网络金融与支付第七章
合集下载
网上电子支付与结算第七章 中国金融认证中心
图7-5 Non-SET CA系统
(2)政策保证方面的优势。 ① 中国金融CA遵循了统一规划联合共建, 先作试点逐步发展,技术先进功能全面,落 实应用快字当先的原则。 ② 证书是一种权威性的电子文档。
③ 建立CFCA也包括制定“证书运作管 理规范”(CPS),它应由人民银行支 付与科技司批准,在中国目前电子商务 法律环境尚不健全的情况下,CPS的制 定就显得异常重要,CPS实际上是认证 中心的法规。
(6)Subject (7)Subject Public Key Information (8)Issuer Unique ID (9)Subject Unique ID (10)Extensions (11)Authority Key Identifier
(12)Cert Issuer (13)Sublet Key Identifier (14)CRL Distribution Point (15)Key Usage (16)Private Key Usage Period (17)Certificate Policies
2.卖方义务
(1)卖方承担按合同规定提交定标物和相关 单据的义务。 (2)卖方承担对定标物权利担保的义务。 (3)卖方承担对定标物的质量担保的义务。
3.发生违约时的补救措施
(1)卖方不履行合同的行为表现在,不 提交或不按时提交标定物和单据;提交 的标定物和单据不符合合同规定;第三 人存在对标定物的权利或主张。
第三节 CFCA认证的管理
一、CFCA认证管理的特点
第一,认证中心所做的CA数字化 证书是打破地域或部门限制的网络化工 作。
第二,认证中心是进行网上合法身 份、合法交易的权威证明机构,它将依 据国家相关的法律法规开展工作,坚持 公平、公正原则,维护网络金融信誉, 防止金融诈骗行为的产生。
中职教育-《电子商务概论》课件:第七章 电子支付与网络银行(一).ppt
–(2)电子支付是基于开放的系统平台(即互联网)的; 而传统支付则在较为封闭的环境中进行。
–(3)电子支付使用最先进的通信手段,因此对软硬件 要求很高;传统支付对于技术要求不如电子支付高, 且多为局域网络,不须联入互联网。
–(4)电子支付可以完全突破时间和空间的限制,可以 满足24/7(每周7天,每天24小时)的工作模式,其效率 之高是传统支付望尘莫及的。
• 电子支付的发展经历了五个阶段:
– 第一阶段,是银行利用计算机处理银行之间的业务,办理结算; – 第二阶段,是银行计算机与其他机构计算机之间资金的结算,如
代发工资,代交水费、电费、煤气费、电话费等业务; – 第三阶段,是利用网络终端向用户提供各项银行服务,如用户在
自动柜员机(ATM)上进行取、存款操作等; – 第四阶段,是利用银行销售点终端(POS)向用户提供自动扣款服务,
– (3)匿名性。银行和商家相互勾结也不能跟踪电子现金的使用, 就是无法将电子现金的用户的购买行为联系到一起,从而隐蔽电 子现金用户的购买历史。
– (4)不可伪造性。用户不能造假币,包括两种情况:一是用户不 能凭空制造有效的电子现金;二是用户从银行提取N个有效的电子 现金后,也不能根据提取和支付这N个电子现金的信息制造出有效 的电子现金;
同意放款; –第七步,第三方根据客户的通知进行货款转账:将客
户在其账户上的货款划入商家账户中,交易完成;或 客户退货,第三方将其账户上的货款退还给客户,交 易未完成。
第7章 电子支付与网络银行
• 第三方支付的优势
–(1)降低社会交易成本 –(2)提升企业竞争力 –(3)促进产业发展
第7章 电子支付与网络银行
间; –(4)节约印钞费用。
• 2.缺陷
第七章 支付清算
具体范围
(一)规定金额起点以上的跨行贷记支付业务; (二)规定金额起点以下的紧急跨行贷记支付业 务; (三)商业银行行内需要通过大额支付系统处理 的贷记支付业务; (四)特许参与者发起的即时转账业务; (五)城市商业银行银行汇票资金的移存和兑付 资金的汇划业务; (六)中国人民银行会计营业部门、国库部门发 起的贷记支付业务及内容转账业务; (七)中国人民银行规定的其他支付清算业务。
第七章 支付清算业务核算
本章学习目标
1.了解支付清算体系的基本框架;
2.熟悉大额实时支付系统的基本业务流程;
3.了解大额实时支付系统的业务范围; 4.掌握一般大额实时支付业务的核算步骤; 5. 了解小额批量支付系统与大额实时支付系 统的关系;
6.熟悉小额批量支付系统的核算步骤;
科目性质:负债类
科目用途:发起清算行发出支付业务到收到 国家处理中心核对报文期间使用的过渡性科目。 账户结构:发起清算行发出贷记业务和借记 业务回执时登记贷方,日终收到对账报文时登记 借方,清算后无余额。
2.“小额支付系统来账待清算”科目 科目性质:资产类
