支付安全策略ppt课件

1、电子支付的平安保证2【教学目的与要求】了解电子支付的平安风险，掌握电子支付的相关平安需求；了解保证支付平安的多种技术；掌握对称技术原理；掌握非对称加密技术原理；了解数字签名的概念及原理；掌握数字证书的主要内容及其实现技术；了解数字摘要、数字时间戳等平安技术；第六讲 支付平安技术3第六讲 支付平安技术【知识架构】【重要术语】密码技术；数字签名；数字证书；CFCA；PKI；CA ；SSL； SET；第六讲 支付平安技术6.1 电子支付平安概述来自银行合作单位的安全隐患6.1.1 电子支付的平安隐患6.1 电子支付平安概述电子支付系统平安需求严密性可靠性完好性可用性抗否认性 所谓防火墙就是指综合采用

2、适当技术在被维护网络周边建立的用于隔离被维护网络与外部网络的系统。6.2 电子支付平安相关技术6.2.1 平安防备技术1.防火墙技术6.2 电子支付平安相关技术2.虚拟公用网技术虚拟公用网Virtual Private Networking，VPN指的是依托ISPInternet效力提供商和其它NSP网络效力提供商，在公用网络中建立公用的数据通讯网络的技术。 VPN采用的主要技术有哪些？隧道技术Tunneling身份认证技术Authentication加解密技术Encryption&Decryption密钥管理技术Keymanagement6.2 电子支付平安相关技术3.存取访问控制技术常见的

3、存取访问控制方式存取访问控制表存取访问控制矩阵口令方式6.2 电子支付平安相关技术6.2.2 数据加密技术1.对称加密技术又称密钥、私有密钥，用且只用同一个密钥对信息进展加密和解密。对称密钥密码体系的优点是加密、解密速度很快(高效)，但缺陷也很明显：密钥难于共享，需太多密钥。目前比较著名的对称密码加密算法有：DES和IDEA明文密文密文明文加密解密密钥传输发送方接纳方6.2 电子支付平安相关技术2.非对称加密技术非对称密钥密码体系也称公开密钥技术。非对称密钥技术的优点是：易于实现，运用灵敏，密钥较少。弱点在于:要获得较好的加密效果和强度，必需运用较长的密钥。接纳方公钥明文密文接纳方私钥密文明文

4、加密解密密钥对传输发送方接纳方12.2 电子支付平安相关技术6.2.3 身份认证技术123基于口令的身份认证基于物理证件的身份认证基于人体生物学特征的身份认证12.2 电子支付平安相关技术6.2.4 数字认证技术又称数字指纹、Hash编码法，能保证信息传输的完好性。 发送方 原文Hash算法摘要 对比 接纳方 原文摘要摘要Hash算法互联网6.2 电子支付平安相关技术6.2 电子支付平安相关技术 数字信封：是用加密技术来保证只需规定的特定收信人才干阅读信的内容。 根本原理：发送者运用随机产生的对称密钥加密数据，然后将生成的密文和密钥本身一同用接纳者的公开密钥加密，加密的对称密钥称为数字信封，将

5、密文及加密后的密钥发送给接纳者；接纳者先用本人的私钥解密数字信封，得到对称密钥，然后运用对称密钥解密数据。6.2 电子支付平安相关技术数字证书是用电子手段来证明一个用户的身份和对网络资源访问的权限，是一个经证书授权中心CACertificate Authority数字签名的、包含证书恳求者个人音讯及其公开密钥的文件。123个人证书Personal Digital ID企业效力器证书Server ID软件开发者证书Developer ID6.2 电子支付平安相关技术证书的版号证书的序列号证书拥有者的姓名证书拥有者的公共密钥公共密钥的有效期6.证书的有效期7.颁发证书的单位CCTTT.509国际规

6、范， X.509数字证书包含 6.3 PKI技术6.3.1 什么是PKIPublic Key Infrastructure (PKI) . . . . . 是硬件、软件、人员、战略和操作规程的总和，它们要完成创建、管理、保管、发放和废止证书的功能PKI 基于公开密钥加密算法来保证网络通讯平安 PKI是一个用公钥技术来实施和提供平安效力具有普适性的平安根底设备.它的目的是为一切运用提供一致规范的平安效力.遵照一定规那么建立的PKI, 提供信息平安效力, 可以节省费用, 提高效率, 简化管理, 降低复杂性, 提高可靠性.6.3 PKI技术 什么是PKI6.3 PKI技术 PKI的组成 一个典型的P

7、KI系统中包括PKI战略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI运用等。PKI运用证书机构CA注册机构RA证书发布系统PKI战略软硬件系统一个新用户恳求证书 获取用户的身份信息 进展证书废止检查 检查证书的有效期 校验数字证书 解密数据 证书下载到用户本地审核经过的注册恳求发送给CA证书同时要被发布出去运用程序经过证书：RA系统审核用户身份发送注册信息给RACA为用户签发证书下载凭证.RA将证书下载凭证发放给用户PKI系统如何任务CARA运用数字证书的用户之间经过CA一个可信的第三方来建立信任关系Applications and other usersDirectory提

