网络金融与支付第七章课件

瞿彭志 主编袁丽娜 制作第第7章章电子支付的安全与法律电子支付的安全与法律本章学习目的本章学习目的了解电子支付的风险类型及来源了解电子支付的风险类型及来源1了解防火墙相关技术了解防火墙相关技术2掌握数据加密、数据完整性技术以及数字证书掌握数据加密、数据完整性技术以及数字证书3掌握掌握SSL和和SET协议协议4了解电子签名法等相关法律了解电子签名法等相关法律5了解电子支付的安全管理步骤了解电子支付的安全管理步骤6导入案例导入案例银行遭遇黑客攻击事件银行遭遇黑客攻击事件n2009年，世界多国的银行遭遇黑客攻击，并蒙受巨额经济损失。年，世界多国的银行遭遇黑客攻击，并蒙受巨额经济损失。n1、美银行、美银行4000多万用户的数据资料被窃多万用户的数据资料被窃n2、澳洲、澳洲ANZ网上银行遭黑客入侵网上银行遭黑客入侵n3、英国破获窃取用户银行信息黑客网站、英国破获窃取用户银行信息黑客网站n4、黑客入侵香港网上银行、黑客入侵香港网上银行n5、美国历史上最严重的一起数据泄露案件、美国历史上最严重的一起数据泄露案件n6、“黑客黑客”入侵银行系统被判刑入侵银行系统被判刑n7、黑客入侵信用卡网络在全球提款近千万美元、黑客入侵信用卡网络在全球提款近千万美元导入案例导入案例银行遭遇黑客攻击事件银行遭遇黑客攻击事件n银行、金融机构已成为网络黑客攻击的重点，全国每年因遭受网络攻银行、金融机构已成为网络黑客攻击的重点，全国每年因遭受网络攻击造成的损失就多达击造成的损失就多达70多亿元，一年有多亿元，一年有2225个网站、包括个网站、包括104个政府个政府网站被网站被“黑黑”，黑客攻击的数量每年都在成倍递增。，黑客攻击的数量每年都在成倍递增。n全球已形成全球已形成“黑色产业链黑色产业链”，国外一个普通的黑客一年可收入十几万，国外一个普通的黑客一年可收入十几万欧元，远远超过在现实生活中劳动的回报，因此网络黑客已从最初的欧元，远远超过在现实生活中劳动的回报，因此网络黑客已从最初的个人行为，发展为有组织的犯罪。个人行为，发展为有组织的犯罪。第第7章章电子支付的安全与法律电子支付的安全与法律7.1电子支付的安全问题电子支付的安全问题7.2电子支付安全协议电子支付安全协议7.3电子支付的法律保障电子支付的法律保障7.4电子支付的安全管理电子支付的安全管理7.1电子支付的安全问题电子支付的安全问题n711电子支付的的风险电子支付的的风险n712电子支付的安全标准电子支付的安全标准n713电子支付的安全技术电子支付的安全技术711电子支付的的风险电子支付的的风险n1.电子支付的技术风险电子支付的技术风险n2.系统遭受外来攻击系统遭受外来攻击n3.电子支付的交易风险电子支付的交易风险n4.电子支付的法律风险电子支付的法律风险 n5.信用风险信用风险网上浏览的安全问题伪造的网上银行服务器伪造的网上银行服务器网上银行服务器网上银行服务器网上银行用户网上银行用户银行银行错误的错误的DNS或输错网址或输错网址窃听窃听7.1.2电子支付的安全策略电子支付的安全策略n1.电子支付的安全需求电子支付的安全需求n2.电子支付的安全策略电子支付的安全策略713电子支付的安全技术电子支付的安全技术1.7.1.3.1防火墙技术防火墙技术2.7.1.3.2数字加密技术数字加密技术3.7.1.3.3数字信封数字信封4.7.1.3.4数字摘要数字摘要5.7.1.3.5数字签名数字签名6.7.1.3.6数字证书数字证书7.1.3.1防火墙技术防火墙技术n（1）防火墙简介）防火墙简介n防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。网）或网络安全域之间的一系列部件的组合。n它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。