电子支付的安全保障2【教学目标与要求】1.了解电子支付的安全风险,掌握电子支付的相关安全需求;2.了解保障支付安全的多种技术;3.掌握对称技术原理;4.掌握非对称加密技术原理;5.了解数字签名的概念及原理;6.掌握数字证书的主要内容及其实现技术;7.了解数字摘要、数字时间戳等安全技术;第六讲支付安全技术3第六讲支付安全技术【知识架构】【重要术语】密码技术;数字签名;数字证书;CFCA;PKI;CA;SSL;SET;第六讲支付安全技术6.1电子支付安全概述来自银行合作单位的安全隐患6.1.1电子支付的安全隐患6.1电子支付安全概述电子支付系统安全需求保密性可靠性完整性可用性抗否认性所谓防火墙就是指综合采用适当技术在被保护网络周边建立的用于隔离被保护网络与外部网络的系统。InternetServer内部网6.2电子支付安全相关技术6.2.1安全防范技术1.防火墙技术6.2电子支付安全相关技术2.虚拟专用网技术虚拟专用网(VirtualPrivateNetworking,VPN)指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。VPN采用的主要技术有哪些?隧道技术(Tunneling)身份认证技术(Authentication)加解密技术(Encryption&Decryption)密钥管理技术(Keymanagement)6.2电子支付安全相关技术3.存取访问控制技术常见的存取访问控制方式存取访问控制表存取访问控制矩阵口令方式6.2电子支付安全相关技术6.2.2数据加密技术1.对称加密技术又称秘密密钥、私有密钥,用且只用同一个密钥对信息进行加密和解密。对称密钥密码体系的优点是加密、解密速度很快(高效),但缺点也很明显:密钥难于共享,需太多密钥。目前比较著名的对称密码加密算法有:DES和IDEA明文密文密文明文加密解密密钥传输发送方接收方6.2电子支付安全相关技术2.非对称加密技术非对称密钥密码体系也称公开密钥技术。非对称密钥技术的优点是:易于实现,使用灵活,密钥较少。弱点在于:要取得较好的加密效果和强度,必须使用较长的密钥。接收方公钥明文密文接收方私钥密文明文加密解密密钥对传输发送方接收方12.2电子支付安全相关技术6.2.3身份认证技术123基于口令的身份认证基于物理证件的身份认证基于人体生物学特征的身份认证12.2电子支付安全相关技术6.2.4数字认证技术又称数字指纹、Hash编码法,能保证信息传输的完整性。发送方原文Hash算法摘要对比接收方原文摘要摘要Hash算法互联网6.2电子支付安全相关技术6.2电子支付安全相关技术数字信封:是用加密技术来保证只有规定的特定收信人才能阅读信的内容。基本原理:发送者使用随机产生的对称密钥加密数据,然后将生成的密文和密钥本身一起用接收者的公开密钥加密,加密的对称密钥称为数字信封,将密文及加密后的密钥发送给接收者;接收者先用自己的私钥解密数字信封,得到对称密钥,然后使用对称密钥解密数据。6.2电子支付安全相关技术数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限,是一个经证书授权中心CA(CertificateAuthority)数字签名的、包含证书申请者个人消息及其公开密钥的文件。123个人证书(PersonalDigitalID)企业(服务器)证书(ServerID)软件(开发者)证书(DeveloperID)6.2电子支付安全相关技术1.证书的版号2.证书的序列号3.证书拥有者的姓名4.证书拥有者的公共密钥5.公共密钥的有效期6.证书的有效期7.颁发证书的单位CCTTT.509国际标准,X.509数字证书包含6.3PKI技术6.3.1什么是PKIPublicKeyInfrastructure(PKI)......是硬件、软件、人员、策略和操作规程的总和,它们要完成创建、管理、保存、发放和废止证书的功能PKI基于公开密钥加密算法来保证网络通讯安全PKI是一个用公钥技术来实施和提供安全服务具有普适性的安全基础设施.它的目标是为所有应用提供统一规范的安全服务.遵循一定规则建立的PKI,提供信息安全服务,能够节省费用,提高效率,简化管理,降低复杂性,提高可靠性.6.3PKI技术什么是PKI6.3PKI技术PKI的组成一个典型的PKI系统中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。PKI应用证书机构CA注册机构RA证书发布系统PKI策略软硬件系统一个新用户申请证书获取用户的身份信息进行证书废止检查检查证书的有效期校验数字证书解密数据证书下载到用户本地审核通过的注册请求发送给CA证书同时要被发布出去应用程序通过证书:RA系统审核用户身份发送注册信息给RACA为用户签发证书下载凭证...RA将证书下载凭证发放给用户PKI系统如何工作CARA使用数字证书的用户之间通过CA(一个可信的第三方)来建立信任关系ApplicationsandotherusersDirectory提交证书申请请求PKI提供的基本服务认证采用数字签名技术,签名作用于相应的数据之上数据源认证服务身份认证服务完整性PKI采用了两种技术数字签名:既可以是实体认证,也可以是数据完整性MAC(消息认证码):如DES-CBC-MAC或者HMAC-MD5PKI提供的基本服务保密性用公钥分发随机密钥,然后用随机密钥对数据加密不可否认发送方的不可否认——数字签名接受方的不可否认——收条+数字签名6.4安全协议6.4安全协议SET协议客户、商家、支付网关认证中心和网上银行必须在银行网络、商家服务器、客户机上安装相应的软件,而不是象SSL协议可直接使用,因此增加了许多附加软件费用。