第二章网络金融安全.pptxVIP

第二章 网络金融安全（二）;网络金融的安全技术;OSI/RM模型 国际标准化组织OSI提出的开放互联网系统互连参考模型（Open System Interconnection Reference Model），定义了互联网中设备所遵守的七层次结构及其功能。;互联网OSI/RM模型七层次结构;应用层协议;安全套接层协议(SSL) SSL(Secure Socket Layer是一种国际标准的加密及身份认证通信协议，为使用TCP时提供一个可靠的端到端安全服务，即为两个通讯个体之间提供保密性和完整性。 SSL通过加密传输来确保数据的机密性，通过信息验证码（Message Authentication Codes，MAC）机制来保护信息的完整性，通过数字证书来对发送和接收者的身份进行认证。 ;Lower layers;SSL协议的分层结构 其底层是SSL记录协议层（SSL Record Protocol Layer），简称记录层。 其高层是SSL握手协议层（SSL Handshake Protocol Layer），简称握手层. ;应用层协议（HTTP、Telnet、FTP、SMTP等）;SSL的功能 1、用户和服务器的合法性相互认证 SSL协议允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心（CA）的证书，来确认对方服务器的合法性。同时对方服务器也可通过公钥技术和证书对客户进行认证，也可要求客户通过用户名和password来认证。 2、实现数据安全、保密和完整传输 SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密，建立服务器与客户之间安全的数据通道。同时在传输数据和接收数据时检查数据的完整性。;SSL协议实现的步骤 1、接通阶段：客户机通过网络向服务器打招呼，服务器回应； 2、密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法； 3、会谈密码阶段：客户机器与服务器间产生彼此交谈的会谈密码； 4、检验阶段：客户机检验服务器取得的密码； 5、客户认证阶段：服务器验证客户机的可信度； 6、结束阶段：客户机与服务器之间相互交换结束的信息。 ;SSL对网络金融和电子商务的安全保障 ★服务器和客户身份验证—— 防假冒 ★网络信息发送内容加密—— 防偷窥 ★网络信息发送完整性检测—— 防删节 ★网络信息发送内容修改提醒—— 防篡改 ;安全电子交易协议（SET） SET（secure Electronic Transaction）是一个基于可信的第三方认证中心的交易安全技术方案。它的主要目标是： 1、实现电子交易安全（电子交易的机密性、数据完整性、身份的合法性、行为不可否认性以及付款的安全性）。 2、保障协议应用的互通性。 3、达到全球市场的接受性。 ;SET协议中的关系人 1、持卡人（Cardholder） 2、发卡机构（Card Issuer） 3、商家（Merchant） 4、收单银行（Acquiring Bank） 5、支付网关（Payment Gateway） 6、认证中心（Certificate Authority，CA）;SET的相关技术 1、SET的双重签名技术;■双重签名的产生 （1）用户c浏览网站，选择商品，产生给商家m的订购信息oi和给银行b方的支付信息pi； （2）用户c使用hash函数产生交易信息oi的摘要值为H(oi)； （3）用户c使用hash函数产生支付信息pi的摘要值为H(pi)； （4）连接H(oi)和H(pi)得到op，再生成op的摘要H(op)，然后c使用自己的私钥加密H(op)从而得到摘要连接值op的数字签名值，记为sig[H(op)]，这个值就称为pi和oi这两部分敏感信息的双重签名值。 ;■双重签名的发送 （1）m方得到c方产生的信息oi，H(pi)，sig[H(op)]； （2）b方得到c方产生的信息pi，H(oi)，sig[H(op)]。（在set协议中这些信息是由m方转发的）。 ■双重签名的验证 —m方接收信息后： （1）对接收到的订购信息oi生成信息摘要H(oi)； （2）把H(oi)和接收到的信息摘要H(pi)连接在一起形成连接值op，用hash函数对op生成摘要值H(op)?； （3）商家m用c的公钥对接收到的双重签名值sig[H(op)]进行验证，以确认oi信息发送者的身份、信息的完整性和不可否认性。 ;—b方接收信息后： （1）对接收到的pi生成信息摘要H(pi)； （2）把H(pi)和接收到的信息摘要H(oi)连接在一起op，用hash单项函数对op生成摘要——H(op)； （3）m方用c方的公钥对接收到的双重签名值[H(op)]进行验证，以确认pi信