收藏
下载资源

网络金融与支付第七章.

上传人:我** 文档编号:116797083 上传时间:2019-11-17 格式:PPT 页数:69 大小:1.92MB
返回 下载 相关 举报
网络金融与支付第七章._第1页
第1页 / 共69页
网络金融与支付第七章._第2页
第2页 / 共69页
网络金融与支付第七章._第3页
第3页 / 共69页
网络金融与支付第七章._第4页
第4页 / 共69页
网络金融与支付第七章._第5页
第5页 / 共69页
点击查看更多>>
资源描述

《网络金融与支付第七章.》由会员分享,可在线阅读,更多相关《网络金融与支付第七章.(69页珍藏版)》请在金锄头文库上搜索。

1、瞿彭志 主编 袁丽娜 制作 第7章 电子支付的安全与法律 本章学习目的 了解电子支付的风险类型及来源1 了解防火墙相关技术 2 掌握数据加密、数据完整性技术以及数字证书 3 掌握SSL和SET协议 4 了解电子签名法等相关法律 5 了解电子支付的安全管理步骤 6 2 导入案例 银行遭遇黑客攻击事 件 n 2009年,世界多国的银行遭遇黑客攻击,并蒙 受巨额经济损失。 n 1、美银行4000多万用户的数据资料被窃 n 2、澳洲ANZ网上银行遭黑客入侵 n 3、英国破获窃取用户银行信息黑客网站 n 4、黑客入侵香港网上银行 n 5、美国历史上最严重的一起数据泄露案件 n 6、“黑客”入侵银行系统被

2、判刑 n 7、黑客入侵信用卡网络在全球提款近千万美元 3 导入案例 银行遭遇黑客攻击事 件 n 银行、金融机构已成为网络黑客攻击的重点,全 国每年因遭受网络攻击造成的损失就多达70多 亿元,一年有2225个网站、包括104个政府网站 被“黑”,黑客攻击的数量每年都在成倍递增。 n 全球已形成“黑色产业链”,国外一个普通的黑客 一年可收入十几万欧元,远远超过在现实生活中 劳动的回报,因此网络黑客已从最初的个人行为 ,发展为有组织的犯罪。 4 第7章 电子支付的安全与法 律 7.1 电子支付的安全问题 7.2 电子支付安全协议 7.3 电子支付的法律保障 7.4 电子支付的安全管理 5 7.1 电

3、子支付的安全问题 n 711 电子支付的的风险 n 712 电子支付的安全标准 n 713 电子支付的安全技术 6 711 电子支付的的风险 n 1. 电子支付的技术风险 n 2. 系统遭受外来攻击 n 3. 电子支付的交易风险 n 4. 电子支付的法律风险 n 5. 信用风险 7 网上浏览的安全问 题 伪造的网上银行服务器 网上银行服务器 网上银行用户 银行 错误的DNS 或输错网址 窃听 8 7.1.2 电子支付的安全策略 n 1. 电子支付的安全需求 n 2. 电子支付的安全策略 9 713 电子支付的安全技 术 7.1.3.1 防火墙技术 7.1.3.2 数字加密技术 7.1.3.3

4、数字信封 7.1.3.4 数字摘要 7.1.3.5 数字签名 7.1.3.6 数字证书 10 7.1.3.1 防火墙技术 n (1)防火墙简介 n 防火墙是指设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。 n 它是不同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全政策控制(允许、拒绝、 监测)出入网络的信息流,且本身具有较强的抗 攻击能力。 n 它是提供信息安全服务,实现网络和信息安全的 基础设施。 11 图7-1 防火墙逻辑位置示意图 12 (2)防火墙的作用 n 1 ) 防火墙是网络安全的屏障 n 2 ) 对网络存取和访问进行监控审

5、计 n 3 ) 防止内部信息的外泄 13 (3)防火墙的种类 n 1)包过滤型防火墙 n 2)应用代理型防火墙 n 3)状态监测防火墙 14 n 包过滤型防火墙的优点:简洁、速度快、费用低 ,并且对用户透明 n- 已部署的防火墙系统多数只使用了包过滤器路 由器。除了花费时间去规划过滤器和配置路由器 之外,实现包过滤几乎不再需要费用,因为这些 特点都包含在标准的路由器软件中。 n 包过滤型防火墙的缺点 :对网络的保护很有限。 因为它只检查地址和端口,对网络更高协议层的信息 无理解能力。 1)包过滤型防火墙 15 NetRock-1000 网络防火墙 16 图7-3 应用代理型防火墙 17 n (