科目用途:接收清算行接收支付业务到收到 国家处理中心核对报文期间使用的过渡性科目。 账户结构:接受清算行收到贷记业务和借记 业务回执时登记借方,日终收到对账报文时登记 贷方,清算后无余额。
(二)支票影像交换系统
支票影像交换系统是指运用影像技术将实物 支票转换为支票影像信息,通过计算机及网络将 影像信息传递至出票人开户银行提示付款的业务 处理系统。
特点:支票影像业务的处理分为影像信息交 换和业务回执处理两个阶段,即支票提出银行通 过影像交换系统将支票影像信息发送至提入行提 示付款;提入行通过小额支付系统向提出行发送 回执完成付款。
网络金融与支付第7章 电子支付的安全与法律
会话密钥
Hi Bob Alice
解密
4. 信息
Bob
产生一个一次性,对称密钥——会话密钥 用会话密钥加密信息 最后用接收者的公钥加密会话密钥——因为它很短
Page 30
7.1.3.3 数字信封
(1)数字信封(Digital Envelope)的原理 对需传送的信息(如电子合同、支付指令)的加密采用对
WEB 服务 器
DNS 服务 器
图7-5 增加防火墙后的企业网络结构
Page 23
7.1.3.2 数字加密技术
密码算法主要分为对称加密算法和非对称加密算 法两大类。
(1)对称加密算法 对称加密算法的是信息发送方用一个密钥对要
发送的数据进行加密,信息的接收方能用同样的 密钥解密,而且只能用这一密钥解密。由于双方 所用加密和解密的密钥相同,所以叫作对称密钥 加密法。 最常用的对称密钥加密法叫做DES(Data Encryption Standard)算法。此外,广泛使用的 算法还有3DES、Rc4、Rc5等。
第7章 电子支付的安全与法律
本章学习目的
1 了解电子支付的风险类型及来源 2 了解防火墙相关技术 3 掌握数据加密、数据完整性技术以及数字证书 4 掌握SSL和SET协议 5 了解电子签名法等相关法律 6 了解电子支付的安全管理步骤
Page 2
导入案例 银行遭遇黑客攻击事件
2009年,世界多国的银行遭遇黑客攻击,并蒙受 巨额经济损失。
(1)防火墙简介 防火墙是指设置在不同网络(如可信任的企业内
部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全政策控制(允许、拒绝、 监测)出入网络的信息流,且本身具有较强的抗 攻击能力。 它是提供信息安全服务,实现网络和信息安全的 基础设施。
Hi Bob Alice
解密
4. 信息
Bob
产生一个一次性,对称密钥——会话密钥 用会话密钥加密信息 最后用接收者的公钥加密会话密钥——因为它很短
Page 30
7.1.3.3 数字信封
(1)数字信封(Digital Envelope)的原理 对需传送的信息(如电子合同、支付指令)的加密采用对
WEB 服务 器
DNS 服务 器
图7-5 增加防火墙后的企业网络结构
Page 23
7.1.3.2 数字加密技术
密码算法主要分为对称加密算法和非对称加密算 法两大类。
(1)对称加密算法 对称加密算法的是信息发送方用一个密钥对要
发送的数据进行加密,信息的接收方能用同样的 密钥解密,而且只能用这一密钥解密。由于双方 所用加密和解密的密钥相同,所以叫作对称密钥 加密法。 最常用的对称密钥加密法叫做DES(Data Encryption Standard)算法。此外,广泛使用的 算法还有3DES、Rc4、Rc5等。
第7章 电子支付的安全与法律
本章学习目的
1 了解电子支付的风险类型及来源 2 了解防火墙相关技术 3 掌握数据加密、数据完整性技术以及数字证书 4 掌握SSL和SET协议 5 了解电子签名法等相关法律 6 了解电子支付的安全管理步骤
Page 2
导入案例 银行遭遇黑客攻击事件
2009年,世界多国的银行遭遇黑客攻击,并蒙受 巨额经济损失。
(1)防火墙简介 防火墙是指设置在不同网络(如可信任的企业内
部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全政策控制(允许、拒绝、 监测)出入网络的信息流,且本身具有较强的抗 攻击能力。 它是提供信息安全服务,实现网络和信息安全的 基础设施。
国家开放大学《互联网金融概论》形成性考核试题1-4参考答案
国家开放大学《互联网金融概论》形成性考核试题1-4参考答案形成性考核试题(一)(满分:100分;考核范围:第一章——第三章)一、名词解释题(每题4分,共40分)1.金融——指货币的发行、流通和回笼,贷款的发放和收回,存款的存入和提取,汇兑的往来等经济活动。
2.互联网金融——是指狭义上的概念,即指通过计算机连接终端和网络服务平台所提供的所有金融服务与金融产品所形成的虚拟金融市场。
3.监管套利——是指各种金融市场参与主体通过注册地转换、金融产品异地销售等途径,从监管要求较高的市场转移到监管要求较低的市场,从而全部或者部分地规避监管、牟取超额利益的行为。
