电子金融 第七章 网上金融安全 与网上支付机制 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

1 Chapter 6 網際網路安全協定 Internet Security Protocols.
第6章:计算机网络基础 网考小组.
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
密码学应用 培训机构名称 讲师名字.
電子商務安全防護 線上交易安全機制.
第八讲信息安全技术基础 教学目的与要求: 1.了解计算机病毒的概念及特征 2.掌握计算机病毒的防治 教学重点: 1. 计算机病毒的概念及特征
第3章 电子商务的技术基础 3.1 电子商务与计算机网络技术 3.2 电子商务与Web技术 3.3 电子数据交换(EDI)技术
半导体所网络概况 图书信息中心 张 棣.
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
第二讲 电子商务技术 Internet和www技术(重点掌握) 信息处理技术(重点掌握) EDI技术(熟悉) 电子支付系统(熟悉)
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
PKI在金融领域的应用及前景展望 中国金融认证中心 赵宇 2012年9月.
住房和城乡建设部科技发展促进中心 全国建设行业电子认证平台应用介绍 电子认证工作办公室 曹吉昌.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
第十章 电子支付.
电子金融 第四章 银行卡 第四章 银行卡 第四章 银行卡.
了 解 从 Internet IP 开 始.
K3RISE专业版V12.3 网上银行培训课件 金蝶软件上海营销中心 上海普浪信息技术有限公司
计算机网络 第 7 章 计算机网络的安全.
第8章 移动电子商务安全 制作:申丽平 湖南理工学院计算机科学教研室.
电子商务网络技术 主讲:苑毅 电子商务教研室.
实训十四、IE浏览器的基本应用.
上网加速的最佳解决方案 深信服上网优化网关SG2.0.
《计算机网络技术》 课程整体设计介绍.
第五章 电子商务支付技术 本章主要内容: 技术篇 电子支付与电子货币 电子现金、电子钱包、信用卡、电子支票等 支付技术 网上银行与支付网关
電子資料保護 吳啟文 100年6月7日.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
第五章电子商务安全管理.
电子商务企业认证机构简介 制作PPT :马彦虎 资料查找:陈楠 李大鹏 旅游管理122班 时间:2014年11月23日.
第 4 章 电子商务的支付技术.
蔬菜常见缺素症状及防治方法 龙岩市科技局.
北京信联云通科技有限责任公司,版权所有 NRS2 使用方法 Copyright©2011 by Octopus Link.
了 解 Internet 从 ip 开 始.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
第十一章 網路安全 (Network Security)
谈一谈: 你的金钱观. 谈一谈: 你的金钱观 中国银行 长城卡 中国工商银行 牡丹卡 中国建设银行 龙卡 中国农业银行 金穗卡.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
資訊安全-資料加解密 主講:陳建民.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
IIS網站的安全性管理 羅英嘉 2007年4月.
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
電子商務 E-Commerce 梁榮亮 B
高级计算机网络 2018/11/20 史忠植 高级计算器网络.
網路服務 家庭和小型企業網路 – 第六章.
计算机网络技术基础 任课老师: 田家华.
马昌社 华南师范大学计算机学院 网络安全—Web安全 马昌社 华南师范大学计算机学院
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
第四章 電子商務付費系統 電子商務與網路行銷 (第2版).
OSI七層架構 OSI階層 負責的工作 應用層 表達層 會議層 傳輸層 網路層 資料鏈結層 實體層 將應用程式所送出的訊息轉成字元資料
網路安全期末報告─SSL/TLS 指導教授:梁明章 報告學生:A 徐英智.
第12章 远程访问、NAT技术.
财政部上海证券交易所 国债发行招投标系统功能介绍
Mailto: 資訊安全的管理面思考 國立中央大學.資訊管理系 范錚強 Tel: (03) mailto:
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第9章 信息安全.
第4章 电子商务交易安全 电子商务安全概述 电子商务的安全问题 1.卖方面临的问题 (1)中央系统安全性被破坏
Chapter 5 公開金鑰基礎建設 Public Key Infrastructure (PKI) (Part 1)
網際網路與電腦應用 林偉川 2001/12/13.
第 7 章 电子政府的支撑技术.
目 录: 一、网络存储系统的登录 二、网络存储系统的基本使用 三、学生提交作业功能的使用 四、教师开放资源功能的使用.
第10讲 Web服务.
醫療資訊安全 郭士民 作者:劉 立.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
王小桃 認識電子商務.
深圳信息职业技术学院《电子商务基础》课程组版权所有
Presentation transcript:

