网上支付安全技术 (2)

第7章网上支付安全技术学习目标：1、了解结构体系2、理解一些基本概念3、掌握网上支付安全技术的基本知识7.1网上支付安全概述7.1.1网上支付的安全风险风险来源有：1）来自互联网的威胁2）来自内部网的威胁3）来自黑客的攻击的威胁4）来自网络病毒的威胁7.1.2网上支付的安全要求1、数据机密性2、身份认证性3、数据完整性4、不可抵赖性7.2信息加密技术概述7.2.1对称加密技术1、对成加密技术原理P明文P明文加密器Ek解密器Dk密钥生成器密钥密文2、对称加密技术算法1）数字加密标准1971年推出NBS标准，1976年推出DES标准2）IDEA算法密钥长128位。3、对称密码加密技术的优缺点优点：效率高，算法简单，开销小，速度比较快。缺点：发方和收方预先共享秘密密钥多密钥的管理很困难，有安全隐患，难以解决数字签名验证的问题。7.2.2公开密钥加密技术1、公钥加密技术原理KUBP明文加密器Ek密文KRBP明文加密器Ek密文密钥对此法有三个特点：就是非对称。2、公钥加密算法1)RSA算法2)DSA算法3、公钥加密技术的优缺点优点：分配简单，保存量少，可完成数字签名和数字鉴别。缺点：产生密钥麻烦，受素数限制，一次一密。安全性。破译威胁。速度太慢。为了保证安全，要求600位以上。7.2.3PKI加密技术概述1、PKI简介是采用证书进行公钥管理，通过第三方的可信机构认证，在互联网上验证数据的安全性传输。2、PKI组成包括有PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用。3、PKI标准PKI的标准定义，是由RSA标准合作框架。使用SSL安全 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 支持。数字加密技术为了保证信息在网上传输过程中不被篡改，必须对所发送的信息进行加密。例如：将字母a，b，c，d，e，…x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，…，Y，Z，A，B分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。1、对称密钥密码体系对称密钥密码体系(SymmetricCryptography)又称对称密钥技术。对称密钥密码体系的优点是加密、解密速度很快(高效)，但缺点也很明显：密钥难于共享，需太多密钥。2、非对称密钥密码体系非对称密钥密码体系(AsymmetricCryptography)也称公开密钥技术。非对称密钥技术的优点是：易于实现，使用灵活，密钥较少。弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。7.3数字信封“数字信封”(也称电子信封)技术。具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。数字签名和数字指纹采用数字签名，应该确定以下两点：保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。数字指纹Hash编码法采用单向Hash函数将需加密的明文“摘要”成一串128位的密文，这128位的密文就是所谓的数字指纹，又称信息鉴别码（MAC，MessageAuthenticatorCode），它有固定的长度，且不同的明文摘要成不同的密文，而同样的明文其摘要必定一致。数字指纹的应用使交易文件的完整性（不可修改性）得以保证。数字签名数字签名技术就是把理论上的非对称密码体系实现数字签名和数字指纹结合起来,形成了实用的数字签名。实现数字签名的过程如下：现数字签名的过程如下：被发送的报文用Hash算法加密产生128位的数字摘要。在 数学 数学高考答题卡模板高考数学答题卡模板三年级数学混合运算测试卷数学作业设计案例新人教版八年级上数学教学计划 上保证，只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。发送方用自己的私用密钥对摘要再加密，就形成了数字签名。将原报文和加密的摘要同时发送给接收方。接收方用发送方的公共密钥对摘要解密，同时对收到的原文用Hash算法加密产生又一摘要。将解密后的摘要和收到的原文在接收方重新加密产生的摘要相互对比。如果两者一致，则说明报文确实来自所称的发送者，并且在传送过程中信息没有被破坏或修改过。7.4认证中心CA认证中心，又称为证书授证(CertificateAuthority)中心，是一个负责发放和管理数字证书的权威机构。认证中心的作用证书的颁发；证书的更新；证书的查询；证书的作废；证书的归档。7.4.1中国金融认证中心概况为了保证互联网电子交易及支付的安全性、保密性、真实性和不可否认性，防范交易及支付过程中的欺诈行为，必须建立一种信任机制，使交易及支付各方能够确认其他各方的身份，这就要求有参加电子商务的各方必须一个可以被验证的身份标识，即数字证书。同时通过证书传递密钥，解决信息传输的加密问题。由中国人民银行牵头，有12家商业银行共同建设的中国金融认证中心。它是由中人民银行和国家信息 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 机构审批成立的能够全面的支持电子商务安全支付业务的专业的信任服务机构。作为权威、公正机构，基于以PKI技术为基础的公钥技术，通过发放数字证书为网银、电子商务、电子政务提供安全保障。是1999年2月26日项目建设启动，2000年1月19日发放第一批Non-SETCT系统试验证书。SET系统的于2000年3月30日试发了第一批证书。5月10日发生了一笔大额的交易，保证了其安全性。2000年6月29日开始对社会各界提供证书服务。7.4.2数字证书1、什么是数字证书数字证书就是网络通讯中标识通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件2、证书的格式：遵循ITUX.509国际标准。