7网上金融安全.电子教案教学课件.ppt

张卓其2005年11月制作第七章 网上金融安全与网上支付机制1 第七章 网上金融安全与网上支付机制张卓其2005年11月制作第七章 网上金融安全与网上支付机制2第一节 IP网络的安全一、一、IP网络的运行环境网络的运行环境 IP网络是基于Internet协议（IP）的网络。 金融电子商务的发展，金融企业纷纷采用IP技术重新构造内联网和外联网 IP商业网的网络结构（图7-2） IP商业网是部分专用网络与Internet公用网络的重叠 网络部分的重叠，为公网和专用网的互通提供物理连接通道 应用的重叠，使专用网的应用可直接提供到Internet上 Internet企业网金融网政府网广电网其他专网图7-2 IP商业网的结构张卓其2005年11月制作第七章 网上金融安全与网上支付机制3二、现代电子银行的两种信息安全环境二、现代电子银行的两种信息安全环境 电子银行有金融专用网络（包括内联网和外联网）和Internet两种网络环境，不同网络环境的用户存在着清晰的分界线，需要采用不同的安全机制 金融专用网络 电子银行开始时是直接通过金融专用网络为客户提供服务的 金融专用网络的发展 从专有系统发展成共享系统 从地区性金融系统互联成全国性的金融通信体系 从一国系统发展成全球金融通信体系 金融专用网络性质 金融专用系统虽然服务于社会上的所有企事业单位和社会公众，但都专门服务于金融业、而不为其他行业所共享 它有一个边界确定、结构严谨、控制严格的环境，整个网络实行强制性的集中安全控制，金融交易过程受到严格监控 网络中的用户是已知的，可事先定义每个用户的操作权限 金融专用网络采用的通信协议种类繁多，但都逐步向TCP/IP迁移 张卓其2005年11月制作第七章 网上金融安全与网上支付机制4 开放性的Internet 银行将银行专用网络延伸到开放的Internet后，才能为广大客户提供网上支付和网上银行服务 Internet是一种没有边界、无组织、全开放的公用网络环境，使得金融电子商务的安全问题更严重、更复杂化了 Internet上互不了解对方的两个用户要相互通信，需要首先建立一种安全的临时互相信任关系 Internet的安全模型必须向通信双方提供这种相互信任的手段，但要允许用户自己决定是否信任对方 当金融企业连上互联网，面对无限的信息和商机的时候，也将自己暴露于竞争对手和蓄意破坏者的视线之内 三、金融电子商务的安全三、金融电子商务的安全 采用防火墙技术将应用系统同Internet隔离开来，允许合法服务畅通无阻，拒绝不相关服务和非法访问 在Internet上建立基于VPN技术的金融网 网上金融交易的交易双方必须能识别对方的身份，交易中必须能识别交易电文和验证电文的完整性 金融系统应建立基于PKI技术的 CA系统 张卓其2005年11月制作第七章 网上金融安全与网上支付机制5第二节 防火墙 一、防火墙的防护机制一、防火墙的防护机制 防火墙的作用 在应用系统和Internet之间安装防火墙，可保护本地系统避免来自Internet的安全威胁 基本特点 网络外部与内部之间的所有通信业务，全部必须经过防火墙 防火墙能实施安全策略所要求的安全功能 只有经过授权的通信业务才能通过防火墙进出 系统自身对入侵是免疫的 防火墙提供的控制服务：服务控制，方向控制，用户控制，行为控制 防火墙的安全机制 过滤机制 代理服务机制 数据加密机制 审查跟踪机制 张卓其2005年11月制作第七章 网上金融安全与网上支付机制6二、防火墙在电子金融中的配置（图二、防火墙在电子金融中的配置（图7-3图图7-6） 包过滤路由器或网关Internet专用网图7-3 只含单一防火墙系统的简单配置包过滤路由器堡垒主机Web服务器专用网主机专用网主机专用网主机Internet图7-4 