网上支付与结算教案-网络支付的安全及相关安全技术(四）

第四章网络支付的平安及相第四章网络支付的平安及相 关平安技术关平安技术l通过第三章的学习，我们已经知道了网络支付的一些根底知识内容，知道了网络支付的根本运作过程和模型、网络支付的支撑网络平台和目前网络支付方式的分类，最后结合国内外的资料，介绍了目前网络支付手段的开展状况。这是我们进一步深层次学习下面有关网络支付内容的根底。l从前面知道，网络支付结算是电子商务的一个重要环节，快捷、方便、可靠的网络支付方式的普及应用正是表达电子商务魅力的地方。因此，保证网络支付过程中的快捷、方便和可靠平安，是保证网络交易顺利完成的根本保证。保证电子商务的平安其实很大局部就是保证电子商务过程中网络支付结算的平安，这正是银行、商家，特别是客户关心的焦点。l本章主要对网络支付的问题及平安需求、网络支付的平安策略以及较主要的解决方法手段作一介绍，最后表达了目前流行的保证平安交易和网络支付的SET机制和SSL机制。4.14.1网络支付的平安问题与需求网络支付的平安问题与需求4.24.2网络支付的平安策略及解决方法网络支付的平安策略及解决方法4.34.3InternetInternet网络平安及防火墙技术网络平安及防火墙技术4.44.4对称密钥加密及应用对称密钥加密及应用4.54.5公开密钥加密及应用公开密钥加密及应用4.64.6数字信封数字信封4.74.7数字摘要数字摘要4.84.8数字签名数字签名4.94.9认证中心认证中心CACA与数字证书与数字证书4.104.10平安网上交易协议平安网上交易协议SETSET机制与机制与SSLSSL机制机制本章主要内容共有五节，如下：本章主要内容共有五节，如下：4.14.1网络支付的平安问题与需求网络支付的平安问题与需求一、网络支付面临的平安问题一、网络支付面临的平安问题 众所周知，Internet是一个完全开放的网络，任何一台计算机、任何一个网络都可以与因特网联接，通过因特网发布信息，通过因特网获取各网站的信息，通过因特网发送Email，通过因特网进行各种通讯，通过因特网进行各种商务活动，即电子商务活动。但同时，有很多别有用心的单位或人或黑客Hacker经常在因特网上四处活动，寻求时机，窃取别人的各种机密，甚至防碍或毁坏别人的网络系统运行等。在这种情况下，如果没有严格的平安保证，商户和客户、消费者就极有可能因为担忧网上的平安问题而放弃电子商务，阻碍了电子商务的开展。因此保证电子商务的平安是电子商务的核心问题，也是难点，相关全面具体的知识在?电子商务的平安?课程中己经讲过。具体到电子商务中的网络支付结算，因为网上交易必然涉及到客户、商家、银行及相关管理认证部门等多方机构及他们之间的系统配合，涉及资金的划拨，更使客户和商户必须考虑是否平安。因此，保证平安是推广应用网络支付结算的根本根底。网络支付与结算由于涉及到资金的问题，更是电子商务中主要平安发生点。网络支付结算目前面临的主要平安问题可能主要有如下5个方面的现象：1.支付帐号和密码等隐私信息在网络上传送过程中被窃取或盗用。如信用卡号码和密码被窃取盗用给购物者造成损失。2.支付金额被更改。如本来总支付额为250美元，结果支付命令在网上发出后，由于不知哪一方的原因从帐号中划去了1250美元，给网上交易一方造成了困惑。3.支付方不知商家到底是谁，商家不能清晰确定如信用卡等网络支付工具是否真实、资金何时入帐等。一些不法商家或个人利用网络贸易的非面对面性，利用Internet上站点的开放性和不确定性，进行欺骗。4.随意否认支付行为的发生及发生金额，或更改发生金额等，某方对支付行为及内容的随意抵赖、修改和否认。5.网络支付系统成心被攻击、网络支付被成心延迟等如病毒等造成网络支付系统的错误或瘫痪、网络病毒造成网络支付结算过程被成心拖延等，造成客户或商家的损失或流失等。针对以上在网络支付过程中有可能发生的平安问题，为保证网络支付的可靠快捷，结合电子商务系统的平安，具体到网络支付结算，总结一下，我们认为网络支付的平安需求为：也可对应为5个方面1.保证网络上资金流数据的保密性由于交易是在Internet上进行的，在因特网上传送的信息是很容易被别人获取的，所以必须对传送的资金数据进行加密。所谓加密是使在网上传送的数据如信用卡号及密码运算成为一堆乱七八糟的谁也看不懂的数据，只有通过特定的解密方法对这堆乱七八糟的数据进行解密才能看到数据的原文，即由消息发送者加密的消息只有消息接收者才能够解密得到，别人无法得到，而且，这些加密的方法必须是很难破解的。二、网络支付的平安需求二、网络支付的平安需求2.2.保证网络上资金结算数据不被随意篡改，即保证相关网络保证网络上资金结算数据不被随意篡改，即保证相关网络支付结算数据的完整性。支付结算数据的完整性。数据在传送过程中不仅要求不被别人窃取，还要求数据数据在传送过程中不仅要求不被别人窃取，还要求数据在传送过程中不被篡改，能保持数据的完整。如果王先生在在传送过程中不被篡改，能保持数据的完整。如果王先生在商店里订购了一套家具，本开填写支付金额为商店里订购了一套家具，本开填写支付金额为250250美元，最后美元，最后发现被划去发现被划去12501250美元，当然会引起纠纷，并失去客户。因此，美元，当然会引起纠纷，并失去客户。因此，在通过在通过InternetInternet进行网络支付结算时，消息接收方收到消息进行网络支付结算时，消息接收方收到消息后，必定会考虑收到的消息是否就是消息发送者发送的，在后，必定会考虑收到的消息是否就是消息发送者发送的，在传送过程中这数据是否发生了改变。在支付数据传送过程中，传送过程中这数据是否发生了改变。在支付数据传送过程中，可能会因为各种通讯网络的故障，造成局部数据遗失，也可可能会因为各种通讯网络的故障，造成局部数据遗失，也可能因为人为因素，如有人成心破坏，造成传送数据的改变。能因为人为因素，如有人成心破坏，造成传送数据的改变。如果无法证实网上支付信息数据是否被篡改，是无法长久在如果无法证实网上支付信息数据是否被篡改，是无法长久在网上进行交易活动的。