《《支付安全策略》PPT課件.ppt》由會員分享，可在線閱讀，更多相關《《支付安全策略》PPT課件.ppt（39頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、電子支付的安全保障,2,【教學目標與要求】,了解電子支付的安全風險，掌握電子支付的相關安全需求； 了解保障支付安全的多種技術； 掌握對稱技術原理； 掌握非對稱加密技術原理； 了解數(shù)字簽名的概念及原理； 掌握數(shù)字證書的主要內容及其實現(xiàn)技術； 了解數(shù)字摘要、數(shù)字時間戳等安全技術；,第六講 支付安全技術,3,第六講 支付安全技術,【知識架構】,【重要術語】,密碼技術；數(shù)字簽名；數(shù)字證書；CFCA； PKI；CA ； SSL； SET；,第六講 支付安全技術,6.1 電子支付安全概述,來自銀行合 作單位的安 全隱患,6.1.1 電子支付的安全隱患,6.1 電子支付安全概述,電子支付系統(tǒng)安全需求,保密性

2、,可靠性,完整性,可用性,抗否認性,所謂防火墻就是指綜合采用適當技術在被保護網(wǎng)絡周邊建立的用于隔離被保護網(wǎng)絡與外部網(wǎng)絡的系統(tǒng)。,6.2 電子支付安全相關技術,6.2.1 安全防范技術,1.防火墻技術,6.2 電子支付安全相關技術,2.虛擬專用網(wǎng)技術,虛擬專用網(wǎng)（Virtual Private Networking，VPN）指的是依靠ISP（Internet服務提供商）和其它NSP（網(wǎng)絡服務提供商），在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。,VPN采用的主要技術有哪些？,隧道技術（Tunneling）,身份認證技術（Authentication）,加解密技術（Encryption&Decryp

3、tion）,密鑰管理技術（Keymanagement）,6.2 電子支付安全相關技術,3.存取訪問控制技術,常見的存取訪問控制方式,存取訪問控制表,存取訪問控制矩陣,口令方式,6.2 電子支付安全相關技術,6.2.2 數(shù)據(jù)加密技術,1.對稱加密技術,又稱秘密密鑰、私有密鑰，用且只用同一個密鑰對信息進行加密和解密。 對稱密鑰密碼體系的優(yōu)點是加密、解密速度很快(高效)，但缺點也很明顯：密鑰難于共享，需太多密鑰。 目前比較著名的對稱密碼加密算法有：DES和IDEA,6.2 電子支付安全相關技術,2.非對稱加密技術,非對稱密鑰密碼體系也稱公開密鑰技術。 非對稱密鑰技術的優(yōu)點是：易于實現(xiàn)，使用靈活，密鑰

4、較少。弱點在于:要取得較好的加密效果和強度，必須使用較長的密鑰。,接收方公鑰,明文,密文,接收方私鑰,密文,明文,加密,解密,密鑰對,傳輸,發(fā)送方,接收方,12.2 電子支付安全相關技術,6.2.3 身份認證技術,1,2,3,基于口令的身份認證,基于物理證件的身份認證,基于人體生物學特征的身份認證,12.2 電子支付安全相關技術,6.2.4 數(shù)字認證技術,又稱數(shù)字指紋、Hash編碼法，能保證信息傳輸?shù)耐暾浴?發(fā)送方,原文,Hash算法,摘要,對比,接收方,原文,摘要,Hash算法,互聯(lián)網(wǎng),6.2 電子支付安全相關技術,6.2 電子支付安全相關技術,數(shù)字信封：是用加密技術來保證只有規(guī)定的特定收

5、信人才能閱讀信的內容。 基本原理：發(fā)送者使用隨機產生的對稱密鑰加密數(shù)據(jù)，然后將生成的密文和密鑰本身一起用接收者的公開密鑰加密，加密的對稱密鑰稱為數(shù)字信封，將密文及加密后的密鑰發(fā)送給接收者；接收者先用自己的私鑰解密數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解密數(shù)據(jù)。,6.2 電子支付安全相關技術,數(shù)字證書是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源訪問的權限，是一個經(jīng)證書授權中心CA（Certificate Authority）數(shù)字簽名的、包含證書申請者個人消息及其公開密鑰的文件。,1,2,3,個人證書（Personal Digital ID）,企業(yè)（服務器）證書（Server ID）,軟件（開發(fā)