屏蔽主机式防火墙系统（单宿主堡垒主机）张卓其2005年11月制作第七章 网上金融安全与网上支付机制7包过滤路由器堡垒主机Web服务器专用网主机专用网主机专用网主机Internet图7-5 屏蔽主机式防火墙系统（双宿主堡垒主机）外部路由器堡垒主机Web服务器Internet图7-6 屏蔽子网防火墙系统内部路由器专用网张卓其2005年11月制作第七章 网上金融安全与网上支付机制8第三节 安全网上支付的核心技术一、一、Web的安全的安全 通过Internet在 Web站点上进行的网上交易是一种全新的交易方式 Web服务器可作进入内部计算机系统的入口。它一旦被破坏，攻击者不仅可访问Web本身的数据，还可访问与其相连的本地站点的数据 Web在数据完整性、保密性、拒绝服务和身份验证方面都存在安全威胁 Web安全服务的实现方案（图7-7） IP层的安全服务：主要是IPSec协议。可在防火墙或路由器上实现 TCP层的安全服务：SSL和TLS协议。可为低层协议的一部分，也可嵌入到特定软件包中 应用层的安全服务：嵌入在应用程序中的 SET、PGP和S/MIME、Kerberos等HTTPFTPSMTPSSL或TLSTCPIP1网络级2传输级3应用级图7-7 在TCP/IP栈中提供的安全服务S/MIMEPGPSETKerberosSMTPHTTPUDPTCPIPHTTPFTPSMTPTCPIP/IPSec张卓其2005年11月制作第七章 网上金融安全与网上支付机制9二、二、SSL协议协议 SSL是在TCP层上实现的一种保证通信安全的国际标准协议 SSL协议的数据传输步骤 建立虚拟的通信信道 加密方式和压缩方式的选择 密钥交换算法。多用RSA 加密算法。如DES，3DES等 Hash算法。用于MAC计算的Hash算法 双方的身份识别。采用身份认证技术 确定会话密钥。随密钥交换算法的不同而异 密文的传输（图7-8） 关闭网络连接图7-8发送方的SSL记录协议操作应用数据分段压缩添加MAC加密附加SSL记录报头张卓其2005年11月制作第七章 网上金融安全与网上支付机制10三、三、SET协议协议 SET是在开放网络环境中使用银行卡支付的国际通用的安全协议 用SET的联机购物和支付过程（图7-10） 持卡人需取得数字钱包软件 持卡人需取得数字证书 持卡人通过Internet与商户进行购物对话 授权和结算处理。通过电子银行的网上支付系统完成网上电子交易银行电子商务应用浏览器电子钱包支付网关认证机构电子收银台浏览启动交易协议申请证书签发证书支付请求授权支付图7-10 网上安全联机购物和支付过程注：银行与支付网关之间是通过金融专用网络进行通信；其余的都是通过Internet进行通信消费者商户张卓其2005年11月制作第七章 网上金融安全与网上支付机制11 银行卡通过SET做安全网上支付的实现方法 网上支付和定购消息的保密性。采用DES加密和双重签名技术实现 数据完整性。利用SHA-1 Hash码的RSA数字签名和HMAC实现 持卡人账户的身份验证和商户的身份验证。用数字证书和RSA实现。数字证书表明，其持有者是经可信金融机构授权的，同它作电子交易的支付将以金融机构的承诺处理 保护参与电子商务的所有合法实体。基于高度安全的加密算法和协议来实现张卓其2005年11月制作第七章 网上金融安全与网上支付机制12 SET的双重签名DS 网上购物时，客户需要发送定购信息OI给商户，发送支付信息PI给银行。用DS连接这两条相关联消息的摘要（PIMD和OIMD），并将其分别安全传送到不同的接收方 DS的操作 客户用SHA-1 Hash函数产生： DS=EKRcH(H(PI)H(OI) 式中KRC为客户私有签名密钥（图7-9） 商户接收客户发来的OI、PIMD=H(PI)、DS和客户公钥KUC后，计算：H(PIMDH(OI)和DKUcDS。