4.规模经济——是指由于生产规模的适度扩大,使生产要素得到更有效的配置,引起产品平均成本降低,进而获得更大的经济效益。
相反,如果因生产规模过大或过小,生产要素不能得到合理配置,造成经济效率损失,则成为规模不经济。
5.长尾理论——指只要产品的存储和流通的渠道足够大,需求不旺或销量不佳的产品所共同占据的市场份额可以和那些少数热销产品所占据的市场份额相匹敌甚至更大,即众多小市场汇聚成可产生与主流相匹敌的市场能量。
6.网络效应——在经济学中,网络效应是一种现象,用户从某种商品或服务中获得的价值或效用取决于兼容产品的用户数量。
7.信息不对称——是指交易一方对交易另一方的了解不充分,双方处于不平等地位的一种状态。
8.存款货币——是一种特殊类型的信用货币,信用货币creditmoney是指以货币发行人信用为担保的货币,而存款货币是以发行该存款的储蓄机构的信用状况作为担保的信用货币。
9.数字货币——就是以数字形式承载纸币、硬币同等货币价值的一种国家法定钱币。
10.区块链——是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。
二、问答题(每题10分,共60分)1.互联网金融的本质是什么?答:互联网金融的本质是金融基础设施,是与金融机构和金融市场相同的金融基础设施。
ch7电子支付
密钥分发和管理简单。加密密钥可以做成密钥本 公开,解密密钥由各用户自行掌握;
每个用户秘密保存的密钥量减少。网络中每个用 户只需要秘密保存自己的私钥,与其他用户通信 所使用的加密密钥可以由密钥本得到;
适应于计算机网络的发展,能够满足互不相识的 用户之间进行保密通信的要求;
能够很容易的完成数字签名和认证。 加密和解密的效率比对称密码体制要差。
如果一个密码系统把加密和解密分开,加密和 解密分别用两个不同的密钥实现,并且由加密 密钥推导出解密密钥在计算上是困难的,则该 系统所采用的就是非对称密码体制。
公钥和私钥
采用非对称密码体制的每个用户都有一对选定 的密钥,其中一个是可以公开的,称为公钥, 一个由用户自己秘密保存,称为私钥。
36
非对称密钥密码体制的特点
12
密码技术
密码技术概述 密码技术的基础知识 对称密码体制 非对称密码体制
13
密码技术概述
密码学(cryptology)是研究密码系统及通信 安全的一门科学。
密码学以研究秘密通讯为目的。即研究对传输 信息采取何种变换以防止第三者对信息的窃取 及篡改。
主要包括两个分支,即密码编码学和密码分析 学。
(encryption),加密时采用的一组规则称作加密算 法(encryption algorithm) 。 解密:由密文恢复出原明文的过程称作解密 (decryption),解密时采用的一组规则称作解密算 法(decryption algorithm) 。
17
密码系统
加密密钥和解密密钥:加密算法和解密算 法的操作通常是在一组密钥(key)的控制下 进行的,分别称为加密密钥(encryption key) 和解密密钥(decryption key)。
每个用户秘密保存的密钥量减少。网络中每个用 户只需要秘密保存自己的私钥,与其他用户通信 所使用的加密密钥可以由密钥本得到;
适应于计算机网络的发展,能够满足互不相识的 用户之间进行保密通信的要求;
能够很容易的完成数字签名和认证。 加密和解密的效率比对称密码体制要差。
如果一个密码系统把加密和解密分开,加密和 解密分别用两个不同的密钥实现,并且由加密 密钥推导出解密密钥在计算上是困难的,则该 系统所采用的就是非对称密码体制。
公钥和私钥
采用非对称密码体制的每个用户都有一对选定 的密钥,其中一个是可以公开的,称为公钥, 一个由用户自己秘密保存,称为私钥。
36
非对称密钥密码体制的特点
12
密码技术
密码技术概述 密码技术的基础知识 对称密码体制 非对称密码体制
13
密码技术概述
密码学(cryptology)是研究密码系统及通信 安全的一门科学。
密码学以研究秘密通讯为目的。即研究对传输 信息采取何种变换以防止第三者对信息的窃取 及篡改。
主要包括两个分支,即密码编码学和密码分析 学。
(encryption),加密时采用的一组规则称作加密算 法(encryption algorithm) 。 解密:由密文恢复出原明文的过程称作解密 (decryption),解密时采用的一组规则称作解密算 法(decryption algorithm) 。
17
密码系统
加密密钥和解密密钥:加密算法和解密算 法的操作通常是在一组密钥(key)的控制下 进行的,分别称为加密密钥(encryption key) 和解密密钥(decryption key)。
201005第七章网络银行
3.网络银行的建立过程与注意事项
1.建立网络银行的基本过程
1.申请网络银行的域名; 2.确定与配置网络银行服务器; 3.确定服务内容。
