支付安全策略ppt課件

1、電子支付的平安保證2【教學(xué)目的與要求】了解電子支付的平安風(fēng)險(xiǎn)，掌握電子支付的相關(guān)平安需求；了解保證支付平安的多種技術(shù)；掌握對(duì)稱(chēng)技術(shù)原理；掌握非對(duì)稱(chēng)加密技術(shù)原理；了解數(shù)字簽名的概念及原理；掌握數(shù)字證書(shū)的主要內(nèi)容及其實(shí)現(xiàn)技術(shù)；了解數(shù)字摘要、數(shù)字時(shí)間戳等平安技術(shù)；第六講 支付平安技術(shù)3第六講 支付平安技術(shù)【知識(shí)架構(gòu)】【重要術(shù)語(yǔ)】密碼技術(shù)；數(shù)字簽名；數(shù)字證書(shū)；CFCA；PKI；CA ；SSL； SET；第六講 支付平安技術(shù)6.1 電子支付平安概述來(lái)自銀行合作單位的安全隱患6.1.1 電子支付的平安隱患6.1 電子支付平安概述電子支付系統(tǒng)平安需求嚴(yán)密性可靠性完好性可用性抗否認(rèn)性 所謂防火墻就是指綜合采用

2、適當(dāng)技術(shù)在被維護(hù)網(wǎng)絡(luò)周邊建立的用于隔離被維護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)。6.2 電子支付平安相關(guān)技術(shù)6.2.1 平安防備技術(shù)1.防火墻技術(shù)6.2 電子支付平安相關(guān)技術(shù)2.虛擬公用網(wǎng)技術(shù)虛擬公用網(wǎng)Virtual Private Networking，VPN指的是依托ISPInternet效力提供商和其它NSP網(wǎng)絡(luò)效力提供商，在公用網(wǎng)絡(luò)中建立公用的數(shù)據(jù)通訊網(wǎng)絡(luò)的技術(shù)。 VPN采用的主要技術(shù)有哪些？隧道技術(shù)Tunneling身份認(rèn)證技術(shù)Authentication加解密技術(shù)Encryption&Decryption密鑰管理技術(shù)Keymanagement6.2 電子支付平安相關(guān)技術(shù)3.存取訪問(wèn)控制技術(shù)常見(jiàn)的

3、存取訪問(wèn)控制方式存取訪問(wèn)控制表存取訪問(wèn)控制矩陣口令方式6.2 電子支付平安相關(guān)技術(shù)6.2.2 數(shù)據(jù)加密技術(shù)1.對(duì)稱(chēng)加密技術(shù)又稱(chēng)密鑰、私有密鑰，用且只用同一個(gè)密鑰對(duì)信息進(jìn)展加密和解密。對(duì)稱(chēng)密鑰密碼體系的優(yōu)點(diǎn)是加密、解密速度很快(高效)，但缺陷也很明顯：密鑰難于共享，需太多密鑰。目前比較著名的對(duì)稱(chēng)密碼加密算法有：DES和IDEA明文密文密文明文加密解密密鑰傳輸發(fā)送方接納方6.2 電子支付平安相關(guān)技術(shù)2.非對(duì)稱(chēng)加密技術(shù)非對(duì)稱(chēng)密鑰密碼體系也稱(chēng)公開(kāi)密鑰技術(shù)。非對(duì)稱(chēng)密鑰技術(shù)的優(yōu)點(diǎn)是：易于實(shí)現(xiàn)，運(yùn)用靈敏，密鑰較少。弱點(diǎn)在于:要獲得較好的加密效果和強(qiáng)度，必需運(yùn)用較長(zhǎng)的密鑰。接納方公鑰明文密文接納方私鑰密文明文

4、加密解密密鑰對(duì)傳輸發(fā)送方接納方12.2 電子支付平安相關(guān)技術(shù)6.2.3 身份認(rèn)證技術(shù)123基于口令的身份認(rèn)證基于物理證件的身份認(rèn)證基于人體生物學(xué)特征的身份認(rèn)證12.2 電子支付平安相關(guān)技術(shù)6.2.4 數(shù)字認(rèn)證技術(shù)又稱(chēng)數(shù)字指紋、Hash編碼法，能保證信息傳輸?shù)耐旰眯浴?發(fā)送方 原文Hash算法摘要 對(duì)比 接納方 原文摘要摘要Hash算法互聯(lián)網(wǎng)6.2 電子支付平安相關(guān)技術(shù)6.2 電子支付平安相關(guān)技術(shù) 數(shù)字信封：是用加密技術(shù)來(lái)保證只需規(guī)定的特定收信人才干閱讀信的內(nèi)容。 根本原理：發(fā)送者運(yùn)用隨機(jī)產(chǎn)生的對(duì)稱(chēng)密鑰加密數(shù)據(jù)，然后將生成的密文和密鑰本身一同用接納者的公開(kāi)密鑰加密，加密的對(duì)稱(chēng)密鑰稱(chēng)為數(shù)字信封，將

