《网络支付安全技术》由会员分享,可在线阅读,更多相关《网络支付安全技术(30页珍藏版)》请在金锄头文库上搜索。
1、精品文档第四章网络支付安全技术I 3知识要点:? 网络支付的安全性问题? 对称密钥和非对称密钥? 数字摘要与数字签名? 数字证书与CA认证? SSL与SET协议? 中国金融认证中心第一节网络支付安全性问题概述网络支付以其快捷、方便的网络支付方式适应了电子商务的发展。由于电子商务的远距离网络操作不同于面对面的传统支付方式,安全问题已经成为大家关注电子商务运行安全的首要方面。完成电子商务中资金流的网络支付涉及商务实体最敏感的资金流动,所以是最需要保证安全的方面,也是最容易出现安全问题的地方,如信用卡密码被盗、支付金额被篡改、收款抵赖等。因此保证电子商务的安全其实很大部分就是保证电子商务过程中网络支
2、付与结 算流程的安全,这正是银行与商家,特别是客户关心的焦点问题。一、网上支付面临的安全问题因特网环境下的网络支付结算涉及到客户、 商家、银行及相关管理认证部门等多方机构 及他们之间的配合。网络支付与结算由于涉及到资金的问题, 保证安全是推广应用网络支付 结算的基础。目前网络支付结算面临的主要安全问题可以归纳为如下几个方面:1 .支付账号和密码等隐私信息在网络上传送过程中被窃取或盗用,如信用卡号码和密 码被窃取盗用给购物者造成损失。2 .支付金额被更改。如本来总支付额为250美元,结果支付命令在网上发出后,由于未知的原因从账号中划去了 1250美元,给网上交易一方造成了困惑。3 .支付方不知商
3、家到底是谁,商家不能清晰确定如信用卡等网络支付工具是否真实、 资金何时入账等;一些不法商家或个人利用互连网站点的开放性和不确定性,进行欺骗。4 .随意否认支付行为的发生及发生金额,或更改发生金额等,某方对支付行为及内容 的随意抵赖、修改和否认。5 .网络支付系统故意被攻击、网络支付被故意延迟等如病毒等造成网络支付系统的错误或瘫痪、网络病毒造成网络支付结算过程被故意拖延等,造成客户或商家的损失或流失等。二、网络支付安全策略电子商务中的网络支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、 信用体系以及现在的金融体系为一体的综合系统。网络支付安全体系的建立不是一蹴而就的事,它受多种因素的
4、影响,并与这些因素相互促进,动态地发展,共同走向成熟。开展电子 商务的商家和后台的支撑银行必须相互配合,首先建立一套相关的安全策略,在实践中慢慢完善,以保证电子商务下网络支付结算的顺利进行。(一)安全策略的含义与目的电子商务中网络支付安全策略是整个电子商务安全策略的组成部分,即一个机构在从事电子商务中关于安全的纲要性条例,它是用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等。要保护以网络支付系统等为代表 的电子商务资产,所有组织都应有一个明确的安全策略。制定电子商务安全策略的目的是为了保障机密性、完整性、认证性、不可否认性、不可 拒绝性和访问控制
5、性不被破坏;能够有序地、经常地鉴别和测试安全状态;能够对可能的风险有一个基本评估;系统的安全被破坏后的恢复措施和手段以及所需的代价。(二)网络支付的安全策略内容安全策略具体内容中要定义保护的资源,要定义保护的风险,要吃透电子商务安全的法律法规,最后要建立安全策略和确定一套安全机制。每个机构都必须制定一个安全策略以满足安全需要。1.要定义实现安全的网络支付结算的保护资源定义资源是与本机构的具体身份、任务、性质有关。同一机构在不同的经营期对资源的 定义也是不同的。安全电子商务以Internet为信息交换通道,由CA中心、银行、发卡机构、 商家和用户组成,是实现安全网络支付结算的基础。可以看出, 涉