2.注意事项
1.页面的易用性与演示系统建设,及时维护和更新网站内容; 2.宣传自己的网络银行,做好网站营销; 3.密切注意吸引新客户和留住老客户; 4.密切注意网络支付的安全及其宣传,以取得客户信任。
2.网络银行的系统结构
网络银行的系统架构主要由网络银行技术架构、管理架构、业务平 台架构组成。
1.网络银行的技术架构
网络银行的技术架构主要由网络服务系统、硬件系统、网络管理系统 和数据库系统组成。这四部分构成网络银行的系统运行环境,应具有很 好的安全性、稳定性和可扩展性。目前全球大部分的电子商务平台都是 运行在UNIX操作系统和大型数据库的系统上。 网络银行系统的具体业务功能,通常分别由银行端Web服务器和两台 互为备份的应用及数据库服务器完成。Web服务器位于应用服务器和外 部客户端之间,是网络银行系统内部应用逻辑与外部公众网络间的接口 ,Web服务器主要处理来自Internet的https请求,提供各类网络金融服 务。网上应用及数据库服务器,是完成网上支付结算和动态信息咨询服 务的逻辑控制和流程处理的应用平台,同时通过数据库服务器实现数据 库的存储和管理操作。 具体技术架构见下页图。
收集 支团 管资 理金
网 上 信 用 证 业 务
网 上 理 财 … 服 务
企业网络银行提供的基本功能:______招商银行为例 •帐务查询: 包括账户余额明细,帐户当天、历史交易明细查询,收付款方信息查询以 及协定存款明细等信息。 集团公司可根据协议查看子公司的帐务信息, 方便财务监控。 •内部转帐: 用于在招商银行开户的本单位帐户之间的资金划拨。 •对外支付: 用于向在招行或他行开户的其它企业付款。 •代发工资: 用于向本单位员工发放工资。 •银行信息通知: 银行通过该系统将信息通知特定客户。如定期存款到期通知、贷款到期通 知、开办新业务通知、利率变动通知及相关帐务信息等。 •金融信息查询: 提供实时证券行情、利率、汇率、国际金融信息等丰富多样的金融信息。
第七章 支付体系
中国人民银行 安排 监管 同城票据清算系统 同 城 商 业 银 行 同 城 商 业 银 行
同 城 商 业 银 行
同 城 商 业 银 行
厦门大学出版社
货币金融学
第三节 我国支付体系的现代化建设
(四)银行业金融机构行内支付系统
银行业金融机构行内支付系统是银行业金融机构处理内部资金往来 与清算的基础渠道,是其提供支付服务、拓展金融市场业务的重要设施。 在银行业竞争和科技进步的推动下,我国各银行业金融机构积极实施行 内支付系统的科学规划和升级改建,为业务发展提供基础性支持。
基础 银行业金融机构行内支付系统
厦门大学出版社
第三节 我国支付体系的现代化建设
(一)中国人民银行大、小额支付系统
1、大额实时支付系统
大额实时支付系统主要处理同城和异地的金额在规定起点以上的大 额贷记支付业务及紧急的小额贷记支付业务,以及中国人民银行系统的 贷记支付业务。
2、小额批量支付系统
小额批量支付系统支持多种支付工具的应用,负责批量处理异地及 同城的商业银行(其他金融机构)之间纸质凭证截流的借记支付业务和 单笔支付金额在规定起点以下的小额贷记支付业务。
目前我国已经形成了以中国人民银行大、小额支付系统为核心, 银行业金融机构行内支付系统为基础,其他支付系统共同组成的支付 体系,逐步建立起现代化的中国支付体系。具体有中国人民银行大小 额支付系统、全国支票影像交换系统、同城票据清算系统、银行业金 融机构行内支付系统、中国银联银行卡跨行交易清算系统、境内外币 支付系统等。此外,在发展迅速的网络购物方面,有第三方支付系统 的兴起。
支付系 统 CHIPS 所在 地 纽约 管理者/运营者 美国纽约清算所 协会 英国支付清算服 务协会 日本东京银行家 协会/日本银行 欧洲中央银行 启运 年份 1970 1984 1989 1999 服务领域 美元跨国支 付清算 英镑跨国支 付清算 日元跨国支 付清算 欧元跨国支 付清算
同 城 商 业 银 行
同 城 商 业 银 行
厦门大学出版社
货币金融学
第三节 我国支付体系的现代化建设
(四)银行业金融机构行内支付系统
银行业金融机构行内支付系统是银行业金融机构处理内部资金往来 与清算的基础渠道,是其提供支付服务、拓展金融市场业务的重要设施。 在银行业竞争和科技进步的推动下,我国各银行业金融机构积极实施行 内支付系统的科学规划和升级改建,为业务发展提供基础性支持。
基础 银行业金融机构行内支付系统
厦门大学出版社
第三节 我国支付体系的现代化建设
(一)中国人民银行大、小额支付系统
1、大额实时支付系统
大额实时支付系统主要处理同城和异地的金额在规定起点以上的大 额贷记支付业务及紧急的小额贷记支付业务,以及中国人民银行系统的 贷记支付业务。
2、小额批量支付系统
小额批量支付系统支持多种支付工具的应用,负责批量处理异地及 同城的商业银行(其他金融机构)之间纸质凭证截流的借记支付业务和 单笔支付金额在规定起点以下的小额贷记支付业务。