网上进行交易活动的。一些加密方法或手段就用来解决数据的完整性的。一些加密方法或手段就用来解决数据的完整性的。3.3.保证网络上资金结算双方身份的认定。保证网络上资金结算双方身份的认定。在实际商店里买东西，商店营业员与顾客是面对面进行在实际商店里买东西，商店营业员与顾客是面对面进行交易的，营业员要检查持卡人的信用卡是否真实，是否上了交易的，营业员要检查持卡人的信用卡是否真实，是否上了黑名单，信用卡是不是持卡人本人的，还要核对持卡人的签黑名单，信用卡是不是持卡人本人的，还要核对持卡人的签名、持卡人的身份证等，证实持卡人的身份。持卡人亲自来名、持卡人的身份证等，证实持卡人的身份。持卡人亲自来到商店，看到商店真实存在。到商店，看到商店真实存在。而在网上进行交易，交易双方互不见面，持卡人只知道而在网上进行交易，交易双方互不见面，持卡人只知道商店的网址，不知道这个商店开在哪里。在网上没有方向，商店的网址，不知道这个商店开在哪里。在网上没有方向，没有距离，也没有国界。有可能你在网上看到的一家大规模没有距离，也没有国界。有可能你在网上看到的一家大规模的商场，实际上只是的商场，实际上只是2 2个年轻人用一台计算机制造的一场骗局。个年轻人用一台计算机制造的一场骗局。所以持卡人要与网上商店进行交易，必须先确定商店是所以持卡人要与网上商店进行交易，必须先确定商店是否真实存在，付了钱是否能拿到东西。商店和银行都要担忧否真实存在，付了钱是否能拿到东西。商店和银行都要担忧上网购物的持卡人是否持卡人本人，否那么，扣了张三的款，上网购物的持卡人是否持卡人本人，否那么，扣了张三的款，却将货送给李四，结果持卡人上门来说没买过东西为什么扣却将货送给李四，结果持卡人上门来说没买过东西为什么扣我的钱，而商户却已经将货物送走了。这样的网上交易是不我的钱，而商户却已经将货物送走了。这样的网上交易是不能进行下去的。所以网上交易中，参加交易的各方，包括商能进行下去的。所以网上交易中，参加交易的各方，包括商户、持卡人和银行必须要采取如户、持卡人和银行必须要采取如CACA认证等措施能够认定对方认证等措施能够认定对方的身份。的身份。4.4.保证网络上资金支付结算行为发生及发生内容的不可抵赖。保证网络上资金支付结算行为发生及发生内容的不可抵赖。在传统现金交易中，交易双方一手交钱，一手交货，没有在传统现金交易中，交易双方一手交钱，一手交货，没有多大问题。如果在商店里用信用卡付款，也必须要持卡人签名，多大问题。如果在商店里用信用卡付款，也必须要持卡人签名，方能取走货物。方能取走货物。在网上交易中，持卡人与商店通过网上传送电子信息来完在网上交易中，持卡人与商店通过网上传送电子信息来完成交易，也需要有使交易双方对每笔交易都认可的方法。否那成交易，也需要有使交易双方对每笔交易都认可的方法。否那么，持卡人购物后，商户将货送到他家里，他却说自己没有在么，持卡人购物后，商户将货送到他家里，他却说自己没有在网上下过订单，银行扣了持卡人的购物款，持卡人却不认账。网上下过订单，银行扣了持卡人的购物款，持卡人却不认账。反过来，持卡人已付款，可商家却坚持说没有接收到货款，或反过来，持卡人已付款，可商家却坚持说没有接收到货款，或者说，没有在大家认可的日子接收到资金，而有你有成心延迟者说，没有在大家认可的日子接收到资金，而有你有成心延迟或否认物品的配送，造成客户的损失。还有明明收到了或否认物品的配送，造成客户的损失。还有明明收到了10001000美美元，却说只收到元，却说只收到500500美元，等等。美元，等等。如果客户或商店或银行经常碰到对方造成这样的事，就要如果客户或商店或银行经常碰到对方造成这样的事，就要忙不过来了。所以，必须为网络支付结算提供一种使交易双方忙不过来了。所以，必须为网络支付结算提供一种使交易双方在支付过程中都无法抵赖的手段，使网上交易能正常开展下去。在支付过程中都无法抵赖的手段，使网上交易能正常开展下去。比方数字认证、数字时间戳等手段比方数字认证、数字时间戳等手段,与保证网络交易不可否认与保证网络交易不可否认的需求差不多。的需求差不多。l5.保证网络支付系统的运行可靠、快捷，保证网络支付系统的运行可靠、快捷，保证支付结算速度。保证支付结算速度。l实事的网络支付行为对网络支付系统实事的网络支付行为对网络支付系统的性能要求很高，如电子钱包软件；网络的性能要求很高，如电子钱包软件；网络支付支撑网络本身的平安防护能力，如防支付支撑网络本身的平安防护能力，如防火墙系统的配置；网络通道速度的检测；火墙系统的配置；网络通道速度的检测；管理机制的制定确立等。管理机制的制定确立等。4.24.2网络支付的平安策略及解决方法网络支付的平安策略及解决方法本节主要介绍为应对前面网络支付结算的平安需求而采取的平安策略，已经为实施平安策略采取的常用方法与手段。一、网络支付平安策略制定的目的、涵义和原那么一、网络支付平安策略制定的目的、涵义和原那么 电子商务中的网络支付结算体系应该是融购物流程、支付工具、平安技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。也由此可以看出，网络支付平安体系的建立不是一蹴而就的事，它受多种因素的影响，并与这些因素相互促进，动态地开展，共同走向成熟。在目前各方面的条件还不完全成熟的情况下，坐等时机的到来不现实，也不符合事物开展的规律。承担一定风险推动网络支付系统的开展，以期与其他因素相互作用、相互促进，这也许是信息社会中的一种新方法或新思维。针对上一章节讲述的有关网络支付结算相关平安需求，开展电子商务的商家和后台的支撑银行必须相互配合，首先建立一套相关的平安策略，在实践中慢慢完善，以保证电子商务下网络支付结算的顺利进行。电子商务中网络支付平安策略是整个电子商务平安策略的子集，即一个机构在从事电子商务中关于平安的纲要性条例，它是用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等。