强的抗攻击能力。n它是提供信息安全服务，实现网络和信息安全的基础设施。它是提供信息安全服务，实现网络和信息安全的基础设施。图图7-1 防火墙逻辑位置示意图防火墙逻辑位置示意图（2）防火墙的作用）防火墙的作用n1)防火墙是网络安全的屏障防火墙是网络安全的屏障n2)对网络存取和访问进行监控审计对网络存取和访问进行监控审计n3)防止内部信息的外泄防止内部信息的外泄（3）防火墙的种类）防火墙的种类n1）包过滤型防火墙）包过滤型防火墙n2）应用代理型防火墙）应用代理型防火墙n3）状态监测防火墙）状态监测防火墙n包过滤型防火墙的优点包过滤型防火墙的优点:简洁、速度快、费用低，并且对简洁、速度快、费用低，并且对用户透明用户透明n-已部署的防火墙系统多数只使用了包过滤器路由器。除了已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外，实现包过滤几乎花费时间去规划过滤器和配置路由器之外，实现包过滤几乎不再需要费用，因为这些特点都包含在标准的路由器软件中。不再需要费用，因为这些特点都包含在标准的路由器软件中。n包过滤型防火墙的缺点包过滤型防火墙的缺点:对网络的保护很有限。因为它只对网络的保护很有限。因为它只检查地址和端口，对网络更高协议层的信息无理解能检查地址和端口，对网络更高协议层的信息无理解能力。力。1）包过滤型防火墙）包过滤型防火墙NetRock-1000 网络防火墙图图7-3 应用代理型防火墙应用代理型防火墙n（4）防火墙的局限性）防火墙的局限性n存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。自于网络内部的攻击以及病毒的威胁。n（5）大型企业网络防火墙应用）大型企业网络防火墙应用服务器3层交换机PCPC集线器ProxyMail服务器WEB服务器DNS服务器Internet图7-4 企业网络结构Internet集线器3层交换机PCPCWINS DHCP服务器Mail服务器WEB服务器DNS服务器LANDMZWAN路由器图图7-5 增加防火墙后的企业网络结构增加防火墙后的企业网络结构7.1.3.2数字加密技术数字加密技术n密码算法主要分为对称加密算法和非对称加密算法两大类。密码算法主要分为对称加密算法和非对称加密算法两大类。n（1）对称加密算法）对称加密算法n对称加密算法的是信息发送方用一个密钥对要发送的数据进行加密，对称加密算法的是信息发送方用一个密钥对要发送的数据进行加密，信息的接收方能用同样的密钥解密，而且只能用这一密钥解密。由于信息的接收方能用同样的密钥解密，而且只能用这一密钥解密。由于双方所用加密和解密的密钥相同，所以叫作对称密钥加密法。双方所用加密和解密的密钥相同，所以叫作对称密钥加密法。n最常用的对称密钥加密法叫做最常用的对称密钥加密法叫做DES(DataEncryptionStandard)算法。算法。此外，广泛使用的算法还有此外，广泛使用的算法还有3DES、Rc4、Rc5等。等。（2）非对称密钥加密法）非对称密钥加密法n公开密钥加密法的加密和解密所用的密钥不同，所以又叫公开密钥加密法的加密和解密所用的密钥不同，所以又叫非对称密钥加密法非对称密钥加密法(AsymmetricCryptography)。n非对称密钥加密法的原理是共有非对称密钥加密法的原理是共有2个密钥，它们在数个密钥，它们在数学上相关，称作密钥对。用密钥对中任何一个密钥加密，学上相关，称作密钥对。用密钥对中任何一个密钥加密，可以用另一个密钥解密，而且只能用此密钥对中的另一个可以用另一个密钥解密，而且只能用此密钥对中的另一个密钥解密。商家采用某种算法（密钥生成程序）生成了这密钥解密。