目前我国已经形成了以中国人民银行大、小额支付系统为核心, 银行业金融机构行内支付系统为基础,其他支付系统共同组成的支付 体系,逐步建立起现代化的中国支付体系。具体有中国人民银行大小 额支付系统、全国支票影像交换系统、同城票据清算系统、银行业金 融机构行内支付系统、中国银联银行卡跨行交易清算系统、境内外币 支付系统等。此外,在发展迅速的网络购物方面,有第三方支付系统 的兴起。
支付系 统 CHIPS 所在 地 纽约 管理者/运营者 美国纽约清算所 协会 英国支付清算服 务协会 日本东京银行家 协会/日本银行 欧洲中央银行 启运 年份 1970 1984 1989 1999 服务领域 美元跨国支 付清算 英镑跨国支 付清算 日元跨国支 付清算 欧元跨国支 付清算
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 2. 3. 4. 5. 电子支付的技术风险 系统遭受外来攻击 电子支付的交易风险 电子支付的法律风险 信用风险
Page
7
网上浏览的安全问题
网上银行用户
错误的DNS 或输错网址
网上银行服务器
银行
窃听
伪造的网上银行服务器
Page
8
7.1.2 电子支付的安全策略
1. 电子支付的安全需求 2. 电子支付的安全策略
Page 3
导入案例 银行遭遇黑客攻击事件 银行、金融机构已成为网络黑客攻击的重点,全 国每年因遭受网络攻击造成的损失就多达70多亿 元,一年有2225个网站、包括104个政府网站被 “黑”,黑客攻击的数量每年都在成倍递增。 全球已形成“黑色产业链”,国外一个普通的黑 客一年可收入十几万欧元,远远超过在现实生活 中劳动的回报,因此网络黑客已从最初的个人行 为,发展为有组织的犯罪。
Page
29
7.1.3.4 数字摘要
数字摘要(Digital Digest)是用某种算法对被 传送的数据生成一个完整性值,将此完整性值与 原始数据一起传送给接收者,接收者用此完整性 值来检验消息在传送过程中有没有发生改变。这 个值由原始数据通过某一加密算法产生的一个特 殊的数字信息串,比原始数据短小,能代表原始 数据,所以称作数字摘要。
Page
18
(5)大型企业网络防火墙应用
Interne t 服务器 集线器
Proxy
Mail 服 务器
WEB服务器 3层交换机
PC PC
DNS 服 务器
Page
19
图7-4 企业网络结构
Interne t
路由器 LAN
WAN DMZ
3层交换机 WINS DHCP 服务器
集线器 WEB 服务 器 DNS 服务 器
第7章 电子支付的安全与法律
瞿彭志 主编 袁丽娜 制作
本章学习目的
1
2 3 4 5 6
Page 2
了解电子支付的风险类型及来源 了解防火墙相关技术 掌握数据加密、数据完整性技术以及数字证书 掌握SSL和SET协议 了解电子签名法等相关法律
了解电子支付的安全管理步骤
导入案例 银行遭遇黑客攻击事件 2009年,世界多国的银行遭遇黑客攻击,并蒙受 巨额经济损失。 1、美银行4000多万用户的数据资料被窃 2、澳洲ANZ网上银行遭黑客入侵 3、英国破获窃取用户银行信息黑客网站 4、黑客入侵香港网上银行 5、美国历史上最严重的一起数据泄露案件 6、“黑客”入侵银行系统被判刑 7、黑客入侵信用卡网络在全球提款近千万美元
Page 11
图7-1 防火墙逻辑位置示意图
Page
12
(2)防火墙的作用
1 ) 防火墙是网络安全的屏障 2 ) 对网络存取和访问进行监控审计 3 ) 防止内部信息的外泄
Page
13
(3)防火墙的种类
1)包过滤型防火墙 2)应用代理型防火墙 3)状态监测防火墙
Page
14
1)包过滤型防火墙
包过滤型防火墙的优点:简洁、速度快、费用低,
并且对用户透明 ---- 已部署的防火墙系统多数只使用了包过滤器路 由器。除了花费时间去规划过滤器和配置路由器之 外,实现包过滤几乎不再需要费用,因为这些特点 都包含在标准的路由器软件中。
为它只检查地址和端口,对网络更高协议层的信息无 理解能力。
Page
32
Page
33
7.1.3.5 数字签名
数字签名的作用
数字签名的作用与手写签名的作用一样,都可以实现身份验证。
(3)数字签名在网络支付中应用 数字签名可以解决下述在网络支付中的安全鉴别问题:
1)接收方伪造。接收方伪造一份文件,并声称这是发送方发送的, 如伪造付款单据等。 2)发送者或接收者否认。发送者或接收者事后不承认自己曾经发 送或接收过支付单据。 3)第三方冒充。网上的第三方用户冒充发送或接收消息如信用卡 密码。 4)接收方篡改。接收方对收到的文件如支付金额进行改动。
Page 21
(2)非对称密钥加密法