6、4)防火墙的局限性 n 存在着一些防火墙不能防范的安全威胁, 如防火墙不能防范不经过防火墙的攻击。例如, 如果允许从受保护的网络内部向外拨号,一些用 户就可能形成与Internet的直接连接。另外,防 火墙很难防范来自于网络内部的攻击以及病毒的 威胁。 18 n (5)大型企业网络防火墙应用 服务器 3层交换机 PCPC 集线器 Proxy Mail服 务器 WEB服务器 DNS服 务器 Interne t 图7-4 企业网络结构 19 Interne t 集线器3层交换机 PCPC WINS DHCP 服务器 Mail 服务 器 WEB 服务 器 DNS 服务 器 LANDMZ WAN路由器

7、 图7-5 增加防火墙后的企业网络结构 20 7.1.3.2 数字加密技术 n 密码算法主要分为对称加密算法和非对称加密 算法两大类。 n (1)对称加密算法 n 对称加密算法的是信息发送方用一个密钥对 要发送的数据进行加密,信息的接收方能用同样 的密钥解密,而且只能用这一密钥解密。由于双 方所用加密和解密的密钥相同,所以叫作对称密 钥加密法。 n 最常用的对称密钥加密法叫做DES(Data Encryption Standard)算法。此外,广泛使用 的算法还有3DES、Rc4、Rc5等。 21 (2)非对称密钥加密法 n 公开密钥加密法的加密和解密所用的密钥不同,所以又 叫非对称密钥加密法

8、(Asymmetric Cryptography)。 n 非对称密钥加密法的原理是共有2个密钥,它们在 数学上相关,称作密钥对。用密钥对中任何一个密钥加 密,可以用另一个密钥解密,而且只能用此密钥对中的 另一个密钥解密。商家采用某种算法(密钥生成程序) 生成了这2个密钥后,将其中一个保存好,叫做私人密钥 (Private Key),将另一个密钥公开散发出去,叫做公开 密钥(Public Key)。 n 公开密钥加密的两种作用:信息加密和签名认证。 22 n 1)信息加密 n如图7-6所示,甲公司要向乙公司订购钢材,甲公司 用乙公司的公开密钥将他要发给乙公司的消息加密, 乙公司收到后,只能用乙公

9、司自己的私人密钥解密而 得到甲公司发来的订购单。只要乙公司保证没有他人 知道乙公司的私人密钥,甲、乙两公司就能确信,所 发信息只有乙公司能看到。 甲公司乙公司 订购钢 材原文 乙公司 的公钥 加 密 加密信 息 发送 加密信 息 乙公司 的私钥 解 密 订购钢 材原文 23 n 2)签名认证 n 消息发送者用自己的私人密钥对数据加密后 ,发给接收方,接收方只能用发送方的公开密钥 解密。由于发送方私人密钥只有发送方知道,任 何一个接收者都可以确认消息是由发送方发来的 。 甲公司乙公司 订购钢 材原文 甲公司 的私钥 加 密 加密 信息 发送 加密 信息 甲公司 的公钥 解 密 订购钢 材原文 2

10、4 25 公钥加密的问题公钥加密的问题 n 1.公钥加解密对速度敏感 n大数幂运算,因此非常慢 n软件,公钥算法比对称密钥算法慢 100 多倍。(硬 件可能慢 1000倍 ) n 2.公钥加密长信息无法接受的慢,而对称密钥 算法非常快 n 3.结合公钥算法和对称密钥算法,使用对称密 钥与公开密钥的优点 n对称密钥快速而强健 n公开密钥易于密钥交换 26 组合对称密钥和公开密钥 产生一个一次性,对称密钥会话密钥 用会话密钥加密信息 最后用接收者的公钥加密会话密钥因为它很短 明文明文 明文明文 Hi Bob Alice Hi Bob Alice Hi Bob Alice 会话密钥 加密 1. 信息

11、 X2c67 afGkz 78 会话密钥 xaF4m 78dKm AliceAlice BobBob 密文密文 解密 4. 信息 B B的公钥的公钥 加密 2. 会话密钥 27 7.1.3.3 数字信封 n (1)数字信封(Digital Envelope)的原理 n 对需传送的信息(如电子合同、支付指令)的加密采用 对称密钥加密法;但密钥不先由双方约定,而是在加密 前由发送方随机产生;用此随机产生的对称密钥对信息 进行加密,然后将此对称密钥用接收方的公开密钥加密 ,准备定点加密发送给接受方。这就好比用“信封”封装 起来,所以称作数字信封(封装的是里面的对称密钥) 。接收方收到信息后,用自己的

