网上支付与结算(浙江工商大学)复习资料5-9章

第五章

电子支付面临的安全问题：

1、电子支付中的不安全问题

（1）信息被截获或窃取（2）信息被篡改（3）信息假冒（4）否认已做过的交易（5）电子支付系统不稳定

2、安全电子支付的目标

（1）机密性（2）完整性（3）身份的可鉴别性（4）不可抵赖性（5）可靠性

防火墙：是在企业或商家的内部网和外部网之间构筑的一道屏障，用来保护内部网中的信息、资源等不受来自互联网中的信息、资源等不受来自互联网中非法用户的侵犯，它可以限定源和目标的IP地址/地址列，限定源和目标的主机端口，限定FTP、HTTP、Telnet等对系统的访问，还可以根据制定的安全策略对信息进行过滤和限制。

防火墙的属性：

1.所有从内到外和从外岛内的信息流，都必须经过它

2.仅仅被本地安全策略定义且授权的信息流才允许通过它

3.能实施安全策略所要求的安全功能，控制外部用户访问专用网

4.系统对外部攻击具有高抵抗力，提供日志、审计和报警功能

防火墙的种类：

包过滤型防火墙代理服务器型防火墙监测型防火墙

加密技术：包括信息的加密和解密两个过程，任何一个加密系统至少包括明文、密文、算法和密钥四个部分。

对称密钥加密技术：是指发送方和接受方使用同一密钥对信息进行加密解密，若果一个加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以由其中一个推导出另一个，则称为对称密码体制，对称密钥加密也称秘密密钥加密或专用密钥加密。

非对称密钥加密技术：也称公开密钥加密。非对称密钥加密是指加密和解密过程分别使用两个不同的密钥，即密钥被分解为一对，一把公开密钥和一把私有密钥。公开密钥通过非保密方式向他人公开，私有密钥要由用户自己妥善保存。用公开密钥加密的内容，可用私有密钥解密，用私有密钥对明文加密后，可用公开密钥解密，但由公开密钥是不可能推导出私有密钥的。

Hash算法的特性：

1.对输入的任何长度的信息报文，Hash能生成固定长度的数字摘要

2.对不同的信息报文进行Hash算法，所得到的密文总是不同的。

3.同样的信息报文，其摘要必定一致

4.从原始信息报文的变化不能推导出数字摘要的变化

双重签名和步骤（P120）

SSL协议：采用公开密钥和对称密钥相结合的技术，通过浏览器软件和WWW服务器建立

一条安全、可信任的通信通道，在这一通信通道中，所有点对点的信息都将被加密，从而实现了在Internet 中传输保密文件。

SSL 连接：连接是提供恰当类型服务的传输，是点对点的关系。

SSL 会话：会话是客户和服务器之间的关联，会话通过握手协议来。

SSL 握手协议和流程（P127）

SSL 记录数据包含三个部分：

MAC 数据、实际数据和附加数据，其中，MAC 数据用来检查数据的完整性。

SET 协议：通过公开密钥加密、数字签名、数字证书等核心技术，解决了用户、商家和银行之间通过信用卡支付时支付信息的机密性，支付过程的完整性，商家即持卡人身份的合法性。

SET 协议结构体系：

持卡人 商家 发卡银行 收单银行 支付网关 认证中心

SET 协议工作流程：（文字P130）

SSL 协议与SET 协议比较（表格P131）

SET CA 体系：遵循SET 协议标准，为基于银行卡的支付网管、商家及持卡人发放证书，在证书中，利用X.500识别名来确定SET 交易中所设计的各参与方，以保证基于银行卡的电子交易支付的安全。1997年2月19日，由MasterCard 和VISA 发起成立的SETCO 公司，被授权作为SET 根认证中心（ROOT CA ）

SET CA 的结构中前三个层次：

支付网关 收单银行 发卡银行 商 持

卡

认 证 中 心 审核 批准

认证

认证

认

证 协商

订单 确认 确认 审核

请求 确认 根认证中心（ROOT CA ）品牌认证中心（Brand CA ）区域性认证中心（Geo-political CA ）持卡人商户支付网关

持卡人认证中心（Cardholder CA ）支付网关认证中心（Payment Gateway CA ）商户认证中心

（Merchant CA ）

数字证书：又称为电子证书、数字凭证和认证证书等，是一个经证书授权中心数字签名的包含公开密钥拥有者（证书申请者）身份信息以及公开密钥的文件。它用来标识网络用户的身份，类似于现实生活中的居民身份证。

数字证书的有效性：

1、证书没有过期

2、密钥未曾修改

3、证书主体仍然有使用证书密钥的权限

4、证书必须不在CA公布的证书作废列表中

认证机构：是PKI的核心，通常也称为认证中心，是基于Internet平台建立的一个公正的、有权威性的、广受信赖的第三方机构，主要负责数字证书的发放、管理以及认证服务，以保证电子交易支付安全可靠地进行。

认证机构的组成：

登记服务器RS 注册机构RA 证书管理机构CA

第六章

第三方支付：是指具有信誉保障、采用与相应各银行签约方式、提供与银行支付结算系统接口和通道服务并能够实现资金转移和网上支付结算服务的机构。

第三方支付的特点：

1.提供一系列的应用接口程序，将多种银行卡支付方式整合到一个界面上，负责交易结算中与银行的对接，使网上购物更加快捷、便利。

2.较之SSL、SET等支付协议，利用第三方支付进行支付操作更加简单而易于接受。

3.第三方支付能够较好的突破网上交易中的信用问题，有利于推动电子商务的快速发展。

第三方支付的意义和价值：

1、降低社会交易成本

（1）银行加快了处理速度和效率，企业减少了人力和时间成本；

（2）通过第三方支付平台实现企业与多家银行连接，减少了开发和维护成本；

（3）降低了交易取消或延迟、付款失败、信用欺诈的风险，提高企业的交易成功率。

2、提升企业竞争力

（1）企业交易效率和效益提高，促进了许多新型创新服务的出现；

（2）企业的业务覆盖区域扩大，顾客在支付手段上有更多的选择；

（3）第三方支付服务商促进了消费者消除对中小商家交易的疑虑。

3.提高交易诚信

第三方支付不仅可以解决银行与公用网挂接经营单一和可能出现的安全隐患问题;同时他可以向社会提供信用保证,可以承担因不安全而出现索赔等方面的经济问题;

4.促进产业发展

(1)帮助银行推广了电子银行业务，推动了B-C、C-C业务的发展；

(2)银行、企业能够根据专注于产品服务设计与市场推广；

(3)第三方支付商客观中立地处理交易，维护各方的合法权益。

第三方平台支付清算中存在的资金风险问题——在途资金问题

1.首先，在途资金影响第三方支付系统的支付效率.