电子金融与网络安全

第三章电子金融与网络安全•第一节电子金融与网络安全问题的提出•第二节防火墙技术•第三节加密技术•第四节数字认证技术•第五节电子金融活动的安全标准•相关重要事件–2005年4月1日中国颁布《电子签名法》，《电子服务认证管理》–王小云的算法破译–英国商业银行的安全问题–上海信息委项目/ebay的公关及电子商务法•第一节电子金融与网络安全问题的提出–1979年，凯文•米特尼克和他的伙伴侵入了北美空防指挥部–1988年的莫里斯蠕虫（MorrisWorm）–1994年，俄罗斯黑客弗拉基米尔·利文从CITYBANK银行窃取1100万美元–1996年9月18日，黑客光顾美国中央情报局的网络服务器，将其主页由“中央情报局”改为“中央愚蠢局”–2001年5月1日，中美五一黑客大战–2001年7月19日，爆发红色代码•25年中的8大病毒之一.“红色代码”利用了微软软件中的一个漏洞，是最早的网络蠕虫之一。由于“红色代码”只需要一个网络连接，而无需用户打开电子邮件附件，所以它的传播速度更快，传播范围也更广。从7月18日午夜大规模爆发.到8月初第二代变种登陆我国,红色代码“战染辉煌’:美国加州的调查机构ComputerEeonomies的统计表明.[!前美国用户因此遭受的损失已经达到了20亿美元;日本也至少有200个计算机系统受到感染.–2001年9.11一星期后尼姆达爆发–2003年8月11日RPCDCOM蠕虫•部分网站被黑截图•“红色代码”的蔓延速度•“红色代码”的蔓延速度•8小时之后•安全问题的提出–Internet天生的安全缺陷•开放性•技术缺陷•信息孤岛–Grid技术•“网格可以称作第三代互联网，其主要特点是不仅包括计算机和网页，还包括各种信息资源，如数据库、软件以及各种信息获取设备等都连接成一个整体”（中科院，李国杰院士）。•金融网络安全的威胁来源–Internet–Intranet–黑客攻击–网络病毒•网络攻击的动机–偷取国家机密–商业竞争行为–内部员工对单位的不满–对企业核心机密的企望–网络接入帐号、信用卡号等金钱利益的诱惑–利用攻击网络站点而出名–对网络安全技术的挑战–对网络的好奇心•金融的信息安全隐患–信息的截获和窃取–信息的篡改–信息的假冒–交易抵赖•电子金融交易安全要素–有效性–机密性–完整性–不可否认性•第二节防火墙技术–概念•古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，这种墙因此而得名“防火墙”，主要进行火势隔离。•它是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络–目的•防止不希望的、未授权的通信进出被保护的网络，强化自己的网络安全政策。•第二节防火墙技术–作用•过滤进出网络的数据包；•管理进出网络的访问行为；•封堵某些禁止的访问行为；•记录通过防火墙的信息内容和活动；•对网络攻击进行检测和告警•第二节防火墙技术–防火墙设计原则•过滤不安全服务的原则。–基于这个准则，“没有明确允许的就是禁止的”•屏蔽非法用户的原则。–基于这个准则，“没有明确禁止的就是允许的”•第二节防火墙技术–防火墙体系结构与类型•包过滤型–这种防火墙通过包过滤技术实现对进出数据的控制，其工作在TCP/IP体系结构的网络层。–基本原则是“最小特权原则”•第二节防火墙技术–防火墙体系结构与类型•双宿网关型–即双重宿主主机防火墙，是一种拥有两个连接到不同网络上的网络接口的防火墙。–两种服务方式•用户直接登录•运行代理服务器•第二节防火墙技术–防火墙体系结构与类型•屏蔽子网型–在内部网络和外部网络之间建立一个子网进行隔离，这个子网构造了一个屏蔽子网区域，称之为边界网络（PerimeterNetwork）或非军事区DMZ(De-MilitarizedZone)。–由两个包过滤路由器和一个堡垒主机构成•第三节加密技术–基本知识•M（明文）•C（密文）•加密函数E()•解密函数D()•密钥Ki•19世纪，荷兰人A.Kerckhoffs提出一个密码分析的基本假设：即秘密必须全部隐藏于密钥中，而密码分析者已经知道密码算法–对称密钥密码体系与非对称密钥密码体系•对称密钥密码体系，又称私钥加密体系或单钥加密体系，即加密密钥与解密密钥相同或实质上等同，密钥K须经安全的密钥信道传给接收方•在非对称密钥密码体系下，它使用两个不同的密钥，一个用来加密信息，称为加密密钥；另一个用来解密信息，称为解密密钥。–对称密钥加密算法DES•最著名的对称密码是数据加密标准（DatacryptionStandard,DES）。•1971年，IBM的HorstFeistel研制出Lucifer算法•DES密码在Lucifer密码的基础上进一步发展而成。•1977，美国政府与国家标准局采用该标准。•DES是一种单钥密码算法，是按分组方式工作的密码，即将二进制序列的明文分成64比特/组,用长64比特的密钥对其进行16轮替代和置换加密，最后形成密文。