：认证中心是独立于交易双方的中间机构，发挥权威作用：认证中心必须以信誉为基础，获得公认的权威可靠性。严格的内部管理制度：保证操作安全和信息安全。2）操作规则操作要求：规定操作要求。安全控制规则：规定个人活动范围、处理的业务、期限和权限。密钥管理规则：规定密钥产生、传输和管理的责任制度。审核规则：规定定期审核制度。3）信息控制规则认证声明：公开有关认证活动的责任、义务、操作方式及相关措施。信息公开制度：发布相关认证信息，例如证书生效、失效等公开信息。用户信息保护制度：保护认证中心、用户的机密信息。11/24/202223中国金融学院电子商务研究所认证中心的认证操作规则1）组织规则11/22/202223中网上问题处理网上交易出现纠纷问题后，可由当事人提出仲裁申请，上级政府机关进行仲裁处理；如需要上诉，可上诉法院解决。具体程序为：问题申诉程序分级仲裁措施政府部门协调问题处理依据11/24/202224中国金融学院电子商务研究所网上问题处理11/22/202224中国金融学院电子商务研究电子商务时代的挑战电子商务带来的法律法规真空，经济金融管理问题；新时代贸易、金融业务与系统的发展战略；数字化电子货币的发行、支付与管理；对付黑客的公共网络信息的安全保密问题；涉及天量数字的可靠金融交易处理与管理；经济金融信息的开发利用与安全保密问题；新兴网上业务的开展、竞争与规范化；传统业务与系统的改造和适应问题；实力雄厚的国际机构的冲击和竞争；电子商务时代有关人才的培养；数字化生活的适应性变化；11/24/202225中国金融学院电子商务研究所电子商务时代的挑战11/22/202225中国金融学院电子商电子商务支付与认证的标准和法规天马行空官方博客：/tmxk_docin；QQ:1318241189；QQ群24/202226中国金融学院电子商务研究所电子商务支付与认证的标准和法规天马行空官方博客：http:/电子商务时代21世纪将进入电子商务时代：是社会发展的必然，我们将别无选择地生活在电子商务时代。如何面对电子商务方式、如何适应数字化生存并积极参与电子商务时代的国际竞争，是涉及到每个人、每个企业、部门及国家发展与生存的重大问题，也国家部门现在应该开始解决的问题。电子商务环境国际互连网络安全信息传输电子货币支付数字化社会电子商务活动环境要求电子商务经济、社会环境天马行空官方博客：/tmxk_docin；QQ:1318241189；QQ群24/202227中国金融学院电子商务研究所电子商务时代21世纪将进入电子商务时代：是社会发展的必然，我电子商务活动电子商务活动方式电子业务方式电子消费方式电子贸易方式电子数据传输电子认证电子化管理面对电子商务认识电子商务掌握电子商务方法开展电子商务活动参与电子商务的国际竞争11/24/202228中国金融学院电子商务研究所电子商务活动电子商务活动方式11/22/20223中国金融学电子货币系统电子货币：

是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以电子计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。电子货币系统包括：电子支票系统信用卡系统电子现金系统电子货币具有以下特点：以电子计算机技术为依托，进行储存支付和流通；应用广泛，可广泛应用于生产、交换、分配和消费领域；融储蓄、信贷和非现金结算等多种功能为一体；电子货币具有使用简便、安全、迅速、可靠的特征；现在阶段电子货币的使用通常以银行卡（磁卡、智能卡）为媒体；11/24/202229中国金融学院电子商务研究所电子货币系统电子货币：11/22/20224中国金融学院电子电子货币支付方式的发展电子货币支付方式：分别代表着电子货币支付发展的不同阶段。第一阶段是银行利用计算机处理银行之间的货币汇划业务，办理汇划结算；第二阶段是银行计算机与其他机构计算机之间资金的汇划，如代发工资等业务；第三阶段是利用网络终端向客户提供各项银行服务，如客户在自动柜员机（ATM）上进行取、存款操作等；第四阶段是利用银行销售点终端（POS）向客户提供自动的扣款服务，这是现在阶段电子货币支付的主要方式；第五阶段是最新发展阶段，电子货币可随时随地通过公共网络（INTERNET）进行直接转帐结算，形成电子商务环境。这是正在发展的形式，也将是下一世纪的主要金融支付方式。11/24/202230中国金融学院电子商务研究所电子货币支付方式的发展电子货币支付方式：11/22/2022网上电子货币的发展

网上金融服务已经在世界范围内开展。网络金融服务包括了人们的各种需要内容，网上消费、网上银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行及时电子支付与结算。Internet上的电子货币系统发展非常快，典型的电子货币包括：电子支票系统（E-check\NetBill\NetCheque）信用卡系统（CyberCash\FirstVirtualHolding）数字化电子现金系统（MONDEX\NetCash\Digicash）11/24/202231中国金融学院电子商务研究所网上电子货币的发展网上金融服务已经在世界范围内开各国政府的七大政策挑战电子商务的政策问题：网际网络的基础设施法律条例架构交易安全隐私问题税务电子货币11/24/202232中国金融学院电子商务研究所各国政府的七大政策挑战电子商务的政策问题：11/22/202电子商务主要的安全要素1、有效性2、机密性3、完整性4、不可抵赖性5、可审查性11/24/202233中国金融学院电子商务研究所电子商务主要的安全要素1、有效性11/22/20228中国金网上支付标准PKI标准：公共密钥体系(PublicKeyInfrastructure)SSL标准：安全套接层协议（SecureSocketsLayer）SET标准：安全电子交易标准(SecureElectronicTransactions，简称SET)X5.95标准：帐户数字签名工业标准(AccountAuthorityDigitalSignatures,orAADS),提供了标准化信用卡处理和帐户管理方法。X.509标准：电子商务证书发放标准（ISO/IEC/ITUX.509，基于PKI，简称PKIX)X.500标准：电子出版目录查询标准（目录服务协议LDAP（X.500协议））11/24/202234中国金融学院电子商务研究所网上支付标准PKI标准：公共密钥体系(PublicKeyPKI新的安全技术和安全规范。PKI必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统。11/24/202235中国金融学院电子商务研究所PKI新的安全技术和安全规范。PKI必须具有11/22/20SSL安全协议SSL安全协议主要提供三方面的服务：认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性，确保数据在传输过程中不被改变。11/24/202236中国金融学院电子商务研究所SSL安全协议SSL安全协议主要提供三方面的服务：11/22SET安全协议

