一、电子商务安全的基本要求
1、交易的认证性
钓鱼网站:是一种网络交易欺诈行为,通常是指不法分子利用各种手段,伪装成银行及电子商务等网站,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,主要危害是窃取用户提交的银行账号、密码等私密信息。
木马病毒:主要是指利用计算机程序漏洞入侵后窃取文件的程序,它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,一般不会直接对计算机产生危害。而是以控制为主。
2、交易的完整性
重放攻击:又称重播攻击、回放攻击或新鲜性攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于在身份认证过程中破坏认证的正确性。
3、电子商务的安全交易标准
(1)安全套接层协议
SSL协议采用公开密钥技术、其目标是在服务器和客户机两端同时实现支持,保证两个应用之间通信的保密性和可靠性。
(2)安全电子交易协议
SET协议它主要用于保证在公共网络,特别是internet上进行银行卡支付交易的安全性,并能够有效地防止电子商务中的各种诈骗。它目前已经标准化并且被业界广泛接受的基于信用卡安全支付机制。
(3)PCI-DSS协议:对于所有涉及信用卡信息机构的安全方法做出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计要求的列表等,全面保障交易安全。PCI-DSS协议适用于所有涉及支付卡处理的实体。PCI-DSS协议包括立足保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低风险。
(4)支付卡行业协议是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和储存的。
第二章电子商务安全技术
一、明文:即未被加密或者经过解密的可以直接理解的信息,也就是接收方通过共同的密码破译方法将其破译解读为直接的文字或可直接理解的信息。与之对应,一个可通过算法还原的被打乱的消息则是密文。
二、身份认证
身份认证是在计算机网络中确认操作者身份的过程,是一种鉴别某一实体身份真伪性的技术,是防止冒充攻击的重要手段。
1、认证的方法:
(1)口令认证:静态密码认证
(2)智能卡认证:一种内置集成电路芯片,芯片存有与用户身份相关的数据。
(3)短信密码认证:安全、普及、易收费、易维护。
(4)动态口令牌认证:目前最安全的身份认证方式,利用What you have 方法,是一种动态密码。同时也是应用最广的一种身份识别方式。长度5-8的字符串。
(5)USB Key认证:采用软硬件相结合,一次一密的强双因子认证模式,也是一种USB接口的硬件设备。
(6)生物特性认证:测量的身体或行为等生物特征进行身份认证的技术。指纹、人脸识别、语言识别等。
2、访问控制:
(1)要素:主体:访问操作、存取要求的发起者,通常指用户或用户的某个过程。
客体:被调用的程序或预存取的数据,即必须进行控制的资源或目标,如网络中的进行等活跃元素、数据与信息、各种网络服务和功能、网络设备与设施等。
访问策略:一套规则,用以确定一个主体是否对客体拥有访问能力,它定义了主体与客体可能的相互作用途径。(2)类型:自主访问控制策略(DAC)
强制访问控制策略(MAC)
基于角色的访问控制策略(RBAC)
三、防火墙技术
1、防火墙是设置在被保护网络和外部网络之间的一道屏障,可以实现网络的安全保护,以防止发生不可预测的、潜在破坏性的入侵。
2、防火墙的三种类型
(1)包过滤防火墙
(2)代理防火墙
(3)状态监视器防火墙
(4)复合式防火墙
四、计算机病毒
1、计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。
(1)计算机病毒的传播途径
第一条途径:通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机专用芯片和硬盘等。这种病毒虽然极少,但破坏力极强,目前尚没有较好的检测手段。
第二条途径:通过磁盘、U盘、移动硬盘等可以移动的存储介质传播。
第三条途径:通过计算机网络进行传播。
第四条途径:利用无线电等无线通讯介质进行传播。
第三章数字证书与协议
一、密码学应用
1、密钥
2、对称密码算法对称密码算法