要保护以网络支付系统等为代表的电子商务资产，所有组织都要有一个明确的平安策略。网络支付结算的平安策略其实与电子商务的平安策略根本类似，有些应该在电子商务的平安中已经涉及。这里再具体讲一下。1.制定平安策略的目的制定电子商务平安策略的目的是为了保障机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏；能够有序地、经常地鉴别和测试平安状态；能够对可能的风险有一个根本评估；系统的平安被破坏后的恢复措施和手段以及所需的代价。具体结合网络支付 2.2.平安策略的涵义平安策略的涵义平安策略一般要陈述物理平安、网络平安、访问授权、病毒平安策略一般要陈述物理平安、网络平安、访问授权、病毒保护、灾难恢复等内容，这个策略会随时间而变化，公司负责平保护、灾难恢复等内容，这个策略会随时间而变化，公司负责平安的人员必须定期修改平安策略。安的人员必须定期修改平安策略。平安策略必须包含对平安问题的多方面考虑因素。平安策略平安策略必须包含对平安问题的多方面考虑因素。平安策略一般要包含以下内容：一般要包含以下内容：认证；认证；访问控制：访问控制：保密；保密；数据完数据完整性；整性；审计。审计。3.平安策略的根本原那么平安策略的根本原那么(1)预防为主。为了掌握主动权，就必须有齐全的预防措预防为主。为了掌握主动权，就必须有齐全的预防措施，使系统得到有效的保护。施，使系统得到有效的保护。(2)必须根据网络支付结算的平安需要和目标来制定平安必须根据网络支付结算的平安需要和目标来制定平安策略。在制定平安策略之前，首先要确定保护的内容：再策略。在制定平安策略之前，首先要确定保护的内容：再确定谁有权访问系统的哪些局部，不能访问哪些局部：然确定谁有权访问系统的哪些局部，不能访问哪些局部：然后确定有哪些手段可用来保护这些资产。应当估计和分析后确定有哪些手段可用来保护这些资产。应当估计和分析风险。风险。(3)根据掌握的实际信息分析。例如可以根据效劳器已经根据掌握的实际信息分析。例如可以根据效劳器已经运行的记录中收到的每一次链接和访问进行分析，这些记运行的记录中收到的每一次链接和访问进行分析，这些记录通常包括录通常包括IP地址和主机名以及用户名，可能还有用户在地址和主机名以及用户名，可能还有用户在逗留期间填写的表格，该表格中所有变量的值都会被记录逗留期间填写的表格，该表格中所有变量的值都会被记录在案：请求的状态、传递数据的大小、用户在案：请求的状态、传递数据的大小、用户Email地址地址等等都会被记录下来。这些记录对于分析效劳器的性能，等等都会被记录下来。这些记录对于分析效劳器的性能，发现和跟踪黑客袭击是很有用的。总之，需要了解实际的发现和跟踪黑客袭击是很有用的。总之，需要了解实际的与平安有关的各种信息，特别对资金流敏感的进行分析。与平安有关的各种信息，特别对资金流敏感的进行分析。二、网络支付平安的平安策略内容二、网络支付平安的平安策略内容平安策略具体内容中要定义保护的资源，要定义保护的风险，要吃透电子商务平安的法律法规，最后要建立平安策略和确定一套平安机制。每个机构都必须制定一个平安策略以满足平安需要。1.要定义实现平安的网络支付结算的保护资源定义资源是与本机构的具体身份、任务、性质有关。同一机构在不同的经营期对资源的定义也是不同的。平安电子商务以Internet为信息交换通道，由CA中心、银行、发卡机构、商家和用户组成，是实现平安网络支付结算的根底。系统组成见图41所示。图4-1 平安的电子商务网络支付系统架构可以看出，涉及到多方的配合，包括：交易方A、商务网站本身、交易方B、金融机构(如银行、发卡机构)、公正的第三方群(认证机构、时戳效劳机构、仲裁者)、政府机构(税务机构、海关)等。2.2.要定义要定义保护的风险要定义要定义保护的风险每一新的网络支付方式推出与应用，均有一定的风险，因为每一新的网络支付方式推出与应用，均有一定的风险，因为绝对平安的支付手段是没有的，要进行相关风险分析。还要注意绝对平安的支付手段是没有的，要进行相关风险分析。还要注意网络支付工具使用平安与使用便利、快捷之间的辩证关系。网络支付工具使用平安与使用便利、快捷之间的辩证关系。3.3.要吃透电子商务平安与网络支付平安的法律法规要吃透电子商务平安与网络支付平安的法律法规虽然，电子商务和电子商务平安的法律法规远远没有齐全，虽然，电子商务和电子商务平安的法律法规远远没有齐全，要吃透已有的电子商务平安的法律法规是必须的。要吃透已有的电子商务平安的法律法规是必须的。例如中国人民银行制订的例如中国人民银行制订的?金融金融ICIC卡应用的平安机制标准卡应用的平安机制标准?。?标准标准?规定规定“在一张卡中的不同应用之间要相互独立，应用之间在一张卡中的不同应用之间要相互独立，应用之间要提供防火墙平安控制措施，杜绝跨应用的非法访问。因此，要提供防火墙平安控制措施，杜绝跨应用的非法访问。因此，平安策略中必须建立防火墙。平安策略中必须建立防火墙。?标准标准?规定规定“要确保卡内存储的特要确保卡内存储的特定功能的加密解密密钥不能被其他功能所使用，以及用来产生、定功能的加密解密密钥不能被其他功能所使用，以及用来产生、派生和传输这些密钥的密钥都要具备专用性。因此，平安策略派生和传输这些密钥的密钥都要具备专用性。因此，平安策略中必须对这些密钥的流通和使用做出严密的管理。中必须对这些密钥的流通和使用做出严密的管理。密切注意电子商务的立法。约束电子商务中有关网络支付犯密切注意电子商务的立法。约束电子商务中有关网络支付犯罪和解决纠纷需要立法。对罪和解决纠纷需要立法。对InternetInternet的管理和立法是很难的，对的管理和立法是很难的，对电子商务的管理和立法就更难了，不但需要立法者有过人的智慧，电子商务的管理和立法就更难了，不但需要立法者有过人的智慧，还必须有先进的判断手段和验证机构。这些条件的齐备都需要时还必须有先进的判断手段和验证机构。这些条件的齐备都需要时日。