8、交证书恳求恳求PKI提供的根本效力认证采用数字签名技术，签名作用于相应的数据之上数据源认证效力身份认证效力完好性PKI采用了两种技术数字签名：既可以是实体认证，也可以是数据完好性MAC(音讯认证码)：如DES-CBC-MAC或者HMAC-MD5PKI提供的根本效力严密性用公钥分发随钥，然后用随钥对数据加密不可否认发送方的不可否认 数字签名接受方的不可否认 收条 + 数字签名6.4 平安协议6.4 平安协议SET协议客户、商家、支付网关认证中心和网上银行 必需在银行网络、商家效力器、客户机上安装相应的软件，而不是象SSL协议可直接运用，因此添加了许多附加软件费用。 要求运用电子钱包进展付款，必需

9、先下载电子钱包软件，操作复杂，耗费时间；每天买卖无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成买卖。 平安需求高，因此一切参与买卖的成员都必需先恳求数字证书来认识身份；保证了商家的合法性，并且客户的信誉卡号不会被窃取，使其在结购物和支付更加放心。参与方费用便利性平安性SSL协议客户、商家和网上银行 已被大部分Web阅读器和Web效力器所内置，因此可直接投入运用，无需额外的附加软件费用。 运用过程中无需在客户端安装电子钱包，因此操作简单；每天买卖有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成。 只需商家的效力器需求认证，客户端认证那么是有选择的；短少对商

10、家的认证，因此客户的信誉卡号等支付信息有能够被商家走漏。 项 目SSL协议SET协议任务层次传输层与运用层之间运用层能否透明透明不透明过程简单复杂效率高低平安性商家掌握消费者PI消费者PI对商家严密认证机制双方认证认证多方能否专为EC设计否是补充：3D协议3D协议3D平安协议涉及5个实体，包括持卡人、发卡行、商户、收单行和VISA组织。3D平安协议将这5个实体逻辑地分到3个域中。其中，发卡机构域指发卡行和持卡人；中间运转域是使发卡机构域和收单机构域在全球范围内协同运转的系统和功能设备；收单机构域指收单行和商户。3D平安协议中一个重要的组成部分是发卡行认证效力器访问控制效力器ACS。持卡人发卡机

11、构访问控制发卡机构域 中间操作域 收单机构域 商户收单机构收单机构支付网关VISA目录效力器插件历史验证VISANET12345678912131011141持卡人登陆商户网站，阅读商品，输入口令及卡号，输入订购信息及支付信息。2商户软件插件经过VISA的目录效力器检查卡号所示的发卡机构能否参与了3D平安协议。3VISA目录效力器将卡号传送给发卡机构的访问控制效力器，经过发卡机构检查认证该卡能否已参与3D平安协议。4发卡机构的ACS确认该卡能否已参与3D平安协议。5VISA目录效力器将发卡机构的ACS的地址告知商户插件。6商户插件将持卡人阅读器定位到ACS，同时附上买卖信息待持卡人进一步确认。

12、7发卡机构的ACS要求持卡人输入用户名和密码。8持卡人向发卡机构中输入用户名和密码。9发卡方的ACS验证密码，产生回应信息，然后将客户重新定位向商户插件；与此同时将有关信息发送给VISA的历史验证效力器。10商户将买卖信息提交给收单机构。11收单机构向发卡机构要求授权。12发卡机构经过VISANET向收单机构发送授权这里的买卖流与传统刷卡买卖一样。13收单机构将买卖回应信息前往到商户。14商户确认买卖并向持卡人提供收据。6.5 中国金融认证中心6.5.1 CFCA的组成部分CA效力器证书下载中心目录效力器密钥管理中心证书注册机构OCSP效力器CFCA6.5 中国金融认证中心6.5.2 CA的组

13、成构造6.5 中国金融认证中心6.5.3 CFCA的证书个人证书企业证书平安电子邮件证书VPN设备证书手机证书Web效力器证书6.5 中国金融认证中心6.5.4 CFCA的功能1证书的恳求2证书的审批3证书的发放4证书的归档5证书的撤销6证书的更新7证书撤销列表的管理功能9CA 本身密钥的管理8CA 的管理37第六讲 支付平安技术【习题】一、选择题1在采用RSA 公开密钥加密系统中，假设A 想给B 发送一封邮件，并且想让B 知道邮件是A 发出的，那么A 应该选用的加密密钥是( )。AA 的公钥 BB 的公钥 CA 的私钥 DB 的私钥2非对称加密将密钥被分解为一对密钥，即( )。A一把公开的加密密钥和一把公开的解密密钥B一把的加密密钥和一把公开的解密密钥C一把公开的加密密钥和一把的解密密钥D一把公开密钥或加密密钥和一把公用密钥或解密密钥3SET 协议经过( )算法和( )算法的结合运用，保证了数据的一致性和完好性，并可实现买卖以预防抵赖。ADES BRSA CMD5 DRC2 ERC34CFCA 体系中证书的发放包括( )和( )。A离线方式 B在线方式 C人工发放 D银行发放 E