公开密钥基础设施(PKI技术)
公开密钥基础设施( PKI)是一种遵循既定标准的密钥管理平台,它能够为电子商务、电子政务等网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,为用户建立一个安全的网络运行环境。
无论在计算机上存储、处理和应用,还是在通信网络上传输,信息都可能被非授权访问而导致泄密,被篡改破坏而导致不完整,被冒充替换而导致否认,也可能被阻塞拦截而导致无法存取。这些破坏可能是有意的,如黑客攻击、病毒感染,也可能是无意的,如操作失误、程序错误等。
计算机网络安全是电子支付安全的基础,一个完整的电子支付系统应建立在安全的网络基础设施之上。网络安全技术所涉及的方面比较多,如操作系统安全、防火墙技术、虚拟专用网( virtual pivate network, VPN)技术和人侵检测技术、漏洞检测技术、防病毒技术和加密技术等。为保证电子支付安全,需要采用各种加密技术和身份认证技术,从而创造一种值得信赖的电子支付环境。现实中,不同机构会采取不同的手段和方法来实现,这,就要求有一种统一的标准来支持不同的方式,才能保证广泛的电子支付活动的顺利进行。
一、安全防范技术
电子支付系统的安全防护是一个立体的防护,需要采取多项安全措施,采用多种安全技术,这是一个长期的建设和维护过程。针对存在的各种威胁以及电子支付应用的需求,在保证计算机系统自身安全的前提下,利用防火墙保证电子支付系统内部网络的边界安全;通过虚拟专用网技术实现电子支付信息跨越公网的传输安全;建立入侵检测系统,将潜在的威胁扼杀在摇篮之中。
二、防火墙技术
防火墙技术是通过对网络做拓扑结构和服务类型上的隔离来加强网络安全的手段,它的保护对象是网络中有明确闭合边界的一个网块,它的防范对象是来自被保护网块外部的威胁。所谓防火墙是综合采用适当技术在被保护网络周边建立的用于隔离被保护网络与外部网络的系统。防火墙技术适合在企业内部网中使用,特别是在企业内部网与公共网络互联时使用。
防火墙技术的实现是利用专用的安全软件、硬件以及系统的良好管理配置,对内外部网络之间往来的信息进行监测、控制和修改。防火墙事实上是一个访问控制系统,根据防御方式的不同,它可以分为三种:包过滤器、电路中继器、应用网关( 或代理服务器)。
包过滤器通常在路由器上实现,工作在网络层,它按照一定的安全规则对进出的数据包进行分析以决定是否允许其通过。包过滤器的安全规则是静态的,因此系统的维护很麻烦,也使一些应用受到限制。另外,它工作在网络层,对高层信息无法理解,因而不能防范高层协议上的安全威胁。
电路中继器工作在传输层,它在内部连接和外部连接之间来回拷贝字节使连接似乎是起源于防火墙,从而隐藏了受保护网络的有关信息。电路中继器能保证用户安全使用基于TCP/IP通信协议上的应用软件,而不需要传送协议层上的任何指令。它事实上是相关协议的代理,所有输人的连接在此结束,并被重新组成相对应的输出。它的缺陷是在使用它之前必须修改客户的应用软件。
应用网关工作在应用层,比电路中继器先进。它使两边的应用可以通过代理服务器互相通信,但它们不能穿过它进行通信,使得内部网络与外部网络之间不存在直接连接。它有更强的身份验证、日志及审计功能,大大提高了网络的安全性。代理服务器的缺点是需要为每个应用进行设计和编写软件,工作量较大。
网络对外部呈现的安全水平依赖F所用防火墙系统的体系结构。一般将防火墙系统的体系结构区分为以下几种:边界路由器,带有安全中间网络的边界路由器(筛选性子网、安全子网),带信息包过滤器的双归宿防御主机,带电路中继器的双归宿防御主机,带应用网关的双归宿防御主机,带无防卫区域(DMZ)的双归宿防御主机和级联的双归宿防御主机。其中,简单的边界路由器提供最低保护,级联的双归宿防御主机提供最高保护。
防火墙技术有很多优点,但它不能防范网络内部的威胁,也不能保护网络免受病毒或其他一些方式(协议欺骗等)的攻击。因此,必须要结合其他技术和手段来提高网络的安全性。
三、虚拟专用网技术
个人POS机专业办理,费率低至0.38%!不做最低费率,只做最合理的费率,良心企业,良心支付!第三方支付中的网络数据加密技术
加密技术是最基本的安全技术,是实现信息保密性的一种重要的手段,目的是为了防止合法接受者之外的人获取信息系统中的机密信息。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Intemet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自已制定一个最符合自已需求的网络。虚拟专用网是对企业内部网的扩展。
由于传输的是私有信息,因此,VPN用户对数据的安全性非常关心,目前VPN主要采用四项技术来保证数据的安全传输:隧道技术( tunneling)、加解密技术( eneryption &deeryption)、密钥管理技术( key management)、身份认证技术( authentication)。
隧道技术是VPN的基本技术,类似于点对点连接技术,在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、I2TP等。第三层隧道协议是把各种网络协议直接装人隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSee 等。IPSee ( IP security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法、确定服务所使用密钥等服务,从而在IP层提供安全保障。
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用的现有技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
利用虚拟专用网的隧道技术、认证技术和加解密技术,能够在一~种不可信、不安全的网络(如Intemnet)上的两 个单独实体之间建立一条安全的、私有的专用信道。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可靠的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的公用网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上!