日。4.4.建立相关平安策略和确定一套平安机制建立相关平安策略和确定一套平安机制平安策略中最后要根据定义的保护资源、定义的保护风险、电平安策略中最后要根据定义的保护资源、定义的保护风险、电子商务平安的法律法规，建立平安策略和确定一套平安机制。子商务平安的法律法规，建立平安策略和确定一套平安机制。平安策略是由个人或组织针对网络支付结算平安全面制定的，平安策略是由个人或组织针对网络支付结算平安全面制定的，平安机制是实现平安策略的手段或技术、整套规那么和决策。平安机制是实现平安策略的手段或技术、整套规那么和决策。例如有一个例如有一个AAAAAA大公司的网站，通过大公司的网站，通过ExtranetExtranet与与100100多家公司有多家公司有供给链上的交易活动：合同、订货、供货、发货、网络支付等。供给链上的交易活动：合同、订货、供货、发货、网络支付等。其中，保证网络支付的平安非常重要，因此相应的平安策略的其中，保证网络支付的平安非常重要，因此相应的平安策略的根本规那么和决策可以是：根本规那么和决策可以是：(1)(1)对每一次网上交易支付结算需要机密性、完整性和认证性。对每一次网上交易支付结算需要机密性、完整性和认证性。(2)(2)对不可否认性的要求严格。对不可否认性的要求严格。(3)(3)对不可拒绝性的要求一般。对不可拒绝性的要求一般。(4)(4)对访问控制性的要求极严格：隔绝外部对有关支付结算信对访问控制性的要求极严格：隔绝外部对有关支付结算信息文档的访问。息文档的访问。对应的平安机制为：对应的平安机制为：根据平安策略制定对应的平安机制简述为：根据平安策略制定对应的平安机制简述为：(1)从技术要求实现每一次网上交易需要机密性、完整性和认证从技术要求实现每一次网上交易需要机密性、完整性和认证性；严格控制内部人员非法访问。性；严格控制内部人员非法访问。(2)为了实现对不可否认性的严格要求，对有关不可否认性的认为了实现对不可否认性的严格要求，对有关不可否认性的认证文件，必须建立严格的备份、归档制度：证文件，必须建立严格的备份、归档制度：(3)因为对不可拒绝性的要求是一般性要求，所以对硬件设施等因为对不可拒绝性的要求是一般性要求，所以对硬件设施等不提出特殊要求；不提出特殊要求；(4)因为要求隔绝外部对网络支付结算整体信息文档的访问，必因为要求隔绝外部对网络支付结算整体信息文档的访问，必须设置防火墙等措施；须设置防火墙等措施；(5)因为要求严格控制内部人员对与网络支付有关的重要文档的因为要求严格控制内部人员对与网络支付有关的重要文档的访问，因此一方面从技术上使用一切预防和监查手段；另一方面，访问，因此一方面从技术上使用一切预防和监查手段；另一方面，要制定内部人员对整体信息文档的访问机密守那么和监督制度。要制定内部人员对整体信息文档的访问机密守那么和监督制度。通常，一些机构需要建立保证网络支付结算平安的应急小组。通常，一些机构需要建立保证网络支付结算平安的应急小组。确定的平安机制中必须包括密钥管理。确定的平安机制中必须包括密钥管理。三、保证网络支付平安的解决方法简述三、保证网络支付平安的解决方法简述根据网络支付的平安需求以及平安策略的内容描述，具体到网络支付结算，可以有针对性采用如下主要7个方面的解决方法技术管理：(1)交易方身份认证如建立CA认证机构、使用X509数字签名和数字证书实现对各方的认证，以证实身份的合法性、真实性。(2)网络支付数据流内容保密使用相关加密算法对数据进行加密，以防止未被授权的非法第三者获取消息的真正含义。如采用DES私有秘钥加密和RSA公开秘钥加密，SSL保密通讯机制，数字信封等。(3)网络支付数据流内容完整性如使用消息摘要数字指纹，SHA算法以确认业务流的完整性。(4)保证对网络支付行为内容的不可否认性。当交易双方因网络支付出现异议、纠纷时，采用某种技术手段提供足够充分的证据来迅速区分纠纷中的是非。例如采用数字签名、数字指纹、数字时间戳等技术并配合CA机构来实现其不可否认。(5)(5)处理多方贸易业务的多边支付问题。处理多方贸易业务的多边支付问题。这种多边支付的关系可以通过双联签字等技术来实现。如这种多边支付的关系可以通过双联签字等技术来实现。如SETSET平安支付机制。平安支付机制。(6)(6)网络支付系统软件、支撑网络平台的正常运行网络支付系统软件、支撑网络平台的正常运行保证网络支付用专有软件的可靠运行、支撑网络平台和支付保证网络支付用专有软件的可靠运行、支撑网络平台和支付网关的畅通无阻和正常运行，防止网络病毒和网关的畅通无阻和正常运行，防止网络病毒和HACKERHACKER的攻击，的攻击，防止支付的成心延缓，防止网络通道的成心堵塞等是实现平安防止支付的成心延缓，防止网络通道的成心堵塞等是实现平安网络支付的根底，也是平安电子商务的根底。网络支付的根底，也是平安电子商务的根底。例如，采用网络防火墙技术、用户与资源分级控制管理机制、例如，采用网络防火墙技术、用户与资源分级控制管理机制、网络通道流量监控软件、网络防病毒软件等方法。网络通道流量监控软件、网络防病毒软件等方法。(7)(7)政府支持相关管理机构的建立和电子商务法律的制定。政府支持相关管理机构的建立和电子商务法律的制定。建立第三方的公正管理和认证机构，并尽快完成相关电子商建立第三方的公正管理和认证机构，并尽快完成相关电子商务的法律制定，让法律来保证平安电子商务及网络支付结算的务的法律制定，让法律来保证平安电子商务及网络支付结算的进行。进行。本章后面的内容就分别表达相关的方法与解决手段的原理与本章后面的内容就分别表达相关的方法与解决手段的原理与应用。应用。4.3网络支付支撑网络平台的平安及防火墙网络支付支撑网络平台的平安及防火墙应用应用保证网络支付结算的平安首先就要保证支撑网络支付结算进行的网路平台的平安，从前面的学习中我们知道，这个平台涉及到从客户端到商家以及银行专网的整个商务过程，可以总称为一个Internet网络平台系统。