第四章网络支付安全技术 知识要点: v网络支付的安全性问题 v对称密钥和非对称密钥 v数字摘要与数字签名 v数字证书与CA认证 vSSL与SET协议 v中国金融认证中心 网络支付安全性问题概述 网络支付以其快捷、方便的网络支付方式适应了电子商务的发展。由于电子商务的远距离网络操作不同于面对面的传统支付方式，安全问题已经成为大家关注电子商务运行安全的首要方面。完成电子商务中资金流的网络支付涉及商务实体最敏感的资金流动，所以是最需要保证安全的方面，也是最容易出现安全问题的地方,如信用卡密码被盗、支付金额被篡改、收款抵赖等。因此保证电子商务的安全其实很大部分就是保证电子商务过程中网络支付与结算流程的安全，这正是银行与商家,特别是客户关心的焦点问题。 一、网上支付面临的安全问题 因特网环境下的网络支付结算涉及到客户、商家、银行及相关管理认证部门等多方机构及他们之间的配合。网络支付与结算由于涉及到资金的问题，保证安全是推广应用网络支付结算的基础.目前网络支付结算面临的主要安全问题可以归纳为如下几个方面： 1。支付账号和密码等隐私信息在网络上传送过程中被窃取或盗用，如信用卡号码和密码被窃取盗用给购物者造成损失。 2。支付金额被更改。如本来总支付额为250美元，结果支付命令在网上发出后，由于未知的原因从账号中划去了1250美元,给网上交易一方造成了困惑。 3.支付方不知商家到底是谁，商家不能清晰确定如信用卡等网络支付工具是否真实、资金何时入账等；一些不法商家或个人利用互连网站点的开放性和不确定性,进行欺骗。 4。随意否认支付行为的发生及发生金额，或更改发生金额等，某方对支付行为及内容的随意抵赖、修改和否认. 5。网络支付系统故意被攻击、网络支付被故意延迟等 如病毒等造成网络支付系统的错误或瘫痪、网络病毒造成网络支付结算过程被故意拖延等,造成客户或商家的损失或流失等. 二、网络支付安全策略 电子商务中的网络支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合系统。网络支付安全体系的建立不是一蹴而就的事，它受多种因素的影响，并与这些因素相互促进，动态地发展，共同走向成熟。开展电子商务的商家和后台的支撑银行必须相互配合，首先建立一套相关的安全策略,在实践中慢慢完善，以保证电子商务下网络支付结算的顺利进行。 (一)安全策略的含义与目的 电子商务中网络支付安全策略是整个电子商务安全策略的组成部分，即一个机构在从事电子商务中关于安全的纲要性条例，它是用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等。要保护以网络支付系统等为代表的电子商务资产，所有组织都应有一个明确的安全策略。 制定电子商务安全策略的目的是为了保障机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏;能够有序地、经常地鉴别和测试安全状态；能够对可能的风险有一个基本评估;系统的安全被破坏后的恢复措施和手段以及所需的代价。 （二)网络支付的安全策略内容 安全策略具体内容中要定义保护的资源，要定义保护的风险，要吃透电子商务安全的法律法规，最后要建立安全策略和确定一套安全机制.每个机构都必须制定一个安全策略以满足安全需要。 1．要定义实现安全的网络支付结算的保护资源 定义资源是与本机构的具体身份、任务、性质有关。同一机构在不同的经营期对资源的定义也是不同的。安全电子商务以Internet为信息交换通道，由CA中心、银行、发卡机构、商家和用户组成，是实现安全网络支付结算的基础。 可以看出，涉及到多方的配合，包括：交易方A、商务网站本身、交易方B、金融机构(如银行、发卡机构)、公正的第三方群（认证机构、时间戳服务机构、仲裁者)、政府机构（税务机构、海关）等。 2．要定义要保护的风险 每一新的网络支付方式推出与应用,均有一定的风险，因为绝对安全的支付手段是没有的，要进行相关风险分析。还要注意网络支付工具使用安全、便利、快捷之间的辩证关系。 3．要吃透电子商务安全与网络支付安全的法律法规 虽然,电子商务和电子商务安全的法律法规远远没有齐全，要吃透已有的电子商务安全的法律法规是必须的。 例如中国人民银行制订的《金融IC卡应用的安全机制规范》。《规范》规定“在一张卡中的不同应用之间要相互独立，应用之间要提供防火墙安全控制措施，杜绝跨应用的非法访问。"因此,安全策略中必须建立防火墙。《规范》规定“要确保卡内存储的特定功能的加密／解密密钥不能被其他功能所使用，以及用来产生、派生和传输这些密钥的密钥都要具备专用性。”因此,安全策略中必须对这些密钥的流通和使用做出严密的管理。 常常密切注意电子商务的立法.约束电子商务中有关网络支付犯罪和解决纠纷需要立法。对Internet的管理和立法是很难的，对电子商务的管理