要求使用电子钱包进行付款,必须先下载电子钱包软件,操作复杂,耗费时间;每天交易无限额,利于购买大宗商品;由于存在着验证过程,因此支付缓慢,有时还不能完成交易。安全需求高,因此所有参与交易的成员都必须先申请数字证书来认识身份;保证了商家的合法性,并且客户的信用卡号不会被窃取,使其在结购物和支付更加放心。参与方费用便捷性安全性SSL协议客户、商家和网上银行已被大部分Web浏览器和Web服务器所内置,因此可直接投入使用,无需额外的附加软件费用。使用过程中无需在客户端安装电子钱包,因此操作简单;每天交易有限额规定,因此不利于购买大宗商品;支付迅速,几秒钟便可完成。只有商家的服务器需要认证,客户端认证则是有选择的;缺少对商家的认证,因此客户的信用卡号等支付信息有可能被商家泄漏。项目SSL协议SET协议工作层次传输层与应用层之间应用层是否透明透明不透明过程简单复杂效率高低安全性商家掌握消费者PI消费者PI对商家保密认证机制双方认证认证多方是否专为EC设计否是补充:3D协议3D协议3D安全协议涉及5个实体,包括持卡人、发卡行、商户、收单行和VISA组织。3D安全协议将这5个实体逻辑地分到3个域中。其中,发卡机构域指发卡行和持卡人;中间运行域是使发卡机构域和收单机构域在全球范围内协同运行的系统和功能设施;收单机构域指收单行和商户。3D安全协议中一个重要的组成部分是发卡行认证服务器——访问控制服务器ACS。持卡人发卡机构访问控制发卡机构域中间操作域收单机构域商户收单机构收单机构支付网关VISA目录服务器插件历史验证VISANET(1)(2)(3)(4)(5)(6)(7)(8)(9)(12)(13)(10)(11)(14)(1)持卡人登陆商户网站,浏览商品,输入口令及卡号,输入订购信息及支付信息。(2)商户软件插件通过VISA的目录服务器检查卡号所示的发卡机构是否参与了3D安全协议。(3)VISA目录服务器将卡号传送给发卡机构的访问控制服务器,通过发卡机构检查认证该卡是否已参与3D安全协议。(4)发卡机构的ACS确认该卡是否已参与3D安全协议。(5)VISA目录服务器将发卡机构的ACS的地址告知商户插件。(6)商户插件将持卡人浏览器定位到ACS,同时附上交易信息待持卡人进一步确认。(7)发卡机构的ACS要求持卡人输入用户名和密码。(8)持卡人向发卡机构中输入用户名和密码。(9)发卡方的ACS验证密码,产生回应信息,然后将客户重新定位向商户插件;与此同时将有关信息发送给VISA的历史验证服务器。(10)商户将交易信息提交给收单机构。(11)收单机构向发卡机构要求授权。(12)发卡机构通过VISANET向收单机构发送授权(这里的交易流与传统刷卡交易一样)。(13)收单机构将交易回应信息返回到商户。(14)商户确认交易并向持卡人提供收据。6.5中国金融认证中心6.5.1CFCA的组成部分CA服务器证书下载中心目录服务器密钥管理中心证书注册机构OCSP服务器CFCA6.5中国金融认证中心6.5.2CA的组成结构6.5中国金融认证中心6.5.3CFCA的证书个人证书企业证书安全电子邮件证书VPN设备证书手机证书Web服务器证书6.5中国金融认证中心6.5.4CFCA的功能1.证书的申请2.证书的审批3.证书的发放4.证书的归档5.证书的撤销6.证书的更新7.证书撤销列表的管理功能9.CA自身密钥的管理8.CA的管理37第六讲支付安全技术【习题】一、选择题1.在采用RSA公开密钥加密系统中,若A想给B发送一封邮件,并且想让B知道邮件是A发出的,则A应该选用的加密密钥是()。A.A的公钥B.B的公钥C.A的私钥D.B的私钥2.非对称加密将密钥被分解为一对密钥,即()。A.一把公开的加密密钥和一把公开的解密密钥B.一把秘密的加密密钥和一把公开的解密密钥C.一把公开的加密密钥和一把秘密的解密密钥D.一把公开密钥或加密密钥和一把专用密钥或解密密钥3.SET协议通过()算法和()算法的结合使用,保证了数据的一致性和完整性,并可实现交易以预防抵赖。A.DESB.RSAC.MD5D.RC2E.RC34.CFCA体系中证书的发放包括()和()。A.离线方式B.在线方式C.人工发放D.银行发放E.个人申请5.CA认证体系的实体大致可分为以下几部分:接收用户证书申请的证书受理者(),证书发放的审核部门(),证书发放的操作部门(),记录撤销证书的证书撤销表()。A.CAB.CPC.CRLD.RAE.RS38第六讲支付安全技术【习题】二、简答题1.简述网上支付可能存在的安全问题。2.认证中心有哪些主要的职能?3.简述数字签名的概念及其作用。4.在CFCA体系中,目前支持哪些类型的证书?5.保障网上支付安全的技术有哪些?END