网络支付与结算 的加密一节_第1页
网络支付与结算 的加密一节_第2页
网络支付与结算 的加密一节_第3页
网络支付与结算 的加密一节_第4页
网络支付与结算 的加密一节_第5页
已阅读5页,还剩61页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络支付与结算经济管理学院电子商务王松副教授网络支付的安全和相关的安全技术本章重点 网络支付所面临的安全问题 针对性的安全策略 具体的相关方法:

加密/解密技术数据完整性技术防火墙技术

CA认证1.经常上网吗?2.上网干什么?3.网络安全吗?1、网上犯罪

计算机犯罪以100%的速度增加网上攻击事件每年以10倍速度增涨银行的电子购物账户密码曝光事件增多

网上勒索、诈骗不断:

用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年网上安全存在威胁的原因2、网络病毒

每年以几何级数增长网络病毒有更大的破坏性

1988年莫里斯事件(UNIX/Email)6000台、$9000万

1998年4月的CIH病毒2000万台计算机

1999年2月的梅利莎案件(Window/Email)

$12亿

2000年5月4日的ILoveYou病毒$87亿

2001年7、8月红色代码(RedCode)$26亿网上安全存在威胁的原因“熊猫烧香”案3、网络安全产品的自控权缺失

安全产品中通道、嵌入病毒、缺陷、可恢复密钥大量外购安全产品缺少自控权我国缺少配套的安全产品控制政策和机制我国安全产业还比较稚嫩网上安全存在威胁的原因4、对安全认识的模糊性安全是相对的,不易明确安全的目标安全是复杂的,不易认清存在的问题安全是广泛的,不易普及安全的知识“木桶理论”在安全链条上体现明显网上安全存在威胁的原因5、网络的开放性互联机制提供了广泛的可访问性开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会高水平的网络安全资料与工具在Internet中可自由获得,但却常被用做他用。网上安全存在威胁的原因6、人类的天性好奇心:这扇门为什么锁上,我能打开吗?惰性和依赖心理:安全问题应由专家来关心网上安全存在威胁的原因网络安全威胁的几种类型拨号进入冒名顶替窃听线缆连接代码炸弹病毒更新或下载木马编程算法考虑不周随意口令口令破解口令圈套身份鉴别间谍行为废物搜寻身份识别错误偷窃物理威胁不安全服务配置初始化乘虚而入系统漏洞网络安全威胁一、网络安全的内容物理安全网络安全传输安全应用安全用户安全二、电子商务安全电子商务安全包含:电子商务交易安全真实性机密性完整性不可否认性电子商务网络安全物理安全操作系统网络管理制度电子商务的安全隐患信息被窃听信息被篡改信息被伪造交易抵赖网络瘫痪越权操作1、网络支付的流程2、网络支付的参与方3、网络支付的安全隐患和需求4、安全策略三、网络支付安全问题选择支持网络支付的网站选择需要的商品,将其放入购物车。核实购物车的信息,选择结算用户身份以及商品数量和金额信息的确认(注:商家据此发货)选择网络支付方式生成订单,确认转账提示与银行的服务器建立安全连接,SSL协议开始介入。提示银行服务器的数字证书认证机构认证信息和交易插件提示安全连接建立完毕。1、网络支付的流程2、网络支付的参与方3、网络支付的安全隐患和需求4、安全策略三、网络支付安全问题商家服务器商家开户银行用户持卡银行客户端

CA认证中心网上购物参与方框架①③④②⑤Internet金融专用网支付网关三、网络支付安全问题2、网络支付体系的参与方客户:网络支付的起点。商家:一般是拥有债权的一方。客户开户行:客户拥有资金帐户的银行商家开户行支付网关:Internet与金融专用网的安全接口。保证金融网络的安全性。金融专用网:银行内部和银行间通信的专用网络。CA认证中心:网络商务的准入者和各方身份认证者。1、网络支付的流程2、网络支付的参与方3、网络支付的安全隐患和需求4、安全策略三、网络支付安全问题3、网络支付的安全隐患网络支付系统被人为性延迟、中断或瘫痪支付帐号和密码被窃取支付金额被更改无法确认收款方的身份对支付行为和内容进行抵赖三、网络支付安全问题相对应的安全需求网络支付系统的安全可靠网络上资金流数据的保密性相关网络支付的完整性网上结算身份的真实性支付行为的不可抵赖性1、网络支付的流程2、网络支付的参与方3、网络支付的安全隐患和需求4、安全策略三、网络支付安全问题4、网络支付的安全策略1)安全策略的涵义电子商务系统安全策略应该涵盖:物理安全、网络安全、访问授权、病毒保护、灾难恢复等。网络支付安全策略包含:认证机制、访问控制机制、保密机制、数据完整性机制和审计机制等。三、网络支付安全问题4、网络支付的安全策略2)制定网络支付安全策略的基本原则预防为主:把握主动权。完备的日志跟踪机制权限细分的原则三、网络支付安全问题4、网络支付的安全策略3)网络支付安全策略的主要内容定义需要保护的资源范围定义保护的风险遵循有关电子商务安全的法律和法规三、网络支付安全问题防护手段越严密,代价就越大,成本就越大。《电子商务发展规范草案》《金融IC卡应用的安全机制》《电子签名法》《电子支付指引》4、网络支付的安全策略4)构建网络网络安全防护体系(PDRR)三、网络支付安全问题(1)保护(PROTECT)