公开密钥加密法的加密和解密所用的密钥不同,所以又叫 非对称密钥加密法(Asymmetric Cryptography)。 非对称密钥加密法的原理是共有2个密钥,它们在数 学上相关,称作密钥对。用密钥对中任何一个密钥加密, 可以用另一个密钥解密,而且只能用此密钥对中的另一个 密钥解密。商家采用某种算法(密钥生成程序)生成了这 2个密钥后,将其中一个保存好,叫做私人密钥(Private Key),将另一个密钥公开散发出去,叫做公开密钥 (Public Key)。 公开密钥加密的两种作用:信息加密和签名认证。
Page
22
1)信息加密
如图7-6所示,甲公司要向乙公司订购钢材,甲公司用 乙公司的公开密钥将他要发给乙公司的消息加密,乙 公司收到后,只能用乙公司自己的私人密钥解密而得 到甲公司发来的订购单。只要乙公司保证没有他人知 道乙公司的私人密钥,甲、乙两公司就能确信,所发 信息只有乙公司能看到。
Page 28
7.1.3.3 数字信封
(2)数字信封的应用 在使用对称密钥加密时,密钥的传递以及密钥 的更换都是问题。采用数字信封的方式,对称密 钥通过接受方的公开密钥加密后传给对方,可以 保证密钥传递的安全。而且此对称密钥每次由发 送方随机生成,每次都在更换,更增加了安全性。 数字信封用于网络支付,不仅可以装入对称密钥, 一些重要的短小信息,比如银行账号、密码等都 可以采取数字信封传送。
Page
34
7.1.3.6 数字证书
(1)数字证书的定义 数字证书就是指用数字技术手段确认、鉴定、 认证Internet上信息交流参与者身份或服务器身 份,是一个担保个人、计算机系统或者组织的身 份和密钥所有权的电子文档。是模拟传统证书如 个人身份证、企业营业证书等的特殊数字信息文 档。例如用户数字证书证实用户拥有一个特别的 公钥,服务器证书证实某一特定的公钥属于这个 服务器。
甲公司 甲公司 的私钥 发送 加密 信息 加密 信息 甲公司 的公钥 乙公司
订购钢 材原文
加 密
解 密
订购钢 材原文
Page
24
Page
25
பைடு நூலகம்
公钥加密的问题
1.公钥加解密对速度敏感
大数幂运算,因此非常慢 软件,公钥算法比对称密钥算法慢 100 多倍。(硬件 可能慢 1000倍 )
2.公钥加密长信息无法接受的慢,而对称密钥 算法非常快 3.结合公钥算法和对称密钥算法,使用对称密 钥与公开密钥的优点
会话密钥
B的公钥
产生一个一次性,对称密钥——会话密钥 用会话密钥加密信息 最后用接收者的公钥加密会话密钥——因为它很短
Page
27
7.1.3.3 数字信封
(1)数字信封(Digital Envelope)的原理 对需传送的信息(如电子合同、支付指令)的加密采用对 称密钥加密法;但密钥不先由双方约定,而是在加密前由 发送方随机产生;用此随机产生的对称密钥对信息进行加 密,然后将此对称密钥用接收方的公开密钥加密,准备定 点加密发送给接受方。这就好比用“信封”封装起来,所 以称作数字信封(封装的是里面的对称密钥)。接收方收 到信息后,用自己的私人密钥解密,打开数字信封,取出 随机产生的对称密钥,用此对称密钥再对所收到的密文解 密,得到原来的信息。 因为数字信封是用消息接收方的公开密钥加密的,只能用 接收方的私人密钥解密打开,别人无法得到信封中的对称 密钥,也就保证了信息的安全,又提高了速度。
Page
30
7.1.3.4 数字摘要
数字摘要的使用要求
第一,生成数字摘要的算法必须是一个公开的算法,数据交 换的双方可以用同一算法对原始数据经计算而生成的数字摘要 进行验证。第二,算法必须是一个单向算法,就是只能通过此 算法从原始数据计算出数字摘要,而不能通过数字摘要得到原 始数据。第三,不同的两条消息不能得到相同的数字摘要。 RSA公司提出的MD5(128位),还有SHA1等。由于常采用 的是一种HASH函数算法,也称Hash(散列)编码法。MD5 (128位)由Ron.Rivest教授设计。该编码法采用单向Hash函 数将需加密的明文“摘要”成一串128bit的密文。 在目前先进的SET协议机制中采用的hash算法可产生160位 的数字摘要
对称密钥快速而强健 公开密钥易于密钥交换
Page
26
组合对称密钥和公开密钥
明文
Hi Hi Bob Bob Alice Alice
明文 密文
1. 信息 加密 解密
X2c67 xaF4m afGkz 78dKm 78 Hi Bob Alice
Alice
会话密钥
4. 信息
Bob
2. 会话密钥 加密
Page
9
7.1.3 电子支付的安全技术
7.1.3.1 防火墙技术 7.1.3.2 数字加密技术 7.1.3.3 数字信封 7.1.3.4 数字摘要 7.1.3.5 数字签名 7.1.3.6 数字证书
Page
10
7.1.3.1 防火墙技术
(1)防火墙简介 防火墙是指设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全政策控制(允许、拒绝、 监测)出入网络的信息流,且本身具有较强的抗 攻击能力。 它是提供信息安全服务,实现网络和信息安全的 基础设施。
