1、网络支付安全网络支付的产生与定义网络支付的产生与定义Click to add title ihere Click to add title in here Click to add title in here Click to add title in here 4123 电子支付是以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,以计算机技术和通讯技术为手段,将货币以电子数据形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付。本质:支付方法和手段的电子化 网络支付网络支付是指以电子商务为商业基础,以商业银行为主体,参与电子商务活动的一方向另一方使用安
2、全电子支付手段通过公共网络(特别是internet)进行的货币支付和资金流转的过程。 Image information in product Image : Note to customers : This image has been licensed to be used within this PowerPoint template only. You may not extract the image for any other use. Text in hereText in here Contents Contentsl客户:在INTERNET上与商家有交易关系未 清偿债务的一方
3、。客户的需求,它是网络支付体系运作的原因和起点。l商家:拥有债权的商品交易的另一方。可以根据客户发起的支付指令向金融机构请求结算。l客户开户行:客户拥有资金账户的银行,并为客户提供网络支付工具。l商家开户行:商家开设资金账户的银行,是最终交易资金流向的目的地。l支付网关:internet与金融专用网络之间的安全接口,进行相关协议和数据格式的转换。l金融专用网络:银行内部及银行之间进行通讯的专用网络,具有很高的安全性,它是网络支付支撑网络平台的一部分。lCA认证中心:发放和管理数字证书,提供数字证书服务,保证支付结算的安全。l网络支付遵循的通讯协议、支付工具标准。 Description of
4、the contentsText in hereText in hereText in hereText in here网络支付系统的基本功能l能够使用数字签名和数字证书实现交易各方的身份认证,防止支付欺诈。l使用可靠的加密技术,对支付信息加密。l能够使用数字摘要算法确认支付电子信息的真伪性,防止伪造假冒等欺骗行为。l提供不可否认服务。l能够处理网上贸易业务的多边支付问题。l系统使用应方便,大多支付过程应对客户和商家透明。l能够保证网络支付结算速度,让客户和商家感到快捷。Text in hereText in hereText in here网络支付的特征l网络支付通过数字化、电子化、无纸化的
5、方式完成支付结算过程。l网络支付具有方便、快捷、高效、经济的优势。l网络支付具有轻便性和低成本性。l网络支付具有较高的安全性和一致性。l网络支付可以提高企业资金管理水平,同时也增加了管理复杂性。l银行提供网络支付支持,使客户满意度和忠诚度上升。Text in hereText in hereText in here网络支付安全案例一 年近5旬的耿大妈近日在淘宝上网购了一款密斯皮衣筹办买了送给女儿,谁知等耿大妈将900元的货款以银行汇款的方式打给卖家后,耿大妈发现货品迟迟不到,于是就给店东打电话。而这时辰耿大妈发现店东已经不再接听自我的电话。 后来又打电话给淘宝网,说了然具体情况,但是淘宝网以未
6、用支付宝支付为理由暗示很难解决,意见去报案。对于淘宝网的做法,当事人非常不可以接管。“之前,淘宝网承诺一旦有纷争自我都先行赔付消费者,还打着你敢买我敢赔的标语暗示替消费者维权。”Text in hereText in hereText in here网络支付安全案例二 小芳出差在外,闲着无聊,就用宾馆的电脑上网淘宝。她看中了一条99元的裤子后就决定下单付款。提交订单后,没有多想就直接插入U顿用网银进行付款。随后她收到银行短信显示她的银行账户已付款19999元。小芳当场就呆住了,自己明明只花了99元为何会变成19999元。小芳打电话向银行求证,银行确认消费19999元,小芳顿时觉得自己被骗了。于
7、是她重新打开来支付成功的页面,刷新一看原来的99元竟然变成了19999元,小芳当场报了警。ThemeGallery is a Design Digital Content & Contents mall developed by Guild Design Inc.l 网络支付面临的安全问题网络支付面临的安全问题 据报道,美国国土安全部高级官员于据报道,美国国土安全部高级官员于2007年年6月向美国国会承认,月向美国国会承认,从从2005年到年到2006年,该机构遭到黑客入侵、电脑病毒爆发和其他计年,该机构遭到黑客入侵、电脑病毒爆发和其他计算机安全问题的骚扰高达算机安全问题的骚扰高达800次以上
