第四章网络支付安全.ppt

1、第四章网络支付的安全解决方法、网络支付结算是电子商务的重要环节，迅速、方便、可靠的网络支付方式的普及应用是电子商务魅力的体现。 因此，保证网络支付过程中的快速、方便、可靠的安全是保证网络交易顺利完成的根本保证。 保证电子商务的安全，其实大部分是保证电子商务中的网络支付结算的安全，这是银行、业者尤其是顾客关注的焦点。 本章主要介绍了网络支付的问题和安全需求、网络支付的安全对策以及比较主要的解决方法，最后阐述了现在流行的安全交易和保证网络支付的SET机制和SSL机制。 4.1网络支付安全问题和需求4.2网络支付安全政策和解决方法4.3网络安全和防火墙技术4.4数据机密性技术4.5数据完整性技术4.

2、6数字证书和认证中心CA 4.7安全网络交易协议SET机制和SSL机制，第四章网络支付安全解决方法， 4.1网络支付的安全问题和需求，一是网络支付面临的安全问题，因此网络安全成为贸易双方十分关注的问题。 网上交易必然涉及到客户、业者、银行以及相关管理认证部门等许多机构与他们之间的系统合作，涉及到资金的筹措，而且客户和商家还必须考虑网络支付和结算是否安全。 这也是电子商务中的主要安全发生点。互联网支付结算面临的安全问题有五个方面：1.网络传输期间隐私信息(如支付账户和密码)被盗或盗窃。 例如，信用卡号码和密码被盗，会给购物者带来损失。 2 .支付金额变更了。 本来总支付额是250美元的话，结果在

3、网上发出了支付命令之后，由于不知道是哪一个，从账号上扣除了1250美元，网上交易方很困惑。互联网支付结算面临的安全问题有以下5个方面：3.支付地点不知道业者是谁，业者不能明确确定信用卡等互联网支付手段是否真实，资金什么时候进行修订。 一些非法企业和个人利用互联网贸易的非对面性，利用互联网网站的开放性和不确定性进行欺诈。 4 .任意否认支付行为的发生和发生金额，或者变更发生金额等，其中一方对支付行为和内容进行任意否认、修改和否认。 买方当天不支付250美元，主张支付完毕的卖方已经收到了10000美元的货款，矢口否认原本交易额是1000美元，但是继续主张发生了2000美元等。 网络结算面临的安全问

4、题有5个：5.网络结算系统被故意攻击，网络结算故意推迟，网络结算系统的失误和麻痹，网络病毒引起的网络结算过程故意推迟等，客户和业者的损失和流失等。 例如，“熊猫烧香”病毒、“2003蠕虫王”病毒等。 对于在网络支付过程中可能发生的安全问题，为了保证网络支付的可靠性和迅速性，网络支付的安全要求可以归纳如下：1.保证网络上资金流数据的机密性。 网上交易是指交易双方，交易双方不想让第三方知道交易的具体情况。 然而，交易是在因特网上进行的，并且由于通过因特网传输的信息容易被其他人获得，所以必须对传输的资金数据进行加密。 所谓加密，就是使互联网上发送的数据，例如信用卡号码和加密运算混乱，使之成为谁也不知

5、道的数据，只有用特定的解密方法解密这个混乱的数据，才能看到数据的原文。 也就是说，消息发送者加密的消息只能由消息接收者解密，其他人无法获得。例如，目前招商银行“一卡通”在互联网支付过程中使用1024位密钥，不易破解，相当安全。 二、网络支付的安全需求，二.保证网上资金结算数据不会被随意篡改，即相关网络支付结算数据的完整性。 数据不仅在传输过程中不被他人偷走，而且在传输过程中不被篡改，需要保持数据的完整性。 王老师点了一套家具，本来填写的支付金额是250美元，最后发现删去了1250美元，当然会引起麻烦。 在通过互联网进行网络结算的情况下，当消息接收者接收到消息时，必须考虑所接收的消息是否是消息发