(1)DES最著名的对称密码算法、是一种分组密码、DES使用长度为64为的分组。DES密钥长度固定56位, 3-DES是三重DES的缩写表示对数据加密三次。
(2)对称密码算法分类:DES、AES、RC4。
(3)对称密码加密和解密的过程:发送者用密钥和加密算法对明文进行加密,得到一个密文,然后发送者通过因特网把加密的密文发给接受者。 接收方使用同一个对称密钥来解密密文,从而得到最初明文文件。
3、非对称密码算法:也称公钥加密算法,有一对密钥:一个公钥和一个私钥。(P48)
非对称加密和解密过程:发送方用接收方的公钥和加密算法对明文加密,得到密文,然后将密文通过因特网发送给接受者。 接收方使用自己的私钥对该密文解密,得到明文。
4、数字信封是指用接受者的公钥加密的随机对称密钥。
5、哈希函数不能用逆向推导,正向推导是可以的。
6、数字签名:谁签名用谁的私钥。
7、公钥基础设施是一个用肥对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。
8、认证机构(CA)是PKI的核心、证书的签发机构、颁发数字证书。
二、数字证书
1、数字证书
(1)CA机构又称证书认证中心。
(2)CA机构的职责:验证并标识数字证书申请者的身份;确保整个签证过程的安全性,确保签名私钥的安全性;管理数字证书资料信息;确定并检查数字证书的有效期限;确保数字证书主体标识的唯一性,防止重名;向申请人发出通知;
2、SET协议的概念
(1)提供了消费者、银行、用户之间的认证,确保了网上交易数据的保密性、数据完整性以及交易的不可抵赖性。
(2)SET协议使用加密技术提供信息的机密性,并保证支付的完整性,验证商户和持卡人。
(3)支付安全的目标是:验证持卡者、商户和收单行,为支付数据提供机密性;保护支付数据的完整性;为这些安全服务定义算法和协议。
3、SSL协议(安全套接层)的概念:是提供Internet上的通信隐私性的安全协议。该协议允许客户端/服务器应用之间建立防窃听、防消息篡改及消息伪造的安全的通信。
第四章电子支付概述
一、电子支付
1、电子支付概念:是指从事电子商务交易的当事人,包括消费者、客户和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。
2、电子支付定义:(P91)
3、电子支付的分类:
(1)按照采用的通信手段可分为在线支付和离线支付。
在线支付根据采用的通信渠道的不同,又可以分为电话支付、互联网支付、移动支付。
离线支付根据卡的介质分为接触式支付和非接触式支付。
(2)按照支付模式可划分为互联网支付、移动支付、预付卡支付、银行卡收单。
银行卡收单:是指签约银行向商户提供的本外币资金结算服务,也就是持卡人在银行签约商户那里刷卡消费,并通过银行完成结算。
银行卡收单分为:网络收单、POS收单、ATM收单。
二、网络支付
1、网络支付概念:
(1)从广义地来讲:网上支付是以互联网为基础,利用银行所支持的某种数字金融工具,完成的发生在购买者和销售者之间的金融交换行为。
(2)从狭义地来讲:网络支付是指参加电子商务活动的一方向另一方付款的过程,是网上交易当事人、包括消费者、商户和金融机构,使用安全电子支付手段通过公用网络进行的货币支付或资金流转的行为
2、网络支付的条件
商户系统、客户系统、支付网关和安全认证
(1)支付网关:是连接银行网络与Internet的一组服务器。 以保护银行内部网络的安全。起着一个数据转换的处理中心的作用。
(2)安全认证:安全认证包括SET协议、SSL协议与认证机构。
(3)客户系统:安装在客户计算机上的支付系统。比如,电子钱包。
(4)商户系统:指安装在商户网络服务器上的支付服务系统,它与支付网关相连。
第五章ATM与POS
一、银行卡的费
1、信用卡年费:即持卡人客户每年需要向发卡行缴纳的一定数量的管理服务费用
2、信用卡利息:是在超过到期还款日后才足额还款的,银行按比例收取的费用。
3、信用卡提现:持卡人可以使用信用卡向银行预借现金,使用信用卡提取现金的过程为信用卡提现。
二、ATM系统的分类
1、专有系统:是由一个金融机构独自购置网络中的ATM、其他硬件和所需软件,并独自发行其银行卡的系统。 其优点是该金融机构可完全控制整个系统及其所有的装置,其产品也仅为该金融机构所识别。 其缺点是投资大、交易额受该金融机构的持卡人规模限制,偿还期。
2、共享系统
3、共享系统的基本组成:共享系统,常常是由许多专有系统互联而成。共享系统内至少包括下列部分:
(1)持卡人。
(2)自动存取款机(CD、ATM)
