电子金融 第七章 网上金融安全 与网上支付机制 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制
第一节 IP网络的安全 一、IP网络的运行环境 IP网络是基于Internet协议(IP)的网络。 网络部分的重叠,为公网和专用网的互通提供物理连接通道 应用的重叠,使专用网的应用可直接提供到Internet上 Internet 企业网 金融网 政府网 广电网 其他专网 图7-2 IP商业网的结构 第七章 网上金融安全与网上支付机制
二、现代电子银行的两种信息安全环境 电子银行有金融专用网络(包括内联网和外联网)和Internet两种网络环境,不同网络环境的用户存在着清晰的分界线,需要采用不同的安全机制 金融专用网络 电子银行开始时是直接通过金融专用网络为客户提供服务的 金融专用网络的发展 从专有系统发展成共享系统 从地区性金融系统互联成全国性的金融通信体系 从一国系统发展成全球金融通信体系 金融专用网络性质 金融专用系统虽然服务于社会上的所有企事业单位和社会公众,但都专门服务于金融业、而不为其他行业所共享 它有一个边界确定、结构严谨、控制严格的环境,整个网络实行强制性的集中安全控制,金融交易过程受到严格监控 网络中的用户是已知的,可事先定义每个用户的操作权限 金融专用网络采用的通信协议种类繁多,但都逐步向TCP/IP迁移 第七章 网上金融安全与网上支付机制
三、金融电子商务的安全 开放性的Internet 当金融企业连上互联网,面对无限的信息和商机的时候,也将自己暴露于竞争对手和蓄意破坏者的视线之内 三、金融电子商务的安全 采用防火墙技术将应用系统同Internet隔离开来,允许合法服务畅通无阻,拒绝不相关服务和非法访问 在Internet上建立基于VPN技术的金融网 网上金融交易的交易双方必须能识别对方的身份,交易中必须能识别交易电文和验证电文的完整性 金融系统应建立基于PKI技术的 CA系统 第七章 网上金融安全与网上支付机制
第二节 防火墙 一、防火墙的防护机制 防火墙的作用 防火墙的安全机制 在应用系统和Internet之间安装防火墙,可保护本地系统避免来自Internet的安全威胁 基本特点 网络外部与内部之间的所有通信业务,全部必须经过防火墙 防火墙能实施安全策略所要求的安全功能 只有经过授权的通信业务才能通过防火墙进出 系统自身对入侵是免疫的 防火墙提供的控制服务:服务控制,方向控制,用户控制,行为控制 防火墙的安全机制 过滤机制 代理服务机制 数据加密机制 审查跟踪机制 第七章 网上金融安全与网上支付机制
二、防火墙在电子金融中的配置(图7-3~图7-6) 包过滤路由器 或网关 Internet 专用网 图7-3 只含单一防火墙系统的简单配置 包过滤 路由器 堡垒 主机 Web 服务器 专用网 Internet 图7-4 屏蔽主机式防火墙系统(单宿主堡垒主机) 第七章 网上金融安全与网上支付机制
图7-5 屏蔽主机式防火墙系统(双宿主堡垒主机) 包过滤 路由器 堡垒 主机 Web 服务器 专用网 Internet 图7-5 屏蔽主机式防火墙系统(双宿主堡垒主机) 外部 路由器 堡垒 主机 Web 服务器 Internet 图7-6 屏蔽子网防火墙系统 内部 专用网 第七章 网上金融安全与网上支付机制
第三节 安全网上支付的核心技术 一、Web的安全 通过Internet在 Web站点上进行的网上交易是一种全新的交易方式 Web服务器可作进入内部计算机系统的入口。它一旦被破坏,攻击者不仅可访问Web本身的数据,还可访问与其相连的本地站点的数据 Web在数据完整性、保密性、拒绝服务和身份验证方面都存在安全威胁 Web安全服务的实现方案(图7-7) IP层的安全服务:主要是IPSec协议。可在防火墙或路由器上实现 TCP层的安全服务:SSL和TLS协议。可为低层协议的一部分,也可嵌入到特定软件包中 应用层的安全服务:嵌入在应用程序中的 SET、PGP和S/MIME、Kerberos等 HTTP FTP SMTP SSL或TLS TCP IP S/MIME PGP SET Kerberos SMTP HTTP UDP TCP IP HTTP FTP SMTP TCP IP/IPSec 1.网络级 2.传输级 3.应用级 图7-7 在TCP/IP栈中提供的安全服务 第七章 网上金融安全与网上支付机制
二、SSL协议 SSL是在TCP层上实现的一种保证通信安全的国际标准协议 SSL协议的数据传输步骤 建立虚拟的通信信道 加密方式和压缩方式的选择 密钥交换算法。多用RSA 加密算法。如DES,3DES等 Hash算法。用于MAC计算的Hash算法 双方的身份识别。采用身份认证技术 确定会话密钥。随密钥交换算法的不同而异 密文的传输(图7-8) 关闭网络连接 图7-8发送方的SSL记录协议操作 应用数据 分段 压缩 添加MAC 加密 附加SSL 记录报头 第七章 网上金融安全与网上支付机制