12、私人密钥解密,打开数 字信封,取出随机产生的对称密钥,用此对称密钥再对 所收到的密文解密,得到原来的信息。 n 因为数字信封是用消息接收方的公开密钥加密的,只能 用接收方的私人密钥解密打开,别人无法得到信封中的 对称密钥,也就保证了信息的安全,又提高了速度。 28 7.1.3.3 数字信封 n (2)数字信封的应用 n 在使用对称密钥加密时,密钥的传递以及密 钥的更换都是问题。采用数字信封的方式,对称 密钥通过接受方的公开密钥加密后传给对方,可 以保证密钥传递的安全。而且此对称密钥每次由 发送方随机生成,每次都在更换,更增加了安全 性。数字信封用于网络支付,不仅可以装入对称 密钥,一些重要的短

13、小信息,比如银行账号、密 码等都可以采取数字信封传送。 29 7.1.3.4 数字摘要 n 数字摘要(Digital Digest)是用某种算法对被 传送的数据生成一个完整性值,将此完整性值与 原始数据一起传送给接收者,接收者用此完整性 值来检验消息在传送过程中有没有发生改变。这 个值由原始数据通过某一加密算法产生的一个特 殊的数字信息串,比原始数据短小,能代表原始 数据,所以称作数字摘要。 30 7.1.3.4 数字摘要 n 数字摘要的使用要求 n 第一,生成数字摘要的算法必须是一个公开的算法,数据交 换的双方可以用同一算法对原始数据经计算而生成的数字摘要 进行验证。第二,算法必须是一个单向

14、算法,就是只能通过此 算法从原始数据计算出数字摘要,而不能通过数字摘要得到原 始数据。第三,不同的两条消息不能得到相同的数字摘要。 n 数字摘要的常用算法。 n RSA公司提出的MD5(128位),还有SHA1等。由于常采用 的是一种HASH函数算法,也称Hash(散列)编码法。MD5( 128位)由Ron.Rivest教授设计。该编码法采用单向Hash函数 将需加密的明文“摘要”成一串128bit的密文。 n 数字摘要在网络支付中应用 n 在目前先进的SET协议机制中采用的hash算法可产生160位 的数字摘要 31 7.1.3.5 数字签名 n 数字签名(Digita1 Signature

15、),就是指利用数字加密技 术实现在网络传送信息文件时,附加个人标记,完成传 统上手书签名或印章的作用,以表示确认、负责、经手 、真实等。 n 数字签名的原理 n 就是在要发送的消息上附加一小段只有消息发送者才 能产生而别人无法伪造的特殊数据(个人标记),而且 这段数据是原消息数据加密转换生成的,用来证明消息 是由发送者发来的。 n 数字签名发送者私人密钥加密(hash (原文) n 在网络支付SET机制中,签名算法为md5RSA。 32 33 7.1.3.5 数字签名 数字签名的作用 数字签名的作用与手写签名的作用一样,都可以实现身份验证。 (3)数字签名在网络支付中应用 数字签名可以解决下述

16、在网络支付中的安全鉴别问题: 1)接收方伪造。接收方伪造一份文件,并声称这是发送方发送 的,如伪造付款单据等。 2)发送者或接收者否认。发送者或接收者事后不承认自己曾经 发送或接收过支付单据。 3)第三方冒充。网上的第三方用户冒充发送或接收消息如信用 卡密码。 4)接收方篡改。接收方对收到的文件如支付金额进行改动。 34 7.1.3.6 数字证书 n (1)数字证书的定义 n 数字证书就是指用数字技术手段确认、鉴定 、认证Internet上信息交流参与者身份或服务器 身份,是一个担保个人、计算机系统或者组织的 身份和密钥所有权的电子文档。是模拟传统证书 如个人身份证、企业营业证书等的特殊数字信息 文档。例如用户数字证书证实用户拥有一个特别 的公钥,服务器证书证实某一特定的公钥属于这 个服务器。 35 7.1.3.6 数字证书 n (2)数字证书的基本内容 n 1)证书格式,是指证书采用格式,目前均为X.509格式。 n 2)序列号,是辨识数字证书的标识。 n 3)签名

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号