第8章网上支付的安全.pptx

第8章 网上支付的安全;8.1 网上支付安全概述;8.1.2网上支付所面临的安全风险 1）网上支付的安全风险 （1）密码管理问题。 （2）网络病毒、木马问题。 （3）钓鱼平台。 2）网上支付的信用风险 ;3）网上支付的法律风险 （1）网上支付手段的法律效力问题 （2）对网上支付洗钱犯罪等违法活动的法律责任分担问题 （3）黑客攻击网络的安全问题 4）网上安全认证机构（CA）建设混乱 5）信用卡的非法套现风险 ;;8.2 网上支付安全技术;8.2.2加密技术 1）对称加密技术 （1）对称加密技术含义。对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DNS的加密性好，而且对计算机功能要求也没有那么高。所以对称密钥的优点是保密强度高，计算开销小，处理速度快。;2）非对称性加密技术 （1）非对称加密技术含义。 相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（public key）和私有密（private key）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。 ;8.2.3访问控制及安全认证技术 1）防火墙 （1）防火墙的功能有： ①过滤掉不安全服务和非法用户 ②控制对特殊站点的访问 ③提供监视Internet安全和预警的方便端点 （2）防火墙的分类 防火墙技术的原理及特点国际计算机安全委员会将防火墙分成三大类：包过滤防火墙，应用级代理服务器以及状态包检测防火墙。;（3）防火墙存在的不足： ①由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方： 防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。 ②防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 ③防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。;8.2.4安全认证技术 1）数字摘要 数字摘要技术是采用安全单向Hash编码法对明文中若干重要元素进行某种交换运算得到一串128bit的密文，这串密文也称为数字指纹（Finger Print），有固定的长度。 2）数字信封 数字信封是采用双重加密技术来保证只有规定的接收者才能阅读到信中的内容。 ;;;5）数字证书 （1）认证中心 认证中心（certificate authority）就是这样的第三方，它是一个权威机构，专门验证交易双方的身份。验证方法是接受个人、商家、银行等涉及交易的实体申请数字证书，核实情况，批准/拒绝申请，颁发数字证书。认证中心除了颁发数字证书外，还具有管理、搜索和验证证书的职能。 ;（2）数字证书 数字证书（Digital Certificate）又称公开密钥证书，也被称为“数字标识（Digital ID）”是由权威的、可信赖的、公正的第三方机构――认证中心颁发给网上用户的一段包含用户身份信息、密钥信息以及认证中心数字签名的数据的文件。可以说数字证书是Internet上的安全护照或身份证明，所以我们常把它比喻为电子身份证。;8.3 中国金融认证中心;8.3.1CA系统(Certification Authority ——认证中心) 承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定，CA系统设在CFCA本部，不直接面对用户； 8.3.1RA系统(Registration Authority——注册审批机构) 直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点（LRA）设置在商业银行的分/支行、证券、保险营业部及其它应用证书机构的分支机构，RA系统可方便集成到其业务应用系统。;8.4 网上支付安全协议;1）SSL协议提供的基本服务 （1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器。 （2）加密数据以隐藏被传送的数据。 （3）维护数据的完整性，确保数据在传输过程中不被改变。;2）SSL协议构成 （1）握手协议。 （2）记录协议。 （3）更改密码协议。 （4）警告协议。 ;3）SSL协议的工