版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
信息安全實(shí)訓(xùn)答辯PraticalTrainingDefense目錄CONTENTS
第十六章安全電子支付
實(shí)驗(yàn)16A安全網(wǎng)絡(luò)支付實(shí)驗(yàn)16B網(wǎng)上銀行在線支付安全性分析01.安全網(wǎng)絡(luò)支付SET協(xié)議(SecureElectronicTransaction,安全電子交易)是由VISA和MasterCard兩大信用卡公司聯(lián)合推出的規(guī)范它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于保障網(wǎng)上購物信息的安全性。SET協(xié)議涉及的當(dāng)事人包括持卡人、發(fā)卡機(jī)構(gòu)、商家、銀行以及支付網(wǎng)關(guān)。SET協(xié)議提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的機(jī)密性、真實(shí)性、完整性和交易的不可否認(rèn)性,特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家,因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。了解SET協(xié)議SET協(xié)議中的角色:持卡人:在電子商務(wù)環(huán)境中,消費(fèi)者和團(tuán)體購買者通過計(jì)算機(jī)與商家交流,持卡人通過由發(fā)卡機(jī)構(gòu)頒發(fā)的付款卡(例如信用卡、借記卡)進(jìn)行結(jié)算。在持卡人和商家的會(huì)話中,SET可以保證持卡人的個(gè)人帳號(hào)信息不被泄漏。發(fā)卡機(jī)構(gòu):它是一個(gè)金融機(jī)構(gòu),為每一個(gè)建立了帳戶的顧客頒發(fā)付款卡,發(fā)卡機(jī)構(gòu)根據(jù)不同品牌卡的規(guī)定和政策,保證對(duì)每一筆認(rèn)證交易的付款。商家:提供商品或服務(wù),使用SET,就可以保證持卡人個(gè)人信息的安全。接受卡支付的商家必須和銀行有關(guān)系。銀行:在線交易的商家在銀行開立帳號(hào),并且處理支付卡的認(rèn)證和支付。支付網(wǎng)關(guān):是由銀行操作的,將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)的設(shè)備,或由指派的第三方處理商家支付信息和顧客的支付指令。SET協(xié)議的主要目標(biāo)1.信息在Internet上的安全傳輸,保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊聽;2.訂單信息和個(gè)人賬號(hào)信息的隔離,在將包括消費(fèi)者賬號(hào)信息的訂單送到商家時(shí),商家只能看到訂貨信息,而看不到消費(fèi)者的賬戶信息;3.消費(fèi)者和商家的相互認(rèn)證,以確定通信雙方的身份,一般由第三方機(jī)構(gòu)負(fù)責(zé)為在線通信雙方提供信用擔(dān)保;4.要求軟件遵循相同的協(xié)議和消息格式,使不同廠家開發(fā)的軟件具有兼容和互操作功能,并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。SET是一個(gè)基于可信的第三方認(rèn)證中心的方案,保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和不可否認(rèn)性。SET交易過程中要對(duì)商家,客戶,支付網(wǎng)關(guān)等交易各方進(jìn)行身份認(rèn)證,因此它的交易過程相對(duì)復(fù)雜。(1)客戶在網(wǎng)上商店看中商品后,和商家進(jìn)行磋商,然后發(fā)出請(qǐng)求購買信息。(2)商家要求客戶用電子錢包付款。