(3)发卡行:是共享系统的成员行,发卡行对外发行银行卡。
(4)收单行:指联行交易中兑付现金或商户签约进行联行交易资金结算,并且直接或间接地使交易达成转接的银行。
(5)清算银行:负责共享系统内跨行账务清算的处理单位,通常有中央银行担任。
(6)交换中心:负责共享系统内各种交易信息的转接(交换)处理和管理等工作。
三、ATM系统网络结构及处理流程
ATM系统网络结构分为:
1、后方交换型:各种结构的特点是交换中心。各成员行之后,各成员行都可拥有自己的CD和ATM;自己的持卡人在自有系统的CD和ATM上所做的交易,留在自行内处理;在共享ATM系统上所做的跨行交易,均送交换中心转发到相应的发卡银行去处理;发卡行收到代理行经交换中心送交的交易请求信息后,经必要的确认处理和账务处理,再将授权信息经交换中心发给代理行,请其按指示代为处理。
2、前方交换型:各种网络结构的特点是?交换中心位于银行主机和ATM、CD终端机之间;系统中所有的终端设备,原则上有交换中心投资;由于所有的ATM交易,全由交换中心直接转发到相应的发卡行进行处理,因此没有跨行交易;发卡行收到交换中心发来的交易信息后,经确认处理,送授权信息给交换中心,请其指令终端设备按指示要求进行处理。
3、POS系统的组成:POS系统主要由下列各部分组成:POS终端、集线器或终端控制器、通信网、交换中心、各银行主机系统和其他银行卡授权系统。
4、POS系统使用的若干安全问题及对策:安全问题:改造POS机 、刷卡购油、扫码下载APP、伪mPOS攻击
对策:观设备、核金额、防调包、防窥视、索凭条、开提醒、对账单。
第七章第三方支付
一、第三方支付的模式
1、虚拟账户型支付模式:是指第三方支付机构不仅为商户提供银行支付网关的集成服务,还为客户提供了一个虚拟账户。
虚拟账户型第三方支付模式分为:信用中介型新虚拟账户和直付型付型虚拟账户。
信用中介型新虚拟账户:在信用中介型虚拟账户模式中,虚拟账户不仅是一个资金流转的载体,而且还提到信用中介的作用。从从信用中介型虚拟账户模式的发展来看,该模式由以下两个明显的特点:1)具有虚拟账户型第三方支付模式的所有功能,包括基于虚拟账户的资金流转,银行支付网关集成等。2)为交易提供了“信用增强功能”,传统的交易信用来自于买卖双方的信用。而在通过信用中介行虚拟账户模式实现的交易中,第三方支付机构在交易中不仅提供了支付功能,还融入了第三方支付机构的商业信用,这就大大增强了交易的信用。提高了交易的达成率。
2、支付宝
1)支付宝提供的优质多样的个性化服务。
2)支付提供的安全保障策略。
2、网关型支付模式:
3、多种支付手段结合模式
二、线下支付
1、线下支付的方式:基本上不通过网上支付的都叫线下支付,具体方式有货到付款、邮局汇款、银行转账和当面交易等。
三、拉卡拉的主要产品及服务
1、便民金融 2、互联网服务 3、POS收单 4、用户经营
第八章网上银行
一、网上银行的概念:网上银行又称网络银行,在线银行,就银行利用internet技术,或internet向客户提供开户,销户,查询,对账,行内转账。外行转账,信贷,网上证券投资理财等传统服务项目,使客户足不出户就能够安全便捷的管理活期和定期存款、支票、信用卡以及进行个人投资等活动。但是传统银行业务在互联网上的研究是一种虚拟电子世界的嗯,他的服务对象和业务范围涵盖了整个对公业务(B2B)和对私业务(B2C)的所有银行业务。
网上银行又被称为“3A银行”,因为它不受时空限制,落在任何时间、任何地点、以任何方式、为客户提供金融服务。
网上银行的经营模式
1、虚拟银行
2、实体与虚拟银行相结合
二、网上银行的风险及应对措施
1、软硬件系统问题
(1)系统漏洞带来的安全风险
(2)WEB安全问题带来的风险
(3)数据库安全问题带来的风险
(4)分布式拒绝服务带来的风险。分布式拒绝服务(DDOS)的是攻击者合法或非法的,利用互联网上的大量其他机器(可能是“肉机”,也可能是合法的代理机器),对攻击目标发起多对一的攻击;并且,随着攻防对抗的发展,当前基于应用层的DDOS攻击方式逐渐成为了DDOS的主流。DDOS攻击的危害体现在网络银行上,是造成网上银行系统的服务器资源或者带宽资源被攻击报文占用,从无法响应正常的网上银行业务。
2、交易风险问题
3、终端用户问题
(1)网络犯罪分子的攻击计。
(2)网上黑客与计算机病毒
(3)数字证书攻击
4、网上银行风险的应对
(1)建立网络风险防护体系。
(2)对金融工因素对金融工程学科的研究,开发和利用。
(3)通过管理、培训手段来防止金融风险发生。