5、密文及加密后的密鑰發(fā)送給接納者；接納者先用本人的私鑰解密數(shù)字信封，得到對(duì)稱(chēng)密鑰，然后運(yùn)用對(duì)稱(chēng)密鑰解密數(shù)據(jù)。6.2 電子支付平安相關(guān)技術(shù)數(shù)字證書(shū)是用電子手段來(lái)證明一個(gè)用戶(hù)的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限，是一個(gè)經(jīng)證書(shū)授權(quán)中心CACertificate Authority數(shù)字簽名的、包含證書(shū)懇求者個(gè)人音訊及其公開(kāi)密鑰的文件。123個(gè)人證書(shū)Personal Digital ID企業(yè)效力器證書(shū)Server ID軟件開(kāi)發(fā)者證書(shū)Developer ID6.2 電子支付平安相關(guān)技術(shù)證書(shū)的版號(hào)證書(shū)的序列號(hào)證書(shū)擁有者的姓名證書(shū)擁有者的公共密鑰公共密鑰的有效期6.證書(shū)的有效期7.頒發(fā)證書(shū)的單位CCTTT.509國(guó)際規(guī)

6、范， X.509數(shù)字證書(shū)包含 6.3 PKI技術(shù)6.3.1 什么是PKIPublic Key Infrastructure (PKI) . . . . . 是硬件、軟件、人員、戰(zhàn)略和操作規(guī)程的總和，它們要完成創(chuàng)建、管理、保管、發(fā)放和廢止證書(shū)的功能PKI 基于公開(kāi)密鑰加密算法來(lái)保證網(wǎng)絡(luò)通訊平安 PKI是一個(gè)用公鑰技術(shù)來(lái)實(shí)施和提供平安效力具有普適性的平安根底設(shè)備.它的目的是為一切運(yùn)用提供一致規(guī)范的平安效力.遵照一定規(guī)那么建立的PKI, 提供信息平安效力, 可以節(jié)省費(fèi)用, 提高效率, 簡(jiǎn)化管理, 降低復(fù)雜性, 提高可靠性.6.3 PKI技術(shù) 什么是PKI6.3 PKI技術(shù) PKI的組成 一個(gè)典型的P

7、KI系統(tǒng)中包括PKI戰(zhàn)略、軟硬件系統(tǒng)、證書(shū)機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA、證書(shū)發(fā)布系統(tǒng)和PKI運(yùn)用等。PKI運(yùn)用證書(shū)機(jī)構(gòu)CA注冊(cè)機(jī)構(gòu)RA證書(shū)發(fā)布系統(tǒng)PKI戰(zhàn)略軟硬件系統(tǒng)一個(gè)新用戶(hù)懇求證書(shū) 獲取用戶(hù)的身份信息 進(jìn)展證書(shū)廢止檢查 檢查證書(shū)的有效期 校驗(yàn)數(shù)字證書(shū) 解密數(shù)據(jù) 證書(shū)下載到用戶(hù)本地審核經(jīng)過(guò)的注冊(cè)懇求發(fā)送給CA證書(shū)同時(shí)要被發(fā)布出去運(yùn)用程序經(jīng)過(guò)證書(shū)：RA系統(tǒng)審核用戶(hù)身份發(fā)送注冊(cè)信息給RACA為用戶(hù)簽發(fā)證書(shū)下載憑證.RA將證書(shū)下載憑證發(fā)放給用戶(hù)PKI系統(tǒng)如何任務(wù)CARA運(yùn)用數(shù)字證書(shū)的用戶(hù)之間經(jīng)過(guò)CA一個(gè)可信的第三方來(lái)建立信任關(guān)系A(chǔ)pplications and other usersDirectory提

