网络支付与安全

电

子

商

务

网

络

支

付

与

安

全

姓名：***

班级：营销104

1

学号：201004024430

1中国工商银行在网络支付服务中是如何应用数字证书工具的 ？由哪个CA认证中心提供服务？这样运作有没有问题？

USBKey客户证书技术是2003年由工商银行率先推出的，并已经获得了国家专利，可以真正确保网上银行的安全性。客户信息一经下载到USBKey客户证书的智能芯片内，便是唯一的不可复制的身份证明。网上所有涉及账户资金的对外转移都必须事先通过USBKey客户证书才能进行，从而有效地防范包括“假网站”和“木马”病毒在内的各类可能的风险。只要网银客户装备了USBKey客户证书，就可以一劳永逸的放心使用网上银行进行无限额的对外支付。个人网上银行USBKey客户证书（U盾）是一个带智能芯片、形状类似于闪存（即U盘）的实物硬件，是专门用于网上银行的安全通行证。现在，您只需到工行的任意一家营业网点开通个人网上银行并申请U盾，即可轻松拥有一个属于自己的安全证书，享受“金融@家”的全部服务。

拥有工行牡丹卡（灵通卡、信用卡、贷记卡或理财金卡）的客户均可携带本人有效证件到柜台注册成为网上银行客户并申请使用U盾。 申请U盾后，您可以委托柜台代理下载个人证书信息到U盾。也可以登录工行个人网上银行，进入客户服务->个人客户证书自助下载功能，完成证书信息下载。下载前请确保U盾已连接到电脑USB接口上。如果下载不成功，请到柜台办理。下载完成后即可正常使用U盾。若您不慎遗失U盾，为保证您网上银行账户的安全，请立即到当地工行理财网点申请冻结证书。经再次确认U盾确实丢失后，您可以申请更换证书。申请生效后，您可以自助在个人网上银行用新的凭证号下载证书，也可让银行柜员代劳。理财金客户和普通客户更换证书均实时生效。

U盾管理具的使用说明

2

金邦达U盾用户管理工具可以完成以下功能：1）检查硬件连接；2）校验口令；3）修改口令；4）查看U盾中的证书。

打开金邦达工具箱：开始 -> 程序 -> 工行个人（企业）网上银行证书工具软件->金邦达２００６ ->工具箱。

（1）检查硬件

连接

从开始菜单中打开金邦达工具箱，如图a，点击连接，界面状态变为图2，下方显示读卡器类型，说明硬件连接成功。

图a

3

图b

（2）校验口令（证书密码）

打开金邦达工具箱，在菜单中点击“证书密码”，选择“校验”，在弹出的口令窗口中输入口令后点“确定”。

4

（3）修改证书密码

打开金邦达工具箱，在菜单中选择点击“证书密码”，选择“修改”，在弹出的修改口

5

令窗口中按照提示输入旧口令和新口令后点“确定”。

输入旧口令，如果您还没有修改过口令，旧口令是下载证书时工行提供的口令，默认口令为“12345678”。并输入新的口令两遍。点击确认。

修改口令成功。如图：

6

注意：旧口令输入六次错误后，会将key锁住。密码的字符数量从6位到8位。

（4）查看证书

打开金邦达工具箱，在菜单中点击“证书”，在弹出的口令窗口中按照提示输入口令后点“确定”。

7

工行的数字证书是verisign 提供的。

2在基于SSL安全协议机制的信用卡网络支付中，是如何应用本章所述的系列安全技术的？

综合用到了对称密钥加密法、公开密钥加密法、数字签名和数字证书等安全保障手段。目前几乎所有操作平台上的Web浏览器以及流行的Web服务器都支持SSL协议。因此使

8

得使用该协议既便宜，开发成本也很小,应用简单（无需客户端专门软件）.

许多知名企业的Intranet和Internet网络产品均支持SSL协议。其中包括Netscape，Microsoft，IBM，OpenMarket等公司提供的支持SSL的客户机和服务器产品，如IE和Netscape浏览器，IIS，Domino Go Web Server，Netscape Enterprise Server和Appache等。

目前，中国的招商银行，工商银行等信用卡网络支付均采用了SSL协议机制。

单向认证：又称匿名SSL连接，是SSL安全连接的最基本模式。它便于使用，主要的浏览器都支持这种方式，适合单向数据安全传输应用。在这种模式下客户端没有数字证书，只是服务器端具有证书，认证用户访问的是自己要访问的站点。典型的应用是用户进行网站注册时采用ID＋口令的匿名认证，即过去网上银行所谓的“大众版”。该方式在互联网上极易被黑客用木马程序所窃取。

近几年网上银行出现的许多安全问题，都是由于黑客十分了解ID＋口令的脆弱性和易攻破性。他们采用木马程序、“网上钓鱼”等手段窃取用户的网上身份。

双向认证：是对等的安全认证，通信双方都必须安装数字证书，他们可以发起和接收SSL连接请求。通信双方可以利用安全应用程序（控键）或安全代理软件，来完成双方对等的安全认证。前者一般适合于B/S结构，而后者适用于C/S结构。安全代理相当于一个加密/解密的网关，这种模式双方皆需安装证书，进行双向认证。在此要强调的证书介质一定要安装在USB-KEY安全智能介质中，不能以“文件证书”存放。

1. SSL协议在网上银行的应用

9

网上银行是借助于互联网数字通信技术，向客户提供金融信息发布和金融交易服务的电子银行，它是传统银行业务在互联网上的延伸，是一种电子虚拟世界的银行。网上银行业务和运营模式与传统银行运营模式有很大区别，其服务对象和业务范围涵盖了银行的所有对公业务（B2B）和对私业务（B） 。此外，它还利用互联网的特点对传统银行业务有所创新。

网上银行基于互联网，采用SSL协议将客户与银行连接起来，实现客户端与网银服务器网关的端对端的连接。按上述SSL握手协议和记录协议的原理，客户与网上银行之间形成一个安全管道，进行客户与网银之间的证书交换，交易数据的加密，实现身份认证与交易的数字的签名。

数字证书是可信的、权威的第三方认证机构CA所签发，它是网上身份、虚拟世界身份的证明。证书的存放介质一定要采用USB-KEY，它是一种CPU智能卡，内存密码算法、公钥证书及其对应的私钥，其内容不可拷贝。但是，存放在硬盘中的“文件证书”存在被黑客攻击的风险。

首先，利用它实现网上身份认证，根据交易的模式B2B或B进行单向或双向认证。认证时，客户端与服务器端由安全应用软件，按需求分别向第三方认证机构 CA的目录服务器，利用LDAP轻型查询协议去查询证书的有效期或黑名单CRL，以证明双方身份的真实性，即完成网上身份的识别与鉴别。

其次，利用数字证书完成网上交易数据的加密传输与数字签名。网上交易数据要经过客户与银行的双方数字签名，才能达到交易的不可否认性，符合《电子签名法》的要求。数据电文一旦签名，即不可改动，如果被改变，则可被发现。

10

数字签名的验签是接收方利用发放的公钥，解密用其私钥加密的交易数据电文的杂凑值；然后，收方再利用同样的杂凑算法，对交易原数据作杂凑运算，得出一个新的杂凑值。二杂凑值作比较运算，比较结果相等，证明签字是可靠的，验证通过。

11