电子金融 第七章 网上金融安全 与网上支付机制 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制

第一节 IP网络的安全 一、IP网络的运行环境 IP网络是基于Internet协议(IP)的网络。 网络部分的重叠,为公网和专用网的互通提供物理连接通道 应用的重叠,使专用网的应用可直接提供到Internet上 Internet 企业网 金融网 政府网 广电网 其他专网 图7-2 IP商业网的结构 第七章 网上金融安全与网上支付机制

二、现代电子银行的两种信息安全环境 电子银行有金融专用网络(包括内联网和外联网)和Internet两种网络环境,不同网络环境的用户存在着清晰的分界线,需要采用不同的安全机制 金融专用网络 电子银行开始时是直接通过金融专用网络为客户提供服务的 金融专用网络的发展 从专有系统发展成共享系统 从地区性金融系统互联成全国性的金融通信体系 从一国系统发展成全球金融通信体系 金融专用网络性质 金融专用系统虽然服务于社会上的所有企事业单位和社会公众,但都专门服务于金融业、而不为其他行业所共享 它有一个边界确定、结构严谨、控制严格的环境,整个网络实行强制性的集中安全控制,金融交易过程受到严格监控 网络中的用户是已知的,可事先定义每个用户的操作权限 金融专用网络采用的通信协议种类繁多,但都逐步向TCP/IP迁移 第七章 网上金融安全与网上支付机制

三、金融电子商务的安全 开放性的Internet 当金融企业连上互联网,面对无限的信息和商机的时候,也将自己暴露于竞争对手和蓄意破坏者的视线之内 三、金融电子商务的安全 采用防火墙技术将应用系统同Internet隔离开来,允许合法服务畅通无阻,拒绝不相关服务和非法访问 在Internet上建立基于VPN技术的金融网 网上金融交易的交易双方必须能识别对方的身份,交易中必须能识别交易电文和验证电文的完整性 金融系统应建立基于PKI技术的 CA系统 第七章 网上金融安全与网上支付机制

第二节 防火墙 一、防火墙的防护机制 防火墙的作用 防火墙的安全机制 在应用系统和Internet之间安装防火墙,可保护本地系统避免来自Internet的安全威胁 基本特点 网络外部与内部之间的所有通信业务,全部必须经过防火墙 防火墙能实施安全策略所要求的安全功能 只有经过授权的通信业务才能通过防火墙进出 系统自身对入侵是免疫的 防火墙提供的控制服务:服务控制,方向控制,用户控制,行为控制 防火墙的安全机制 过滤机制 代理服务机制 数据加密机制 审查跟踪机制 第七章 网上金融安全与网上支付机制

二、防火墙在电子金融中的配置(图7-3~图7-6) 包过滤路由器 或网关 Internet 专用网 图7-3 只含单一防火墙系统的简单配置 包过滤 路由器 堡垒 主机 Web 服务器 专用网 Internet 图7-4 屏蔽主机式防火墙系统(单宿主堡垒主机) 第七章 网上金融安全与网上支付机制

图7-5 屏蔽主机式防火墙系统(双宿主堡垒主机) 包过滤 路由器 堡垒 主机 Web 服务器 专用网 Internet 图7-5 屏蔽主机式防火墙系统(双宿主堡垒主机) 外部 路由器 堡垒 主机 Web 服务器 Internet 图7-6 屏蔽子网防火墙系统 内部 专用网 第七章 网上金融安全与网上支付机制

