网络安全导论 课件 第十六章 安全电子支付

2024/5/31第十六章

安全电子支付

$1电子货币与电子支付$2银行卡支付与set协议$3电子现金与数字人民币讨论议题$1电子货币与电子支付$1电子货币与电子支付信用卡可以透支消费，借记卡没有透支功能$1电子货币与电子支付电子货币是以金融电子化网络为基础，以电子计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币$1电子货币与电子支付电子货币是指以电子信息传递形式实现流通和支付功能的货币。目前，我国流行的电子货币主要有4种类型：（1）储值卡型电子货币。一般以IC卡形式出现，其发行主体除了商业银行之外，还有电信部门的电话卡、商业零售企业各类消费卡和学校校园IC卡等。（2）信用卡应用型电子货币。指商业银行、信用卡公司等发行主体发行的贷记卡或准贷记卡。（3）存款利用型电子货币。主要有借记卡、电子支票等，用于对银行存款以电子化方式支取现金、转账结算、划拨资金。（4）现金模拟型电子货币。主要有两种：一种是基于互联网络环境使用的且将代表货币价值的二进制数据保管在用户端的电子现金；一种是将货币价值保存在IC卡内并可脱离银行支付系统流通的电子钱包。$1电子货币与电子支付

国家打击虚拟货币

虚拟货币是指非真实的货币。比特币，以太坊，莱特币等都是比较著名的虚拟货币。比特币是一种建立在P2P网络之上虚拟货币。与大多数货币不同，比特币不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，并使用密码学的设计来确保其流通各个环节安全性。比特币总数量非常有限，具有稀缺性。比特币保证了流通交易的匿名性，但在其产生和交易计算中，会消耗大量的电力能源和算力。$1电子货币与电子支付电子支付电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。$1电子货币与电子支付电子支付按运营主体划分的电子支付主要可以归纳为三种方式：银行电子支付、第三方支付平台、以运营商为主体的电子支付。$1电子货币与电子支付第三方电子支付交易流程$1电子货币与电子支付$1电子货币与电子支付安全电子商务环境建设安全的电子商务环境是开展电子商务的前提，支付安全是树立和维护客户对电子商务信心的关键。安全电子商务环境建设包括网络诚信体系建设、建立安全的支付系统和公正、及时、争端解决和纠错机制以及保护隐私等多方面内容。$1电子货币与电子支付安全支付的新技术层出不穷行为序列技术能够对用户购物行为、地址位置信息、过往订单信息、信用卡交易详情等信息进行实时监测，形成多维度用户画像，能够对异常购买行为进行预警。生物探针技术能够根据用户使用APP的按压力度、手指触面、滑屏速度等120多个指标，判断用户的使用习惯，检测购物中的异常使用情况。关系图谱技术通过记录用户节点信息，以及所有在这些节点上发生行为的相关行为的连接，最终把与之相关的一系列用户和行为都描述出来。关系图谱技术能够通过用户关系估算用户信用，能够发现用户对所购买商品的需求程度，因而也可触发预警。$1电子货币与电子支付安全问题依然存在目前支付领域最大的安全问题是用户隐私泄露问题：SSL协议是保护用户通信安全的协议，第三方支付平台在安全接收到用户的购物信息后，对用户的隐私信息保护不力甚至非法利用。$2银行卡支付与set协议$2银行卡支付与set协议一、银行卡支付的参与方二、网上银行卡支付方案的安全性要求确保持卡人的身份合法。确保持卡人能够核实商家的身份合法。要求对支付信息和订单信息保密：应该能够向持卡人确保参与者仅能访问自己应该获得的信息，无关人员不能获知支付和订单信息。确保传送数据的完整性：数据在传送过程中没有被改变不依赖于传输层安全机制，也不妨碍传输层安全机制的使用。独立于平台，互操作能力强。$2银行卡支付与set协议三、基于SSL协议的网络银行卡支付方案SSL协议工作在传输层，能实现两台机器间的安全连接。实际上，

SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，它运行的基本点是商家对客户信息保密的承诺，如全球最大的网上书店—亚马逊（Amazon），它在给用户的购买说明中明确表示：“当你在亚马逊公司购书时，受到‘亚马逊公司安全购买保证’保护，所以，你永远不用为你的信用卡安全担心”。$2银行卡支付与set协议基于SSL的银行卡支付过程SSL安全协议利于了商家却不利于客户，客户的信息首先被传到商家，商家阅读后再传到银行，这样，客户资料的安全性就受到了威胁。商家认证客户是必要的，但整个过程中缺少了客户对商家的认证。$2银行卡支付与set协议四、基于SET协议的网络银行卡支付方案安全电子交易SET（SecureElectronicTransaction）协议是维萨（VISA）、万事达（MasterCard）等国际组织创建的安全电子交易国际标准，其主要目的是解决信用卡电子付款的安全问题。SET协议提供如下三种安全服务：与所有参与者提供安全的通信信道。使用X.509V3数字证书为各方提供信任支持。保护隐私：执行SET协议的相关参与者仅能知道自己应该知道的信息，例如，商家仅能知道订单信息而不知道客户的银行卡信息，银行仅知道客户的银行卡信息而不知道客户的订单信息。$2银行卡支付与set协议SET-SecureElectronicTransactionsAnopenencryptionandsecurityspecification.ProtectcreditcardtransactionontheInternet.Companiesinvolved:MasterCard,Visa,IBM,Microsoft,Netscape,RSA,TerisaandVerisignNotapaymentsystem.Setofsecurityprotocolsandformats.SETServicesProvidesasecurecommunicationchannelinatransaction.ProvidestrustbytheuseofX.509v3digitalcertificates.Ensuresprivacy.SETOverviewKeyFeaturesofSET:ConfidentialityofinformationIntegrityofdataCardholderaccountauthenticationMerchantauthenticationSETParticipantsSequenceofeventsfortransactionsThecustomeropensanaccount.Thecustomerreceivesacertificate.Merchantshavetheirowncertificates.Thecustomerplacesanorder.Themerchantisverified.Theorderandpaymentaresent.Themerchantrequestpaymentauthorization.Themerchantconfirmtheorder.Themerchantprovidesthegoodsorservice.Themerchantrequestspayments.DualSignatureDS=EKRC[H(H(PI)||H(OI))]SET交易类型PaymentprocessingPaymentprocessingPaymentAuthorization:AuthorizationRequestAuthorizationResponsePaymentCapture:CaptureRequestCaptureResponse双签名是SET协议的创新亮点。通过双签名的实施，协议达到了下述效果：商家收到了订单信息OI并能够验证客户的签名。银行收到了支付信息PI并能够验证客户的签名。客户能够把定单信息OI和支付信息PI绑定在一起并能够证明这个绑定。例如，在一笔交易中，假设商家想把定单OI替换成另外一张订单

，那么

的hash值必须要和OI的hash值OIMD相同，这是不可能的。$2银行卡支付与set协议$3电子现金与数字人民币电子现金（E-Cash）又称为数字现金，是一种表示现金的加密序列数，它可以用来表示现实中各种金额的币值。在购买个人用品等一些场合，消费者是不愿意让人知道个人的生活习惯的。基于银行卡和电子支票的支付协议，如SET协议、iKP协议等，在进行支付时要互相出示个人身份.$3电子现金与数字人民币在设计一个电子现金系统时还要考虑避免以下的可能威胁行为：1.用户欺骗，如伪造、重复使用、洗黑钱、绑架他人提取电子现金归自己所有等。2.发行银行欺骗，如恶意跟踪用户、陷害用户、盗用。$3电子现金与数字人民币DavidChaum最早提出了利用数字盲签名实现电子现金的思想。目前比较实用的电子现金系统主要算法是基于RSA的盲签名算法和Schonnor盲签名算法，例如，eCash公司利用基于RSA的盲签名算法开发了eCash电子现金系统。$3电子现金与数字人民币电子支票

电子支票以传统的纸质支票处理系统为基础，通过利用数字签名代替传统的手写签名，借助互联网或其他专用网络将钱款从一个账户转移到另一个账户，是最具发展潜力的电子支付手段之一。与电子现金系统相比，电子支票的优点是每次购物只需支付一张支票。$3电子现金与数字人民币美国金融服务技术联盟FSTC提出了一个电子支票支付系统，它系统地对电子支票的支付模式、系统安全、系统架构等进行了研究和探讨，能在不同的支付环境下成功地完成大多数支付任务更重要的是这项研究获得了各大银行和金融机构的支持被认为是最具有发展潜力的电子支票系统之一。$3电子现金与数字人民币数字人民币经国务院批准，人民银行自2017年底开始数字人民币研发工作。截至2021年6月30日，数字人民币试点场景已超132万个。$3电子现金与数字人民币数字人民币的特点：（1）数字人民币采取中心化管理、双层运营。（2）匿名性（可控匿名）。（3）安全性。（4）可编