《电子商务支付系统信息安全》由会员分享,可在线阅读,更多相关《电子商务支付系统信息安全(69页珍藏版)》请在金锄头文库上搜索。
1、第 5 章 电子商务支付系统电子商务支付系统7/10/20221第5章 电子商务支付系统第第5章章电子商务支付系统电子商务支付系统n5.1 电子支付系统概述电子支付系统概述 n5.2 电子信用卡支付系统电子信用卡支付系统 n5.3 电子现金电子现金 n5.4 电子支票电子支票 n5.5 微支付微支付 7/10/20222第5章 电子商务支付系统5.1电子支付系统概述电子支付系统概述n电子支付电子支付指的是电子交易的参与者(即客户、指的是电子交易的参与者(即客户、商家和商家和银行银行)使用安全电子支付手段通过计算)使用安全电子支付手段通过计算机网络进行现金支付或资金机网络进行现金支付或资金转帐。
2、转帐。n电子商务系统的关键:安全地实现支付功能,电子商务系统的关键:安全地实现支付功能,保证参与交易的各方的安全保密。保证参与交易的各方的安全保密。n电子商务逐渐由非支付型向支付型过渡。电子商务逐渐由非支付型向支付型过渡。7/10/20223第5章 电子商务支付系统5.1电子支付系统概述电子支付系统概述n5.1.1 与传统支付方式的区别与传统支付方式的区别 n5.1.2 电子支付系统分类电子支付系统分类 n5.1.3 安全需求安全需求 n5.1.4 匿名的实现机制匿名的实现机制 7/10/20224第5章 电子商务支付系统5.1.1与传统支付方式的区别与传统支付方式的区别n传统支付手段主要有:
3、传统支付手段主要有:n现金支付方式现金支付方式n支付卡支付方式支付卡支付方式n通过银行的支付方式:它可以分为两种情况:通过银行的支付方式:它可以分为两种情况:(1)交易双方在同一银行都有账户)交易双方在同一银行都有账户 (2)交易双方在不同银行开设账户)交易双方在不同银行开设账户n一些电子支付系统只是传统支付系统的电子版本。一些电子支付系统只是传统支付系统的电子版本。7/10/20225第5章 电子商务支付系统5.1.2电子支付系统分类电子支付系统分类n根据不同支付工具根据不同支付工具,可以将电子支付系统分为:可以将电子支付系统分为:n电子信用卡支付模型电子信用卡支付模型n电子现金支付模型电子
4、现金支付模型n电子支票支付模型电子支票支付模型n这些支付模型仅仅是传统支付方式的电子表达这些支付模型仅仅是传统支付方式的电子表达形式。形式。n共同特点就是:实际的资金流向是从客户的账共同特点就是:实际的资金流向是从客户的账户流向商家的账户户流向商家的账户7/10/20228第5章 电子商务支付系统在线支付在线支付/离线支付(一)离线支付(一)根据连接方式根据连接方式分为在线支付分为在线支付(On-line(On-line Payment)Payment)系统和离线支付系统和离线支付(Off-line Payment)(Off-line Payment)系统。系统。客户商家发行银行接收银行支付支
5、付网关注册支付授权取款存款注册建立账户7/10/20229第5章 电子商务支付系统在线支付在线支付/离线支付(二)离线支付(二)n离线支付系统在支付过程中客户和商家都不与接离线支付系统在支付过程中客户和商家都不与接收银行和发行银行保持在线连接。收银行和发行银行保持在线连接。n离线支付系统不可能对支付提供实时授权离线支付系统不可能对支付提供实时授权n商家无法确信自己是否能够接受到付款。商家无法确信自己是否能够接受到付款。n在线系统比离线系统更为安全,在线系统比离线系统更为安全,n在线系统要求的通信量更大,完成交易的代价也在线系统要求的通信量更大,完成交易的代价也更大。更大。7/10/202210