Page
35
7.1.3.6 数字证书
(2)数字证书的基本内容
1)证书格式,是指证书采用格式,目前均为X.509格式。 2)序列号,是辨识数字证书的标识。 3)签名算法,签名证书采用的算法,如md5RSA。 4)颁证机构,指颁证机构名称。 5)有效期限,证书有效期限。 6)持有人姓名,用来确认证书的拥有者。 7)持有人公钥,包括公钥数值及演算标示。
Page
7
网上浏览的安全问题
网上银行用户
错误的DNS 或输错网址
网上银行服务器
银行
窃听
伪造的网上银行服务器
Page
8
7.1.2 电子支付的安全策略
1. 电子支付的安全需求 2. 电子支付的安全策略
Page 3
导入案例 银行遭遇黑客攻击事件 银行、金融机构已成为网络黑客攻击的重点,全 国每年因遭受网络攻击造成的损失就多达70多亿 元,一年有2225个网站、包括104个政府网站被 “黑”,黑客攻击的数量每年都在成倍递增。 全球已形成“黑色产业链”,国外一个普通的黑 客一年可收入十几万欧元,远远超过在现实生活 中劳动的回报,因此网络黑客已从最初的个人行 为,发展为有组织的犯罪。
Page
29
7.1.3.4 数字摘要
数字摘要(Digital Digest)是用某种算法对被 传送的数据生成一个完整性值,将此完整性值与 原始数据一起传送给接收者,接收者用此完整性 值来检验消息在传送过程中有没有发生改变。这 个值由原始数据通过某一加密算法产生的一个特 殊的数字信息串,比原始数据短小,能代表原始 数据,所以称作数字摘要。
Page
18
(5)大型企业网络防火墙应用
Interne t 服务器 集线器
Proxy
Mail 服 务器
WEB服务器 3层交换机
PC PC
DNS 服 务器
Page
19
图7-4 企业网络结构
Interne t
路由器 LAN
WAN DMZ
3层交换机 WINS DHCP 服务器
集线器 WEB 服务 器 DNS 服务 器
第7章 电子支付的安全与法律
瞿彭志 主编 袁丽娜 制作
本章学习目的
1
2 3 4 5 6
Page 2
了解电子支付的风险类型及来源 了解防火墙相关技术 掌握数据加密、数据完整性技术以及数字证书 掌握SSL和SET协议 了解电子签名法等相关法律
了解电子支付的安全管理步骤
导入案例 银行遭遇黑客攻击事件 2009年,世界多国的银行遭遇黑客攻击,并蒙受 巨额经济损失。 1、美银行4000多万用户的数据资料被窃 2、澳洲ANZ网上银行遭黑客入侵 3、英国破获窃取用户银行信息黑客网站 4、黑客入侵香港网上银行 5、美国历史上最严重的一起数据泄露案件 6、“黑客”入侵银行系统被判刑 7、黑客入侵信用卡网络在全球提款近千万美元
Page 11
图7-1 防火墙逻辑位置示意图
Page
12
(2)防火墙的作用
1 ) 防火墙是网络安全的屏障 2 ) 对网络存取和访问进行监控审计 3 ) 防止内部信息的外泄
Page
13
(3)防火墙的种类
1)包过滤型防火墙 2)应用代理型防火墙 3)状态监测防火墙
Page
14
1)包过滤型防火墙
包过滤型防火墙的优点:简洁、速度快、费用低,
并且对用户透明 ---- 已部署的防火墙系统多数只使用了包过滤器路 由器。除了花费时间去规划过滤器和配置路由器之 外,实现包过滤几乎不再需要费用,因为这些特点 都包含在标准的路由器软件中。
为它只检查地址和端口,对网络更高协议层的信息无 理解能力。
Page
32
Page
33
7.1.3.5 数字签名
数字签名的作用
数字签名的作用与手写签名的作用一样,都可以实现身份验证。
(3)数字签名在网络支付中应用 数字签名可以解决下述在网络支付中的安全鉴别问题:
1)接收方伪造。接收方伪造一份文件,并声称这是发送方发送的, 如伪造付款单据等。 2)发送者或接收者否认。发送者或接收者事后不承认自己曾经发 送或接收过支付单据。 3)第三方冒充。网上的第三方用户冒充发送或接收消息如信用卡 密码。 4)接收方篡改。接收方对收到的文件如支付金额进行改动。
Page 21
(2)非对称密钥加密法
公开密钥加密法的加密和解密所用的密钥不同,所以又叫 非对称密钥加密法(Asymmetric Cryptography)。 非对称密钥加密法的原理是共有2个密钥,它们在数 学上相关,称作密钥对。用密钥对中任何一个密钥加密, 可以用另一个密钥解密,而且只能用此密钥对中的另一个 密钥解密。商家采用某种算法(密钥生成程序)生成了这 2个密钥后,将其中一个保存好,叫做私人密钥(Private Key),将另一个密钥公开散发出去,叫做公开密钥 (Public Key)。 公开密钥加密的两种作用:信息加密和签名认证。
Page
22
1)信息加密