一个标准的X.509数字证书包含以下一些内容：证书的版本号；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法标识符；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，生效日期----失效日期，每次都要检验是否在有效期内；证书持有者的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的数字签名。证书持有唯一标识符;签名值：签发机构对证书上述内容的签名。3、CRL格式是证书废除列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ，任何一个证书废除，证书机构CA会通过发布CRL的方式来通知各个相关方。其包含格式：CRL的版本号签名算法证书签发机构名签发时间用户公钥信息签名算法签名值4、证书存放数字证书作为一种电子数据格式，可以直接从网上下载，也可以通过其他方式。使用IC卡存放用户证书；用户证书直接存放到硬盘上或终端上另外，CRL一般通过网上下载的方式存储在用户端。数字证书的三种类型个人证书它仅仅为某一个用户提供数字证书。企业（服务器）数字证书它通常为网上的某个Web服务器提供数字证书。软件（开发者）数字证书它通常为因特网中被下载的软件提供数字证书。数字证书原理简介数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。数据加密解密、身份认证流程图A用户先用Hash算法对发送发信息（即“明文”）进行运算，形成“信息摘要”，并用自己的私人密钥对其加密，从而形成数字签名。A用户再把数字签名及自己的数字证书附在明文后面。A用户随机产生的对称密钥（DES密钥）对明文进行加密，形成密文。为了安全把A用户随机产生的对称密钥送达B用户，A用户用B用户的公开密钥对其进行加密，形成了数字信封。这样A用户最后把密文和数字信封一起发送给B用户。B用户收到A用户的传来的密文与数字信封后，先用自己的私有密钥对数字信封进行解密，从而获得A用户的DES密钥，再用该密钥对密文进行解密，继而得到明文、A用户的数字签名及用户的数字证书。为了确保“明文”的完整性，B用户把明文用Hash算法对明文进行运算，形成“信息摘要”。同时B用户把A用户的数字签名用A用户的公开密钥进行解密，从而形成另一“信息摘要1”。B用户把“信息摘要”与“信息摘要1”进行比较，若一致，说明收到的“明文”没有被修改过。7.4.3数字证书的申请、颁发1、个人数字证书的申请个人数字证书介绍可以利用个人数字证书来发送签名或加密的电子邮件。个人数字证书分为二个级别第一级数字证书，仅仅提供电子邮件的认证，不对个人的。真实姓名等信息认证；第二级个人数字证书提供对个人姓名、身份等信息的认证。个人数字证书的获得当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三~五天内即可颁发数字证书。2、服务器数字证书的申请Web服务器证书的作用：验证Web服务器的真实性。(1)服务器数字证书的情况分析服务器数字证书的可信度是建立在：对管理和操作该服务器的组织或单位的进行必要的信用调查；接受数字证书操作的严密 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ；强有力的技术支持，例如，难以破解的加密技术；设备的高可靠性。(2)服务器数字证书的验证内容企业（或组织）情况介绍；合作伙伴情况；营业执照；纳税证明。(3)认证服务器的建立为服务器生成一个密钥对；向认证中心提出安装服务器数字证书的请求；安装服务器数字证书；配置和激活服务器的安全机制。7.4.4数字证书的申请操作和使用1、个人数字证书申请的操作打开浏览器，在地址栏里输入http://www.sheca.com，选择用户服务，并进入上海热线用户证书中心。点击“下一步下载根证书”，这时出现新页面。点击“下载根证书”按钮，这时出现“文件下载”的对话框。选择在文件的当前位置打开，单击“确定”后出现一个“新站点证书”的对话框。单击“确定”后，出现一个对话框“是否将下列证书添加到根存储器中”。选择“是”，根证书便下载完毕并自动装入浏览器中。查看个人证书的情况浏览器“查看”“Internet”选项“内容”“证书”→“个人(P)”。选定证书按“查看证书”即可。递交个人数字证书申请在上海热线用户中心页面上点击超级链接“申请数字证书”。出现：证书申请责任书的文本框。按“接受”按钮进入用户信息表，在表中填写用户个人信息。填写完毕后，选择“立即申请”按钮个人数字证书的使用选择“工具”菜单中的“帐号(A)…”选项，选定您已申请过数字证书的E-mail地址，单击“属性”按钮，可以查看其属性；选择“安全”选项卡:单击“数字标识”按钮，从证书列表中选择与E-mail地址相对应的证书作数字标识。签名邮件使用申请过数字证书的E-mail地址发送电子邮件时，只要单击“数字签名邮件”按钮，在信的右上角将会出现一个签名的标记，收件人便可以确认该邮件确实由您发出。2、下载对方的数字证书在地址栏里输入http://www.sheca.com进入上海热线用户证书中心，点击“下一步下载根证书”然后进入下一个页面，点击超级链接“下载对方数字证书”。输入对方的E-mail地址后，按“开始下载”。在下载时请选择在“文件的当前位置打开”并确定，系统将自动执行对方的数字证书的安装过程，在此过程中，可以看到有关该证书的以下信息：点取“通讯簿”选项卡，选择“添加到通讯簿”，对方的E-mail地址连同数字证书便加入了您的通讯簿。3、个人数字证书的废除进入上海热线用户证书中心页面，点击超级链接“作废您的数字证书”。输入您要废除证书的Email地址，按“开始作废”。输入密码和确认密码后，按“立即作废”：7.5安全网上支付协议概述7.5.1SSL协议机制1.SSL协议简介SSL采用公开密钥技术，可在服务器和客户机两端同时实现支持。SSL的主要目的是在两个通信应用程序之间提供私密信和可靠性。通过三个元素来完成。1）握手协议2）记录协议3）警告协议2、SSL协议功能1)用户和服务器的合法性认证2）加密数据3）保护数据的完整性3、SSL协议流程它是保证传输的保密性的。传输过程分为六个阶段：建立连接阶段；交换密码；会谈密码；检验阶段；客户认证阶段；结束阶段。4、信用卡在线支付SSL模式简介1）工作流程2）优缺点7.5.2SET协议机制简介协议的目标功能信用卡在线支付SET模式简介7.5.3SSL和SET比较分析