《网上支付安全技术》PPT课件.ppt

第7章 网上支付安全技术,学习目标： 1、了解结构体系 2、理解一些基本概念 3、掌握网上支付安全技术 的基本知识,7.1网上支付安全概述,7.1.1 网上支付的安全风险 风险来源有： 1）来自互联网的威胁 2）来自内部网的威胁 3）来自黑客的攻击的威胁 4）来自网络病毒的威胁,7.1.2 网上支付的安全要求,1、数据机密性 2、身份认证性 3、数据完整性 4、不可抵赖性,7.2 信息加密技术概述,7.2.1 对称加密技术 1、对成加密技术原理,P明文,P明文,加密器 Ek,解密器 Dk,密钥生成器,密钥,密文,2、对称加密技术算法 1）数字加密标准 1971年推出 NBS标准，1976年推 出DES标准 2）IDEA算法 密钥长128位。 3、对称密码加密技术的优缺点 优点：效率高，算法简单，开销小， 速度比较快。 缺点：发方和收方预先共享秘密密钥 多密钥的管理很困难，有安全 隐患，难以解决数字签名验证 的问题。,7.2.2 公开密钥加密技术,1、公钥加密技术原理,密钥对,此法有三个特点：就是非对称。,2、公钥加密算法 1)RSA算法 2)DSA算法 3、公钥加密技术的优缺点 优点：分配简单，保存量少，可完成数 字签名和数字鉴别。 缺点：产生密钥麻烦，受素数限制，一 次一密。 安全性。破译威胁。 速度太慢。为了保证安全，要求 600位以上。,7.2.3 PKI加密技术概述,1、PKI简介 是采用证书进行公钥管理，通过第三方的可信机构认证，在互联网上验证数据的安全性传输。 2、PKI组成 包括有PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用。 3、PKI标准 PKI的标准定义，是由RSA标准合作框架。 使用SSL安全协议支持。,数字加密技术,为了保证信息在网上传输过程中不被篡改，必须对所发送的信息进行加密。 例如：将字母a，b，c，d，e， x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，Y，Z，A，B分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。,1、对称密钥密码体系,对称密钥密码体系(Symmetric Cryptography)又称对称密钥技术。 对称密钥密码体系的优点是加密、解密速度很快(高效)，但缺点也很明显：密钥难于共享，需太多密钥。,2、 非对称密钥密码体系,非对称密钥密码体系(Asymmetric Cryptography)也称公开密钥技术。 非对称密钥技术的优点是：易于实现，使用灵活，密钥较少。 弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。,7.3 数字信封, “数字信封”(也称电子信封)技术。 具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。,数字签名和数字指纹,采用数字签名，应该确定以下两点： 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。 保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。,数字指纹 Hash编码法采用单向Hash函数将需加密的明文“摘要”成一串128位的密文，这128位的密文就是所谓的数字指纹，又称信息鉴别码（MAC，Message Authenticator Code），它有固定的长度，且不同的明文摘要成不同的密文，而同样的明文其摘要必定一致。数字指纹的应用使交易文件的完整性（不可修改性）得以保证。,数字签名,数字签名技术就是把理论上的非对称密码体系实现数字签名和数字指纹结合起来,形成了实用的数字签名。实现数字签名的过程如下：,现数字签名的过程如下： 被发送的报文用Hash算法加密产生128位的数字摘要。在数学上保证，只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。 发送方用自己的私用密钥对摘要再加密，就形成了数字签名。 将原报文和加密的摘要同时发送给接收方。 接收方用发送方的公共密钥对摘要解密，同时对收到的原文用Hash算法加密产生又一摘要。 将解密后的摘要和收到的原文在接收方重新加密产生的摘要相互对比。如果两者一致，则说明报文确实来自所称的发送者，并且在传送过程中信息没有被破坏或修改过。,7.4 认证中心CA,认证中心，又称为证书授证(Certificate Authority)中心，是一个负责发放和管理数字证书的权威机构。 认证中心的作用 证书的颁发； 证书的更新； 证书的查询； 证书的作废； 证书的归档。,7.4.1 中国金融认证中心概况,为了保证互联网电子交易及支付的安全性、保密性、真实性和不可否认性，防范交易及支付过程中的欺诈行为，必须建立一种信任机制，使交易及支付各方能够确认其他各方的身份，这就要求有参加电子商务的各方必须一个可以被验证的身份标识，即数字证书。同时通过证书传递密钥，解决信息传输的加密问题。,由中国人民银行牵头，有12家商业银行共同建设的中国金融认证中心。它是由中人民银行和国家信息安全管理机构审批成立的能够全面的支持电子商务安全支付业务的专业的信任服务机构。 作为权威、公正机构，基于以PKI技术为基础的公钥技术，通过发放数字证书为网银、电子商务、电子政务提供安全保障。 是1999年2月26日项目建设启动，2000年1月19日发放第一批Non-SETCT系统试验证书。SET系统的于2000年3月30日试发了第一批证书。5月10日发生了一笔大额的交易，保证了其安全性。2000年6月29日开始对社会各界提供证书服务。,7.4.2 数字证书,1、什么是数字证书 数字证书就是网络通讯中标识通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件 2、证书的格式：遵循ITU X.509国际标准。