6、第5章 电子商务支付系统5.1.3 5.1.3 安全需求安全需求 n电子支付系统是电子商务系统的重要组成部分。电子支付系统是电子商务系统的重要组成部分。n一个有效的电子支付系统的基本要求一个有效的电子支付系统的基本要求:n便于客户方便使用便于客户方便使用n需要保证参与交易各方的安全需求需要保证参与交易各方的安全需求n电子支付系统可能遭受的攻击:电子支付系统可能遭受的攻击:n对对安全支付协议安全支付协议的攻击:伪造消息、重放消息、的攻击:伪造消息、重放消息、假冒用户终端假冒用户终端n对网络的攻击:搭线窃听对网络的攻击:搭线窃听7/10/202211第5章 电子商务支付系统电子支付系统的安全需求电
7、子支付系统的安全需求n匿名性和交易的匿名性和交易的不可关不可关联联性性保护客户的身份不被泄露,防止将同一个客户的保护客户的身份不被泄露,防止将同一个客户的多笔交易关联起来。多笔交易关联起来。n身份认证身份认证证明自己在系统中的身份证明自己在系统中的身份n支付授权支付授权只有经过授权的参与方才能提取指定数量的金额只有经过授权的参与方才能提取指定数量的金额n支付交易消息的不可否认性支付交易消息的不可否认性能够防止交易参与方的抵赖能够防止交易参与方的抵赖7/10/202212第5章 电子商务支付系统电子支付系统的安全需求电子支付系统的安全需求(续续)n不可伪造性不可伪造性交易参与方不可以伪造交易信息
8、交易参与方不可以伪造交易信息n机密性机密性保证在网络中传输的交易数据的安全性、保证保证在网络中传输的交易数据的安全性、保证交易数据的安全存储。防止未经授权的参与方交易数据的安全存储。防止未经授权的参与方访问和使用。访问和使用。n消息的完整性鉴别消息的完整性鉴别防止消息在传输过程中被篡改,要求具有完整防止消息在传输过程中被篡改,要求具有完整性鉴别机制。性鉴别机制。7/10/202213第5章 电子商务支付系统5.1.4 5.1.4 匿名的实现机制匿名的实现机制 n匿名性:匿名性:n一个行一个行为为所所对应对应的的实实体是匿名的,是指体是匿名的,是指对应该对应该行行为为的的实实体在特定的、具有一定
9、相同特性的体在特定的、具有一定相同特性的实实体集中的不确定性。体集中的不确定性。n匿名系匿名系统统可分可分为发为发送者匿名、接收者匿名和通送者匿名、接收者匿名和通信双方匿名。信双方匿名。n关关联联性:性:n关关联联性是指不能判定两次不同的消息性是指不能判定两次不同的消息发发送是否送是否来自同一通信来自同一通信实实体。体。n假名,假名,这这是使用假身份来是使用假身份来实现实现匿名的一种匿名的一种办办法。法。7/10/202214第5章 电子商务支付系统实现实现匿名性的技术方法匿名性的技术方法n加加密密技技术术可可以以保保证证通通信信内内容容的的机机密密性性,但但是是无无法法隐隐藏通信藏通信实实体
10、的身份。体的身份。n实现实现匿名性的技术:匿名性的技术:n代理代理n匿名匿名转发转发器器链链n群(群(CrowdsCrowds)7/10/202215第5章 电子商务支付系统代理机制代理机制 n代理方法代理方法:用用户户借助可信借助可信赖赖第三方的身份来第三方的身份来隐隐蔽蔽自已,即可通自已,即可通过过代理的身份屏蔽消息中代理的身份屏蔽消息中发发送方的送方的身份信息。身份信息。n优点:实现优点:实现发发送方匿名的送方匿名的协议简单协议简单、高效、高效。n它它在安全方面在安全方面的的不足:不足:n代理必代理必须须是可信任的;是可信任的;n单单节节点点代代理理实实现现方方法法易易遭遭到到攻攻击击者
11、者的的控控制制和和跟踪;跟踪;n为为使使通通信信的的发发送送方方和和接接收收方方在在逻逻辑辑上上隔隔离离,因因此易于成此易于成为为系系统统瓶瓶颈颈。7/10/202216第5章 电子商务支付系统匿名转发器链匿名转发器链 匿名转发器链是构建网络隐蔽连接的一种方法第一层第二层第三层ABCMix3Mix1Mix2Mix4XYZ发送者接收者Mix5Mix6Mix7Mix8Mix97/10/202217第5章 电子商务支付系统实现发送者的匿名的方法实现发送者的匿名的方法1 发送者随机选择发送路径2 消息将按如下方式递归建立:发送路径上,下一级转发器节点的地址使用转发器节点的公钥对发送消息进行加密 3 将