6、及到多方的配合, 包括: 交易方A、 商务网站本身、 交易方B、 金融机构 ( 如银行、发卡机构) 、公正的第三方群 ( 认证机构、时间戳服务机构、仲裁者 ) 、政府机构( 税务机构、海关) 等。2要定义要保护的风险每一新的网络支付方式推出与应用, 均有一定的风险, 因为绝对安全的支付手段是没有的,要进行相关风险分析。还要注意网络支付工具使用安全、便利、快捷之间的辩证关系。3要吃透电子商务安全与网络支付安全的法律法规虽然, 电子商务和电子商务安全的法律法规远远没有齐全, 要吃透已有的电子商务安全 的法律法规是必须的。例如中国人民银行制订的 金融 IC 卡应用的安全机制规范。 规范规定 “在一张
7、卡中的不同应用之间要相互独立,应用之间要提供防火墙安全控制措施,杜绝跨应用的非法访问。 ” 因此,安全策略中必须建立防火墙。 规范规定“要确保卡内存储的特定功能的加密解密密钥不能被其他功能所使用, 以及用来产生、 派生和传输这些密钥的密钥都要具备专用性。 ”因此,安全策略中必须对这些密钥的流通和使用做出严密的管理。常常密切注意电子商务的立法。约束电子商务中有关网络支付犯罪和解决纠纷需要立法。对 Internet 的管理和立法是很难的,对电子商务的管理和立法就更难了,不但需要立法者有过人的智慧,还必须有先进的判断手段和验证机构。这些条件的完备都需要时日。三、网络支付安全的解决方法根据网络支付的安
8、全需求以及安全策略的内容描述, 具体到网络支付结算, 可以有针对性地采取如下七种解决方法:(1) 交易方身份认证如建立CA认证机构、使用X. 509数字签名和数字证书实现对各方的认证,以证实身份的合法性、真实性。(2) 网络支付数据流内容保密使用相关加密算法对数据进行加密,以防止未被授权的非法第三者获取消息的真正含义。如采用DES私有秘钥加密和RSA公开秘钥加密,SSL保密通讯机制,数字信封等。(3) 网络支付数据流内容完整性如使用消息摘要(数字指纹,SHA算法以确认业务流的完整性。(4) 保证对网络支付行为内容的不可否认性。当交易双方因网络支付出现异议、 纠纷时, 采用某种技术手段提供足够充
9、分的证据来迅速辨别纠纷中的是非。例如采用数字签名、数字指纹、数字时间戳等技术并配合CA机构来实现其不可否认。(5) 处理多方贸易业务的多边支付问题。这种多边支付的关系可以通过双联签字等技术来实现。如SET安全支付机制。(6) 政府支持相关管理机构的建立和电子商务法律的制定。建立第三方的公正管理和认证机构, 并尽快完成相关电子商务的法律制定, 让法律来保证安全电子商务及网络支付结算的进行。四、网络支付的交易安全网络支付的安全可以概括为两大方面, 一是系统的安全, 二是交易的安全。 系统安全主要指的是网络支付系统软件、 支撑网络平台的正常运行。 保证网络支付用专有软件的可靠运行、支撑网络平台和支付
10、网关的畅通无阻和正常运行,防止网络病毒和HACKER勺攻击,防止支付的故意延缓, 防止网络通道的故意堵塞等是实现安全网络支付的基础, 也是安全电子商务的基础。解决思路主要有: 采用网络防火墙技术、用户与资源分级控制管理机制、 网络通道流量监控软件、 网络防病毒软件等方法。 这些内容在相关的电子商务安全课程都有论述,在此不赘述。网上支付的交易安全可以概括为四个方面的要求:(1) 保证网络上资金流数据的保密性因为网上交易是交易双方的事, 交易双方并不想让第三方知道他们之间进行交易的具体情况,包括资金账号、客户密码、支付金额等网络支付信息。但是由于交易是在Internet 上进行的, 在因特网上传送