如图7-6所示,甲公司要向乙公司订购钢材,甲公司用 乙公司的公开密钥将他要发给乙公司的消息加密,乙 公司收到后,只能用乙公司自己的私人密钥解密而得 到甲公司发来的订购单。只要乙公司保证没有他人知 道乙公司的私人密钥,甲、乙两公司就能确信,所发 信息只有乙公司能看到。
Page 28
7.1.3.3 数字信封
(2)数字信封的应用 在使用对称密钥加密时,密钥的传递以及密钥 的更换都是问题。采用数字信封的方式,对称密 钥通过接受方的公开密钥加密后传给对方,可以 保证密钥传递的安全。而且此对称密钥每次由发 送方随机生成,每次都在更换,更增加了安全性。 数字信封用于网络支付,不仅可以装入对称密钥, 一些重要的短小信息,比如银行账号、密码等都 可以采取数字信封传送。
Page
34
7.1.3.6 数字证书
(1)数字证书的定义 数字证书就是指用数字技术手段确认、鉴定、 认证Internet上信息交流参与者身份或服务器身 份,是一个担保个人、计算机系统或者组织的身 份和密钥所有权的电子文档。是模拟传统证书如 个人身份证、企业营业证书等的特殊数字信息文 档。例如用户数字证书证实用户拥有一个特别的 公钥,服务器证书证实某一特定的公钥属于这个 服务器。
甲公司 甲公司 的私钥 发送 加密 信息 加密 信息 甲公司 的公钥 乙公司
订购钢 材原文
加 密
解 密
订购钢 材原文
Page
24
Page
25
பைடு நூலகம்
公钥加密的问题
1.公钥加解密对速度敏感
大数幂运算,因此非常慢 软件,公钥算法比对称密钥算法慢 100 多倍。(硬件 可能慢 1000倍 )
2.公钥加密长信息无法接受的慢,而对称密钥 算法非常快 3.结合公钥算法和对称密钥算法,使用对称密 钥与公开密钥的优点
会话密钥
B的公钥
产生一个一次性,对称密钥——会话密钥 用会话密钥加密信息 最后用接收者的公钥加密会话密钥——因为它很短
Page
27
7.1.3.3 数字信封
(1)数字信封(Digital Envelope)的原理 对需传送的信息(如电子合同、支付指令)的加密采用对 称密钥加密法;但密钥不先由双方约定,而是在加密前由 发送方随机产生;用此随机产生的对称密钥对信息进行加 密,然后将此对称密钥用接收方的公开密钥加密,准备定 点加密发送给接受方。这就好比用“信封”封装起来,所 以称作数字信封(封装的是里面的对称密钥)。接收方收 到信息后,用自己的私人密钥解密,打开数字信封,取出 随机产生的对称密钥,用此对称密钥再对所收到的密文解 密,得到原来的信息。 因为数字信封是用消息接收方的公开密钥加密的,只能用 接收方的私人密钥解密打开,别人无法得到信封中的对称 密钥,也就保证了信息的安全,又提高了速度。
Page
30
7.1.3.4 数字摘要
数字摘要的使用要求
第一,生成数字摘要的算法必须是一个公开的算法,数据交 换的双方可以用同一算法对原始数据经计算而生成的数字摘要 进行验证。第二,算法必须是一个单向算法,就是只能通过此 算法从原始数据计算出数字摘要,而不能通过数字摘要得到原 始数据。第三,不同的两条消息不能得到相同的数字摘要。 RSA公司提出的MD5(128位),还有SHA1等。由于常采用 的是一种HASH函数算法,也称Hash(散列)编码法。MD5 (128位)由Ron.Rivest教授设计。该编码法采用单向Hash函 数将需加密的明文“摘要”成一串128bit的密文。 在目前先进的SET协议机制中采用的hash算法可产生160位 的数字摘要
对称密钥快速而强健 公开密钥易于密钥交换
Page
26
组合对称密钥和公开密钥
明文
Hi Hi Bob Bob Alice Alice
明文 密文
1. 信息 加密 解密
X2c67 xaF4m afGkz 78dKm 78 Hi Bob Alice
Alice
会话密钥
4. 信息
Bob
2. 会话密钥 加密
Page
9
7.1.3 电子支付的安全技术
7.1.3.1 防火墙技术 7.1.3.2 数字加密技术 7.1.3.3 数字信封 7.1.3.4 数字摘要 7.1.3.5 数字签名 7.1.3.6 数字证书
Page
10
7.1.3.1 防火墙技术
(1)防火墙简介 防火墙是指设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全政策控制(允许、拒绝、 监测)出入网络的信息流,且本身具有较强的抗 攻击能力。 它是提供信息安全服务,实现网络和信息安全的 基础设施。
Page
35
7.1.3.6 数字证书
(2)数字证书的基本内容
1)证书格式,是指证书采用格式,目前均为X.509格式。 2)序列号,是辨识数字证书的标识。 3)签名算法,签名证书采用的算法,如md5RSA。 4)颁证机构,指颁证机构名称。 5)有效期限,证书有效期限。 6)持有人姓名,用来确认证书的拥有者。 7)持有人公钥,包括公钥数值及演算标示。