三、SET协议 SET是在开放网络环境中使用银行卡支付的国际通用的安全协议 用SET的联机购物和支付过程(图7-10) 持卡人需取得数字钱包软件 持卡人需取得数字证书 持卡人通过Internet与商户进行购物对话 授权和结算处理。通过电子银行的网上支付系统完成网上电子交易 银行 电子商务应用 浏览器 电子钱包 支付网关 认证机构 电子收银台 浏览 启动 交易协议 申请证书 签发证书 支付请求 授权支付 图7-10 网上安全联机购物和支付过程 注:银行与支付网关之间是通过金融专用网络进行通信;其余的都是通过Internet进行通信 消费者 商户 第七章 网上金融安全与网上支付机制
银行卡通过SET做安全网上支付的实现方法 网上支付和定购消息的保密性。采用DES加密和双重签名技术实现 数据完整性。利用SHA-1 Hash码的RSA数字签名和HMAC实现 持卡人账户的身份验证和商户的身份验证。用数字证书和RSA实现。数字证书表明,其持有者是经可信金融机构授权的,同它作电子交易的支付将以金融机构的承诺处理 保护参与电子商务的所有合法实体。基于高度安全的加密算法和协议来实现 第七章 网上金融安全与网上支付机制
SET的双重签名DS 网上购物时,客户需要发送定购信息OI给商户,发送支付信息PI给银行。用DS连接这两条相关联消息的摘要(PIMD和OIMD),并将其分别安全传送到不同的接收方 DS的操作 客户用SHA-1 Hash函数产生: DS=EKRc[H(H(PI)‖H(OI))] 式中KRC为客户私有签名密钥(图7-9) 商户接收客户发来的OI、PIMD=H(PI)、DS和客户公钥KUC后,计算:H(PIMD‖H(OI))和DKUc[DS]。若相等则客户签名正确 银行拥有DS、PI、OIMD和KUC后,计算:H(H(PI‖OIMD))和DKUc[DS],若两个数值相等,则客户签名正确 PI OI H E PIMD OIMD POMD KRc DS ‖ 图7-9 双重签名的产生过程 第七章 网上金融安全与网上支付机制
SET联机购物和支付过程的信息流程(图7-11) 客户向商户发送初始请求 商户向客户发送初始响应 客户向商户发送购买请求(图7-12) 商户向支付网关发送授权请求(含客户的支付信息,商户产生的相关授权块和数字信封,相关证书) 支付网关获得发卡行的授权信息完成响应处理后,向商户发送授权响应消息 商户向客户发送购买响应消息,完成网上购物交易 商户向支付网关发送获取支付请求 支付网关完成响应处理后,向商户发送支付响应消息,完成网上支付与结算 银行 电子商务应用 浏览器 电子钱包 支付网关 电子收银台 初始 请求 购买响应 授权请求 授权响应 图7-11 SET联机购物和支付过程的信息流程 注:银行与支付网关之间是通过金融专用网络进行通信;其余的都是通过Internet进行通信 消费者 商户 获取支付请求 获取支付响应 响应 购买请求 第七章 网上金融安全与网上支付机制
PIMD:支付信息摘要 Ks :一次性对称密钥 KUb :持卡人证书中的公钥 DS:双重签名 图7-12 持卡人向商户发送的购买请求消息 + DS + OIMD 购买请求消息 E Ks KUb 数字信封 PIMD OI 持卡人证书 由商户向 支付网关 传送 E:加密算法 OIMD:定购信息摘要 PIMD:支付信息摘要 Ks :一次性对称密钥 KUb :持卡人证书中的公钥 DS:双重签名 图7-12 持卡人向商户发送的购买请求消息 第七章 网上金融安全与网上支付机制
四、改进型的银行卡互联网认证体系 SET是一套严格的技术体系,安全、认证、集成度优于SSL。但需对消费者和商户的证书进行管理,运营成本高,操作复杂,推广阻力大 VISA 3D-Secure交易认证流程(图7-13) ①消费者在商户页面购物并提供银行卡号码 ②商户的3D-Secure MPI插件向VISA中心目录服务器确认该银行卡的合法性,并取得发卡行访问控制器网络地址 ③商户MPI通过消费者端的浏览器向发卡行发出认证请求 ④消费者检查交易明细并输入用户名/密码进行确认 ⑤发卡行服务器验证密码,形成认证结果并经消费者端发送至商户MPI,该消息含CAVV值并做数字签名,该信息也同时被发送至VISA认证历史服务器 ⑥商户接到认证结果,验证发卡行的数字签名后,向收单行发送授权请求,该请求包含了从发卡行认证结果中提取的三个附加值:CAVV、ECI和交易识别码XID ⑦收单行向VisaNet发送授权请求 ⑧VisaNet验证CAVV后向发卡行发送授权请求 ⑨发卡行根据验证结果对交易做出授权,回送商户。商户取得授权后就可将网上交易进行下去 第七章 网上金融安全与网上支付机制