若相等则客户签名正确 银行拥有DS、PI、OIMD和KUC后，计算：H(H(PIOIMD)和DKUcDS，若两个数值相等，则客户签名正确 PIOIHHHEPIMDOIMDPOMDKRcDS图7-9 双重签名的产生过程张卓其2005年11月制作第七章 网上金融安全与网上支付机制13 SET联机购物和支付过程的信息流程（图7-11） 客户向商户发送初始请求 商户向客户发送初始响应 客户向商户发送购买请求（图7-12） 商户向支付网关发送授权请求（含客户的支付信息，商户产生的相关授权块和数字信封，相关证书） 支付网关获得发卡行的授权信息完成响应处理后，向商户发送授权响应消息 商户向客户发送购买响应消息，完成网上购物交易 商户向支付网关发送获取支付请求 支付网关完成响应处理后，向商户发送支付响应消息，完成网上支付与结算银行电子商务应用浏览器电子钱包支付网关电子收银台初始请求购买响应授权请求授权响应图7-11 SET联机购物和支付过程的信息流程注：银行与支付网关之间是通过金融专用网络进行通信；其余的都是通过Internet进行通信消费者商户获取支付请求获取支付响应初始响应购买请求张卓其2005年11月制作第七章 网上金融安全与网上支付机制14PIDS OIMD购买请求消息EEKsKUb数字信封 PIMDOIDS持卡人证书由商户向支付网关传送E：加密算法 OIMD：定购信息摘要PIMD：支付信息摘要 Ks ：一次性对称密钥KUb ：持卡人证书中的公钥 DS：双重签名图7-12 持卡人向商户发送的购买请求消息张卓其2005年11月制作第七章 网上金融安全与网上支付机制15四、改进型的银行卡互联网认证体系四、改进型的银行卡互联网认证体系 SET是一套严格的技术体系，安全、认证、集成度优于SSL。但需对消费者和商户的证书进行管理，运营成本高，操作复杂，推广阻力大 VISA 3D-Secure交易认证流程（图7-13） 消费者在商户页面购物并提供银行卡号码 商户的3D-Secure MPI插件向VISA中心目录服务器确认该银行卡的合法性，并取得发卡行访问控制器网络地址 商户MPI通过消费者端的浏览器向发卡行发出认证请求 消费者检查交易明细并输入用户名/密码进行确认 发卡行服务器验证密码，形成认证结果并经消费者端发送至商户MPI，该消息含CAVV值并做数字签名，该信息也同时被发送至VISA认证历史服务器 商户接到认证结果，验证发卡行的数字签名后，向收单行发送授权请求，该请求包含了从发卡行认证结果中提取的三个附加值：CAVV、ECI和交易识别码XID 收单行向VisaNet发送授权请求 VisaNet验证CAVV后向发卡行发送授权请求 发卡行根据验证结果对交易做出授权，回送商户。商户取得授权后就可将网上交易进行下去 张卓其2005年11月制作第七章 网上金融安全与网上支付机制16消费者3D-Secure访问控制服务器发卡行3D-SecureMPI支付网关收单行VISA中心目录服务器商户收单插件认证历史服务器VISA网络图7-13 VISA 3D-Secure 认证流程张卓其2005年11月制作第七章 网上金融安全与网上支付机制17 MasterCard SPA的交易认证流程（图7-14 ） 消费者在商户页面购物并确认网上支付，消费者电子钱包被激活，从商户页面读取支付相关信息，向发卡行钱包服务器发送认证请求 钱包服务器通过约定方式验证该消费者是否是合法持卡人，生成安全令牌AAV，置入UCAF字段，向消费者返回请求确认消息 电子钱包完成商户的表单，将安全令牌加入隐含字段，将购物表单发送给商户 商户向收单行提交支付请求和安全令牌 收单行通过MsterCard银行网络向发卡行发送支付请求和安全令牌 发卡行授权系统将收到的令牌同钱包服务器中保存的安全令牌进行比较验证 发卡行根据验证结果对交易做出授权，回送商户。