6、送者发送的，在转发过程中数据是否已经改变。 在支付数据传输过程中，由于各种通信网络的故障，可能会导致部分数据丢失，人为因素，例如有人故意破坏，传输数据发生变化。 如果无法确认在互联网上支付的信息数据是否被篡改，就无法长期在互联网上进行交易活动。有些加密方法或手段用于解决数据的完整性。 例如，数字指纹的应用等。 原代码附加代码传输3549 3 3559 3进行运算验证，数据被篡改的3 5 4 9=21，附加代码： 21=3，3，3 .网上资金结算双方的身份认定保证了在实体店的面对面交易，营业员检查卡所有者的信用卡是否真实在互联网上进行交易具有虚拟性：广东的一家商店为了在上海建立网站，开设互联网上

7、的商店，扩大对外互联网上的交易，还在美国建立镜像网站，持卡人完全不知道这个商家在哪里持卡人在网上浏览时，只要点一下鼠标，刚才在上海的家电店就到了美国纽约的百货商店。 在网上没有方向没有距离没有国界在网上看到的大型百货商店，实际上也许只是两个年轻人用一台电脑做的诈骗而已。 所以，持卡人为了和网上商店进行交易，首先必须确定商店是否存在，是否能够付钱买到东西。 商店和银行都必须担心持网上购物卡的人是不是本人。 不然，扣了张三的钱，把行李寄给了李四。 结果，没有带卡的人买。 这样的网络交易进行不下去。 因此，在网上交易中，包括参加交易的当事人、商户、持卡人、银行在内，为了认定对方的身份必须采取CA认证

8、等措施。 也就是说，互联网支付和结算的前提必须是交易双方身份的唯一性和确定性。 4、保证网上资金支付结算行为的发生和发生内容是在传统现金交易中，交易双方一手付款，一手交货，没什么问题。 如果在商店用信用卡支付，还需要持卡人的签名。 在网上交易中，还需要卡所有者和店铺通过在线发送电子信息来完成交易，交易双方对每个交易都认可的方法。 否则，在持卡人购物后，商人将商品送到他家，他说自己从未在网上订购过，银行扣除了持卡人的购物金，但持卡人不承认。 相反，持卡人付了款，但业者没有收到货款，或者在大家认可的日子没有收到资金，你故意推迟或否认货物的发送，招致了客户的损失。 另外，明明收到了1000美元，却说

9、只收到了500美元。 因此，互联网支付结算必须提供交易双方在支付过程中不可否认的手段，使互联网上的交易能够正常开展。 例如，数字认证、数字时间戳等手段。 和保证网络交易的不可否认的需求相似。5 .网络支付行为(保证网络支付系统的运行可靠性、速度和确保支付结算速度是实时的)对网络支付系统的性能要求很高，例如，电子钱包软件网络支付可能是网络本身的安全性，例如防火墙系统的配置4.2网络支付的安全政策和解决方法，本节介绍了针对上一网络支付结算的安全需求的安全政策，以及实施安全政策的一般方法和手段。 一、网络支付安全政策制定的目的、意义和原则、电子商务中的网络支付结算系统应该是集购物流程、支付工具、安全

10、技术、认证系统、信用系统和现行金融系统为一体的综合大系统。 由此可见，网络支付安全体系的建立并非一蹴而就，而是受到各种因素的影响，与这些因素相互促进、动态发展，共同走向成熟。网络支付结算的安全政策是整个电子商务安全政策的重要子集。 1 .制定安全策略目的制定电子商务安全策略的目的基本上可以评估能够有序、容易地识别和测试安全状态的风险，安全状态是保证机密性、完整性、认证性、不可否认性、访问控制性不受损害2 .安全策略的含义安全策略一般包括认证机制访问控制机制：保密机制数据完整性机制审计机制。网络支付结算的安全政策是整个电子商务安全政策的重要子集。 3 .安全措施的基本原则(1)预防为主。 (2)

11、应当根据网络支付结算的安全需要和目标制定安全政策。 在创建安全策略之前，必须确定受保护的内容。 然后，决定谁可以访问系统的哪些部分，哪些部分不能访问。 (3)根据掌握的实际信息进行分析。 例如，可以分析从服务器正在运行的记录中收到的每个链接和访问。 这些记录有助于分析服务器性能、发现和跟踪黑客。 二、网络要支付安全安全政策的内容，在安全政策的具体内容中定义保护的资源，定义保护的风险，吃电子商务的安全法律法规，最后确立安全政策，确定一系列安全机制。 每个组织都必须制定一个安全策略来满足不同代理的安全需要。 1 .定义实现安全网络支付结算的保护资源定义资源，与本机构的具体身份、任务、性质有关。 同