11、的信息是很容易被别人获取的, 所以必须对传送的资金数据进行加密。所谓加密是使在网上传送的数据如信用卡号及密码运算成为一堆乱七八糟的谁也看不懂的数据,只有通过特定的解密方法对这堆乱七八糟的数据进行解密才能看到数据的原文,即由消息发送者加密的消息只有消息接收者才能够解密得到, 别人无法得到, 而且, 这些加密的方法必须是很难破解的。 实际上, 没有一种加密方法是无法破解的, 只是有一时间问题,只要有足够的时间, 任何加密方法都是可以破解的。 但如果某一加密方法的破解需要几年时间,而花了几年时间得到一笔交易的信用卡卡号又有什么用呢 ?所以对加密的要求就是要难以破解。(2) 保证网络上相关网络支付结算
12、数据的完整性数据在传送过程中不仅要求不被别人窃取, 还要求数据在传送过程中不被篡改, 能保持数据的完整。 如果王先生在商店里订购了一套家具, 本来填写支付金额为250 美元, 最后发现被划去 1250 美元, 当然会引起纠纷,并失去客户。因此,在通过Internet 进行网络支付结算时, 消息接收方收到消息后, 必定会考虑收到的消息是否就是消息发送者发送的, 在传送过程中这数据是否发生了改变。 在支付数据传送过程中, 可能会因为各种通讯网络的故障,造成部分数据遗失, 也可能因为人为因素,如有人故意破坏, 造成传送数据的改变。如果无法证实网上支付信息数据是否被篡改,是无法长久在网上进行交易活动的
13、。(3) 保证网络上资金结算交易信息的防止篡改性在实际商店里买东西, 商店营业员与顾客是面对面进行交易的, 营业员要检查持卡人的信用卡是否真实,是否上了黑名单,信用卡是不是持卡人本人的,还要核对持卡人的签名、持卡人的身份证等,证实持卡人的身份。持卡人亲自来到商店,看到商店真实存在。而在网上进行交易, 交易双方互不见面, 持卡人只知道商店的网址, 不知道这个商店开在哪里。 有可能广东的一家商店在上海建立一个网站, 开了一家网上商店, 为了扩大对外网上交易, 又在美国建立了一个镜像站点, 持卡人根本无法知道这家商户到底在哪里。 持卡人上网浏览时, 只要按一下鼠标, 刚才还在上海的一家家电商店, 一
14、下子就到了美国纽约的一家百货商场。在网上没有方向, 没有距离,也没有国界。 有可能你在网上看到的一家大规模的商场,实际上只是两个年轻人用一台计算机制造的一场骗局。所以持卡人要与网上商店进行交易, 必须先确定商店是否真实存在, 付了钱是否能拿到东西。 商店和银行都要担心上网购物的持卡人是否持卡人本人,否则, 扣了张三的款, 却将货送给李四, 结果持卡人上门来说没买过东西为什么扣我的钱, 而商户却已经将货物送走了。这样的网上交易是不能进行下去的。 所以网上交易中,参加交易的各方,包括商户、持卡人和银行必须要采取如CA认证等措施能够认定对方的身份。(4) 保证网络上资金支付结算行为发生及发生内容的不
15、可抵赖。在传统现金交易中, 交易双方一手交钱, 一手交货,没有多大问题。如果在商店里用信用卡付款,也必须要持卡人签名,方能取走货物。在网上交易中, 持卡人与商店通过网上传送电子信息来完成交易, 也需要有使交易双方对每笔交易都认可的方法。否则,持卡人购物后,商户将货送到他家里, 他却说自己没有在网上下过订单,银行扣了持卡人的购物款,持卡人却不认账。反过来,持卡人已付款,可商家却坚持说没有接收到货款, 或者说, 没有在大家认可的日子接收到资金, 而有你有故意延迟或否认物品的配送, 造成客户的损失。 还有明明收到了 1000 美元, 却说只收到 500 美元,第二节:数据加密技术在计算机网络用户之间进行通讯时, 为了保护信息不被第三方窃取, 必须采用各种方法对数据进行加密。最常用的方法就是私有密钥加密方法和公开密钥加密方法。一、私有密钥加密技术原理: 信息发送方用一个密钥对要发送的数据进行加密, 信息的接收方能用同样的密钥解密, 而且只能用这一密钥解密。 由于这对密钥不能被第三方知道, 所以叫做私有密钥加密方法。 由于双方所用加密和解密的密钥相同, 所以又叫做对称密
