网上金融安全与网上支付机制.ppt

第七章网上金融安全与网上支付机制 1 第七章网上金融安全与网上支付机制 第七章网上金融安全与网上支付机制 2 第一节IP网络的安全 一 IP网络的运行环境IP网络是基于Internet协议 IP 的网络 金融电子商务的发展 金融企业纷纷采用IP技术重新构造内联网和外联网IP商业网的网络结构 图7 2 IP商业网是部分专用网络与Internet公用网络的重叠网络部分的重叠 为公网和专用网的互通提供物理连接通道应用的重叠 使专用网的应用可直接提供到Internet上 第七章网上金融安全与网上支付机制 3 二 现代电子银行的两种信息安全环境电子银行有金融专用网络 包括内联网和外联网 和Internet两种网络环境 不同网络环境的用户存在着清晰的分界线 需要采用不同的安全机制金融专用网络电子银行开始时是直接通过金融专用网络为客户提供服务的金融专用网络的发展从专有系统发展成共享系统从地区性金融系统互联成全国性的金融通信体系从一国系统发展成全球金融通信体系金融专用网络性质金融专用系统虽然服务于社会上的所有企事业单位和社会公众 但都专门服务于金融业 而不为其他行业所共享它有一个边界确定 结构严谨 控制严格的环境 整个网络实行强制性的集中安全控制 金融交易过程受到严格监控网络中的用户是已知的 可事先定义每个用户的操作权限金融专用网络采用的通信协议种类繁多 但都逐步向TCP IP迁移 第七章网上金融安全与网上支付机制 4 开放性的Internet银行将银行专用网络延伸到开放的Internet后 才能为广大客户提供网上支付和网上银行服务Internet是一种没有边界 无组织 全开放的公用网络环境 使得金融电子商务的安全问题更严重 更复杂化了Internet上互不了解对方的两个用户要相互通信 需要首先建立一种安全的临时互相信任关系Internet的安全模型必须向通信双方提供这种相互信任的手段 但要允许用户自己决定是否信任对方当金融企业连上互联网 面对无限的信息和商机的时候 也将自己暴露于竞争对手和蓄意破坏者的视线之内三 金融电子商务的安全采用防火墙技术将应用系统同Internet隔离开来 允许合法服务畅通无阻 拒绝不相关服务和非法访问在Internet上建立基于VPN技术的金融网网上金融交易的交易双方必须能识别对方的身份 交易中必须能识别交易电文和验证电文的完整性金融系统应建立基于PKI技术的CA系统 第七章网上金融安全与网上支付机制 5 第二节防火墙 一 防火墙的防护机制防火墙的作用在应用系统和Internet之间安装防火墙 可保护本地系统避免来自Internet的安全威胁基本特点网络外部与内部之间的所有通信业务 全部必须经过防火墙防火墙能实施安全策略所要求的安全功能只有经过授权的通信业务才能通过防火墙进出系统自身对入侵是免疫的防火墙提供的控制服务 服务控制 方向控制 用户控制 行为控制防火墙的安全机制过滤机制代理服务机制数据加密机制审查跟踪机制 第七章网上金融安全与网上支付机制 6 二 防火墙在电子金融中的配置 图7 3 图7 6 第七章网上金融安全与网上支付机制 7 第七章网上金融安全与网上支付机制 8 第三节安全网上支付的核心技术 一 Web的安全通过Internet在Web站点上进行的网上交易是一种全新的交易方式Web服务器可作进入内部计算机系统的入口 它一旦被破坏 攻击者不仅可访问Web本身的数据 还可访问与其相连的本地站点的数据Web在数据完整性 保密性 拒绝服务和身份验证方面都存在安全威胁Web安全服务的实现方案 图7 7 IP层的安全服务 主要是IPSec协议 可在防火墙或路由器上实现TCP层的安全服务 SSL和TLS协议 可为低层协议的一部分 也可嵌入到特定软件包中应用层的安全服务 