(3)電子錢包提示客戶輸入口令后與商家交換握手信息,確認(rèn)商家和客戶兩端均合法。(4)客戶的電子錢包形成一個(gè)包含訂購信息與支付指令的報(bào)文發(fā)送給商家。(5)商家將含有客戶支付指令的信息發(fā)送給支付網(wǎng)關(guān)。(6)支付網(wǎng)關(guān)在確認(rèn)客戶信用卡信息之后,向商家發(fā)送一個(gè)授權(quán)響應(yīng)的報(bào)文。(7)商家向客戶的電子錢包發(fā)送一個(gè)確認(rèn)信息。(8)將款項(xiàng)從客戶帳號(hào)轉(zhuǎn)到商家?guī)ぬ?hào),然后向顧客送貨,交易結(jié)束。從上面的交易流程可以看出,SET交易過程十分復(fù)雜性,在完成一次SET協(xié)議交易過程中,需驗(yàn)證電子證書9次,驗(yàn)證數(shù)字簽名6次,傳遞證書7次,進(jìn)行簽名5次,4次對(duì)稱加密和非對(duì)稱加密。通常完成一個(gè)SET協(xié)議交易過程大約要花費(fèi)1.5-2分鐘甚至更長時(shí)間。由于各地網(wǎng)絡(luò)設(shè)施良莠不齊,因此,完成一個(gè)SET協(xié)議的交易過程可能需要耗費(fèi)更長的時(shí)間。SET進(jìn)行安全電子支付的支付流程SSL:安全套接層協(xié)議(SSL協(xié)議:SecureSocketLayer)是由網(wǎng)景(Netscape)公司推出的一種安全通信協(xié)議,是對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議,提供了加密、認(rèn)證服務(wù)和報(bào)文完整性。它能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,用以完成需要的安全交易操作。在SSL中,采用了公開密鑰和私有密鑰兩種加密方法。了解SSL協(xié)議用戶接口:SSL協(xié)議已被瀏覽器和Web服務(wù)器內(nèi)置,不需要安裝專門軟件;SET協(xié)議中客戶端需安裝專門的電子錢包軟件,在商家服務(wù)器和銀行網(wǎng)絡(luò)上也需安裝相應(yīng)的軟件。處理速度:SET協(xié)議非常復(fù)雜,處理速度慢;而SSL協(xié)議則簡單得多,處理速度比SET協(xié)議快。認(rèn)證要求:在安全性方面,SET協(xié)議規(guī)范了整個(gè)商務(wù)活動(dòng)的流程,從持卡人到商家,到支付網(wǎng)關(guān),到認(rèn)證中心以及信用卡結(jié)算中心之間的信息流走向和必須采用的加密、認(rèn)證都制定了嚴(yán)密的標(biāo)準(zhǔn),從而最大限度地保證了商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。而SSL只對(duì)持卡人與商店端的信息交換進(jìn)行加密保護(hù),可以看作是用于傳輸?shù)哪遣糠值募夹g(shù)規(guī)范。從電子商務(wù)特性來看,它并不具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。安全性:SET協(xié)議的安全性遠(yuǎn)比SSL協(xié)議高。SET協(xié)議采用了公鑰加密、信息摘要和數(shù)字簽名技術(shù)可以確保信息的保密性、可鑒別性、完整性和不可否認(rèn)性,商家只能看到持卡人的訂購數(shù)據(jù),而銀行只能取得持卡人的信體系,不能提供完備的防抵賴功能。應(yīng)用領(lǐng)域方面:SSL主要是和Web應(yīng)用一起工作,而SET是為信用卡交易提供安全,因此如果電子商務(wù)應(yīng)用只是通過Web或是電子郵件,則可以不要SET。但如果電子商務(wù)應(yīng)用是一個(gè)涉及多方交易的過程,則使用SET更安全、更通用些。