第七章网上支付.ppt

1、第七章,网上金融安全与网上支付机制,阐述基于IP网络上的网上金融的安全性和安全网上支付机制。从网上金融所依据的IP商业网络的运行环境和安全需求出发，了解网上金融采用的主要安全技术，了解防火墙的防护机制和配置；重点了解SSL和SET是如何保障网上金融服务安全的；较深入理解采用SET协议即改进型协议的安全网上支付机制；重点了解PKI的安全认证机制；了解我国金融CA的结构；了解计算机病毒的特性、类型和防治办法,学习目标,TCP/IP协议Internet的技术基础TCP/IP协议由如下四层组成应用层传输层互联层网络接口层,7.1IP网络的安全基础,基于互联网进行的电子商务，是通过计算机技术、Web技术

2、和信息技术，将消费者、商户、生产企业、银行以及所有的合作伙伴连接在一起进行的各种商业活动。一个完整的电子商务应用包括网络基础设施、电子认证系统、网上支付系统、业务应用系统、物流配送系统等部分。,7.1.2电子商务的网络环境,电子商务的网络结构,金融企业的电子商务网络安全系统应具备如下功能：采用防火墙技术将应用系统同Internet隔离开来，允许来自互联网的合法服务畅通无阻，拒绝所有不相关的服务和非法访问。建立基于VPN技术的金融网，使合法客户能安全通过Internet进入金融专用网进行金融交易。.金融企业的网上业务实际大量金额，交易前双方必须能识别对方身份，交易中必须能识别交易电文和验证电文的

3、完整性。4.金融系统应建立基于PKI技术的CA系统，实现通过防火墙队内部主机访问的认证性，实现信息的保密性、不可否认性等要求。,7.1.3网上金融服务的安全,防火墙（firewall）是保护本地系统和网络避免来自Internet的安全受到威胁的一种有效手段。,7.2防火墙及其配置,1.防火墙的作用：防火墙是安装有防火墙软件的计算机系统，是一种网络安全设备。防火墙提供如下服务：服务控制方向控制用户控制行为控制2.防火墙的安全机制过滤机制代理服务机制数据加密机制审查跟踪机制,7.2.1防火墙的作用和安全机制,最常用的防火墙邮包过滤路由器、应用网关、线路网关和堡垒主机等。1包过滤路由器包过滤（PF）

4、是面向网络层和传输层的，它根据事先设定的过滤规则，检查流经防火墙的TCP/IP封包头文件中的字段值，根据IP数据包的源IP地址和端口号、目标IP地址和端口号以及TCP链路状态等因素，在网络层对数据包实施有选择的通过。,7.2.2防火墙的种类,2应用网关应用网关AG又叫代理服务器，用来接受外来的应用连接要求，是应用层通信量的中转站。3线路网关线路网关CG可以使一个单独的系统，也可以是应用网关为该种应用服务而提供的一个功能部件。堡垒主机从网络安全角度来说，堡垒主机是最强大的系统。,1只包含单一防火墙的简单配置,7.2.3防火墙在电子金融中的配置,2采用单宿主堡垒主机配置的屏蔽主机式的防火墙系统。,

5、3采用双宿主堡垒主机配置的屏蔽主机式的防火墙系统。,4屏蔽子网防火墙系统,在网络层（IP层）上的安全服务在传输层（TCP层）上的安全服务在应用层上的安全服务,7.3.1Web的安全,7.3安全网上支付的SSL机制和SET机制,1加密方式和压缩方式的选择需要确定的加密方式内容包括：密钥交换算法，用于交换只有收发双方知道的密钥的交换算法。加密算法，用于连接中应用数据的加密算法。Hash算法，用于MAC（信息识别码）计算的Hash算法。MAC用于检查传输数据的完整性，以检验数据在传输过程中是否被纂改。2身份识别3会话密钥和Hash函数的确定4电文的传输,7.3.2SSL协议,1银行卡安全支付的需求和

6、特点2数字证书3.双重签名,7.3.3SET协议和网上支付机制,双重签名的产生过程,4采用SET的联机购物和支付过程,网上安全联机购物和支付过程,5支付网关6SET的网上支付机制和支付信息流7SET软件,SET的网上支付机制和支付信息流程,1VISA3D-Secure,7.3.4改进型的银行卡互联网认证体系,VISA3D-Secure认证流程,2MasterCardSPA3两大认证系统的兼容和合作,MasterCardSPA,1PKI体系的主要组件2PKI系统的组成CA政策4确认证书5证书的申请6用户的验证7时间印记服务器8系统的安全性,7.4PKI系统的安全认证机制,7.4.1PKI概述,主

7、要任务是受理数字证书的申请、签发和管理。认证中心依据认证操作规定CPS来实施服务操作。,7.4.2认证中心的主要功能,国内CA公司有三类：行业主管部门建立的CA中心，如中国人民银行、电信、海关地方政府部门建立的CA中心，如北京、上海民间资本建立的商业CA中心,7.4.3我国的金融CA结构,破坏性传播扩散性可激发性,7.5计算机病毒及防治,7.5.1计算机病毒泛滥的严重性,7.5.2计算机病毒的特性,寄生病毒驻留内存病毒引导型病毒隐身病毒变形病毒宏病毒,7.5.3病毒的类型,1建立多层的病毒防卫体系软件防治硬件防治实施中央控制2充分利用网络操作系统提供保护措施3严格的管理机制,7.5.4网络病毒

8、的防治,1电子商务的网络结构不但包括IP公用网，还包括企业网、金融网、政府网、广电网等各种专用网络。IP网络的安全是进行电子商务的基本保证。Internet的开放性，使得网上银行的安全性比基于专用网络的传统电子银行的安全性更加严重，也更为复杂。2防火墙是保护本地系统和网络，避免来自Internet的安全威胁的一种有效手段。防火墙可依据安全策略对进出防火墙的信息进行过滤和限制。防火墙上的代理服务机制可将内部网络同外部网络有效地隔离开来，以保护内部网络的安全。鉴于电子银行的重要性，电子银行体系的重要节点应该按照屏蔽子网防火墙系统配置，将关键应用系统同外部网络隔离开来。,7.6小结,3有多种提供we

9、b安全服务的重要协议。在电子商务中，TCP层中的SSL/TLS用于保护网上电文传输的安全，为网络上应用程序之间的数据提供信息保密、信息完整性和相互认证等基本安全服务，可支持大范围的应用。而应用层中SET是专为保护internet上用银行卡支付而设计的安全协议，是保证B2C安全网上支付的基础设施。4全球零售电子商务快速发展，凸现SSL和SET两大认证体系的各自缺陷，为适应网上支付发展的需求，陆续推出了各种改进型的银行卡互联网认证体系5.PKI系统是提供公钥加密和数字签名服务的系统6.我国的金融CA是在PKI架构上构建的。7.nternet普及后，计算机病毒严重地威胁着网络和计算机系统的安全。,思考与练习,1.从网上银行和金融专用网的运行环境出发，试分析比较二者的安全特点和需要采用的安全技术。2.试说明防火墙的安全机制。你认为电子银行应采用哪种防火墙配置？为什么？3.试说明SSL的主要功能和如何保证网上数据传输安全的。4.试说明用银行卡进行安全网上支付的商业需求。SET是如何保证实现这些需求的？5.网上购物时，持卡人要将订购消息OI发给商户而不让