传统安全概念的继承,包括信息加密技术、访问控制技术等等。(2)检测(DETECT)

从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。(3)响应(RESPONSE)

在遭遇攻击和紧急事件时及时采取措施,包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。(4)恢复(RECOVER)

评估系统受到的危害与损失,恢复系统功能和数据,启动备份系统等。网络安全保障体系安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全访问控制数据机密性数据完整性用户认证防抵赖安全审计网络安全层次层次模型网络安全技术实现安全目标用户安全四、网络支付的解决方法主要解决方法内容的保密性:数字机密性技术(加密算法)内容的完整性:数字指纹算法、数字摘要交易方的真实性:CA认证、数字签名、数字证书交易的不可抵赖性:数字时间戳、数字证书平台的安全性:防火墙、杀毒软件平台安全性介绍

--防火墙技术ServerClient

防火墙(Firewall)注解:防火墙类似一堵城墙,将服务器与客户主机进行物理隔离,并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。一、防火墙概念

防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有很高的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。二、防火墙特征保护脆弱和有缺陷的网络服务集中化的安全管理加强对网络系统的访问控制加强隐私对网络存取和访问进行监控审计1、保护脆弱和有缺陷的网络服务一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。二、防火墙特征2、集中化的安全管理通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。二、防火墙特征3、加强对网络系统的访问控制一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机,使外部网络无法访问,同样可以屏蔽部分主机的特定服务,使得外部网络可以访问该主机的其它服务,但无法访问该主机的特定服务。防火墙不向外界提供网络中任何不需要服务的访问权,这实际上是安全政策的要求了。控制对特殊站点的访问:如有些主机或服务能被外部网络访问,而有些则需被保护起来,防止不必要的访问。二、防火墙特征4、加强隐私隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。二、防火墙特征5、对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。二、防火墙特征

防火墙应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。三、防火墙功能如何实现的??OSI协议层应用层表示层会话层传输层数据链路层物理层网络层数据链路层应用层传输层网络层物理链路层TCP/IP协议层应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNETRPCSMTP、HTTP、DNS

TCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它

ICMPARPRARPOSI参考模型Internet协议簇OSI参考模型与Internet协议簇

ARP(AddressResolutionProtocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。ICMP(InternetControlMessageProtocol)是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息,通过这些消息来对网络或主机的故障提供参考依据。NFS(网络文件系统,NetworkFileSystem)是由美国SUN微系统公司开发的一个协议,它能使计算机系统通过网络访问其它计算机系统的目录和文件,就好象这些文件被存储在本地硬盘上一样。

TCP与UDP端口一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用协议端口标识通信进程,端口是一种抽象的软件结构(包括一些数据结构和I/O缓冲区)。应用程序(即进程)通过系统调用与某些端口建立连接后,传输层传给该端口的数据被相应进程所接收。接口又是进程访问传输服务的入口点。每个端口拥有一个叫端口号的16位整数标识符,用于区分不同端口。TCP和UDP软件分别可以提供65536个不同的端口。端口有两部分,一部分是保留端口(端口号小于1024,对应于服务器进程),一部分是自由端口(以本地方式分配)。某些服务进程通常对应于特定的端口。如SMTP为25,XWINDOWS为6000。ftp:21,http:80,telnet:23;POP3:110客户使用端口号及目的地IP地址初始化与一个特定主机或服务的连接。TCP与UDP端口操作实例:禁用某些服务

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为三大类:

分组过滤(Packetfiltering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。四、防火墙技术内容应用代理(ApplicationProxy):

也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。电路中继(CircuitRelay):也叫电路网关(CircuitGateway)或TCP代理(TCP-Proxy),其工作原理与应用代理类似,不同之处是该代理程序是专门为传输层的TCP协议编制的。四、防火墙技术内容防火墙技术内容-分组过滤应用层表示层会话层传输层网络层数据链路层物理层物理层数据链路层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机内部网络主机分组过滤型防火墙 一个分组过滤型防火墙通常能根据IP分组的以下各项过滤:源IP地址目标IP地址TCP/UDP源端口TCP/UDP目标端口协议类型防火墙技术内容-分组过滤优点:透明的防火墙系统高速的网络性能易于配置支持网络内部

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论