《网上支付与结算教案网络支付的安全及相关安全技术(四)课件》由会员分享,可在线阅读,更多相关《网上支付与结算教案网络支付的安全及相关安全技术(四)课件(78页珍藏版)》请在金锄头文库上搜索。
1、,第四章 网络支付的安全及相 关安全技术,通过第三章的学习,我们已经知道了网络支付的一些基础知识内容,知道了网络支付的基本运作过程和模型、网络支付的支撑网络平台和目前网络支付方式的分类,最后结合国内外的资料,介绍了目前网络支付手段的发展状况。这是我们进一步深层次学习下面有关网络支付内容的基础。从前面知道,网络支付结算是电子商务的一个重要环节,快捷、方便、可靠的网络支付方式的普及应用正是体现电子商务魅力的地方。因此,保证网络支付过程中的快捷、方便和可靠安全,是保证网络交易顺利完成的根本保证。保证电子商务的安全其实很大部分就是保证电子商务过程中网络支付结算的安全,这正是银行、商家,特别是客户关心的
2、焦点。本章主要对网络支付的问题及安全需求、网络支付的安全策略以及较主要的解决方法手段作一介绍,最后叙述了目前流行的保证安全交易和网络支付的SET机制和SSL机制。,4.1 网络支付的安全问题与需求 4.2 网络支付的安全策略及解决方法 4.3 Internet网络安全及防火墙技术 4.4 对称密钥加密及应用 4.5 公开密钥加密及应用 4.6 数字信封 4.7 数字摘要 4.8 数字签名 4.9 认证中心CA与数字证书 4.10 安全网上交易协议SET机制与SSL机制,本章主要内容共有五节,如下:,4.1 网络支付的安全问题与需求,一、网络支付面临的安全问题,众所周知,Internet是一个完
3、全开放的网络,任何一台计算机、任何一个网络都可以与因特网联接,通过因特网发布信息,通过因特网获取各网站的信息,通过因特网发送Email,通过因特网进行各种通讯,通过因特网进行各种商务活动,即电子商务活动。但同时,有很多别有用心的单位或人或黑客(Hacker)经常在因特网上四处活动,寻求机会,窃取别人的各种机密,甚至防碍或毁坏别人的网络系统运行等。在这种情况下,如果没有严格的安全保证,商户和客户、消费者就极有可能因为担心网上的安全问题而放弃电子商务,阻碍了电子商务的发展。因此保证电子商务的安全是电子商务的核心问题,也是难点,相关全面具体的知识在电子商务的安全课程中己经讲过。具体到电子商务中的网络
4、支付结算,因为网上交易必然涉及到客户、商家、银行及相关管理认证部门等多方机构及他们之间的系统配合,涉及资金的划拨,更使客户和商户必须考虑是否安全。因此,保证安全是推广应用网络支付结算的根本基础。网络支付与结算由于涉及到资金的问题,更是电子商务中主要安全发生点。,网络支付结算目前面临的主要安全问题可能主要有如下5个方面的现象: 1. 支付帐号和密码等隐私信息在网络上传送过程中被窃取或盗用。如信用卡号码和密码被窃取盗用给购物者造成损失。 2. 支付金额被更改。如本来总支付额为250美元,结果支付命令在网上发出后,由于不知哪一方的原因从帐号中划去了1250美元,给网上交易一方造成了困惑。 3. 支付
5、方不知商家到底是谁,商家不能清晰确定如信用卡等网络支付工具是否真实、资金何时入帐等。一些不法商家或个人利用网络贸易的非面对面性,利用Internet上站点的开放性和不确定性,进行欺骗。 4. 随意否认支付行为的发生及发生金额,或更改发生金额等,某方对支付行为及内容的随意抵赖、修改和否认。 5. 网络支付系统故意被攻击、网络支付被故意延迟等如病毒等造成网络支付系统的错误或瘫痪、网络病毒造成网络支付结算过程被故意拖延等,造成客户或商家的损失或流失等。,针对以上在网络支付过程中有可能发生的安全问题,为保证网络支付的可靠快捷,结合电子商务系统的安全,具体到网络支付结算,总结一下,我们认为网络支付的安全
6、需求为: (也可对应为5个方面) 1. 保证网络上资金流数据的保密性由于交易是在Internet上进行的,在因特网上传送的信息是很容易被别人获取的,所以必须对传送的资金数据进行加密。所谓加密是使在网上传送的数据如信用卡号及密码运算成为一堆乱七八糟的谁也看不懂的数据,只有通过特定的解密方法对这堆乱七八糟的数据进行解密才能看到数据的原文,即由消息发送者加密的消息只有消息接收者才能够解密得到,别人无法得到,而且,这些加密的方法必须是很难破解的。,二、网络支付的安全需求,2. 保证网络上资金结算数据不被随意篡改,即保证相关网络支付结算数据的完整性。数据在传送过程中不仅要求不被别人窃取,还要求数据在传送