6、者）證書（Developer ID）,6.2 電子支付安全相關技術,證書的版號 證書的序列號 證書擁有者的姓名 證書擁有者的公共密鑰 公共密鑰的有效期 6.證書的有效期 7.頒發(fā)證書的單位,CCTTT.509國際標準， X.509數(shù)字證書包含,6.3 PKI技術,6.3.1 什么是PKI,Public Key Infrastructure (PKI) . . . . . . 是硬件、軟件、人員、策略和操作規(guī)程的總和，它們要完成創(chuàng)建、管理、保存、發(fā)放和廢止證書的功能 PKI 基于公開密鑰加密算法來保證網(wǎng)絡通訊安全,PKI是一個用公鑰技術來實施和提供安全服務具有普適性的安全基礎設施. 它的目標是為

7、所有應用提供統(tǒng)一規(guī)范的安全服務. 遵循一定規(guī)則建立的PKI, 提供信息安全服務, 能夠節(jié)省費用, 提高效率, 簡化管理, 降低復雜性, 提高可靠性.,6.3 PKI技術,什么是PKI,6.3 PKI技術,PKI的組成,一個典型的PKI系統(tǒng)中包括PKI策略、軟硬件系統(tǒng)、證書機構CA、注冊機構RA、證書發(fā)布系統(tǒng)和PKI應用等。,一個新用戶申請證書,獲取用戶的身份信息 進行證書廢止檢查 檢查證書的有效期 校驗數(shù)字證書 解密數(shù)據(jù),證書下載到用戶本地,審核通過的注冊請求發(fā)送給CA,證書同時要被發(fā)布出去,應用程序通過證書：,RA系統(tǒng)審核用戶身份,發(fā)送注冊信息給RA,CA為用戶簽發(fā)證書下載憑證.,RA將證書

8、下載憑證發(fā)放給用戶,PKI系統(tǒng)如何工作,使用數(shù)字證書的用戶之間通過CA（一個可信的第三方）來建立信任關系,Applications and other users,Directory,提交證書申請請求,PKI提供的基本服務,認證 采用數(shù)字簽名技術，簽名作用于相應的數(shù)據(jù)之上 數(shù)據(jù)源認證服務 身份認證服務 完整性 PKI采用了兩種技術 數(shù)字簽名：既可以是實體認證，也可以是數(shù)據(jù)完整性 MAC(消息認證碼)：如DES-CBC-MAC或者HMAC-MD5,PKI提供的基本服務,保密性 用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據(jù)加密 不可否認 發(fā)送方的不可否認 數(shù)字簽名 接受方的不可否認 收條 + 數(shù)字簽名

9、,6.4 安全協(xié)議,6.4 安全協(xié)議,SET協(xié)議 客戶、商家、支付網(wǎng)關 認證中心和網(wǎng)上銀行 必須在銀行網(wǎng)絡、商家服務器、客戶機上安裝相應的軟件，而不是象SSL協(xié)議可直接使用，因此增加了許多附加軟件費用。 要求使用電子錢包進行付款，必須先下載電子錢包軟件，操作復雜，耗費時間；每天交易無限額，利于購買大宗商品；由于存在著驗證過程，因此支付緩慢，有時還不能完成交易。 安全需求高，因此所有參與交易的成員都必須先申請數(shù)字證書來認識身份；保證了商家的合法性，并且客戶的信用卡號不會被竊取，使其在結購物和支付更加放心。,參與方 費用 便捷性 安全性,SSL協(xié)議 客戶、商家 和網(wǎng)上銀行 已被大部分Web瀏覽器和

10、Web服務器所內置，因此可直接投入使用，無需額外的附加軟件費用。 使用過程中無需在客戶端安裝電子錢包，因此操作簡單；每天交易有限額規(guī)定，因此不利于購買大宗商品；支付迅速，幾秒鐘便可完成。 只有商家的服務器需要認證，客戶端認證則是有選擇的；缺少對商家的認證，因此客戶的信用卡號等支付信息有可能被商家泄漏。,補充：3D協(xié)議,3D協(xié)議 3D安全協(xié)議涉及5個實體，包括持卡人、發(fā)卡行、商戶、收單行和VISA組織。3D安全協(xié)議將這5個實體邏輯地分到3個域中。其中，發(fā)卡機構域指發(fā)卡行和持卡人；中間運行域是使發(fā)卡機構域和收單機構域在全球范圍內協(xié)同運行的系統(tǒng)和功能設施；收單機構域指收單行和商戶。 3D安全協(xié)議中一