消费者 3D-Secure 访问控制服务器 发卡行 MPI 支付网关 收单行 VISA中心目录服务器 商户 收单插件 认证历史服务器 图7-13 VISA 3D-Secure 认证流程 ① ③ ⑤ ② ③ ⑤ ④ ② ⑥ ⑨ ⑤ ⑧ ⑦ ⑨ ⑨ 第七章 网上金融安全与网上支付机制
MasterCard SPA的交易认证流程(图7-14 ) ①消费者在商户页面购物并确认网上支付,消费者电子钱包被激活,从商户页面读取支付相关信息,向发卡行钱包服务器发送认证请求 ②钱包服务器通过约定方式验证该消费者是否是合法持卡人,生成安全令牌AAV,置入UCAF字段,向消费者返回请求确认消息 ③电子钱包完成商户的表单,将安全令牌加入隐含字段,将购物表单发送给商户 ④商户向收单行提交支付请求和安全令牌 ⑤收单行通过MsterCard银行网络向发卡行发送支付请求和安全令牌 ⑥发卡行授权系统将收到的令牌同钱包服务器中保存的安全令牌进行比较验证 ⑦发卡行根据验证结果对交易做出授权,回送商户。商户取得授权后就可将网上交易进行下去 第七章 网上金融安全与网上支付机制
图7-14 MasterCard SPA交易认证流程 钱包服务器 发卡行授权系统 消费者 电子钱包 商户 收单插件 支付网关 收单行 MasterCard 银行网络 Internet ① ② ③ ④ ⑤ ⑥ ⑦ 图7-14 MasterCard SPA交易认证流程 第七章 网上金融安全与网上支付机制
两大认证体系的兼容和合作 VISA 3D-Sucure和MsterCard SPA两个系统是互不兼容的。前者对于发卡行和商户来说是一个前端方案,无需改变后端系统。后者的认证框架是端到端的安全模型,需要对发卡行和收单行的后端系统做出改变。 改进后的VISA的VbV和MsterCard SecureCode在互相兼容认证方面进行合作,获得很多银行和商户的支持 第七章 网上金融安全与网上支付机制
第四节 PKI安全认证机制 一、PKI概述 基于公钥密码系统上的PKI CA系统要为其客户提供可信任的网上交易环境 PKI的主要组件 SSL、SET或其他网上认证体系 认证授权机构CA。提供数字证书的可信、独立的机构 第七章 网上金融安全与网上支付机制
PKI系统的组成 授权机构CA。负责签发并废除证书。在CA系统中,CA由比它高一级的CA控制,最高的是根CA(RCA) 注册机构RA。负责办理证书的申请、核查和分发等过程(CA只负责签署证书) 证书目录。用户证书存放在共享目录中,目录使用X.500协议。证书具有自我核实功能 管理协议。管理证书的注册、生效、发布和注销 操作协议。允许用户找回并修改证书,对目录或证书撒回目录(CRL)进行修改 个人安全环境(PSE)。妥善保存、保护用户的私人信息(如私钥或协议使用的缓存) 第七章 网上金融安全与网上支付机制
二、认证中心 PKI系统的安全性 构建于PKI的架构上的CA是网上交易信任环境的中心,它对每个最终实体进行定义 当用户提交核心数据或文件时,系统对提交的数据进行数字签名,保证其具有不可抵赖性、不可复制性 对数据打印时间戳,保证数据在时间上的不可抵赖性 上述所有信息均存放在数据库中,以便查阅 在信息传输过程中均用SSL加密,保证信息的传输安全 对特别重要的简短信息提供加密存放,保证信息的保密性 二、认证中心 构建于PKI的架构上的CA是网上交易信任环境的中心,它对每个最终实体进行定义 CA的主要任务。受理数字证书的申请、签发及对数字证书的管理 CA的安全认证机制 CA的层次式结构。低级CA由比其高一级CA认证,最高为RCA CA的分布式的结构。各CA之间可简单地相互交叉认证 第七章 网上金融安全与网上支付机制
三、我国的金融CA体系结构 中国金融认证中心CFCA包含的系统 CFCA的三层结构 CA签发的证书 SET CA。主要用于电子商务中的B to C的身份认证。它发放SET证书,支持基于用银行卡支付的SET交易 Non-SET CA。可同时支持B to B和B to C两种身份认证。发放四类Non-SET PKI证书:个人普通证书、个人高级证书、企业高级证书以及服务器站点证书 CFCA的三层结构 第一层RCA。它在全国具有唯一性,由人民银行负责建设 第二层CA为“品牌CA”或“政策CA” 第三层CA为用户CA。该层CA又分为持卡人CA(CCA)、商户CA(MCA)和支付网关CA(PCA) CA签发的证书 各级CA证书 最终用户证书。包括持卡人证书、企业和商户证书、服务器和支付网关证书等。面向最终用户证书的注册审核机构RA设在各商业银行 第七章 网上金融安全与网上支付机制