12、加密后消息发送给第一级节点。4 第一级节点将采用它的私钥对消息进行解密,以获得下一级转发器的地址。5 将消息转发给下一级,如此往复直到消息的接收者为止。7/10/202218第5章 电子商务支付系统实现发送者匿名的实例实现发送者匿名的实例ABCMix2XYZ发送者接收者Mix5Mix87/10/202219第5章 电子商务支付系统响应消息的返回响应消息的返回n如果A希望消息的接收方Y返回响应消息,A可以在发送给Y的消息中加入一个匿名的返回地址。AMix2Y发送者接收者Mix5Mix8返回地址只有转发器知道返回消息的下一个转发器地址7/10/202220第5章 电子商务支付系统Crowds n群
13、方案在Internet网上提供发送者匿名。n群是由若干用户组成的n群方案的主要思想是通过在群内随机转发消息来隐藏消息的发送者。CrowdsAB当用户加入某个群时:1 用户向群管理服务器注册,获得账户和共享密钥。2 群管理服务器向其他成员通告新成员的加入。7/10/202221第5章 电子商务支付系统CrowdsCrowds特点特点nCrowds和匿名转发器链的不同点:nCrowds的发送者不需要选择所有的路由信息,路径信息是在信息传送过程中随机生成的。nCrowds和匿名转发器链的共同特点:n将个体的行为“淹没”到群体共同的行为之中,从而使个体的行为不再具有特异性。nCrowds能够为电子现金
14、系统和电子钱包提供强匿名性。7/10/202222第5章 电子商务支付系统习习题题P.138 17/10/202223第5章 电子商务支付系统5.2电子信用卡支付系统电子信用卡支付系统n电子信用卡作为支付工具。n电子信用卡是基于因特网的电子支付系统最为常见的支付手段。n电子信用卡支付模型主要包括两类支付模型:n通过信任第三方(trusted third party)的支付模型n具有简单安全措施的支付模型7/10/202224第5章 电子商务支付系统5.2.1信任第三方的支付模型信任第三方的支付模型n客户和商家均对第三方有较高的信任度n客户和商家均需要在第三方支付网关中开设了账号。n第三方负责识
15、别和鉴别商家和客户的身份n第三方负责核实订单和支付信息的有效性。n第三方需要提供信息保密功能n第三方是整个系统的核心,承担了系统的大部分风险。7/10/202225第5章 电子商务支付系统信任第三方的支付模型(续)信任第三方的支付模型(续)离线或安全的支付在线交易和确认商品支付确认商家客户信任第三方订单支付请求客户银行商家银行只有非敏感信息在线交换7/10/202226第5章 电子商务支付系统FirstVirtualHoldings 5187商家客户First Virtual 服务器6213客户帐户商家帐户941 向FV注册,请求VPIN。2 购买。3 VPIN OK?4 VPIN OK 5
16、商家提供服务 6 将交易信息发送给FV服务器,请求客户支付。7 支付服务器询问客户是否同意支付费用。8 客户回复9 若FV收到“同意支付”的应答消息,则FV将此次交易的金额从客户转入商家账户。7/10/202227第5章 电子商务支付系统5.2.2具有简单安全措施的支付具有简单安全措施的支付 n信任第三方的支付模型要求客户必须是该支付系统的成员,它不能提供非成员之间的交易。n传统的信用卡支付方法可以实现与非成员的交易。n在信用卡支付模型中,支付网关是公共网络和内部的金融网络之间的通信媒介。n客户需要将信用卡号码加密后发送给商家。7/10/202228第5章 电子商务支付系统5.3 5.3 电子现金电子现金 n5.3.1 5.3.1 电子现金概述电子现金概述 n5.3.2 5.3.2 电子现金支付模型电子现金支付模型 n5.3.3 5.3.3 匿名性匿名性 n5.3.4 5.3.4 防止重用防止重用 n5.3.5 5.3.5 可分电子现金系统可分电子现金系统 7/10/202229第5章 电子商务支付系统5.3.1 5.3.1 电子现金概述电子现金概述n电子现金电子现金(数字货币)是一种