本节主要表达这个支持网络支付平安可靠进行的Internet网络平台系统的平安以及相应主要平安措施防火墙技术的应用。Internet网络平台系统的构成及其主要平安威胁Internet网络平台系统的平安措施防火墙平安防护一、一、Internet Internet网络平台系统的构成及其主要平安网络平台系统的构成及其主要平安威胁威胁由前面的支付体系知道，支持网络支付平安可靠进行的Internet网络平台系统主要由下面局部组成：客户端硬件、操作系统、Web浏览器IE浏览器以及可能的客户端网络公共通讯通道Internet网络电子商务效劳器端的网络及Web效劳器软件效劳器端的数据库效劳器与银行专网的连接网关上述各个环节均可能给网络支付带来平安问题。网关与银行专网的平安已经由银行系统提供平安保证，这里不用考虑。客户机（用户）企业电子商务服务器Internet对这个支持网络支付平安可靠进行的Internet网络平台系统的攻击或平安威胁主要有以下4种类型：破坏客户的即需网络效劳，截断信息流动：如切断通讯线路、毁坏硬件、病毒瘫痪软件系统、冗余信息堵塞网络通道等 伪造：伪造客户或商家信息，假冒身份以骗取财物。篡改：为某目的对相关网络支付信息进行篡改 介入：利用特殊软件工具提取Internet上通信的数据，以期破解信息；或进行信息流量分析，对信息的流动情况进行分析，如信息传送的方向、发送地点等，得到间接情报，为其他目的效劳；或非法进入系统或数据库，进行破坏、COPY等。当然还有一些其他的攻击或威胁手段，不一一表达。Internet本身由于目前使用的TCP/IP协议上的缺陷，因此其天生就没有很强的平安性，因为设计时就为了开放自由，并具有传输路径的冗余。因此这种设计上的缺陷是造成Internet平安问题的根本原因，最根本的解决方法只有重新涉及TCP/IP协议。现在正研发的新一代Internet网络通讯协议IP V6就是解决此网络平台平安问题的根本方法，但现在仍然在实验中、完善中。Internet网络平台上平安措施主要从保护网络平安、保护应用效劳平安和保护系统平安三个方面来表达。每一方面都要结合考虑平安防护的各方面，即物理平安、防火墙、消息平安、Web平安、媒体平安等，以满足策略所包含的各种要求。二、二、Internet Internet网络平台系统的平安措施网络平台系统的平安措施1.1.保护网络平安保护网络平安网络平安是保护网络端系统(包括代理效劳器和效劳器系统)之间通信过程的平安性。网络平安业务是保护网络的平安要素：机密性、完整性、认证性和访问控制性。网络平安采用的主要措施如下：(7个方面 (1)全面规划网络平台的平安策略网络平安策略内容主要包括：如何使用口令和访问控制；针对网络操作系统和应用程序实施相应的平安控制；制定数据文件、系统的备份方案，按方案实施和检查：制定各种灾难和故障恢复方案；明确安装、维护、操作和管理人员的职责和网络访问级别制定系统各组成局部的物理平安策略；制定在允许外部访问时，维护网络平安性的策略：建立平安破坏检查、系统失灵、系统异常检查的标准和报告制度。(2)(2)制定网络平安管理措施制定网络平安管理措施 要建立网络平安管理体制和制度；提高网络系统的自我防范要建立网络平安管理体制和制度；提高网络系统的自我防范能力。应该对网络中的各用户及有关人员进行职业道德教育以及能力。应该对网络中的各用户及有关人员进行职业道德教育以及技术培训。技术培训。(3)(3)使用防火墙。这是最主要的措施之一，我们要讲的局部。使用防火墙。这是最主要的措施之一，我们要讲的局部。(4)(4)尽量记录网络上的一切活动尽量记录网络上的一切活动为了了解、防护和恢复未经授权的访问，在网络上的一切活为了了解、防护和恢复未经授权的访问，在网络上的一切活动都应记录下来，并处理这些已记录的信息，根据这些信息来定动都应记录下来，并处理这些已记录的信息，根据这些信息来定位和分析入侵行为。有关软件工具可从位和分析入侵行为。有关软件工具可从InternetInternet和销售商处得到。和销售商处得到。(5)(5)注意对设备的物理保护注意对设备的物理保护电缆、路由器、终端、网络效劳器等硬件可能会受到物理攻电缆、路由器、终端、网络效劳器等硬件可能会受到物理攻击，如通过击，如通过“搭线到网络电缆上。为此在规划网络的安装时，搭线到网络电缆上。为此在规划网络的安装时，要考虑使潜在的平安危害尽可能地减小，如锁上存放网络效劳器要考虑使潜在的平安危害尽可能地减小，如锁上存放网络效劳器和路由器的柜子。网络连线规划时，也应考虑减少搭线的可能。和路由器的柜子。网络连线规划时，也应考虑减少搭线的可能。(6)(6)检查网络平台系统脆弱性检查网络平台系统脆弱性可从系统外部和系统内部两方面来检查其脆弱性。例如外部可从系统外部和系统内部两方面来检查其脆弱性。例如外部的侵入通常是试图登录：如用侵入口令字，利用系统软件的缺陷的侵入通常是试图登录：如用侵入口令字，利用系统软件的缺陷和使用给客户的扩充特权。内部平安检查：文件和系统访问的权和使用给客户的扩充特权。内部平安检查：文件和系统访问的权限符合平安规定，检查可疑的文件；检查病毒和特洛伊木马。一限符合平安规定，检查可疑的文件；检查病毒和特洛伊木马。一旦发现了脆弱漏洞，即可采取行动，防止对系统的平安造成实际旦发现了脆弱漏洞，即可采取行动，防止对系统的平安造成实际危害。危害。(7)(7)识别和鉴别识别和鉴别网络中的用户和系统必须能够可靠地识别自身以确保关键数据和资源的完整性。而且必须有控制手段使用户或系统只能访问他们需要或有权使用的资源。系统中所具有的这种能力还必须是不容易被破坏的。识别和鉴别的方法有：最简单、最容易、最常用的就是使用口令字：限制网络中最大用户数和会话数；限制每个用户的访问日期和时间；限定用户的访问按预先排定的时间表进行；限制用户登录失败的次数；在定义的非活动时间后会话应当暂停，必要时停用账户。2.2.保护应用的平安保护应用的平安应用平安是针对特定应用(如Web效劳器、网络支付专用软件系统)中所建立的平安防护措施，独立于任何网络的平安措施。