网络支付与结算期末试题总结
1?电子货币的形式;光电卡,磁卡,IC卡等,安全性,读写性,结构之类的方面讨论。
(1 )储值卡型的电子货币:IC电话卡、商场IC消费卡、校园IC卡或公交IC卡等。
(2)信用卡型电子货币:各商业银行发行的贷记卡或准贷记卡。
(3)储蓄卡型:借记卡、电子支票等几种类型。
(4)模拟型:网络游戏币,比特币等。
2?解释网络支付基本模型(每一个参与主体CA、用户、商家、网关、银行的作用、关联):
客户:在In ternet上购买商品,用自己的网络支付工具发起支付;商家:商家根据客户发起的支付指令向中介的金融体系请求获取货币给付;银行:包括客户开户银行与商家开户银行,客户开户行为客户提供网络支付工具,商家将收到的客户支付指令提交给其开户行,由开户行进行支付授权的请求以及进行商家开户行与客户开户行之间的清算等工作;
支付网关:是In ternet公用网络支付平台和银行内部的金融专用网络平台之间的安全接口。银行专用网络:是银行内部及银行间通信的专用网络,不对外开放,具有很高的安全性;认证中心:确认网上商务参与者的相关信息。
3?网络支付中遇到的安全问题及解决对策。安全问题:身份的真实性,信息的完整性,不可否认性与数据保密性;解决对错:(1)技术方面的对策:数据加密,通过一定的加密算法,用密钥对敏感信息进行加密;数字签名,是公开密钥加密技术的一种,应用散列函数;安全协议,目前比较通用的电子支付安全协议又SET与SSL
(2)法制方面的对策:加强对网上银行和第三方支付机构等相关组织的监管;
(3 )管理方面的对策:各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的借口。
4?双重签名及原理;2.解释密钥协商(数字信封);与SSL比较。
(1)双重签名是SET中引入的一个重要的创新,它可以巧妙地把发送给不同的接收
者的两条消息联系起来,而又很好地保护了消费者的隐私。
原理:生成过程:?客户用Hash函数对订购信息和支付信息进行散列处理,分别得到订购信息的消息摘要和支付信息的消息摘要?将两个消息摘要连接起来再用Hash函数进行散列处理,得到支付订购消息摘要。?客户用他的私钥加密支付订购消息摘要,最后得到的就是经过双重签名的信息。
使用及验证过程:1)客户将"订购信息+支付信息的消息摘要+双重签名”发给商家,将“支付信息+订购信息的消息摘要+双重签名”发给银行;2)商家和银行对收到的信息先生成摘要,再与另一个摘要连接起来,如果它与解密后的双重签名(利用客户的公钥)相等,就可确定消息的真实性。然商家看不到顾客账户信息、银行不知道客户的购买信
息,但都可确认另一方是真实的。
(2)密钥协商:两个或多个实体协商,共同建立会话密钥,任何一个参与者均对结果
产生影响,不需要任何可信的第三方(TTP)。
(3)数字信封:数字信封是将对称密钥通过非对称加密(即:有公钥和私钥两个)的结果分发对称密钥的方法。在数字信封中,信息发送方采用对称密钥来加密信息内容,然后将此对称密钥用接收方的公开密钥来加密(这部分称数字信封)之后,将它和加
密后的信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,
然后使用对称密钥解开加密信息。
(4)1 )在认证要求方面,早期的SSL并没有提供商家身份认证机制,不能实现多方认
证;SET的安全要求较高,所有参与SET交易的成贝(持卡人、商豕、发卡仃、收单仃和支
付网关)都必须申请数字证书进行身份识别。
2)在安全性方面,SET协议规范了整个商务活动的流程,最大限度地保证了商务性、服务
性、协调性和集成性,而SSL只对持卡人与商店端的信息交换进行加密保护,因此SET的安全性比SSL高。
3)在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网
络上其他各层也有涉及。
4)在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET但如果电子商务应
用是一个涉及多方交易的过程,则使用SET更安全、更通用些。
5?数字现金的匿名性:
匿名性:即数字现金应该像现金一样可以实现匿名性,在电子商务交易中保护用户的个人隐私不被随意获得;
同时,数字现金还应具有可控匿名性,即数字现金应该具备在一定条件下,可以追溯到用户的特征,以防不法分子重复使用或利用数字现金进行洗钱等犯罪活动。
实现匿名可控的技术有两种:第一种,使用可信第三方TTP进行数字现金匿名性托管,
这种方式中,TTP有无限匿名撤销能力,并且撤销活动是用户无法检测的;第二种,不使用TTP的可审计匿名可控数字现金,这种方式是完全匿名性和无限匿名撤销性的折衷,并且,一些可审计数字现金还支持用户自主发起的撤销匿名。