–对称密钥加密算法DES的特点•加、解密速度快，适合大数据量加密–现代的ATM/POS系统多采用此加密算法•密钥管理困难–开放网络交易的特点•交易者多•交易频繁–非对称密钥加密算法RSA•1976年，WhitfiedDiffie和MartinHellman提出非对称密钥密码学，这可以说是整个密码学历史上最大的、也是最根本的一次革命。•最著名的非对称密码是RSA，它因其发明者是Rivest、Shamir、Adleman而命名•它采用与DES截然不同的方法，它基于数学函数而不是替代和置换。•第四节数字认证技术–数字信封•用加密技术来保证只有规定的特定收信人才能阅读信的内容。–数字摘要•由RonRivest设计，采用单向Hash函数对明文文件中若干重要元素进行某种运算得到固定长度的摘要码，也称数字指纹（FingerPrint）•数字摘要Hash算法原文摘要摘要对比？原文摘要InternetHash算法发送方接收方•第四节数字认证技术–数字签名•所谓数字签名，就是只有信息的发送者才能产生的，而别人无法伪造的一段数字串•二种Hash算法：–MD5算法------128位的散列值–SHA算法------160位的散列值–数字时间戳服务（DigitalTime-Stamp）•数字时间戳技术就是对电子文件签署的日期和时间进行安全性保护和有效证明的技术•数字签名过程Hash算法原文摘要摘要对比？原文摘要Internet发送方接收方Hash算法数字签名发送者私钥加密数字签名发送者公钥解密•数字时间戳过程Hash算法原文摘要1加时间数字时间戳Internet用DTS机构的私钥加密发送方DTS机构Hash算法加了时间后的新摘要摘要1摘要1+时间数字时间戳•第四节数字认证技术–数字证书•就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。•数字证书内容：–生物统计学身份识别•通过指纹、虹膜、视网膜扫描以及语音识别等人的物理特性来识别身份–认证中心•认证中心类似于现实生活中公证人的角色。它具有权威性和公正性，是一个普遍可信的第三方。•第四节数字认证技术–认证中心的构成•实例：中国金融认证中心–中国人民银行牵头的CFCA工程在1999年3月29日开始招标，最终签署两份合同：一份由SUN、Entrust、德达公司承建PKICA系统建设工作；另一份由IBM承建SETCA系统建设工作。–中国金融认证中心(CFCA)的基本认证架构如下：•CA中心本身建了三层：–根CA层的目的是为了以后信息扩展，能与其他国家的CA进行交叉认证；–第二层CA，主要是考虑到CFCA发放的是银行业的CA，其他行业如保险、证券业还会建立自己的CA认证中心，因此第二层CA的设立是为了区别国内其他行业的CA证书；–第三层是对银行的最终用户发放的，即对个人和商户以及网站、企业等这样的用户发放的证书。•前两层CA目前都是离线的，只有第三层是在线的，一般不会使用前两层CA认证，只在交叉认证时才用，第三层广泛地用于为最终用户发放证书。•第五节电子金融活动的安全标准–安全套接层协议SSL•SSL（SecureSocketLayer）是由NetscapeCommunication公司开发的，是保证通信安全的国际电子支付安全标准协议，也是国际上最早的一种电子商务安全协议。•SSL处于应用程序与网络平台之间，为网络上应用程序之间的数据传输提供安全保护。•它由“握手协议”和“记录子协议”组成。•第五节电子金融活动的安全标准–安全套接层协议SSL•SSL步骤：–（1）客户通过网络向商家握手，商家回应。–（2）密码交换阶段：客户与商家之间交换双方认可的密码，一般选用RSA密码算法。–（3）会谈密码阶段：客户和商家之间产生彼此交谈的会谈密码。–（4）检验阶段：检验商家取得的密码。–（5）客户验证阶段：验证客户的可信度。–（6）结束阶段：客户与服务商之间相互交换结束的信息。•第五节电子金融活动的安全标准–安全套接层协议SSL•总结：–一是私密性，因为在握手协议定义了会话密钥后，所有的消息都被加密；–二是确认性，因为尽管会话的客户端认证是可选的，但是服务器端始终被认证；–三是可靠性，因为传送的消息包括消息完整性检查。•问题：–缺少了对商家、用户的认证（PKI)–垃圾邮件–偷信用卡号（商家承担损失）•第五节电子金融活动的安全标准–安全电子交易协议SET•1997年由VisaInternational、MasterCardInternational、IBM、Netscape、Microsoft及其他业界主流共同研制的基于Internet进行安全资金支付的技术标准。•主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的•双重签名：•SET协议的简易流程示意图•第五节电子金融活动的安全标准–安全电子交易协议SET•SET总结：–SET的核心技术–主要有公开密钥加密、数字签名、电子信封、电子安全证书等。–SET认证对象–客户、银行、商家、电子货币、CA等。•案例分析一–华为金融网络安全解决方案•作业–进行一次网上交易调查，并描述目前国内使用SET协议和SSL协议应用的交易流程。