協(xié)議層次和功能:SSL協(xié)議屬于傳輸層的安全技術(shù)規(guī)范,不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能;而SET協(xié)議位于應(yīng)用層,它不僅規(guī)范了整個(gè)商務(wù)活動(dòng)的流程,而且制定了嚴(yán)格的加密和認(rèn)證標(biāo)準(zhǔn),具備商務(wù)性、協(xié)調(diào)性和集成性功能。用卡信息;而SSL協(xié)議雖也采用了公鑰加密、信息摘要和MAC檢測技術(shù),但缺乏一套完整的認(rèn)證SSL協(xié)議與SET協(xié)議差別支付過程:1.商戶app下訂單,商戶服務(wù)器接收到訂單返回訂單信息給商戶app2.商戶app確認(rèn)支付sdk調(diào)起支付寶app,將訂單信息提交到支付寶服務(wù)器,支付寶服務(wù)器進(jìn)行簽名將信息返回給支付寶app,支付寶app將結(jié)果通知給商戶app大體結(jié)構(gòu)圖:支付寶的支付原理詳細(xì)結(jié)構(gòu)圖:支付寶安全性是非常高的。因?yàn)橹Ц秾毷蔷W(wǎng)上交易安全的支付工具,通過以下技術(shù)與制度確保支付寶賬戶的安全:第一、支付寶賬戶采用了先進(jìn)的128位SSL加密技術(shù)(參照國內(nèi)銀行網(wǎng)站的普遍做法),確保您在支付寶頁面上輸入的任何信息可以安全傳送到支付寶,而不用擔(dān)心有人會(huì)通過網(wǎng)絡(luò)竊取您的敏感信息。第二、支付寶賬戶有兩個(gè)密碼,一個(gè)是登錄密碼,用于登錄賬戶,查看賬目等一般性操作;另一個(gè)是支付密碼,凡是牽涉到資金流轉(zhuǎn)的過程,都需要使用支付密碼。缺少任何一個(gè)密碼,都不能使資金發(fā)生流轉(zhuǎn)。同時(shí),同一天內(nèi)系統(tǒng)只允許密碼輸入出錯(cuò)兩次,第三次密碼輸入出錯(cuò),系統(tǒng)將自動(dòng)鎖定該賬戶,三個(gè)小時(shí)后才會(huì)自動(dòng)解除鎖定。第三、支付寶賬戶提現(xiàn)時(shí),系統(tǒng)將檢查您登記的銀行賬戶姓名是否與您的認(rèn)證姓名一致,否則不予提現(xiàn)。第四、作為協(xié)議的一部分,支付寶賬戶中的資金將不會(huì)用于您指定的用途以外的任何用途。支付寶的安全措施如綁定手機(jī)短信、動(dòng)態(tài)口令(防止窮舉破解)、安全控件(SSL)、短信校驗(yàn)服務(wù)、數(shù)字證書(網(wǎng)上身份確認(rèn))、第三方證書、支付盾(硬件加密技術(shù))、寶令、寶令手機(jī)版、安全保護(hù)問題、安全策略、手機(jī)安全設(shè)置、賠付機(jī)制、安全監(jiān)控等支付寶的安全性動(dòng)態(tài)口令卡就是在網(wǎng)上銀行辦理轉(zhuǎn)賬、匯款、支付等需要從賬戶中轉(zhuǎn)出資金時(shí)進(jìn)行用戶身份驗(yàn)證的一種工具。卡上有橫縱坐標(biāo),對(duì)應(yīng)的有數(shù)字,根據(jù)銀行頁面反饋的坐標(biāo),輸入相應(yīng)的數(shù)字就可以通過驗(yàn)證了。動(dòng)態(tài)口令是根據(jù)特定算法生成不可預(yù)測的隨機(jī)數(shù)字組合,每個(gè)口令只能使用一次。動(dòng)態(tài)口令認(rèn)證技術(shù)被認(rèn)為是能夠最有效解決用戶的身份認(rèn)證方式之一。U盾是網(wǎng)銀安全的衛(wèi)士。它的外形酷似U盤,像一面盾牌,時(shí)刻保護(hù)著網(wǎng)上銀行資金安全。U盾采用高強(qiáng)度信息加密,數(shù)字認(rèn)證和數(shù)字簽名技術(shù),具有不可復(fù)制性,可以有效防范支付風(fēng)險(xiǎn),確??蛻艟W(wǎng)上支付資金安全,使用方便。動(dòng)態(tài)口令卡和U盾02.網(wǎng)上銀行在線支付安全性分析簡單的網(wǎng)上購物車程序使用MD5withRSA算法進(jìn)行簽名,然后進(jìn)行base64轉(zhuǎn)碼微信支付分很多種不同場景支付方式,每種支付方式傳的參數(shù)是不完全一致的,有App支付,H5支付,JsAPI支付,小程序支付,人臉支付,付款碼支付,Native支付。