第三节 安全网上支付的核心技术 一、Web的安全 通过Internet在 Web站点上进行的网上交易是一种全新的交易方式 Web服务器可作进入内部计算机系统的入口。它一旦被破坏,攻击者不仅可访问Web本身的数据,还可访问与其相连的本地站点的数据 Web在数据完整性、保密性、拒绝服务和身份验证方面都存在安全威胁 Web安全服务的实现方案(图7-7) IP层的安全服务:主要是IPSec协议。可在防火墙或路由器上实现 TCP层的安全服务:SSL和TLS协议。可为低层协议的一部分,也可嵌入到特定软件包中 应用层的安全服务:嵌入在应用程序中的 SET、PGP和S/MIME、Kerberos等 HTTP FTP SMTP SSL或TLS TCP IP S/MIME PGP SET Kerberos SMTP HTTP UDP TCP IP HTTP FTP SMTP TCP IP/IPSec 1.网络级 2.传输级 3.应用级 图7-7 在TCP/IP栈中提供的安全服务 第七章 网上金融安全与网上支付机制

二、SSL协议 SSL是在TCP层上实现的一种保证通信安全的国际标准协议 SSL协议的数据传输步骤 建立虚拟的通信信道 加密方式和压缩方式的选择 密钥交换算法。多用RSA 加密算法。如DES,3DES等 Hash算法。用于MAC计算的Hash算法 双方的身份识别。采用身份认证技术 确定会话密钥。随密钥交换算法的不同而异 密文的传输(图7-8) 关闭网络连接 图7-8发送方的SSL记录协议操作 应用数据 分段 压缩 添加MAC 加密 附加SSL 记录报头 第七章 网上金融安全与网上支付机制

三、SET协议 SET是在开放网络环境中使用银行卡支付的国际通用的安全协议 用SET的联机购物和支付过程(图7-10) 持卡人需取得数字钱包软件 持卡人需取得数字证书 持卡人通过Internet与商户进行购物对话 授权和结算处理。通过电子银行的网上支付系统完成网上电子交易 银行 电子商务应用 浏览器 电子钱包 支付网关 认证机构 电子收银台 浏览 启动 交易协议 申请证书 签发证书 支付请求 授权支付 图7-10 网上安全联机购物和支付过程 注:银行与支付网关之间是通过金融专用网络进行通信;其余的都是通过Internet进行通信 消费者 商户 第七章 网上金融安全与网上支付机制

银行卡通过SET做安全网上支付的实现方法 网上支付和定购消息的保密性。采用DES加密和双重签名技术实现 数据完整性。利用SHA-1 Hash码的RSA数字签名和HMAC实现 持卡人账户的身份验证和商户的身份验证。用数字证书和RSA实现。数字证书表明,其持有者是经可信金融机构授权的,同它作电子交易的支付将以金融机构的承诺处理 保护参与电子商务的所有合法实体。基于高度安全的加密算法和协议来实现 第七章 网上金融安全与网上支付机制

SET的双重签名DS 网上购物时,客户需要发送定购信息OI给商户,发送支付信息PI给银行。用DS连接这两条相关联消息的摘要(PIMD和OIMD),并将其分别安全传送到不同的接收方 DS的操作 客户用SHA-1 Hash函数产生: DS=EKRc[H(H(PI)‖H(OI))] 式中KRC为客户私有签名密钥(图7-9) 商户接收客户发来的OI、PIMD=H(PI)、DS和客户公钥KUC后,计算:H(PIMD‖H(OI))和DKUc[DS]。若相等则客户签名正确 银行拥有DS、PI、OIMD和KUC后,计算:H(H(PI‖OIMD))和DKUc[DS],若两个数值相等,则客户签名正确 PI OI H E PIMD OIMD POMD KRc DS ‖ 图7-9 双重签名的产生过程 第七章 网上金融安全与网上支付机制