网络支付协议就很复杂，它涉及购货人、零售商和银行之间的转账，不同参与者之间的通信需要不同水平的保护，需要在应用层上处理。由于现在电子商务中的应用层对平安的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种平安措施。应用层上的平安业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web平安性、EDI和网络支付等应用的平安性。3.3.保护系统平安保护系统平安平台系统平安性是指从整体系统的角度来进行保护，它与网络系统硬件平台、操作系统用各种应用软件等互相关联。电子商务下涉及到网络支付结算的的系统平安可能包含下述一些措施。(1)检查和确认安装软件中没有的平安漏洞(如病毒、特洛伊木马等)。如IE浏览器、电子钱包软件、支付网关。(2)使系统具有最小穿透风险性：通过认证才允许连通，从管理上，对所有接入数据必须进行审计，对系统用户进行严格平安管理。(3)对入侵进行检测、审计、追踪。防火墙系统提供这个功能。三、防火墙平安防护三、防火墙平安防护从上述对支撑网络支付结算的Internet网络平台系统的平安及相应平安措施的表达，防火墙系统的应用是一个主要手段，是保证整个网络平台系统平安的第一道保护，也是关键的平安防护环节。下面介绍一下防火墙的平安防护原理及过程。1 1.防火墙的定义防火墙的定义防火墙，Firewall，是在需要保护的网络同可能带来平安威胁的Internet之间建立的第一道保护，主要是一种用计算机软件和硬件组成的隔离设备，用于在Intranet和Internet之间构筑一道屏障，能够按设置的条件进行区分，实现内外有别，用以保护Intranet中的信息、资源等不受来自Internet中非法用户的侵犯，它控制Intranet与Internet之间的所有数据流量，控制和防止Intranet中的有价值数据流入Internet，也控制和防止来自Internet的无用垃圾和有害数据流入Intranet。防火墙的应用示意图防火墙的应用示意图为：为：Internet企业内部网络（如企业内部网络（如Intranet)防火墙系统（堡垒主机防火墙系统（堡垒主机+路由器路由器等等）非非安安全全网网络络安安全全网网络络防火墙(Firewall)是借用词，其本意是“网络门。好似两个网络之间的一道平安门，好似房屋的门、建筑物的大门、国境线上检查站，只让规定的事物通过，而阻止“非法东西的流通。图4-2 防火墙作用示意图防火墙(Firewall)是借用词，其本意是“网络门。好似两个网络之间的一道平安门，好似房屋的门、建筑物的大门、国境线上检查站，只让规定的事物通过，而阻止“非法东西的流通。确切地说，防火墙是一个或一组系统，包括硬件和软件，它在两个网络之间执行双向访问控制策略。2 2.防火墙的组成防火墙的组成防火墙由以下几个根本局部组成：外部过滤器、网关和内部过滤器。如图43所示。图4-3 防火墙的根本组成框图其中：过滤器filter：用于阻断某些类型信息的通过。通常，外部过滤器用于保护网关免受来自Internet的攻击。当网关遭到来自Internet的攻击而受到破坏时，内部过滤器用于对付网关受破坏后的后果。过滤器执行由防火墙管理机构制订的一组规那么，检验各数据组决定是否允许放行。这些规那么按IP地址、端口号码和各类应用等参数确定。网关网关GatewayGateway：提供中继效劳，以补偿过滤器的影响，辅助过滤：提供中继效劳，以补偿过滤器的影响，辅助过滤器控制业务流，网关往往是一台或一组机器。一个暴露的网关计器控制业务流，网关往往是一台或一组机器。一个暴露的网关计算机通常叫算机通常叫“堡垒机。堡垒机。当然上述组成不是固定的，实际上按需要改变配置。有的防当然上述组成不是固定的，实际上按需要改变配置。有的防火墙还包括域名效劳和火墙还包括域名效劳和EmailEmail过滤处理等，辅助过滤器控制业务过滤处理等，辅助过滤器控制业务流，如图流，如图4 44 4所示。所示。图4-4 实际防火墙组成例如3 3.防火墙的功能防火墙的功能作为防火墙的计算机设备具有以下功能：(1)由内Intranet到外Internet和由外到内的所有访问都必须通过它；(2)只有本地平安策略所定义的合法访问才被允许通过它；(3)防火墙本身无法被穿透。防火墙能保护站点不被任意链接，甚至能建立跟踪工具，帮助总结并记录有关正在进行的连接资源、效劳器提供的通信量以及试图闯入者的任何企图。4.4.防火墙的平安业务防火墙的平安业务(1)用户认证。对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对防火墙的认证。(2)域名效劳。防火墙不能将内部网内主机的IP地址泄露出去。(3)EMAIL处理。电子邮件是一个主要业务，这些邮件都要通过防火墙检验与过滤。(4)防火墙的IP平安性。防火墙可以提供机密性和完整性。一个Externet网可能由多个内部网通过Internet相互连接而成。这些网之间要求数据机密性和完整性。5 5.防火墙的类型防火墙的类型防火墙的设计按网络层次可分为两类：网络级防火墙和应用级防火墙。它们采用不同的方式提供类似的功能，现在有些防火墙产品具有双重性能，应选择适合当前配置的防火墙类型。(1)网络级防火墙网络级类型的防火墙使用简单的路由器，采用包过滤技术，检查IP包，决定允许或禁止基于资源的效劳、目的地址及使用端口。新式的防火墙还能监控通过防火墙的连接状态等，这是一种易于实现的、快速的、透明的防火墙，具有很好的性价比。有一种流行的网络级防火墙隔离式主机防火墙，如以下图所示。在该设计里，路由器在网络级上运行，控制所有出入内部的访问，并将所有的请求传给堡垒主机。(2)(2)应用级防火墙。应用级防火墙。应用级防火墙通常是运行在防火墙上的运行代理效劳器软件局应用级防火墙通常是运行在防火墙上的运行代理效劳器软件局部又名称为应用网关。