調(diào)用接口都是一個(gè):///<summary>///統(tǒng)一支付接口///</summary>conststringUnifiedPayUrl="/pay/unifiedorder";謝謝觀賞THANKYOU16A安全網(wǎng)絡(luò)支付1.了解國內(nèi)各金融機(jī)構(gòu)的網(wǎng)上支付方案及安全措施。2.熟悉申請(qǐng)網(wǎng)上銀行金融交易服務(wù)流程,了解網(wǎng)絡(luò)購物常用的支付方式。3.掌握基于SET協(xié)議的網(wǎng)上支付過程。4.熟悉電子商務(wù)網(wǎng)站設(shè)計(jì)中在線支付模塊的實(shí)現(xiàn)方法。實(shí)驗(yàn)?zāi)康?.熟悉利用SET進(jìn)行安全電子支付的支付流程2.熟悉SSL協(xié)議,并注意與SET協(xié)議的區(qū)別3.中國銀行的電子錢包完全符合SET標(biāo)準(zhǔn),可在Windows操作系統(tǒng)上運(yùn)行實(shí)驗(yàn)準(zhǔn)備16A安全網(wǎng)絡(luò)支付SET協(xié)議采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于保障網(wǎng)上購物信息的安全性。SET協(xié)議涉及的當(dāng)事人包括持卡人、發(fā)卡機(jī)構(gòu)、商家、銀行以及支付網(wǎng)關(guān)。提供消費(fèi)者、商家和銀行之間的認(rèn)證,確保交易數(shù)據(jù)的機(jī)密性、真實(shí)性、完整性和交易的不可否認(rèn)性,特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家,因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。SET是一個(gè)基于可信的第三方認(rèn)證中心的方案,保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和不可否認(rèn)性。SSL協(xié)議安全套接層協(xié)議,一種安全通信協(xié)議,是對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議,提供了加密、認(rèn)證服務(wù)和報(bào)文完整性。采用了公開密鑰和私有密鑰兩種加密方法。能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,用以完成需要的安全交易操作。SSL協(xié)議屬于傳輸層的安全技術(shù)規(guī)范,不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能。用戶接口處理速度認(rèn)證要求安全性應(yīng)用領(lǐng)域協(xié)議層次和功能客戶端需安裝電子錢包軟件,在商家服務(wù)器和銀行網(wǎng)絡(luò)上也需安裝相應(yīng)的軟件已被瀏覽器和Web服務(wù)器內(nèi)置,不需要安裝專門軟件協(xié)議非常復(fù)雜,處理速度慢;協(xié)議規(guī)范了整個(gè)商務(wù)活動(dòng)的流程,制定了嚴(yán)密的加密以及認(rèn)證標(biāo)準(zhǔn),從而最大限度地保證了商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性安全性遠(yuǎn)比SSL協(xié)議高,采用了公鑰加密、信息摘要和數(shù)字簽名技術(shù)可以確保信息的保密性、可鑒別性、完整性和不可否認(rèn)性為信用卡交易提供安全,如果電子商務(wù)應(yīng)用是一個(gè)涉及多方交易的過程,則使用SET更安全、更通用些。