第七章网上支付.pptVIP

学习目标 阐述基于IP网络上的网上金融的安全性和安全网上支付机制。 从网上金融所依据的IP商业网络的运行环境和安全需求出发，了解网上金融采用的主要安全技术，了解防火墙的防护机制和配置； 重点了解SSL和SET是如何保障网上金融服务安全的； 较深入理解采用SET协议即改进型协议的安全网上支付机制； 重点了解PKI的安全认证机制； 了解我国金融CA的结构； 了解计算机病毒的特性、类型和防治办法 TCP/IP协议 Internet的技术基础TCP/IP协议由如下四层组成 应用层 传输层 互联层 网络接口层 基于互联网进行的电子商务，是通过计算机技术、Web技术和信息技术，将消费者、商户、生产企业、银行以及所有的合作伙伴连接在一起进行的各种商业活动。一个完整的电子商务应用包括网络基础设施、电子认证系统、网上支付系统、业务应用系统、物流配送系统等部分。 金融企业的电子商务网络安全系统应具备如下功能： 采用防火墙技术将应用系统同Internet隔离开来，允许来自互联网的合法服务畅通无阻，拒绝所有不相关的服务和非法访问。 建立基于VPN技术的金融网，使合法客户能安全通过Internet进入金融专用网进行金融交易。 . 金融企业的网上业务实际大量金额，交易前双方必须能识别对方身份，交易中必须能识别交易电文和验证电文的完整性。 4. 金融系统应建立基于PKI技术的CA系统，实现通过防火墙队内部主机访问的认证性，实现信息的保密性、不可否认性等要求。 防火墙（firewall）是保护本地系统和网络避免来自Internet的安全受到威胁的一种有效手段。 1.防火墙的作用： 防火墙是安装有防火墙软件的计算机系统，是一种网络安全设备。 防火墙提供如下服务： 服务控制 方向控制 用户控制 行为控制 2. 防火墙的安全机制 过滤机制 代理服务机制 数据加密机制 审查跟踪机制 最常用的防火墙邮包过滤路由器、应用网关、线路网关和堡垒主机等。 1． 包过滤路由器 包过滤（PF）是面向网络层和传输层的，它根据事先设定的过滤规则，检查流经防火墙的TCP/IP封包头文件中的字段值，根据IP数据包的源IP地址和端口号、目标IP地址和端口号以及TCP链路状态等因素，在网络层对数据包实施有选择的通过。 2． 应用网关 应用网关AG又叫代理服务器，用来接受外来的应用连接要求，是应用层通信量的中转站。 3． 线路网关 线路网关CG可以使一个单独的系统，也可以是应用网关为该种应用服务而提供的一个功能部件。 堡垒主机 从网络安全角度来说，堡垒主机是最强大的系统。 1．只包含单一防火墙的简单配置 2．采用单宿主堡垒主机配置的屏蔽主机式的防火墙系统。 3． 采用双宿主堡垒主机配置的屏蔽主机式的防火墙系统。 4． 屏蔽子网防火墙系统 在网络层（IP层）上的安全服务 在传输层（TCP层）上的安全服务 在应用层上的安全服务 1．加密方式和压缩方式的选择 需要确定的加密方式内容包括： 密钥交换算法，用于交换只有收发双方知道的密 钥的交换算法。 加密算法，用于连接中应用数据的加密算法。 Hash算法，用于MAC（信息识别码）计算的Hash算法。MAC用于检查传输数据的完整性，以检验数据在传输过程中是否被纂改。 2． 身份识别 3． 会话密钥和Hash函数的确定 4． 电文的传输 1．银行卡安全支付的需求和特点 2．数字证书 3. 双重签名 4．采用SET的联机购物和支付过程 5．支付网关 6．SET的网上支付机制和支付信息流 7．SET软件 1．VISA 3D-Secure 2．MasterCard SPA 3．两大认证系统的兼容和合作 1．PKI体系的主要组件 2．PKI系统的组成 CA政策 4．确认证书 5．证书的申请 6．用户的验证 7．时间印记服务器 8．系统的安全性 主要任务是受理数字证书的申请、签发和管理。认证中心依据认证操作规定CPS来实施服务操作。 国内CA公司有三类： 行业主管部门建立的CA中心，如中国人民银行、电信、海关 地方政府部门建立的CA中心，如北京、上海 民间资本建立的商业CA中心 破坏性 传播扩散性 可激发性 寄生病毒 驻留内存病毒 引导型病毒 隐身病毒 变形病毒 宏病毒 1．建立多层的病毒防卫体系 软件防治 硬件防治 实施中央控制 2．充分利用网络操作系统提供保护措施 3．严格的管理机制 1．电子商务的网络结构不但包括IP公用网，还包括企业网、金融网、政府网、广电网等各种专用网络。IP网络的安全是进行电子商务的基本保