由于代理效劳器是在同一级上运行，所部又名称为应用网关。由于代理效劳器是在同一级上运行，所以它易于采集。控制访问信息，例如记录用户的连接站点和时间，以它易于采集。控制访问信息，例如记录用户的连接站点和时间，有助于识别网络上的攻击。因此，与网络级防火墙比较，其平安性有助于识别网络上的攻击。因此，与网络级防火墙比较，其平安性更强，但透明性差一些，网络性能有所降低。更强，但透明性差一些，网络性能有所降低。上图是双宿主机网关防火墙示意图，这是应用级防火墙的例如。双宿主机是一台代理效劳器，带有两块网络接口卡NIC。每一块NIC有一个IP地址，如果网络上的两台计算机想相互通信，必须与双宿主机上能“看到的IP地址联系，代理效劳器软件查看其规那么是否允许连接，如果允许，代理效劳器通过另一块NIC网卡启动与其他网络的联系。6 6.常见防火墙软件常见防火墙软件CheckPointCheckPoint防火墙软件防火墙软件Firewall-1Firewall-1Firewall-1Firewall-1是目前世界上最好的网络防火墙产品之一，除拥是目前世界上最好的网络防火墙产品之一，除拥有防火墙的一般功能和有防火墙的一般功能和GUIGUI操作界面外，还提供独有的客户认操作界面外，还提供独有的客户认证功能。证功能。中国上海创源公司的中国上海创源公司的SecuStarSecuStar平安之星：企业版平安之星：企业版SecuStar SecuStar FW2000 FW2000 免费的防火墙软件：如天网平安阵线提供的免费个人版防火免费的防火墙软件：如天网平安阵线提供的免费个人版防火墙墙“天网防火墙，用以抵御黑客的攻击。天网防火墙，用以抵御黑客的攻击。4.4 对称密钥加密及应用对称密钥加密及应用在计算机网络用户之间进行通讯时，为了保护信息不被第三方窃取，必须采用各种方法对数据进行加密。最常用的方法之一就是对称密钥加密法，或者称之为秘密密钥加密法秘密密钥加密法(Secretkey Cryptography)。原理：原理：信息发送方用一个密钥对要发送的数据进行加密，信息的接收方能用同样的密钥同样的密钥解密，而且只能用这一密钥解密。由于双由于双方所用加密和解密的密钥相同，所以叫作对称密钥加密法。由于这方所用加密和解密的密钥相同，所以叫作对称密钥加密法。由于这对密钥不能被第三方知道，所以又叫作秘密密钥加密法。对密钥不能被第三方知道，所以又叫作秘密密钥加密法。最常用的对称密钥加密法叫做DESDES(Data Encryption Standard)算法。如上页图所示，甲、乙两公司之间进行通讯，每个公司都持有共同的密钥，甲公司要向乙公司订购钢材，用此用共用的密钥加密，发给乙公司，乙公司收到后，同样用这一共用密钥解密，就可以得到这1份订购单。由于对称密钥加密法需要在通讯双方之间约定密钥，一方生成密钥后，要通过独立的平安的通道送给另一方，然后才能开始进行通讯。这种加密方法在专用网络中使用效果较好，并且速度快。因为通讯各方相对固定，可预先约定好密钥。具体在电子商务网络支付时的应用：银行内部专用网络传送数据一般都采用DES算法加密，比方传送某网络支付方式用的密码。军事指挥网络上一般也常用这种秘密密钥加密法。但是，也有缺点，与多人通讯时，需要太多的密钥，因此在电子商务是面向千千万万客户的，有时不可能给每一对用户配置一把密钥，所以电子商务只靠这种加密方式是不行的。4.5 公开密钥加密法及应用公开密钥加密法及应用在公开网络中，如在Internet上，用对称密钥加密法传送交易信息，就会发生困难。比方，一个商户想在Internet上同几百万个用户平安地进行交易，每一位用户都要由此商户分配一个特定的密钥并通过独立的平安通道传送，密钥数太巨大，这几乎是不可能的，这就必须采用公开密钥加密法(Publickey Cryptography)。公开密钥加密法的加密和解密所用的密钥不同，所以又叫非对称密钥加密法(Asymmetric Cryptography)。原理：共用2个密钥，在数学上相关，称作密钥对。用密钥对中任何一个密钥加密，可以用另一个密钥解密，而且只能用此密钥对中的另一个密钥解密。商家采用某种算法秘钥生成程序生成了这2个密钥后，将其中一个保存好，叫做私人密钥(Private Key)，将另一个密钥公开散发出去，叫做公开密钥(Public Key)。任何一个收到公开密钥的客户，都可以用此公开密钥加密信息，发送给这个商家，这些信息只能被这个商家的私人密钥解密。只要商家没有将私人密钥泄漏给别人，就能保证发送的信息只能被这位商家收到。定点加密通讯 公开密钥加密法的算法原理是完全公开的，加密的关键是密钥，用户只要保存好自己的私人密钥，就不怕泄密。著名的公开密钥加密法是RSA算法。RSA是这个算法三个创造人(Rivest，Shamir和Adleman)姓名首字母。RSA加密算法的平安性能与密钥的长度有关，长度越长越难解密。在用于网络支付平安的SET系统中使用的密钥长度为1024位和2048位。据专家测算，攻破512位密钥RSA算法大约需要8个月时间，而一个768位密钥的RSA算法在2004年之前是无法攻破的。现在，在技术上还无法预测攻破具有2048位密钥的RSA加密算法需要多少时间。美国LOTUS公司悬赏l亿美元，奖励能破译其DOMINO产品中1024位密钥的RSA算法的人。从这个意义上说，遵照SET协议开发的网上交易系统是绝对平安的。但生成长密钥的技术是尖端的，美国封锁。比对称密钥加密法如DES算法等速度慢很多。公开密钥加密法是后面钥讲的数字签名手段的技术根底之一，可以用来解决在电子商务中如网络支付结算中“防抵赖“认证支付行为等作用。这可以从下面对公开密钥加密的两种作用的表达中看出来。公开密钥加密的两种作用：基于公开密钥的公开密钥加密的两种作用：基于公开密钥的2 2个密钥之间的数学关个密钥之间的数学关系。系。1 12 2位用户之间要互相交换信息，需要各自生成一对密钥，将位用户之间要互相交换信息，需要各自生成一对密钥，将其中的私人密钥保存好，将公开密钥发给对方。