嵌入在应用程序中的SET PGP和S MIME Kerberos等 1 网络级 2 传输级 3 应用级 图7 7在TCP IP栈中提供的安全服务 第七章网上金融安全与网上支付机制 9 二 SSL协议SSL是在TCP层上实现的一种保证通信安全的国际标准协议SSL协议的数据传输步骤建立虚拟的通信信道加密方式和压缩方式的选择密钥交换算法 多用RSA加密算法 如DES 3DES等Hash算法 用于MAC计算的Hash算法双方的身份识别 采用身份认证技术确定会话密钥 随密钥交换算法的不同而异密文的传输 图7 8 关闭网络连接 第七章网上金融安全与网上支付机制 10 三 SET协议SET是在开放网络环境中使用银行卡支付的国际通用的安全协议用SET的联机购物和支付过程 图7 10 持卡人需取得数字钱包软件持卡人需取得数字证书持卡人通过Internet与商户进行购物对话授权和结算处理 通过电子银行的网上支付系统完成网上电子交易 第七章网上金融安全与网上支付机制 11 银行卡通过SET做安全网上支付的实现方法网上支付和定购消息的保密性 采用DES加密和双重签名技术实现数据完整性 利用SHA 1Hash码的RSA数字签名和HMAC实现持卡人账户的身份验证和商户的身份验证 用数字证书和RSA实现 数字证书表明 其持有者是经可信金融机构授权的 同它作电子交易的支付将以金融机构的承诺处理保护参与电子商务的所有合法实体 基于高度安全的加密算法和协议来实现 第七章网上金融安全与网上支付机制 12 SET的双重签名DS网上购物时 客户需要发送定购信息OI给商户 发送支付信息PI给银行 用DS连接这两条相关联消息的摘要 PIMD和OIMD 并将其分别安全传送到不同的接收方DS的操作客户用SHA 1Hash函数产生 DS EKRc H H PI H OI 式中KRC为客户私有签名密钥 图7 9 商户接收客户发来的OI PIMD H PI DS和客户公钥KUC后 计算 H PIMD H OI 和DKUc DS 若相等则客户签名正确银行拥有DS PI OIMD和KUC后 计算 H H PI OIMD 和DKUc DS 若两个数值相等 则客户签名正确 第七章网上金融安全与网上支付机制 13 SET联机购物和支付过程的信息流程 图7 11 客户向商户发送初始请求商户向客户发送初始响应客户向商户发送购买请求 图7 12 商户向支付网关发送授权请求 含客户的支付信息 商户产生的相关授权块和数字信封 相关证书 支付网关获得发卡行的授权信息完成响应处理后 向商户发送授权响应消息商户向客户发送购买响应消息 完成网上购物交易商户向支付网关发送获取支付请求支付网关完成响应处理后 向商户发送支付响应消息 完成网上支付与结算 第七章网上金融安全与网上支付机制 14 E 加密算法OIMD 定购信息摘要PIMD 支付信息摘要Ks 一次性对称密钥KUb 持卡人证书中的公钥DS 双重签名图7 12持卡人向商户发送的购买请求消息 第七章网上金融安全与网上支付机制 15 四 改进型的银行卡互联网认证体系SET是一套严格的技术体系 安全 认证 集成度优于SSL 但需对消费者和商户的证书进行管理 运营成本高 操作复杂 推广阻力大VISA3D Secure交易认证流程 图7 13 消费者在商户页面购物并提供银行卡号码 商户的3D SecureMPI插件向VISA中心目录服务器确认该银行卡的合法性 并取得发卡行访问控制器网络地址 商户MPI通过消费者端的浏览器向发卡行发出认证请求 消费者检查交易明细并输入用户名 密码进行确认 发卡行服务器验证密码 形成认证结果并经消费者端发送至商户MPI 该消息含CAVV值并做数字签名 该信息也同时被发送至VISA认证历史服务器 