8、交證書(shū)懇求懇求PKI提供的根本效力認(rèn)證采用數(shù)字簽名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上數(shù)據(jù)源認(rèn)證效力身份認(rèn)證效力完好性PKI采用了兩種技術(shù)數(shù)字簽名：既可以是實(shí)體認(rèn)證，也可以是數(shù)據(jù)完好性MAC(音訊認(rèn)證碼)：如DES-CBC-MAC或者HMAC-MD5PKI提供的根本效力嚴(yán)密性用公鑰分發(fā)隨鑰，然后用隨鑰對(duì)數(shù)據(jù)加密不可否認(rèn)發(fā)送方的不可否認(rèn) 數(shù)字簽名接受方的不可否認(rèn) 收條 + 數(shù)字簽名6.4 平安協(xié)議6.4 平安協(xié)議SET協(xié)議客戶(hù)、商家、支付網(wǎng)關(guān)認(rèn)證中心和網(wǎng)上銀行 必需在銀行網(wǎng)絡(luò)、商家效力器、客戶(hù)機(jī)上安裝相應(yīng)的軟件，而不是象SSL協(xié)議可直接運(yùn)用，因此添加了許多附加軟件費(fèi)用。 要求運(yùn)用電子錢(qián)包進(jìn)展付款，必需

9、先下載電子錢(qián)包軟件，操作復(fù)雜，耗費(fèi)時(shí)間；每天買(mǎi)賣(mài)無(wú)限額，利于購(gòu)買(mǎi)大宗商品；由于存在著驗(yàn)證過(guò)程，因此支付緩慢，有時(shí)還不能完成買(mǎi)賣(mài)。 平安需求高，因此一切參與買(mǎi)賣(mài)的成員都必需先懇求數(shù)字證書(shū)來(lái)認(rèn)識(shí)身份；保證了商家的合法性，并且客戶(hù)的信譽(yù)卡號(hào)不會(huì)被竊取，使其在結(jié)購(gòu)物和支付更加放心。參與方費(fèi)用便利性平安性SSL協(xié)議客戶(hù)、商家和網(wǎng)上銀行 已被大部分Web閱讀器和Web效力器所內(nèi)置，因此可直接投入運(yùn)用，無(wú)需額外的附加軟件費(fèi)用。 運(yùn)用過(guò)程中無(wú)需在客戶(hù)端安裝電子錢(qián)包，因此操作簡(jiǎn)單；每天買(mǎi)賣(mài)有限額規(guī)定，因此不利于購(gòu)買(mǎi)大宗商品；支付迅速，幾秒鐘便可完成。 只需商家的效力器需求認(rèn)證，客戶(hù)端認(rèn)證那么是有選擇的；短少對(duì)商

10、家的認(rèn)證，因此客戶(hù)的信譽(yù)卡號(hào)等支付信息有能夠被商家走漏。 項(xiàng) 目SSL協(xié)議SET協(xié)議任務(wù)層次傳輸層與運(yùn)用層之間運(yùn)用層能否透明透明不透明過(guò)程簡(jiǎn)單復(fù)雜效率高低平安性商家掌握消費(fèi)者PI消費(fèi)者PI對(duì)商家嚴(yán)密認(rèn)證機(jī)制雙方認(rèn)證認(rèn)證多方能否專(zhuān)為EC設(shè)計(jì)否是補(bǔ)充：3D協(xié)議3D協(xié)議3D平安協(xié)議涉及5個(gè)實(shí)體，包括持卡人、發(fā)卡行、商戶(hù)、收單行和VISA組織。3D平安協(xié)議將這5個(gè)實(shí)體邏輯地分到3個(gè)域中。其中，發(fā)卡機(jī)構(gòu)域指發(fā)卡行和持卡人；中間運(yùn)轉(zhuǎn)域是使發(fā)卡機(jī)構(gòu)域和收單機(jī)構(gòu)域在全球范圍內(nèi)協(xié)同運(yùn)轉(zhuǎn)的系統(tǒng)和功能設(shè)備；收單機(jī)構(gòu)域指收單行和商戶(hù)。3D平安協(xié)議中一個(gè)重要的組成部分是發(fā)卡行認(rèn)證效力器訪問(wèn)控制效力器ACS。持卡人發(fā)卡機(jī)