交换信息时，发其中的私人密钥保存好，将公开密钥发给对方。交换信息时，发送方用接收方的公开密钥对信息加密，只能用接收方的私人密钥送方用接收方的公开密钥对信息加密，只能用接收方的私人密钥解密。他们之间可以在无保障的公开网络中传送消息，而不用担解密。他们之间可以在无保障的公开网络中传送消息，而不用担忧消息被别人窃取。忧消息被别人窃取。如以下图所示，甲公司要向乙公司订购钢材，甲公司用乙公如以下图所示，甲公司要向乙公司订购钢材，甲公司用乙公司的公开密钥将他要发给乙公司的消息加密，乙公司收到后，只司的公开密钥将他要发给乙公司的消息加密，乙公司收到后，只能用乙公司自己的私人密钥解密而得到甲公司发来的订购单。只能用乙公司自己的私人密钥解密而得到甲公司发来的订购单。只要乙公司保证没有他人知道乙公司的私人密钥，甲、乙两公司就要乙公司保证没有他人知道乙公司的私人密钥，甲、乙两公司就能确信，所发信息只有乙公司能看到。定点加密传送能确信，所发信息只有乙公司能看到。定点加密传送 2反之，消息发送者用自己的私人密钥对数据加密后，发给接收方，接收方只能用发送方的公开密钥解密。由于发送方私人密钥只有发送方知道，任何一个接收者都可以确认消息是由发送方发来的。如以下图所示，甲公司用自己的私人密钥加密要发给乙公司的订购单，乙公司收到后，只能用甲公司的公开密钥解密，才可以得到甲公司发来的订购单。只要甲公司保证没有人知道自己的私人密钥，乙公司可以断定，订购单必定是甲公司发来的。不可抵赖发送行为，类似签名认证某行为，数字签名技术之一4.6 数字信封数字信封非对称公开密钥的强大的加密功能使它具有比对称密钥更大的优越性。但是，由于非对称密钥加密比对称密钥加密速度慢得多，在加密数据量大的信息时，要花费很长时间。而对称密钥在加密速度方面具有很大优势。所以在SET协议中对信息的加密同时采用两种加密方式，将两者结合起来使用。数字信封Digital Envelope的原理：对需传送的信息如电子合同、支付指令的加密采用对称密钥加密法；但密钥不先由双方约定，而是在加密前由发送方随机产生；用此随机产生的对称密钥对信息进行加密，然后将此对称密钥用接收方的公开密钥加密，准备定点加密发送给接受方。这就好比用“信封封装起来，所以称作数字信封封装的是里面的对称密钥。接收方收到信息后，用自己的私人密钥解密，翻开数字信封，取出随机产生的对称密钥，用此对称密钥再对所收到的密文解密，得到原来的信息。因为数字信封是用消息接收方的公开密钥加密的，只能用接收方的私人密钥解密翻开，别人无法得到信封中的对称密钥，也就保证了信息的平安，又提高了速度。其实就是双重加密原理，对称非对称配合使用，各用其优点 应用：在使用对称密钥加密时，密钥的传递以及密钥的更换都是问题。应用：在使用对称密钥加密时，密钥的传递以及密钥的更换都是问题。采用数字信封的方式，对称密钥通过接受方的公开密钥加密后传给对方，采用数字信封的方式，对称密钥通过接受方的公开密钥加密后传给对方，可以保证密钥传递的平安。而且此对称密钥每次由发送方随机生成，每次可以保证密钥传递的平安。而且此对称密钥每次由发送方随机生成，每次都在更换，更增加了平安性。都在更换，更增加了平安性。用于网络支付：数字信封不仅用于装入对称密钥，一些重要的短小信用于网络支付：数字信封不仅用于装入对称密钥，一些重要的短小信息，比方银行账号、密码等都可以采取数字信封传送。息，比方银行账号、密码等都可以采取数字信封传送。上图中，甲公司采用数字信封的方法加密数据。甲公司先随机生成一个对称密钥，用此对称密钥来加密要发给乙公司的消息，然后，再用乙公司的公开密钥加密这个随机生成的对称密钥，装入数字信封。乙公司收到后，先用自己的私人密钥对加密的对称密钥解密，即翻开数字信封，取出甲公司随机生成的对称密钥，再用此对称密钥对消息密文解密，得到消息明文.分两次传送分两次传送4.7 数字摘要数字摘要需求：通讯双方在互相传送消息时，不仅要对数据进行保密，不让第三者知道，还要能够知道数据在传输过程中没有被别人改变，也就是要保证数据的完整性。数字摘要的原理：采用的方法是用某种算法对被传送的数据生成一个完整性值，将此完整性值与原始数据一起传送给接收者，接收者用此完整性值来检验消息在传送过程中有没有发生改变。这个值由原始数据通过某一加密算法产生的一个特殊的数字信息串，比原始数据短小，能代表原始数据，所以称作数字摘要Digital Digest。保证消息的真实性，类似于签名的真实，数字签名技术之二 要求：第一，生成数字摘要的算法必须是一个公开的算法，数据交换的双方可以用同一算法对原始数据经计算而生成的数字摘要进行验证。第二，算法必须是一个单向算法，就是只能通过此算法从原始数据计算出数字摘要，而不能通过数字摘要得到原始数据。第三，不同的两条消息不能得到相同的数字摘要。由于每个消息数据都有自己特定的数字摘要，就像每个人的指纹一样，所以，数字摘要又称作数字指纹或数字手印(Thumbprint)。就像可以通过指纹来确定是某人一样，可以通过数字指纹来确定所代表的数据。常用算法：如常用算法：如RSARSA公司提出的公司提出的MD5MD5128128位。还有位。还有SHA1SHA1等。由于常等。由于常采用的是一种采用的是一种HASHHASH函数算法，也称函数算法，也称HashHash散列编码法。散列编码法。MD5MD5128128位由位由Ron.RivestRon.Rivest教授设计。该编码法采用单向教授设计。该编码法采用单向HashHash函数将需加密的明文函数将需加密的明文“摘要成一串摘要成一串128bit128bit的密文。的密文。网络支付中应用：在目前先进的网络支付中应用：在目前先进的SETSET协议机制中采用的协议机制中采用的hashhash算法可算法可产生产生160160位的消息摘要，两条不同的消息产生同一消息摘要的时机位的消息摘要，两条不同的消息产生同一消息摘要的时机为为l l10481048，所以说，这串数据在统计学意义上