11、個重要的組成部分是發(fā)卡行認證服務器訪問控制服務器ACS。,持卡人,發(fā)卡機構,訪問控制,發(fā)卡機構域 中間操作域 收單機構域,商戶,收單 機構,收單機構,支付網(wǎng)關,VISA目錄服務器,插件,歷史驗證,VISANET,（1）,（2）,（3）,（4）,（5）,（6）,（7）,（8）,（9）,（12）,（13）,（10）,（11）,（14）,（1）持卡人登陸商戶網(wǎng)站，瀏覽商品，輸入口令及卡號，輸入訂購信息及支付信息。 （2）商戶軟件插件通過VISA的目錄服務器檢查卡號所示的發(fā)卡機構是否參與了3D安全協(xié)議。 （3）VISA目錄服務器將卡號傳送給發(fā)卡機構的訪問控制服務器，通過發(fā)卡機構檢查認證該卡是否已參與3

12、D安全協(xié)議。 （4）發(fā)卡機構的ACS確認該卡是否已參與3D安全協(xié)議。 （5）VISA目錄服務器將發(fā)卡機構的ACS的地址告知商戶插件。 （6）商戶插件將持卡人瀏覽器定位到ACS，同時附上交易信息待持卡人進一步確認。,（7）發(fā)卡機構的ACS要求持卡人輸入用戶名和密碼。 （8）持卡人向發(fā)卡機構中輸入用戶名和密碼。 （9）發(fā)卡方的ACS驗證密碼，產生回應信息，然后將客戶重新定位向商戶插件；與此同時將有關信息發(fā)送給VISA的歷史驗證服務器。 （10）商戶將交易信息提交給收單機構。 （11）收單機構向發(fā)卡機構要求授權。 （12）發(fā)卡機構通過VISANET向收單機構發(fā)送授權（這里的交易流與傳統(tǒng)刷卡交易一樣）

13、。 （13）收單機構將交易回應信息返回到商戶。 （14）商戶確認交易并向持卡人提供收據(jù)。,6.5 中國金融認證中心,6.5.1 CFCA的組成部分,CA服務器,證書下載中心,目錄服務器,密鑰管理中心,證書注冊機構,OCSP服務器,CFCA,6.5 中國金融認證中心,6.5.2 CA的組成結構,6.5 中國金融認證中心,6.5.3 CFCA的證書,個人證書,企業(yè)證書,安全電子郵件證書,VPN設備證書,手機證書,Web服務器證書,6.5 中國金融認證中心,6.5.4 CFCA的功能,1證書的申請 2證書的審批 3證書的發(fā)放 4證書的歸檔 5證書的撤銷 6證書的更新 7證書撤銷列表的管理功能 9CA

14、 自身密鑰的管理 8CA 的管理,37,第六講 支付安全技術,【習題】,一、選擇題 1在采用RSA 公開密鑰加密系統(tǒng)中，若A 想給B 發(fā)送一封郵件，并且想讓B 知道郵件是A 發(fā)出的，則A 應該選用的加密密鑰是( )。 AA 的公鑰 BB 的公鑰 CA 的私鑰 DB 的私鑰 2非對稱加密將密鑰被分解為一對密鑰，即( )。 A一把公開的加密密鑰和一把公開的解密密鑰 B一把秘密的加密密鑰和一把公開的解密密鑰 C一把公開的加密密鑰和一把秘密的解密密鑰 D一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰 3SET 協(xié)議通過( )算法和( )算法的結合使用，保證了數(shù)據(jù)的一致性和完整性，并可實現(xiàn)交易以預防抵賴

15、。 ADES BRSA CMD5 DRC2 ERC3 4CFCA 體系中證書的發(fā)放包括( )和( )。 A離線方式 B在線方式 C人工發(fā)放 D銀行發(fā)放 E個人申請 5CA 認證體系的實體大致可分為以下幾部分：接收用戶證書申請的證書受理者 ( )，證書發(fā)放的審核部門( )，證書發(fā)放的操作部門( )，記錄撤銷證書的證書撤 銷表( )。 ACA BCP CCRL DRA ERS,38,第六講 支付安全技術,【習題】,二、簡答題 1簡述網(wǎng)上支付可能存在的安全問題。 2認證中心有哪些主要的職能？ 3簡述數(shù)字簽名的概念及其作用。 4在CFCA 體系中，目前支持哪些類型的證書？ 5保障網(wǎng)上支付安全的技術有哪些？,END,