位于應(yīng)用層,它不僅規(guī)范了整個(gè)商務(wù)活動(dòng)的流程,而且制定了嚴(yán)格的加密和認(rèn)證標(biāo)準(zhǔn),具備商務(wù)性、協(xié)調(diào)性和集成性功能簡單得多,處理速度比SET協(xié)議快只對(duì)持卡人與商店端的信息交換進(jìn)行加密保護(hù),可以看作是用于傳輸?shù)哪遣糠值募夹g(shù)規(guī)范。從電子商務(wù)特性來看,它并不具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。主要是和Web應(yīng)用一起工作SSL協(xié)議屬于傳輸層的安全技術(shù)規(guī)范,不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能;也采用了公鑰加密、信息摘要和MAC檢測技術(shù),但缺乏一套完整的認(rèn)證16A安全網(wǎng)絡(luò)支付
支付寶支付原理支付流程圖詳細(xì)結(jié)構(gòu)圖支付寶的安全措施如綁定手機(jī)短信、動(dòng)態(tài)口令(防止窮舉破解)、安全控件(SSL)、短信校驗(yàn)服務(wù)、數(shù)字證書(網(wǎng)上身份確認(rèn))、第三方證書、支付盾(硬件加密技術(shù))、寶令、寶令手機(jī)版、安全保護(hù)問題、安全策略、手機(jī)安全設(shè)置、賠付機(jī)制、安全監(jiān)控等16B網(wǎng)上銀行在線支付安全性分析1.熟悉網(wǎng)上銀行在線支付流程。2.掌握網(wǎng)上銀行安全支付的相關(guān)措施、技術(shù)和協(xié)議。3.熟悉在線支付各接口,能根據(jù)接口規(guī)范進(jìn)行相關(guān)開發(fā)。實(shí)驗(yàn)?zāi)康闹袊ど蹄y行網(wǎng)上銀行C2C在線支付流程支付寶的安全支付措施實(shí)驗(yàn)準(zhǔn)備16B網(wǎng)上銀行在線支付安全性分析簡易的網(wǎng)上購物車程序(在線選取貨物)運(yùn)行結(jié)果(形成相關(guān)訂單)運(yùn)行結(jié)果16B網(wǎng)上銀行在線支付安全性分析根據(jù)訂單中各數(shù)據(jù)項(xiàng),使用&符進(jìn)行連接成簽名明文串(各字段順序固定;每個(gè)數(shù)據(jù)項(xiàng)由變量名稱加等號(hào)加變量值組成;如果變量值為空仍需保留字段位置),然后使用M
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 基于大數(shù)據(jù)的2025年度冷藏車調(diào)度管理系統(tǒng)合同2篇
- 長沙衛(wèi)生職業(yè)學(xué)院《中國古典文獻(xiàn)學(xué)》2023-2024學(xué)年第一學(xué)期期末試卷
- 2025版智能建筑抹灰分項(xiàng)工程勞務(wù)服務(wù)協(xié)議書4篇
- 科技助力川菜館實(shí)現(xiàn)可持續(xù)發(fā)展
- 從用戶需求出發(fā)的未來酒店餐飲空間設(shè)計(jì)策略
- 小學(xué)科學(xué)課程中實(shí)踐活動(dòng)的開展與問題解決
- 2025版門樓金屬卷簾門安裝與維護(hù)服務(wù)合同4篇
- 2025年度高端別墅定制設(shè)計(jì)與建造合同協(xié)議2篇
- 2024鋁質(zhì)板材市場銷售合作協(xié)議2篇
- 父母心理韌性培養(yǎng)家庭教育的關(guān)鍵要素
- 普通高中生物新課程標(biāo)準(zhǔn)
- 茉莉花-附指法鋼琴譜五線譜
- 結(jié)婚函調(diào)報(bào)告表
- SYT 6968-2021 油氣輸送管道工程水平定向鉆穿越設(shè)計(jì)規(guī)范-PDF解密
- 冷庫制冷負(fù)荷計(jì)算表
- 肩袖損傷護(hù)理查房
- 設(shè)備運(yùn)維管理安全規(guī)范標(biāo)準(zhǔn)
- 辦文辦會(huì)辦事實(shí)務(wù)課件
- 大學(xué)宿舍人際關(guān)系
- 2023光明小升初(語文)試卷
- GB/T 14600-2009電子工業(yè)用氣體氧化亞氮
評(píng)論
0/150
提交評(píng)論