8、。次以上。 v1.1.电子商务的主要安全隐患电子商务的主要安全隐患 1)系统的中断与瘫痪 2)信息被盗听 3)信息被篡改 4)信息被伪造 5)对交易行为抵赖 ABCDl 网络支付面临的安全问题网络支付面临的安全问题v2.2.网络支付的主要安全隐患网络支付的主要安全隐患1)支付账号和密码等隐私支付信息被盗取或盗用2)支付金额被更改3)无法有效验证收款方的身份4)对支付行为进行抵赖、修改或否认5)网络支付系统瘫痪 l 网络支付的安全需求网络支付的安全需求1.网络上资金流数据的保密性2.相关网络支付结算数据的完整性3.网络上资金结算双方身份的认定4.不可抵赖性5.保证网络支付系统的运行可靠、快捷,做
9、好 数据备份与灾难恢复功能 6. 建立共同的网络支付行为规范,进行相关立法,以强制力手段要求网络支付相关各方严格遵守l 网络支付安全策略制定的目的、涵义和原则网络支付安全策略制定的目的、涵义和原则v 制定网络支付安全策略的目的目的保障相关支付结算信息的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏;能够有序地、经常地鉴别和测试安全状态;能够对可能的风险做基本评估;系统的安全被破坏后的恢复工作。应用相应法律法规来保护安全利益 l 网络支付安全策略制定的目的、涵义和原则网络支付安全策略制定的目的、涵义和原则v 网络支付安全策略的涵义涵义 安全策略必须包含对安全问题的多方面考虑因
10、素。安全策略一般要包含以下内容: 认证、访问控制、保密、数据完整性、法律法认证、访问控制、保密、数据完整性、法律法规等、审计。规等、审计。l 网络支付安全策略制定的目的、涵义和原则网络支付安全策略制定的目的、涵义和原则v 制定网络支付安全策略的基本原则基本原则 (1)预防为主 (2)必须根据网络支付结算的安全需要和目标来制定安全策略 (3)根据掌握的实际信息分析l 网络支付安全策略的主要内容网络支付安全策略的主要内容 安全策略具体内容中要定义保护的资源定义保护的资源,要定义保护的风险定义保护的风险,要吃透吃透电子商务安全的法律法规电子商务安全的法律法规,最后要建立安全策略和确定一套安全机制建立
11、安全策略和确定一套安全机制。1.定义实现安全的网络支付结算的保护资源金融机构金融机构公正第三方公正第三方税务等政府机构税务等政府机构安全的通信通道安全的通信通道交易方交易方A:机:机密支付信息密支付信息交易方交易方B:机:机密支付信息密支付信息安全的网络支付系统组成示意图2. .定义保护的风险定义保护的风险 每一新的网络支付方式推出与应用,均有一定的风险,因为绝对安全的支付手段是没有的,要进行相关风险分析。还要注意网络支付工具使用安全与使用便利、快捷之间的辩证关系。3. .完全理解、遵循和利用有关电子商务安全与网完全理解、遵循和利用有关电子商务安全与网络支付安全的法律法规络支付安全的法律法规
12、4. .建立相关安全策略和确定一套安全机制建立相关安全策略和确定一套安全机制 安全策略中最后要根据定义的保护资源、定义的保护风险、电子商务安全的法律法规,建立安全策略和确定一套安全机制。 安全策略是由个人或组织针对网络支付结算安全全面制定的, 安全机制是实现安全策略的手段或技术、整套规则和决策 l 保证网络支付安全的解决方法保证网络支付安全的解决方法 (1)交易方身份认证 (2)网络支付数据流内容保密 (3)网络支付数据流内容完整性 (4)保证对网络支付行为内容的不可否认性 (5)处理多方贸易业务的多边支付问题 (6)网络支付系统软件、支撑网络平台的正常运行 (7)政府支持相关管理机构的建立和
13、电子商务法律的制定 网络支付平台的安全及防火墙技术网络支付平台的安全及防火墙技术l 网络平台系统的构成及其主要安全威胁网络平台系统的构成及其主要安全威胁 网络平台系统的构成Intranet 电子商务服务器电子商务服务器银行专网银行专网Internet客户机客户机 支付网关支付网关支持网络支付的网络平台系统组成示意图l 网络平台系统的构成及其主要安全威胁网络平台系统的构成及其主要安全威胁 公共通信通道Internet的安全威胁 截断堵塞:截断堵塞:如切断通讯线路、毁坏硬件、病毒瘫痪软件系统、冗余信息堵塞网络通道等) 伪造:伪造:伪造客户或商家信息,假冒身份以骗取财物。 篡改:篡改:为某目的对相关
14、网络支付信息进行篡改 介入介入:利用特殊软件工具提取Internet上通信的数据,以期破解信息;或进行信息流量分析,对信息的流动情况进行分析;或非法进入系统或数据库,进行破坏、COPY等。22l 网络平台系统的构成及其主要安全威胁网络平台系统的构成及其主要安全威胁 Internet的最基本安全需求 网络边界的安全网络边界的安全 内部网络的安全内部网络的安全 身份验证身份验证 授权管理授权管理 数据的保密性和完整性数据的保密性和完整性 完整的审计、记录、备份机制,以便分完整的审计、记录、备份机制,以便分 析处理析处理l 网络平台系统的安全措施网络平台系统的安全措施 网络平台上安全措施主要从三个方