7、过程中不被篡改,能保持数据的完整。如果王先生在商店里订购了一套家具,本开填写支付金额为250美元,最后发现被划去1250美元,当然会引起纠纷,并失去客户。因此,在通过Internet进行网络支付结算时,消息接收方收到消息后,必定会考虑收到的消息是否就是消息发送者发送的,在传送过程中这数据是否发生了改变。在支付数据传送过程中,可能会因为各种通讯网络的故障,造成部分数据遗失,也可能因为人为因素,如有人故意破坏,造成传送数据的改变。如果无法证实网上支付信息数据是否被篡改,是无法长久在网上进行交易活动的。一些加密方法或手段就用来解决数据的完整性的。,3. 保证网络上资金结算双方身份的认定。在实际商店里
8、买东西,商店营业员与顾客是面对面进行交易的,营业员要检查持卡人的信用卡是否真实,是否上了黑名单,信用卡是不是持卡人本人的,还要核对持卡人的签名、持卡人的身份证等,证实持卡人的身份。持卡人亲自来到商店,看到商店真实存在。而在网上进行交易,交易双方互不见面,持卡人只知道商店的网址,不知道这个商店开在哪里。在网上没有方向,没有距离,也没有国界。有可能你在网上看到的一家大规模的商场,实际上只是2个年轻人用一台计算机制造的一场骗局。所以持卡人要与网上商店进行交易,必须先确定商店是否真实存在,付了钱是否能拿到东西。商店和银行都要担心上网购物的持卡人是否持卡人本人,否则,扣了张三的款,却将货送给李四,结果持
9、卡人上门来说没买过东西为什么扣我的钱,而商户却已经将货物送走了。这样的网上交易是不能进行下去的。所以网上交易中,参加交易的各方,包括商户、持卡人和银行必须要采取如CA认证等措施能够认定对方的身份。,4. 保证网络上资金支付结算行为发生及发生内容的不可抵赖。在传统现金交易中,交易双方一手交钱,一手交货,没有多大问题。如果在商店里用信用卡付款,也必须要持卡人签名,方能取走货物。在网上交易中,持卡人与商店通过网上传送电子信息来完成交易,也需要有使交易双方对每笔交易都认可的方法。否则,持卡人购物后,商户将货送到他家里,他却说自己没有在网上下过订单,银行扣了持卡人的购物款,持卡人却不认账。反过来,持卡人
10、已付款,可商家却坚持说没有接收到货款,或者说,没有在大家认可的日子接收到资金,而有你有故意延迟或否认物品的配送,造成客户的损失。还有明明收到了1000美元,却说只收到500美元,等等。 如果客户或商店或银行经常碰到对方造成这样的事,就要忙不过来了。所以,必须为网络支付结算提供一种使交易双方在支付过程中都无法抵赖的手段,使网上交易能正常开展下去。比如数字认证、数字时间戳等手段,与保证网络交易不可否认的需求差不多。,5. 保证网络支付系统的运行可靠、快捷,保证支付结算速度。实事的网络支付行为对网络支付系统的性能要求很高,如电子钱包软件;网络支付支撑网络本身的安全防护能力,如防火墙系统的配置;网络通
11、道速度的检测;管理机制的制定确立等。,4.2 网络支付的安全策略及解决方法,本节主要介绍为应对前面网络支付结算的安全需求而采取的安全策略,已经为实施安全策略采取的常用方法与手段。,一、网络支付安全策略制定的目的、涵义和原则,电子商务中的网络支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。也由此可以看出,网络支付安全体系的建立不是一蹴而就的事,它受多种因素的影响,并与这些因素相互促进,动态地发展,共同走向成熟。(在目前各方面的条件还不完全成熟的情况下,坐等时机的到来不现实,也不符合事物发展的规律。承担一定风险推动网络支付系统的发展,以期与
12、其他因素相互作用、相互促进,这也许是信息社会中的一种新方法或新思维。),针对上一章节讲述的有关网络支付结算相关安全需求,开展电子商务的商家和后台的支撑银行必须相互配合,首先建立一套相关的安全策略,在实践中慢慢完善,以保证电子商务下网络支付结算的顺利进行。电子商务中网络支付安全策略是整个电子商务安全策略的子集,即一个机构在从事电子商务中关于安全的纲要性条例,它是用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等。要保护以网络支付系统等为代表的电子商务资产,所有组织都要有一个明确的安全策略。网络支付结算的安全策略其实与电子商务的安全策略基本类似,有些应
13、该在电子商务的安全中已经涉及。这里再具体讲一下。 1. 制定安全策略的目的制定电子商务安全策略的目的是为了保障机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏;能够有序地、经常地鉴别和测试安全状态;能够对可能的风险有一个基本评估;系统的安全被破坏后的恢复措施和手段以及所需的代价。 (具体结合网络支付),2. 安全策略的涵义安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,这个策略会随时间而变化,公司负责安全的人员必须定期修改安全策略。安全策略必须包含对安全问题的多方面考虑因素。安全策略一般要包含以下内容:认证;访问控制:保密;数据完整性;审计。,3.