SET协议要达到的的目标主要有五个：

保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。保证了网上交易的实时性，使所有的支付过程都是在线的。效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。11/24/202237中国金融学院电子商务研究所SET安全协议SET协议要达到的的目标主要有五个：1SET安全协议涉及的范围）消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款。）在线商店，提供商品或服务，具备相应电子货币使用的条件。）收单银行，通过支付网关处理消费者和在线商店之间的交易付款问题。）电子货币（如智能卡、电子现金、电子钱包）发行公司，以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付工作。）认证中心（CA）。负责对交易对方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。11/24/202238中国金融学院电子商务研究所SET安全协议涉及的范围）消费者，包括个人消费者和团体消费者数字证书认证机构发放的数字证书目前主要应用于：安全的电子邮件系统安全通信信用卡网上安全支付。电子商务中认证证书标准。ISO/IEC/ITUX.509标准对证书格式的定义已被广泛接受（1988年为Ver1，1993年为Ver2，1996年发布Ver3）。11/24/202239中国金融学院电子商务研究所数字证书认证机构发放的数字证书目前主要应用于：11/22/2证书标准（x.509）X.509的具体内容

X.509标准是在通用的网络安全工具如公共密钥加密系统和使用CA(CertificateAuthority,证书管理机构),被用以保证在Internet及内部网上传送数据的安全的认证标准。它基于公共密钥密码格式。X.509证书已用于许多网络安全应用程序,其中包括IP安全(IPSec)、安全套层(SSL)、安全电子交易(SET)、安全多用途Internet邮件扩展(S/MIME)、NON-SET认证等。11/24/202240中国金融学院电子商务研究所证书标准（x.509）X.509的具体内容11/22/202X.500电子出版目录查询标准目录服务网络应用。

目录中按一定的格式记录了现实世界中大量对象的信息，供用户（人，计算机应用程序等）做各种频繁查询和相对少量的修改。实现目录服务的方式有多种，但目前趋于统一到ITU-TX.500系列建议标准。CCITT在1988年制定了第一版X.500建议，后ITU-T又在1993年做了显著的修订和补充，产生了第二版建议（但版本编号仍为1），ISO接受了此建议，把它作为ISO/IEC9594国际标准。11/24/202241中国金融学院电子商务研究所X.500电子出版目录查询标准目录服务网络应用。11/22/安全认证中心CA CA是受一个或多个用户信任，提供用户身份验证的第三方机构。认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是认证中心（RootCA），它是所有人公认的权威，如人民银行总行的CA。11/24/202242中国金融学院电子商务研究所安全认证中心CA CA是受一个或多个用户信任，提供用认证中心的主要功能1、证书的颁发2、证书的更新3、证书的查询4、证书的作废5、证书的归档11/24/202243中国金融学院电子商务研究所认证中心的主要功能1、证书的颁发11/22/202218中国安全认证的法律问题安全认证需要的法律问题包括：社会信用电子签名法电子交易法认证管理法律11/24/202244中国金融学院电子商务研究所安全认证的法律问题安全认证需要的法律问题包括：11/22/2认证中心应有的管理机制认证中心（CA）是进行网上合法身份和合法交易认证的权威证明机构，它依据国家法律、法规开展工作。它坚持公平、公正、信誉第一的原则，起到维护网上金融信誉、防止金融诈骗的作用。认证CA以独立于认证用户（商家和消费者）和参与者（检查和使用证书的相关方）的第三方的地位证明网上活动的合法有效性。其本身不从事商业业务，不进行网上采购和消费活动。它接受国家政府部门的监督和管理。认证中心具有独立法人地位，为用户管理认证证书；认证用户自原向认证中心申请认证证书以开展电子商务活动；参与方是自愿加入认证中心的会员单位，必须接受有效证书的信用，完成用户涉及的电子商务活动。11/24/202245中国金融学院电子商务研究所认证中心应有的管理机制认证中心（CA）是进行网上合法身份和合电子商务中各方的义务1）认证中心：发布用户认证证书、管理认证证书、保证认证的安全可靠，其本身必须满足管理、操作于系统的有关要求。对参与者进行严格的审查和认证保证发放的证书具有可靠的权威性和信任度发布可靠及时的认证信息2）认证用户（商家、消费者等）：合法使用认证机制、获得证书，开展电子商务活动。报出本身准确的相关信息及时检查证书内容和信息妥善包管好私人密钥及时汇报出现的问题，例如密钥泄露、交易异常等现象3）参与者（银行等其他相关方）：合法使用认证机制，按照有关规定进行电子商务操作。检查证书本