12、一机构根据经营期间资源的定义不同。 安全的电子商务是以互联网为信息交换渠道，由CA中心、银行、发卡机构、企业和用户组成，是实现安全网络支付结算的基础。 系统结构如图41所示。图4-1的安全电子商务网络支付系统架构，由客户a、商务站点本身、客户b、金融机构(银行、发卡机构等)、公正的第三方集团(认证机构、时间戳服务机构、仲裁员各机构，以自己的性质和网络支付2 .定义保护风险的新网络支付方式每次推出和应用都有一定的风险。 因为没有绝对安全的支付手段，所以进行相关的风险分析。 此外，还要注意互联网支付工具的使用安全、易用和快速的辩证关系。 3 .完全理解、遵守和利用电子商务安全和网络支付安全的法律法

13、规，但电子商务和电子商务安全的法律法规不够完善，需要吃掉现有的电子商务安全的法律法规。 对于电子商务的立法总是非常谨慎。 电子商务中的网络支付犯罪和纠纷解决需要立法。互联网的管理和立法很难，电子商务的管理和立法更难，不仅需要立法者的智慧，还需要先进的判断手段和验证机构。 4 .建立相关的安全策略确定一系列的安全机制安全策略中，根据最后定义的保护资源、定义的保护风险、电子商务安全的法律法规，建立安全策略，一系列的安全策略个人或组织对网络支付结算的安全性进行了全面制定，安全机制基于实现安全性政策的手段或技术、全面的规则、三、保证网络支付安全的解决方法、网络支付的安全需求和安全政策的内容可采用以下7

14、个主要方面的解决方法(技术管理):(1)支付流程相关的各方面的身份认证，如CA认证机构的设立，使用数字签名和数字证书实现各方面的认证，使用身份证明X.509数字签名和数字证书。 (2)网络支付数据流内容的保密相关加密算法使用对数数据进行加密，使非法的第三者无法取得信息的真正含义。 使用各种加密算法进行加密、SSL秘密通信机构、数字信封等。 三、保证网络支付安全的解决方法、网络支付安全需求和安全策略的内容记述，具体到网络支付结算，可以采用以下7个主要方面的解决方法(技术管理):(3)网络支付数据流内容的完整性，例如消息摘要(数字指纹(4)保证对网络支付行为内容的不可否认性。 当交易双方因互联网支

15、付而发生异议、纠纷时，将提供充分的证据，以便采用某种技术手段快速判断纠纷中的是非。 例如，采用数字签名、数字指纹、数字时间戳等技术，与CA机构合作实现是不可否认的。 (五)处理许多贸易业务的多边支付问题。 这种多边支付的关系可以通过双连签字等技术来实现。 例如SET安全支付机构。 (6)网络支付系统软件、网络平台的正常运行保证网络支付专用软件的可靠运行，支持网络平台和支付网关的顺畅和正常运行，防止网络病毒和HACKER的攻击，防止支付故意延迟， 防止网络通道故意堵塞等是实现安全网络支付的基础，采用安全的电子商务，如网络防火墙技术、用户和资源的分层控制管理机制、网络通道流量监控软件、网络防病毒软

16、件等方法。 (七)政府支持建立相关管理机构和制定电子商务法。 建立第三方公正的管理和认证机构，尽快完成有关电子商务的法律制定，保证法律进行安全的电子商务和互联网支付结算。 在本章的后半部分，分别阐述相关的方法和解决手段的原理和应用。 4.3网络支付平台的安全和防火墙技术，为了保证网络支付结算的安全，首先必须保证网络平台的安全，在这一节中，该网络支付的安全可靠的因特网网络平台系统的构成及其主要安全威胁网络平台系统的安全防火墙技术与应用、网络平台系统的构成及其主要安全威胁， 支持上述支付网络支付的安全可靠的互联网平台系统，客户端：客户端硬件、操作系统、Web浏览器(IE浏览器)、 以及可能的客户端网络互联网：公共通信渠道内联网：公司内联网和电子商务服务器，数据