11、構(gòu)訪問(wèn)控制發(fā)卡機(jī)構(gòu)域 中間操作域 收單機(jī)構(gòu)域 商戶(hù)收單機(jī)構(gòu)收單機(jī)構(gòu)支付網(wǎng)關(guān)VISA目錄效力器插件歷史驗(yàn)證VISANET12345678912131011141持卡人登陸商戶(hù)網(wǎng)站，閱讀商品，輸入口令及卡號(hào)，輸入訂購(gòu)信息及支付信息。2商戶(hù)軟件插件經(jīng)過(guò)VISA的目錄效力器檢查卡號(hào)所示的發(fā)卡機(jī)構(gòu)能否參與了3D平安協(xié)議。3VISA目錄效力器將卡號(hào)傳送給發(fā)卡機(jī)構(gòu)的訪問(wèn)控制效力器，經(jīng)過(guò)發(fā)卡機(jī)構(gòu)檢查認(rèn)證該卡能否已參與3D平安協(xié)議。4發(fā)卡機(jī)構(gòu)的ACS確認(rèn)該卡能否已參與3D平安協(xié)議。5VISA目錄效力器將發(fā)卡機(jī)構(gòu)的ACS的地址告知商戶(hù)插件。6商戶(hù)插件將持卡人閱讀器定位到ACS，同時(shí)附上買(mǎi)賣(mài)信息待持卡人進(jìn)一步確認(rèn)。

12、7發(fā)卡機(jī)構(gòu)的ACS要求持卡人輸入用戶(hù)名和密碼。8持卡人向發(fā)卡機(jī)構(gòu)中輸入用戶(hù)名和密碼。9發(fā)卡方的ACS驗(yàn)證密碼，產(chǎn)生回應(yīng)信息，然后將客戶(hù)重新定位向商戶(hù)插件；與此同時(shí)將有關(guān)信息發(fā)送給VISA的歷史驗(yàn)證效力器。10商戶(hù)將買(mǎi)賣(mài)信息提交給收單機(jī)構(gòu)。11收單機(jī)構(gòu)向發(fā)卡機(jī)構(gòu)要求授權(quán)。12發(fā)卡機(jī)構(gòu)經(jīng)過(guò)VISANET向收單機(jī)構(gòu)發(fā)送授權(quán)這里的買(mǎi)賣(mài)流與傳統(tǒng)刷卡買(mǎi)賣(mài)一樣。13收單機(jī)構(gòu)將買(mǎi)賣(mài)回應(yīng)信息前往到商戶(hù)。14商戶(hù)確認(rèn)買(mǎi)賣(mài)并向持卡人提供收據(jù)。6.5 中國(guó)金融認(rèn)證中心6.5.1 CFCA的組成部分CA效力器證書(shū)下載中心目錄效力器密鑰管理中心證書(shū)注冊(cè)機(jī)構(gòu)OCSP效力器CFCA6.5 中國(guó)金融認(rèn)證中心6.5.2 CA的組

13、成構(gòu)造6.5 中國(guó)金融認(rèn)證中心6.5.3 CFCA的證書(shū)個(gè)人證書(shū)企業(yè)證書(shū)平安電子郵件證書(shū)VPN設(shè)備證書(shū)手機(jī)證書(shū)Web效力器證書(shū)6.5 中國(guó)金融認(rèn)證中心6.5.4 CFCA的功能1證書(shū)的懇求2證書(shū)的審批3證書(shū)的發(fā)放4證書(shū)的歸檔5證書(shū)的撤銷(xiāo)6證書(shū)的更新7證書(shū)撤銷(xiāo)列表的管理功能9CA 本身密鑰的管理8CA 的管理37第六講 支付平安技術(shù)【習(xí)題】一、選擇題1在采用RSA 公開(kāi)密鑰加密系統(tǒng)中，假設(shè)A 想給B 發(fā)送一封郵件，并且想讓B 知道郵件是A 發(fā)出的，那么A 應(yīng)該選用的加密密鑰是( )。AA 的公鑰 BB 的公鑰 CA 的私鑰 DB 的私鑰2非對(duì)稱(chēng)加密將密鑰被分解為一對(duì)密鑰，即( )。A一把公開(kāi)的加密密鑰和一把公開(kāi)的解密密鑰B一把的加密密鑰和一把公開(kāi)的解密密鑰C一把公開(kāi)的加密密鑰和一把的解密密鑰D一把公開(kāi)密鑰或加密密鑰和一把公用密鑰或解密密鑰3SET 協(xié)議經(jīng)過(guò)( )算法和( )算法的結(jié)合運(yùn)用，保證了數(shù)據(jù)的一致性和完好性，并可實(shí)現(xiàn)買(mǎi)賣(mài)以預(yù)防抵賴(lài)。ADES BRSA CMD5 DRC2 ERC34CFCA 體系中證書(shū)的發(fā)放包括( )和( )。A離線方式 B在線方式 C人工發(fā)放 D銀行發(fā)放 E