SET联机购物和支付过程的信息流程(图7-11) 客户向商户发送初始请求 商户向客户发送初始响应 客户向商户发送购买请求(图7-12) 商户向支付网关发送授权请求(含客户的支付信息,商户产生的相关授权块和数字信封,相关证书) 支付网关获得发卡行的授权信息完成响应处理后,向商户发送授权响应消息 商户向客户发送购买响应消息,完成网上购物交易 商户向支付网关发送获取支付请求 支付网关完成响应处理后,向商户发送支付响应消息,完成网上支付与结算 银行 电子商务应用 浏览器 电子钱包 支付网关 电子收银台 初始 请求 购买响应 授权请求 授权响应 图7-11 SET联机购物和支付过程的信息流程 注:银行与支付网关之间是通过金融专用网络进行通信;其余的都是通过Internet进行通信 消费者 商户 获取支付请求 获取支付响应 响应 购买请求 第七章 网上金融安全与网上支付机制

PIMD:支付信息摘要 Ks :一次性对称密钥 KUb :持卡人证书中的公钥 DS:双重签名 图7-12 持卡人向商户发送的购买请求消息 + DS    + OIMD 购买请求消息 E Ks KUb 数字信封 PIMD OI 持卡人证书 由商户向 支付网关 传送 E:加密算法 OIMD:定购信息摘要 PIMD:支付信息摘要 Ks :一次性对称密钥 KUb :持卡人证书中的公钥 DS:双重签名 图7-12 持卡人向商户发送的购买请求消息 第七章 网上金融安全与网上支付机制

四、改进型的银行卡互联网认证体系 SET是一套严格的技术体系,安全、认证、集成度优于SSL。但需对消费者和商户的证书进行管理,运营成本高,操作复杂,推广阻力大 VISA 3D-Secure交易认证流程(图7-13) ①消费者在商户页面购物并提供银行卡号码 ②商户的3D-Secure MPI插件向VISA中心目录服务器确认该银行卡的合法性,并取得发卡行访问控制器网络地址 ③商户MPI通过消费者端的浏览器向发卡行发出认证请求 ④消费者检查交易明细并输入用户名/密码进行确认 ⑤发卡行服务器验证密码,形成认证结果并经消费者端发送至商户MPI,该消息含CAVV值并做数字签名,该信息也同时被发送至VISA认证历史服务器 ⑥商户接到认证结果,验证发卡行的数字签名后,向收单行发送授权请求,该请求包含了从发卡行认证结果中提取的三个附加值:CAVV、ECI和交易识别码XID ⑦收单行向VisaNet发送授权请求 ⑧VisaNet验证CAVV后向发卡行发送授权请求 ⑨发卡行根据验证结果对交易做出授权,回送商户。商户取得授权后就可将网上交易进行下去 第七章 网上金融安全与网上支付机制

消费者 3D-Secure 访问控制服务器 发卡行 MPI 支付网关 收单行 VISA中心目录服务器 商户 收单插件 认证历史服务器 图7-13 VISA 3D-Secure 认证流程 ① ③ ⑤ ② ③ ⑤ ④ ② ⑥ ⑨ ⑤ ⑧ ⑦ ⑨ ⑨ 第七章 网上金融安全与网上支付机制

MasterCard SPA的交易认证流程(图7-14 ) ①消费者在商户页面购物并确认网上支付,消费者电子钱包被激活,从商户页面读取支付相关信息,向发卡行钱包服务器发送认证请求 ②钱包服务器通过约定方式验证该消费者是否是合法持卡人,生成安全令牌AAV,置入UCAF字段,向消费者返回请求确认消息 ③电子钱包完成商户的表单,将安全令牌加入隐含字段,将购物表单发送给商户 ④商户向收单行提交支付请求和安全令牌 ⑤收单行通过MsterCard银行网络向发卡行发送支付请求和安全令牌 ⑥发卡行授权系统将收到的令牌同钱包服务器中保存的安全令牌进行比较验证 ⑦发卡行根据验证结果对交易做出授权,回送商户。商户取得授权后就可将网上交易进行下去 第七章 网上金融安全与网上支付机制

