第七章网上金融安全与网上支付机制.pptVIP

第七章 网上金融安全与网上支付机制 电子金融 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制 第一节 IP网络的安全 一、IP网络的运行环境 IP网络是基于Internet协议（IP）的网络。 金融电子商务的发展，金融企业纷纷采用IP技术重新构造内联网和外联网 IP商业网的网络结构（图7-2） IP商业网是部分专用网络与Internet公用网络的重叠 网络部分的重叠，为公网和专用网的互通提供物理连接通道 应用的重叠，使专用网的应用可直接提供到Internet上 二、现代电子银行的两种信息安全环境 电子银行有金融专用网络（包括内联网和外联网）和Internet两种网络环境，不同网络环境的用户存在着清晰的分界线，需要采用不同的安全机制 金融专用网络 电子银行开始时是直接通过金融专用网络为客户提供服务的 金融专用网络的发展 从专有系统发展成共享系统 从地区性金融系统互联成全国性的金融通信体系 从一国系统发展成全球金融通信体系 金融专用网络性质 金融专用系统虽然服务于社会上的所有企事业单位和社会公众，但都专门服务于金融业、而不为其他行业所共享 它有一个边界确定、结构严谨、控制严格的环境，整个网络实行强制性的集中安全控制，金融交易过程受到严格监控 网络中的用户是已知的，可事先定义每个用户的操作权限 金融专用网络采用的通信协议种类繁多，但都逐步向TCP/IP迁移 开放性的Internet 银行将银行专用网络延伸到开放的Internet后，才能为广大客户提供网上支付和网上银行服务 Internet是一种没有边界、无组织、全开放的公用网络环境，使得金融电子商务的安全问题更严重、更复杂化了 Internet上互不了解对方的两个用户要相互通信，需要首先建立一种安全的临时互相信任关系 Internet的安全模型必须向通信双方提供这种相互信任的手段，但要允许用户自己决定是否信任对方 当金融企业连上互联网，面对无限的信息和商机的时候，也将自己暴露于竞争对手和蓄意破坏者的视线之内 三、金融电子商务的安全 采用防火墙技术将应用系统同Internet隔离开来，允许合法服务畅通无阻，拒绝不相关服务和非法访问 在Internet上建立基于VPN技术的金融网 网上金融交易的交易双方必须能识别对方的身份，交易中必须能识别交易电文和验证电文的完整性 金融系统应建立基于PKI技术的 CA系统 第二节 防火墙 一、防火墙的防护机制 防火墙的作用 在应用系统和Internet之间安装防火墙，可保护本地系统避免来自Internet的安全威胁 基本特点 网络外部与内部之间的所有通信业务，全部必须经过防火墙 防火墙能实施安全策略所要求的安全功能 只有经过授权的通信业务才能通过防火墙进出 系统自身对入侵是免疫的 防火墙提供的控制服务：服务控制，方向控制，用户控制，行为控制 防火墙的安全机制 过滤机制 代理服务机制 数据加密机制 审查跟踪机制 第三节 安全网上支付的核心技术 一、Web的安全 通过Internet在 Web站点上进行的网上交易是一种全新的交易方式 Web服务器可作进入内部计算机系统的入口。它一旦被破坏，攻击者不仅可访问Web本身的数据，还可访问与其相连的本地站点的数据 Web在数据完整性、保密性、拒绝服务和身份验证方面都存在安全威胁 Web安全服务的实现方案（图7-7） IP层的安全服务：主要是IPSec协议。可在防火墙或路由器上实现 TCP层的安全服务：SSL和TLS协议。可为低层协议的一部分，也可嵌入到特定软件包中 应用层的安全服务：嵌入在应用程序中的 SET、PGP和S/MIME、Kerberos等 二、SSL协议 SSL是在TCP层上实现的一种保证通信安全的国际标准协议 SSL协议的数据传输步骤 建立虚拟的通信信道 加密方式和压缩方式的选择 密钥交换算法。多用RSA 加密算法。如DES，3DES等 Hash算法。用于MAC计算的Hash算法 双方的身份识别。采用身份认证技术 确定会话密钥。随密钥交换算法的不同而异 密文的传输（图7-8） 关闭网络连接 三、SET协议 SET是在开放网络环境中使用银行卡支付的国际通用的安全协议 用SET的联机购物和支付过程（图7-10） 持卡人需取得数字钱包软件 持卡人需取得数字证书 持卡人通过Internet与商户进行购物对话 授权和结算处理。通过电子银行的网上支付系统完成网上电子交易 银行卡通过SET做安全网上支付的实现方法 网上支付和定购消息的保密性。采用DES加密和双重签名技术实现 数据完整性。利用SHA-1 Hash码的RSA数字签名和HMAC实现 持卡人账户的身份验证和商户的身份验证。用数字证书和RSA实现。数字证书表明，其持有者是经可信