网上支付安全技术.ppt

第4章 网上支付结算 §11 网上支付安全技术 案例：银行卡信息泄漏 2005年6月17日，万事达信用卡国际称，由于cardSystems公司的网络被突破，造成第三方支付处理器的入侵，只是万事达、维萨、运通、Discover在内的高达4000多万信用卡用户的银行资料面临泄漏风险。 cardSystems公司丢失客户数据的主要原因是对信息安全缺乏足够重视，违规保存信用卡用户资料，同时未对这些数据进行任何加密，只是黑客入侵后很顺利得盗走了相关数据。 通过认真检查这次银行卡泄密事件，我们知道不仅信息技术出了问题，而且管理制度和安全意识也出了问题。 电子商务的安全威胁 电脑犯罪: 50个国家有信息恐怖组织,计算机 犯罪增长率152%,银行抢劫案件 减少，英国网络解密专家小组,美 国第三方密钥管理,……… 巨大损失: 66万美元/每次计算机犯罪, 26美 元/每次抢劫，国防，银行，证券 网络战争: 中美网络之战 上周中国81个政府网站被黑 4省部级仍未恢复 来自国家互联网应急中心18日的报告显示，5月10日至5月16日一周内，中国境内有81个政府网站被篡改，至5月17日12时，仍有29个被篡改的政府网站没有恢复，其中包括4个省部级网站，分别位于安徽、江苏、四川和西藏自治区。 11.1在线金融安全问题 众所周知，电子商务是利用国际互联网和系统内、系统外网络及相关技术完成商业的贸易交易业务。因此网络的安全就成为贸易双方非常关注的问题。 1. 电子商务的安全要素 电子商务安全问题的核心和关键是电子交易的安全性。网上交易面临着种种安全威胁，也因此提出了相应的安全控制要求。 1）身份的可认证性 2）信息的必威体育官网网址性 3）信息的完整性 4）不可抵赖性 5）不可伪造性 2. 在线支付要求 一切电子商务支付手段的解决方案，都必须解决下面几个关键问题。 1）有效性 电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。 因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。 2）机密性 电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。 电子商务是建立在一个开放的网络环境（如Internet）中的，维护商业机密是电子商务全面推广应用的重要保障。 3）完整性 电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。 要预防信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。 4）可靠性 在传统的纸面贸易中， “白纸黑字”。 在无纸化的交易方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 11.2 安全技术 1. 信息加密技术 2. 信息认证技术 3. 通信加密技术 4. 其他安全控制技术 5. 病毒的防治及管理 1. 信息加密技术 通过计算机网络进行安全的商务活动和通讯就像我们签署一封信笺并把它密封在一个信封里发出去一样。签名保证了发信人身份的真实性，密封的信封保证了机密性。密码系统通过使用和某一个算法相关的密钥对信息加密来保证机密性。可以产生一些“混乱”的消息发送给接收者，接收者使用原来加密用的密钥可以获得原来的信息内容。双方使用的密钥必须保证机密性。在密码应用系统中，管理和必威体育官网网址这些密钥是最中心的问题，公钥密码系统解决了这个问题。 公钥密码系统使用一个密钥对代替了原来使用的一个密钥，这个密钥对包括一个公钥和一个私钥。使用公钥加密的信息只能使用相应的私钥才能解密。使用这套系统，公钥可以在公共的目录中发布，方便各方互相通讯。除了加密，公钥和私钥还可以用来产生一个“数字签名”，附加在信息的后面对信息和信息的发送者进行认证。要实现这种必威体育官网网址且方便的环境，需要一套公钥基础设施Public Key Infrastructure（PKI）。 从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做PKI系统，PKI的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络运行环境，从而保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中不能被非授权者偷看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI是怎样管理证书和密钥的。 一个典