第三章电子银行安全.pptVIP

第三章 电子银行的安全;主要内容;3.1 电子银行安全概述;电子银行安全的特点;电子银行的资源;电子银行安全的基本条件;3.2 影响电子银行安全的因素;3.3 电子银行的入侵探测与安全控制;攻击的类型;中断(干扰)是使系统资源遭受损失、损坏或小可用，使用户得不到所需资源。例如，蓄意破坏设备，删除程序和数据文件，使操作系统文件管理程序失效，导致不能找到所需的磁盘文件，都属于中断失效。 截取是指非授权实体对资源的存取。这里所说的文体，可以是人、程序，或汁算机系统。他们非法访问网络．对程序或数据作非法拷贝，都属于截取攻击。 修改是指非授权实体对资源进行篡改而产生的失效方式。非法篡改数据库数据、修改程序、修改正在传输中的数据、修改硬件等，部属于修改攻击。 伪造是指非授权文体伪造汁算机系统中的文体。例如，作案分子将伪造的事务加入到计算机网络系统中，或向数据库仍F法加入记录等。 否认服务是指否认自己曾向银行计算机系统发出指令等实际行为。例如事后否认自己曾向银行系统发出过转账请求的实际指令。 ;安全威胁来源;入侵探测方法与探测系统;电子银行的安全控制;3.4 计算机信息安全系统理论和评价准则;3.5 密码技术与安全密码系统;密码技术;密码编制学;密码分析学;密码算法;DES密码系统;RSA密码系统; RSA加密算法的安全性能与密钥的长度有关，长度越长越难解密。在用于网络支付安全的SET系统中使用的密钥长度为1024位和2048位。据专家测算，攻破512位密钥RSA算法大约需要8个月时间，而一个768位密钥的RSA算法在2004年之前是无法攻破的。现在，在技术上还无法预测攻破具有2048位密钥的RSA加密算法需要多少时间。美国LOTUS公司悬赏l亿美元，奖励能破译其DOMINO产品中1024位密钥的RSA算法的人。从这个意义上说，遵照SET协议开发的网上交易系统是绝对安全的。 　　但生成长密钥的技术是尖端的，美国封锁。比对称密钥加密法如DES算法等速度慢很多。 ;公开密钥加密的两种作用：基于公开密钥的2个密钥之间的数学关系。 　1）2位用户之间要互相交换信息，需要各自生成一对密钥，将其中的私人密钥保存好，将公开密钥发给对方。交换信息时，发送方用接收方的公开密钥对信息加密，只能用接收方的私人密钥解密。他们之间可以在无保障的公开网络中传送消息，而不用担心消息被别人窃取。 　　如下图所示，甲公司要向乙公司订购钢材，甲公司用乙公司的公开密钥将他要发给乙公司的消息加密，乙公司收到后，只能用乙公司自己的私人密钥解密而得到甲公司发来的订购单。只要乙公司保证没有他人知道乙公司的私人密钥，甲、乙两公司就能确信，所发信息只有乙公司能看到。（定点加密传送） ;3.6 协议技术与数字签名;协议技术;数字签名;数字签名的作用;数字签名必须满足的条件;对称密钥用于数字签名;不使用加密的数字签名;防止消息重用和对消息作更改的方法;公开密钥用于数字签名;3.7 电文传输过程中的完整性验证;电文的识别处理过程;3.8 随机选择协议与密钥分配;分发协议;　　在传统商务与电子商务中，均存在对贸易伙伴身份的确定与认证问题。特别在电子商务中，由于是基于非面对面的网上交易，贸易双方几乎不会见面，那么验证贸易对方的身份比如在网络支付中对收款人或付款人身份的认证是非常必要的。 　　因此如何在Internet上识别对方身份，在电子商务时代是重要的一环。传统商务中有相应的双方身份认证机制，如政府部门颁发的身份证、护照、公司营业证书、产品质量检验证书等。有了这些政府颁发的证书，保证了贸易双方身份的认证和合法性的认证，才保证了传统商务的安全、有序、可靠进行。 　　而在Internet上是没有“政府”的。因此必须建立公正的“认证中心”机构，负责颁发“身份认证证书”和检验“身份”的工作，认证的方法则变为通过网络的电子手段。因此不得不使用全新的机制，来保证电子商务的进行。 　　在电子商务的网络支付中，涉及到大量的双方身份认证，本节就主要介绍电子商务下的身份认证工具－－数字证书及其发行者CA的基本知识。;一、数字证书;2. 数字证书的定义及内容;数字证书的内容：认证中心CA在确认了用户的身份后，向用户（企业或个人）颁发数字证书，数字证书中包括了用户的基本信息以及用户的公开密钥等，并由CA进行数字签名。（详细见下页） 工作原理：接收方在网上收到发送方业务信息的同时，还收到发送方的数字证书，通过对其数字证书的验证，可以确认发送方的身份。在交换数字证书的同时，双方都得到了对方的公开密钥，由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥肯定是对方的。从而完成数据传送中的加解密工作。下图显示了数字证书的基本内容。 ;证书的具体内容格式：定义在ITU-T Rec．X．509标准里。证书由以下两