14、安全策略的基本原则(1)预防为主。为了掌握主动权,就必须有齐全的预防措施,使系统得到有效的保护。(2)必须根据网络支付结算的安全需要和目标来制定安全策略。在制定安全策略之前,首先要确定保护的内容:再确定谁有权访问系统的哪些部分,不能访问哪些部分:然后确定有哪些手段可用来保护这些资产。应当估计和分析风险。(3)根据掌握的实际信息分析。例如可以根据服务器已经运行的记录中收到的每一次链接和访问进行分析,这些记录通常包括IP地址和主机名以及用户名,可能还有用户在逗留期间填写的表格,该表格中所有变量的值都会被记录在案:请求的状态、传递数据的大小、用户Email地址等等都会被记录下来。这些记录对于分析服务
15、器的性能,发现和跟踪黑客袭击是很有用的。总之,需要了解实际的与安全有关的各种信息,特别对资金流敏感的进行分析。,二、网络支付安全的安全策略内容,安全策略具体内容中要定义保护的资源,要定义保护的风险,要吃透电子商务安全的法律法规,最后要建立安全策略和确定一套安全机制。每个机构都必须制定一个安全策略以满足安全需要。 1.要定义实现安全的网络支付结算的保护资源定义资源是与本机构的具体身份、任务、性质有关。同一机构在不同的经营期对资源的定义也是不同的。安全电子商务以Internet为信息交换通道,由CA中心、银行、发卡机构、商家和用户组成,是实现安全网络支付结算的基础。系统组成见图41所示。,图4-1
16、 安全的电子商务网络支付系统架构,可以看出,涉及到多方的配合,包括:交易方A、商务网站本身、交易方B、金融机构(如银行、发卡机构)、公正的第三方群(认证机构、时戳服务机构、仲裁者)、政府机构(税务机构、海关)等。,2. 要定义要定义保护的风险每一新的网络支付方式推出与应用,均有一定的风险,因为绝对安全的支付手段是没有的,要进行相关风险分析。还要注意网络支付工具使用安全与使用便利、快捷之间的辩证关系。 3. 要吃透电子商务安全与网络支付安全的法律法规虽然,电子商务和电子商务安全的法律法规远远没有齐全,要吃透已有的电子商务安全的法律法规是必须的。例如中国人民银行制订的金融IC卡应用的安全机制规范。规范规定“在一张卡中的不同应用之间要相互独立,应用之间要提供防火墙安全控制措施,杜绝跨应用的非法访问。”因此,安全策略中必须建立防火墙。规范规定“要确保卡内存储的特定功能的加密解密密钥不能被其他功能所使用,以及用来产生、派生和传输这些密钥的密钥都要具备专用性。”因此,安全策略中必须对这些密钥的流通和使用做出严密的管理。密切注意电子商务的立法。约束电子商务中有关网络支付犯罪和解决纠纷需要立法。对Internet的管理和立法是很难的,对电子商务的管理和立法就更难了,不但需要立法者有过人的智慧,还必须有先进的判断手段和验证机构。这些条件的齐备都需要时日。,