,一个标准的X.509数字证书包含以下一些内容： 证书的版本号； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法标识符； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，生效日期-失效日期，每次都要检验是否在有效期内； 证书持有者的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的数字签名。 证书持有唯一标识符; 签名值：签发机构对证书上述内容的签名。,3、CRL格式 是证书废除列表，任何一个证书废除，证书机构CA会通过发布CRL的方式来通知各个相关方。其包含格式： CRL的版本号 签名算法 证书签发机构名 签发时间 用户公钥信息 签名算法 签名值,4、证书存放 数字证书作为一种电子数据格式，可以直接从网上下载，也可以通过其他方式。 使用IC卡存放用户证书； 用户证书直接存放到硬盘上或终端上 另外，CRL一般通过网上下载的方式存储在用户端。,数字证书的三种类型,个人证书 它仅仅为某一个用户提供数字证书。 企业（服务器）数字证书 它通常为网上的某个Web服务器提供数字证书。 软件（开发者）数字证书 它通常为因特网中被下载的软件提供数字证书。,数字证书原理简介 数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。,数据加密解密、身份认证流程图,A用户先用Hash算法对发送发信息（即“明文”）进行运算，形成“信息摘要”，并用自己的私人密钥对其加密，从而形成数字签名。 A用户再把数字签名及自己的数字证书附在明文后面。 A用户随机产生的对称密钥（DES密钥）对明文进行加密，形成密文。 为了安全把A用户随机产生的对称密钥送达B用户，A用户用B用户的公开密钥对其进行加密，形成了数字信封。这样A用户最后把密文和数字信封一起发送给B用户。 B用户收到A用户的传来的密文与数字信封后，先用自己的私有密钥对数字信封进行解密，从而获得A用户的DES密钥，再用该密钥对密文进行解密，继而得到明文、A用户的数字签名及用户的数字证书。 为了确保“明文”的完整性，B用户把明文用Hash算法对明文进行运算，形成“信息摘要”。 同时B用户把A用户的数字签名用A用户的公开密钥进行解密，从而形成另一“信息摘要1”。 B用户把“信息摘要”与“信息摘要1”进行比较，若一致，说明收到的“明文”没有被修改过。,7.4.3 数字证书的申请、颁发 1、 个人数字证书的申请 个人数字证书介绍 可以利用个人数字证书来发送签名或加密的电子邮 件。 个人数字证书分为二个级别 第一级数字证书，仅仅提供电子邮件的认证，不对 个人的。 真实姓名等信息认证； 第二级个人数字证书提供对个人姓名、身份等信息 的认证。 个人数字证书的获得 当个人数字证书申请后，认证中心对申请者的电子 邮件地址、个人身份及信用卡号等信息进行核实， 通常在三五天内即可颁发数字证书。,2、服务器数字证书的申请 Web服务器证书的作用：验证Web服务器的真实性。 (1)服务器数字证书的情况分析 服务器数字证书的可信度是建立在： 对管理和操作该服务器的组织或单位的进行必要的信用调查； 接受数字证书操作的严密规范； 强有力的技术支持，例如，难以破解的加密技术； 设备的高可靠性。,(2)服务器数字证书的验证内容 企业（或组织）情况介绍； 合作伙伴情况； 营业执照； 纳税证明。 (3)认证服务器的建立 为服务器生成一个密钥对； 向认证中心提出安装服务器数字证书的请 求； 安装服务器数字证书； 配置和激活服务器的安全机制。,7.4.4 数字证书的申请操作和使用,1、个人数字证书申请的操作 打开浏览器，在地址栏里输入，选择用户服务，并进入上海热线用户证书中心。点击“下一步下载根证书”，这时出现新页面。,点击“下载根证书”按钮，这时出现“文件下载”的对话框。选择在文件的当前位置打开，单击“确定”后出现一个“新站点证书”的对话框。 单击“确定”后，出现一个对话框“是否将下列证书添加到根存储器中”。选择“是”，根证书便下载完毕并自动装入浏览器中。,查看个人证书的情况,浏览器“查看” “Internet”选项 “内容” “证书”“个人(P)”。 选定证书按“查看证书”即可。,递交个人数字证书申请,在上海热线用户中心页面上点击超级链接“申请数字证书”。出现：证书申请责任书的文本框。,按“接受”按钮进入用户信息表，在表中填写用户个人信息。 填写完毕后，选择“立即申请”按钮,个人数字证书的使用,选择“工具”菜单中的“帐号(A)”选项，选定您已申请过数字证书的E-mail地址，单击“属性”按钮，可以查看其属性；选择“安全”选项卡: 单击“数字标识”按钮，从证书列表中选择与E-mail地址相对应的证书作数字标识。,签名邮件,使用申请过数字证书的E-mail地址发送电子邮件时，只要单击“数字签名邮件”按钮，在信的右上角将会出现一个签名的标记，收件人便可以确认该邮件确实由您发出。,2、下载对方的数字证书,在地址栏里输入进入上海热线用户证书中心，点击“下一步下载根证书”然后进入下一个页面，点击超级链接“下载对方数字证书”。输入对方的E-mail地址后，按“开始下载”。,在下载时请选择在“文件的当前位置打开”并确定，系统将自动执行对方的数字证书的安装过程，在此过程中，可以看到有关该证书的以下信息： 点取“通讯簿”选项卡，选择“添加到通讯簿”，对方的E-mail地址连同数字证书便加入了您的通讯簿。,3、 个人数字证书的废除,进入上海热线用户证书中心页面，点击超级链接“作废您的数字证书”。输入您要废除证书的Email地址，按“开始作废”。输入密码和确认密码后，按“立即作废”：,7.5 安全网上支付协议概述,7.5.1 SSL协议机制 1.SSL协议简介 SSL采用公开密钥技术，可在服务器和客户机两端同时实现支持