虚拟专用网的发展代表了互联网络今后的发展趋势,它综合了传统数据网络的安全和服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道。虚拟专用网具有优异的性价比和网络部署的灵活性等特点,因此它是进行电子商务的一种十分理想的形式,而且它使用的隧道技术、加解密和认证技术可以大大提高电子商务的安全性。
四、存取访问控制技术
在不同的计算机之间实现的资源共享带来了安全上的隐患。如果不实施一定的策略,所有的用户都可以对共享的资源进行任意的访问,这将对系统造成巨大的破坏。因此一个系统必须对用户访问其资源的权利(读、写、修改等)有所限制。防止访问者滥用系统中不属于其权利范围之内的资源而对其权利予以适当地规范,让访问者在适当的授权范围内可以任意地操作计算机的资源,这就是授权度,又称为存取访问控制。它是用来保护计算机资源免于被非法者故意�h除、破坏或更改的一项重要措施。存取访问控制的本质就是对资源使用的限制。
为了有效地实现对资源的存取访问控制,需要制定一定的存取访问策略。存取访问策略是指一套规则,用以确定一个主体是否对客体拥有某种访问能力。存取访问控制策略有多种类型,大致可分为以下两种:自主访问控制策略和强制访问控制策略。
自主访问控制策略是指由客体( 如数据对象)自主地决定每个主体( 如用户)对它的资源的访问权限。操作系统中的文件系统大都采用这种方式,因为自主访问控制策略比较适合操作系统的资源管理特性。但这种方式存在着一个缺点,它能够防止用户对资源的直接访问,但是却避免不了用户利用访问的传递性对资源的间接访问。例如用户A不能访问资源R,但A可以访问B, B同时又能够访问资源R,则A可以通过访问B来达到对R的访问目的。
强制访问控制策略是指通过主体(用户)和客体( 数据对象)安全级匹配原则来确定该主体是否被允许存取该客体。强制访问控制策略支持授权机构。授权机构为主体和客体定义固定的访问属性,只有授权机构才能够修改这些访问权限。例如数据可以被划分为绝密、机密、秘密和一般等几种级别。用户的访问权限也类似的被划分。拥有一定级别的访问权限的用户只能访问级别低的数据。这样一来就不会产生访问传递的现象了。
常见的存取访问控制方式有:存取访问控制矩阵、存取访问控制表、口令方式等。访问控制矩阵的基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理,使用关系数据库来表示控制矩阵。每个关系代表一个主体对每一个客体的访问权限。当主体发出访问某个客体的要求时,系统会在访问控制矩阵中查找主体行所对应的该客体列的值,以判断访问是否合法。访问控制表的基本思想是每个客体各自将能对自已访问的主体信息以列表的形式保存起来,当某个主体对客体进行访问时,根据该客体保存的信息来判断是否允许其访问及主体的访问权限。口令方式是指在主体访问客体时需要提供预先设置的口令。
在电子支付过程中,要采取适当的存取访问控制技术,以保证数据存取系统的安全,这是正常地进行电子支付的前提。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5507.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos第三方支付中的信息身份认证技术
身份认证是信息认证技术中十分重要的内容,它一般涉及两个方面的内容,一个是识别,一个是验证。所谓识别,就是指要明确用户是谁。
