网络信息安全协议精选课件.pptVIP

8．3 安全电子支付 8．3．1 电子支付的安全问题 8. 3. 2网络支付的安全需求 8．3．3电子支付的安全策略及解决方法 8．3．4电子支付安全内容 坚持 8．3．1 电子支付的安全问题 电子支付具有以下特征: (1)现金或货币无纸化、电子化、数字化：电子支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的:而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体的流转来完成款项支付的。 (2)电子支付的工作环境是基于一个开放的系统平台(即因特网)之中:而传统支付则是在较为封闭的系统中运作。 (3)电子支付使用的是最先进的通信手段,而传统支付使用的则是传统的通信媒介。 (4)电子支付具有方便、快捷、高效、经济的优势。支付费用相对于传统支付来说非常低,仅为传统方式的几十分之一,甚至几百分之一。 坚持 一、在电子支付系统中可能会遇到攻击者 外部攻击者：指在通信线路上进行窃听,并滥用收集到的数据(如信用卡号等)。 主动攻击者：指向经过授权的支付系统参与方发送伪造的消息,以破坏系统的正常工作或盗用交换的财产。 不诚实参与方：指试图获取并滥用自己无权读取或使用的支付交易数据。 坚持 二、电子支付系统的基本安全需求包括： 支付认证：买方与卖方都必须证明自己的支付身份,支付身份可以不必与其真实身份相同。认证并不一定会泄露买方的身份。匿名性则需要一些特殊的认证机制。 支付完整性：要求支付交易数据不可受到非授权的参与方的更改。支付交易数据包括买方身份、卖方身份、购买内容、金额以及其他信息等。为了实现该目的，要使用信息安全领域的完整性机制。 支付授权：确保在未经用户明确授权之前不能从该用户的账户或智能卡中提取任何现金。 支付机密性：最简单的支付机密性可以通过使用某种通信机密性机制来实现。但是在某些情况下,不同的交易数据需要对不同的支付系统参与方保密。这样的需求可以通过特别定制的支付安全机制来满足。 坚持 三、电子支付过程中面临安全问题 (1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用 (2)支付金额被更改 (3)无法有效验证收款方的身份 (4)对支付行为或支付的信息内容进行抵赖、修改和否认 (5)网络支付系统突然非人为性中断瘫痪或故意被攻击或使网络支付被故意延迟 坚持 8.3.2网络支付的安全需求 (1)保证网络上资金流数据的保密性 (2)保证网络上资金流数据不被随意篡改，保证相关电子支付信息的完整性 (3)保证网络上资金结算双方身份的认定 (4)保证电子支付结算行为发生的不可抵赖性 (5)保证电子支付系统运行的稳定可靠、快捷 坚持 8．3．3电子支付的安全策略及解决方法 电子支付的安全策略， 是整个电子商务安全策略最重要的一个子集。电子支付安全策略必须包含对电子支付涉及的安全问题多方面的考虑因素。 电子支付安全策略一般包含认证机制、访问控制机制、保密机制、数据完整性机制以及审计机制等内容。 坚持 一、电子支付安全策略的主要内容 (1)定义实现安全的电子支付所需要保护的资源 (2)定义保护的风险 (3）完全理解、遵循和利用有关电子商务安全与电子支付安全的法律法规 (4)建立相关的电子支付安全策略，确定一套安全防护机制 坚持 三、电子支付的解决方法。 ???对支付流程中涉及各方身份的认证 ???保证电子支付数据流内容的保密性 ???保证电子支付数据流内容的完整性 ????保证对电子支付行为和内容的不可否认性 ???处理多方贸易业务中的多边支付问题 ?保证电子支付系统应用软件与支撑网络平台的正常运行 ?政府支持相关管理机构的建立和电子商务法律的制定 坚持 8．3．4电子支付安全内容 1．支付交易安全 2．数字货币安全 3．电子支票安全 4．有效性与可靠性 坚持 1．支付交易安全 用户匿名性是用于通信双方之间在一次通信会话期间必须一直得到保护。买方匿名性则必须在整个交易过程中受到保护,而这期间可能会发生好几次会话。支付交易不可跟踪性的目的就是使得无法将同一买方的多次支付交易联系在一起。支付交易数据的机密性相当于通信机密性。电子支付交易由一个或几个网络协议组成。协议由参与双方的一系列交互消息组成。消息源的不可抵赖性是一种信息安全服务,用于防止当接收方收到了消息,发送方却否认曾发送过这一消息的情况。保证支付交易消息的新鲜性意味着防止重复使用，一旦顾客为了付款发送了其信用卡的消息,该消息可能被窃听者盗用,在顾客不知情的情况下被攻击者重复使用。 坚持 2．数字货币安全 匿名数字硬币就是可以被任意复制的比特串，因此如果银行发现了某人想要多次使用同一硬币,也不可能揭露他的身份,因为硬币是匿名的。在这样的情况下,服务是建