商户接到认证结果 验证发卡行的数字签名后 向收单行发送授权请求 该请求包含了从发卡行认证结果中提取的三个附加值 CAVV ECI和交易识别码XID 收单行向VisaNet发送授权请求 VisaNet验证CAVV后向发卡行发送授权请求 发卡行根据验证结果对交易做出授权 回送商户 商户取得授权后就可将网上交易进行下去 第七章网上金融安全与网上支付机制 16 第七章网上金融安全与网上支付机制 17 MasterCardSPA的交易认证流程 图7 14 消费者在商户页面购物并确认网上支付 消费者电子钱包被激活 从商户页面读取支付相关信息 向发卡行钱包服务器发送认证请求 钱包服务器通过约定方式验证该消费者是否是合法持卡人 生成安全令牌AAV 置入UCAF字段 向消费者返回请求确认消息 电子钱包完成商户的表单 将安全令牌加入隐含字段 将购物表单发送给商户 商户向收单行提交支付请求和安全令牌 收单行通过MsterCard银行网络向发卡行发送支付请求和安全令牌 发卡行授权系统将收到的令牌同钱包服务器中保存的安全令牌进行比较验证 发卡行根据验证结果对交易做出授权 回送商户 商户取得授权后就可将网上交易进行下去 第七章网上金融安全与网上支付机制 18 第七章网上金融安全与网上支付机制 19 两大认证体系的兼容和合作VISA3D Sucure和MsterCardSPA两个系统是互不兼容的 前者对于发卡行和商户来说是一个前端方案 无需改变后端系统 后者的认证框架是端到端的安全模型 需要对发卡行和收单行的后端系统做出改变 改进后的VISA的VbV和MsterCardSecureCode在互相兼容认证方面进行合作 获得很多银行和商户的支持 第七章网上金融安全与网上支付机制 20 第四节PKI安全认证机制 一 PKI概述基于公钥密码系统上的PKICA系统要为其客户提供可信任的网上交易环境PKI的主要组件数字证书 包含鉴定所有者的标识名称 证书发行者CA的标识名称 证书所有者的公钥 发行者的签名 证书的有效期 序列号等公钥加密体制 公钥 私钥和公钥密码算法组成了PKI的基础SSL SET或其他网上认证体系认证授权机构CA 提供数字证书的可信 独立的机构 第七章网上金融安全与网上支付机制 21 PKI系统的组成授权机构CA 负责签发并废除证书 在CA系统中 CA由比它高一级的CA控制 最高的是根CA RCA 注册机构RA 负责办理证书的申请 核查和分发等过程 CA只负责签署证书 证书目录 用户证书存放在共享目录中 目录使用X 500协议 证书具有自我核实功能管理协议 管理证书的注册 生效 发布和注销操作协议 允许用户找回并修改证书 对目录或证书撒回目录 CRL 进行修改个人安全环境 PSE 妥善保存 保护用户的私人信息 如私钥或协议使用的缓存 第七章网上金融安全与网上支付机制 22 PKI系统的安全性当用户提交核心数据或文件时 系统对提交的数据进行数字签名 保证其具有不可抵赖性 不可复制性对数据打印时间戳 保证数据在时间上的不可抵赖性上述所有信息均存放在数据库中 以便查阅在信息传输过程中均用SSL加密 保证信息的传输安全对特别重要的简短信息提供加密存放 保证信息的保密性二 认证中心构建于PKI的架构上的CA是网上交易信任环境的中心 它对每个最终实体进行定义CA的主要任务 受理数字证书的申请 签发及对数字证书的管理CA的安全认证机制CA的层次式结构 低级CA由比其高一级CA认证 最高为RCACA的分布式的结构 各CA之间可简单地相互交叉认证 第七章网上金融安全与网上支付机制 23 三 我国的金融CA体系结构中国金融认证中心CFCA包含的系统SETCA 主要用于电子商务中的BtoC的身份认证 它发放SET证书 支持基于用银行卡支付的SET交易Non