商户取得授权后就可将网上交易进行下去 张卓其2005年11月制作第七章 网上金融安全与网上支付机制18钱包服务器发卡行授权系统消费者电子钱包商户收单插件支付网关收单行MasterCard银行网络Internet图7-14 MasterCard SPA交易认证流程张卓其2005年11月制作第七章 网上金融安全与网上支付机制19 两大认证体系的兼容和合作 VISA 3D-Sucure和MsterCard SPA两个系统是互不兼容的。前者对于发卡行和商户来说是一个前端方案，无需改变后端系统。后者的认证框架是端到端的安全模型，需要对发卡行和收单行的后端系统做出改变。 改进后的VISA的VbV和MsterCard SecureCode在互相兼容认证方面进行合作，获得很多银行和商户的支持 张卓其2005年11月制作第七章 网上金融安全与网上支付机制20第四节 PKI安全认证机制一、一、PKI概述概述 基于公钥密码系统上的PKI CA系统要为其客户提供可信任的网上交易环境 PKI的主要组件 数字证书。包含鉴定所有者的标识名称、证书发行者CA的标识名称、证书所有者的公钥、发行者的签名、证书的有效期、序列号等 公钥加密体制。公钥、私钥和公钥密码算法组成了PKI的基础 SSL、SET或其他网上认证体系 认证授权机构CA。提供数字证书的可信、独立的机构张卓其2005年11月制作第七章 网上金融安全与网上支付机制21 PKI系统的组成 授权机构CA。负责签发并废除证书。在CA系统中，CA由比它高一级的CA控制，最高的是根CA（RCA） 注册机构RA。负责办理证书的申请、核查和分发等过程（CA只负责签署证书） 证书目录。用户证书存放在共享目录中，目录使用X.500协议。证书具有自我核实功能 管理协议。管理证书的注册、生效、发布和注销 操作协议。允许用户找回并修改证书，对目录或证书撒回目录（CRL）进行修改 个人安全环境（PSE）。妥善保存、保护用户的私人信息（如私钥或协议使用的缓存）张卓其2005年11月制作第七章 网上金融安全与网上支付机制22 PKI系统的安全性 当用户提交核心数据或文件时，系统对提交的数据进行数字签名，保证其具有不可抵赖性、不可复制性 对数据打印时间戳，保证数据在时间上的不可抵赖性 上述所有信息均存放在数据库中，以便查阅 在信息传输过程中均用SSL加密，保证信息的传输安全 对特别重要的简短信息提供加密存放，保证信息的保密性 二、认证中心二、认证中心 构建于PKI的架构上的CA是网上交易信任环境的中心，它对每个最终实体进行定义 CA的主要任务。受理数字证书的申请、签发及对数字证书的管理 CA的安全认证机制 CA的层次式结构。低级CA由比其高一级CA认证，最高为RCA CA的分布式的结构。各CA之间可简单地相互交叉认证 张卓其2005年11月制作第七章 网上金融安全与网上支付机制23三、我国的金融三、我国的金融CA体系结构体系结构 中国金融认证中心CFCA包含的系统 SET CA。主要用于电子商务中的B to C的身份认证。它发放SET证书，支持基于用银行卡支付的SET交易 Non-SET CA。可同时支持B to B和B to C两种身份认证。发放四类Non-SET PKI证书：个人普通证书、个人高级证书、企业高级证书以及服务器站点证书 CFCA的三层结构 第一层RCA。它在全国具有唯一性，由人民银行负责建设 第二层CA为“品牌CA”或“政策CA” 第三层CA为用户CA。该层CA又分为持卡人CA（CCA）、商户CA（MCA）和支付网关CA（PCA） CA签发的证书 各级CA证书 最终用户证书。包括持卡人证书、企业和商户证书、服务器和支付网关证书等。面向最终用户证书的注册审核机构RA设在各商业银行