图7-14 MasterCard SPA交易认证流程 钱包服务器 发卡行授权系统 消费者 电子钱包 商户 收单插件 支付网关 收单行 MasterCard 银行网络 Internet ① ② ③ ④ ⑤ ⑥ ⑦ 图7-14 MasterCard SPA交易认证流程 第七章 网上金融安全与网上支付机制

两大认证体系的兼容和合作 VISA 3D-Sucure和MsterCard SPA两个系统是互不兼容的。前者对于发卡行和商户来说是一个前端方案,无需改变后端系统。后者的认证框架是端到端的安全模型,需要对发卡行和收单行的后端系统做出改变。 改进后的VISA的VbV和MsterCard SecureCode在互相兼容认证方面进行合作,获得很多银行和商户的支持 第七章 网上金融安全与网上支付机制

第四节 PKI安全认证机制 一、PKI概述 基于公钥密码系统上的PKI CA系统要为其客户提供可信任的网上交易环境 PKI的主要组件 SSL、SET或其他网上认证体系 认证授权机构CA。提供数字证书的可信、独立的机构 第七章 网上金融安全与网上支付机制

PKI系统的组成 授权机构CA。负责签发并废除证书。在CA系统中,CA由比它高一级的CA控制,最高的是根CA(RCA) 注册机构RA。负责办理证书的申请、核查和分发等过程(CA只负责签署证书) 证书目录。用户证书存放在共享目录中,目录使用X.500协议。证书具有自我核实功能 管理协议。管理证书的注册、生效、发布和注销 操作协议。允许用户找回并修改证书,对目录或证书撒回目录(CRL)进行修改 个人安全环境(PSE)。妥善保存、保护用户的私人信息(如私钥或协议使用的缓存) 第七章 网上金融安全与网上支付机制

二、认证中心 PKI系统的安全性 构建于PKI的架构上的CA是网上交易信任环境的中心,它对每个最终实体进行定义 当用户提交核心数据或文件时,系统对提交的数据进行数字签名,保证其具有不可抵赖性、不可复制性 对数据打印时间戳,保证数据在时间上的不可抵赖性 上述所有信息均存放在数据库中,以便查阅 在信息传输过程中均用SSL加密,保证信息的传输安全 对特别重要的简短信息提供加密存放,保证信息的保密性 二、认证中心 构建于PKI的架构上的CA是网上交易信任环境的中心,它对每个最终实体进行定义 CA的主要任务。受理数字证书的申请、签发及对数字证书的管理 CA的安全认证机制 CA的层次式结构。低级CA由比其高一级CA认证,最高为RCA CA的分布式的结构。各CA之间可简单地相互交叉认证 第七章 网上金融安全与网上支付机制

三、我国的金融CA体系结构 中国金融认证中心CFCA包含的系统 CFCA的三层结构 CA签发的证书 SET CA。主要用于电子商务中的B to C的身份认证。它发放SET证书,支持基于用银行卡支付的SET交易 Non-SET CA。可同时支持B to B和B to C两种身份认证。发放四类Non-SET PKI证书:个人普通证书、个人高级证书、企业高级证书以及服务器站点证书 CFCA的三层结构 第一层RCA。它在全国具有唯一性,由人民银行负责建设 第二层CA为“品牌CA”或“政策CA” 第三层CA为用户CA。该层CA又分为持卡人CA(CCA)、商户CA(MCA)和支付网关CA(PCA) CA签发的证书 各级CA证书 最终用户证书。包括持卡人证书、企业和商户证书、服务器和支付网关证书等。面向最终用户证书的注册审核机构RA设在各商业银行 第七章 网上金融安全与网上支付机制