网上支付与结算第六章_网上安全保障系统教材教学课件.ppt

* * 第六章 网上安全保障系统 6.1 网上金融安全问题 6.1.1 电子商务的安全要素 1) 身份的可认证性：用户的真实意思表达； 2) 信息的保密性：开放的环境，保密的信息； 3) 信息完整性：完整才有效； 4) 不可抵赖性：各个环节都是不可否认的； 5) 不可伪造性：修改是无效的。 6.1.2 网上在线支付要求 1) 有效性：技术的保证、操作的正确、时 间地点的确定等保证其贸易的有效性； 2) 机密性：维护商业机密是电子商务全面 推广的重要保障； 3) 完整性：信息的短缺和次序的变化将影 响贸易各方的经营策略和以交易的成败； 4) 可靠性： 这是电子商务能否顺利进行的 关键，政府应给以管理。 6.2 CA认证中心 6.2.1 CA认证中心的建立 1) 定义：在网上被各方都信任的专门负责 数字证书的发放和管理，以确保网上信息 安全的权威机构。 2) 标准：必须符合国际标准—X.509。 3) 形式：树形结构。 4) 作用：网上信息传输的安全保证作用。 6.2.2 CA认证中心的主要功能及其实现 1) 主要功能： ●接受申请 ●证书审批 ●证书更新 ●证书查询 ●证书撤销 ●密钥更新 ●数据归档 ●内部管理 2) 实现方法： ●注册服务器 ●认证中心服务器 ●证书受理和审核机构 6.2.3 金融认证中心的服务 1)自身密钥的产生、存储、备份/恢复、归档和 销毁 2)提供密钥生成和分发服务 3)确定客户密钥生存周期，实施密钥吊销和更新管理 4)为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务 5)提供密钥托管和密钥恢复服务 6)其它密钥生成和管理服务 6.2.3 密码系统的基本组成和RSA算法 1)基本组成 无论密码系统多么复杂，都具有四个基本部分： A、明文：习惯阅读的原始信息； B、密文：加密后不能直接阅读的形式； C、加密算法：明文与密文互换的数学公式； D、密钥：加密和解密的安全数字。 2）RSA算法 A、RSA算法的原理 RSA算法建立在数论中大数分解和素数检验的理论基础上，是目前一种比较成熟的算法。 （在数论中，两个大素数相乘在计算上是容易实现的，但将该乘积分解为两个大素数因子的计算量却是相当巨大，计算机也难完成） B、实施步骤 设计密钥、设计密文、恢复明文。 练习： 若取P=7,Q=13,e=5,计算对应的公钥和私钥，求出明文hi 的密文。 r=P × Q=7 × 13=91, Q(r)=6 × 12=72, 5 ×d= 1 mod 72,d=29,公钥为(5,91)，私钥为(29,51)。 h=8,8的5次方=32768，32768 mod 72 =8; i =9,9的5次方= 58949, 58949 mod 72=53. 明文hi 的密文是(8,53),即 (8,1),对应ha. 6.3 证书格式标准 6.3.1 证书标准 ●版本号　●序列号　 ●算法　　 ●发证机构 ●有效期限●主题信息 ●公钥信息 ●数字签名 6.3.2 报文格式 ● 证书数据　符合标准、体现个性 ● 数字签名和签名算法 6.3.3 安全处理 ●有效期 ●有效密码 ●有效使用人 ●没有注销 6.4 安全技术 6.4.1 信息加密技术 一个完整、有效的PKI---公钥加密和数字签名服务系统至少应具备以下部分： 1) 公钥密码证书管理；2) 黑名单的发布和管理； 3) 密码的备份和恢复；4) 自动更新密码功能； 5) 自动管理历史密钥；6) 支持交叉认证。 6.4.2 信息认证技术 1) 数字签名 (1) 接受的输入报文数据没有长度限制； (2) 以固定长度的数字摘要（数字指纹）输出 (3) 由报文能方便的算出摘要； (4) 对指定的摘要很难生成报文； (5) 难以使两个不同的报文具有相同的摘要。 2) 数字证书及应用 (1) 数字证书的用途 签名证书： 对用户信息进行签名，保证其不可否认性； 加密证书： 对用户传送信息进行签名，保证其真实完整； (2) 证书的传送 6.4.3 通信加密技术 网络安全控制和防火墙的应用 1) 网络安全控制 重要：国家安全和主权、社会稳定、民族文化 的继承和发展、全球信息化步伐加快。 综合：计算机、网络、密码、数论、信息论等。 要素：物理、控制、服务、机制、方式、协议 等。 2) 防火墙的应用 组成：由路由器、堡垒主机、操作系统组成。 作用：●只允许授权的信息通过、记录所有通 过的重要信息、