15、面来叙述。1、保护网络安全、保护网络安全2、保护应用的安全、保护应用的安全3、保护系统安全、保护系统安全l 防火墙技术与应用防火墙技术与应用 1.1.防火墙的定义防火墙的定义 防火墙防火墙(Firewall),是一种由计算机软件和硬件计算机软件和硬件组成的隔离系统设备组成的隔离系统设备,用于在Intranet和Internet之间构筑一道防护屏障,能按设置的条件进行区分,实现内外有别。其主要目标主要目标是保护Intranet中的信息、资源等不受来自Internet中非法用户的侵犯,它控制Intranet与Internet之间的所有数据流量。 2.2.防火墙的功能防火墙的功能 双向监控功能 设置
16、用户认证等安全控制机制 防火墙本身无法被穿透 明确Intranet的边界 3 3. .防火墙的优缺点防火墙的优缺点v优点优点1.遏制来自Internet各种路线的攻击2.借助网络服务选择,保护网络中脆弱的易受攻击的服务3.监视整个网络的安全性,具有实时报警提醒功能4.作为部署NAT的逻辑地址5.增强内部网中资源的保密性,强化私有权v缺点缺点1.限制了一些有用的网络服务的使用,降低了网络性能2.只能限制内部用户对外的访问,无法防护来自内部网络用户的攻击3.不能完全防止传送感染病毒的软件或文件,特别是一些数据驱动型的攻击数据4.被动防守,不能防备新的网络安全问题l数据机密性技术数据机密性技术l私有
17、密钥加密法私有密钥加密法 比较著名的私有密钥加密算法有比较著名的私有密钥加密算法有DES算法及其算法及其各种变形、国际数据加密算法各种变形、国际数据加密算法IDEA以及以及RC4,RC5等等l 公开密钥加密法公开密钥加密法 比较著名的公开密钥加密算法有比较著名的公开密钥加密算法有RSA算法、算法、DSA算法等算法等 2.2.私用密钥加密法的使用过程私用密钥加密法的使用过程乙银行:乙银行:有一笔有一笔20 000元元资金转帐资金转帐至贵行至贵行12345账号上账号上 甲银行甲银行乙银行:乙银行:有一笔有一笔20 000元元资金转帐资金转帐至贵行至贵行12345账号上账号上 甲银行甲银行密钥密钥A
18、密钥密钥A加密解密信息明文信息明文信息密文信息密文网络传输甲银行乙银行 2.2.公开密钥加密法的使用过程公开密钥加密法的使用过程乙银行:乙银行:有一笔有一笔20 000元元资金转帐资金转帐至贵行至贵行12345账号上账号上 客户甲客户甲乙银行:乙银行:有一笔有一笔20 000元元资金转帐资金转帐至贵行至贵行12345账号上账号上 客户甲客户甲加密解密支付通知明文支付通知明文支付通知密文支付通知密文网络传输客户甲乙银行公钥公钥私钥私钥 BA实现了定点保密实现了定点保密通知通知l 数字信封数字信封 数字信封的优点数字信封的优点 加密、解密速度快,可以满足即时处理需要加密、解密速度快,可以满足即时处
19、理需要 RSA和和DES相结合,不用为交换相结合,不用为交换DES密钥周折,密钥周折,减小了减小了DES泄密的风险泄密的风险 具有数字签名和认证功能具有数字签名和认证功能 密钥管理方便密钥管理方便 保证通信的安全保证通信的安全l 数字证书数字证书数字证书:数字证书:指用数字技术手段确认、鉴定、认证Internet上信息交流参与者身份或服务器身份,是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。工作原理:工作原理:接收方在网上收到发送方业务信息的同时,还收到发送方的数字证书,通过对其数字证书的验证,可以确认发送方的身份。在交换数字证书的同时,双方都得到了对方的公开密钥,由于公开密
20、钥是包含在数字证书中的,可以确信收到的公开密钥肯定是对方的。从而完成数据传送中的加解密工作。数字证书 1.1.数字证书的定义和应用原理数字证书的定义和应用原理 2.2.数字证书的内容数字证书的内容 4.4. 数字证书的有效性与使用数字证书的有效性与使用 数字证书必须同时满足以下三个条件,才是有效的:v 1.证书没有过期v 2.密钥没有被修改v 3.有可信任的相应的颁发机构CA及时管理与回收无效证书,并且发行无效证书清单l 基于基于SSLSSL协议的安全网络支付机制协议的安全网络支付机制v SSL协议(Secure Socket Layer,安全套接层协议) 是一种在持有数字证书的浏览器和远程的WWW服务器(如Netscape Enterprise Server、IIS等等,这里具体为电子商务服务器或银行的网上支付结算服务器)之间,构造安全通道并且传输数据的协议。v SSL协议的协议层次协议的协议层次HTTPIMAPFTPSMTPSSL层层TCP/IP应用层应用层网络层网络层Thank You!Thank You!