商家采用某种算法（密钥生成程序）生成了这2个密钥后，将其中一个保存好，叫做私人密钥个密钥后，将其中一个保存好，叫做私人密钥(PrivateKey)，将另一个密钥公开散发出去，叫做公开密钥，将另一个密钥公开散发出去，叫做公开密钥(PublicKey)。n公开密钥加密的两种作用：信息加密和签名认证。公开密钥加密的两种作用：信息加密和签名认证。n1）信息加密）信息加密n如图如图7-6所示，甲公司要向乙公司订购钢材，甲公司用乙公司的公所示，甲公司要向乙公司订购钢材，甲公司用乙公司的公开密钥将他要发给乙公司的消息加密，乙公司收到后，只能用乙开密钥将他要发给乙公司的消息加密，乙公司收到后，只能用乙公司自己的私人密钥解密而得到甲公司发来的订购单。只要乙公公司自己的私人密钥解密而得到甲公司发来的订购单。只要乙公司保证没有他人知道乙公司的私人密钥，甲、乙两公司就能确信，司保证没有他人知道乙公司的私人密钥，甲、乙两公司就能确信，所发信息只有乙公司能看到。所发信息只有乙公司能看到。甲公司甲公司乙公司乙公司订购钢订购钢材原文材原文乙公司乙公司乙公司乙公司的公钥的公钥的公钥的公钥加加 密密加密信加密信息息发发送加密信加密信息息乙公司乙公司乙公司乙公司的私钥的私钥的私钥的私钥解解 密密订购钢订购钢材原文材原文n2）签名认证）签名认证n消息发送者用自己的私人密钥对数据加密后，发给接收方，接收方消息发送者用自己的私人密钥对数据加密后，发给接收方，接收方只能用发送方的公开密钥解密。由于发送方私人密钥只有发送方知道，只能用发送方的公开密钥解密。由于发送方私人密钥只有发送方知道，任何一个接收者都可以确认消息是由发送方发来的。任何一个接收者都可以确认消息是由发送方发来的。甲公司甲公司乙公司乙公司订订 购购 钢钢材原文材原文甲公司甲公司甲公司甲公司的私钥的私钥的私钥的私钥加加 密密加密加密信息信息发送加密加密信息信息甲公司甲公司甲公司甲公司的公钥的公钥的公钥的公钥解解 密密订订购购钢钢材原文材原文公钥加密的问题公钥加密的问题n 1.公钥加解密对速度敏感n大数幂运算，因此非常慢n软件，公钥算法比对称密钥算法慢 100 多倍。（硬件可能慢 1000倍）n 2.公钥加密长信息无法接受的慢，而对称密钥算法非常快n 3.结合公钥算法和对称密钥算法，使用对称密钥与公开密钥的优点n对称密钥快速而强健n公开密钥易于密钥交换 组合对称密钥和公开密钥组合对称密钥和公开密钥产生一个一次性，对称密钥产生一个一次性，对称密钥会话密钥会话密钥用会话密钥加密信息用会话密钥加密信息最后用接收者的公钥加密会话密钥最后用接收者的公钥加密会话密钥因为它很短因为它很短明文明文明文明文明文明文明文明文明文明文明文明文HiHiBobBobAliceAliceHiBobHiBobAliceAliceHiHiBobBobAliceAlice会话密钥会话密钥会话密钥会话密钥加密加密1.1.信息信息信息信息X2c67X2c67afGkzafGkz7878会话密钥会话密钥会话密钥会话密钥xaF4mxaF4m78dKm78dKmAliceAliceAliceBobBobBob密文密文密文密文密文密文解密解密4.4.信息信息信息信息B BB的公钥的公钥的公钥的公钥的公钥的公钥加密加密2.2.会话密钥会话密钥会话密钥会话密钥7.1.3.3数字信封数字信封n（1）数字信封（）数字信封（DigitalEnvelope）的原理）的原理n对需传送的信息（如电子合同、支付指令）的加密采用对对需传送的信息（如电子合同、支付指令）的加密采用对称密钥加密法；但密钥不先由双方约定，而是在加密前由称密钥加密法；但密钥不先由双方约定，而是在加密前由发送方随机产生；用此随机产生的对称密钥对信息进行加发送方随机产生；用此随机产生的对称密钥对信息进行加密，然后将此对称密钥用接收方