1、關(guān)于網(wǎng)絡(luò)支付的安全技術(shù)第一張，PPT共九十三頁，創(chuàng)作于2022年6月一、網(wǎng)絡(luò)支付的安全問題與需求1、網(wǎng)絡(luò)支付面臨的安全問題（1）電子商務(wù)的主要安全隱患 1）系統(tǒng)的中斷與癱瘓 2）信息被盜聽 3）信息被篡改 4）信息被偽造 5）對交易行為抵賴 第二張，PPT共九十三頁，創(chuàng)作于2022年6月一、網(wǎng)絡(luò)支付的安全問題與需求 1、網(wǎng)絡(luò)支付面臨的安全問題（2）網(wǎng)絡(luò)支付的主要安全隱患1）支付賬號和密碼等隱私支付信息被盜取或盜用2）支付金額被更改3）無法有效驗證收款方的身份4）對支付行為進行抵賴、修改或否認5）網(wǎng)絡(luò)支付系統(tǒng)癱瘓 第三張，PPT共九十三頁，創(chuàng)作于2022年6月一、網(wǎng)絡(luò)支付的安全問題與需求 2.網(wǎng)

2、絡(luò)支付的安全需求網(wǎng)絡(luò)上資金流數(shù)據(jù)的保密性相關(guān)網(wǎng)絡(luò)支付結(jié)算數(shù)據(jù)的完整性網(wǎng)絡(luò)上資金結(jié)算雙方身份的認定不可抵賴性保證網(wǎng)絡(luò)支付系統(tǒng)的運行可靠、快捷，做好數(shù)據(jù)備份與災(zāi)難恢復(fù)功能建立共同的網(wǎng)絡(luò)支付行為規(guī)范，進行相關(guān)立法，以強制力手段要求網(wǎng)絡(luò)支付相關(guān)各方嚴格遵守第四張，PPT共九十三頁，創(chuàng)作于2022年6月二、網(wǎng)絡(luò)支付的安全策略及解決方法 1.網(wǎng)絡(luò)支付安全策略制定的目的、涵義和原則（1）制定網(wǎng)絡(luò)支付安全策略的目的保障相關(guān)支付結(jié)算信息的機密性、完整性、認證性、不可否認性、不可拒絕性和訪問控制性不被破壞；能夠有序地、經(jīng)常地鑒別和測試安全狀態(tài)；能夠?qū)赡艿娘L(fēng)險做基本評估；系統(tǒng)的安全被破壞后的恢復(fù)工作。 應(yīng)用相應(yīng)法

3、律法規(guī)來保護安全利益 第五張，PPT共九十三頁，創(chuàng)作于2022年6月二、網(wǎng)絡(luò)支付的安全策略及解決方法（2）網(wǎng)絡(luò)支付安全策略的涵義安全策略必須包含對安全問題的多方面考慮因素。安全策略一般要包含以下內(nèi)容：認證；訪問控制：保密；數(shù)據(jù)完整性；法律法規(guī)等審計。 1.網(wǎng)絡(luò)支付安全策略制定的目的、涵義和原則第六張，PPT共九十三頁，創(chuàng)作于2022年6月二、網(wǎng)絡(luò)支付的安全策略及解決方法（3）制定網(wǎng)絡(luò)支付安全策略的基本原則 (1)預(yù)防為主 (2)必須根據(jù)網(wǎng)絡(luò)支付結(jié)算的安全需要和目標(biāo)來制定安全策略 (3)根據(jù)掌握的實際信息分析 1.網(wǎng)絡(luò)支付安全策略制定的目的、涵義和原則第七張，PPT共九十三頁，創(chuàng)作于2022年6

4、月二、網(wǎng)絡(luò)支付的安全策略及解決方法 2.網(wǎng)絡(luò)支付安全策略的主要內(nèi)容（1）定義實現(xiàn)安全的網(wǎng)絡(luò)支付結(jié)算的保護資源金融機構(gòu)公正第三方稅務(wù)等政府機構(gòu)安全的通信通道交易方A：機密支付信息交易方B：機密支付信息安全的網(wǎng)絡(luò)支付系統(tǒng)組成示意圖安全策略具體內(nèi)容中要定義保護的資源，要定義保護的風(fēng)險，要吃透電子商務(wù)安全的法律法規(guī)，最后要建立安全策略和確定一套安全機制。第八張，PPT共九十三頁，創(chuàng)作于2022年6月（2）定義保護的風(fēng)險 每一新的網(wǎng)絡(luò)支付方式推出與應(yīng)用，均有一定的風(fēng)險，因為絕對安全的支付手段是沒有的，要進行相關(guān)風(fēng)險分析。還要注意網(wǎng)絡(luò)支付工具使用安全與使用便利、快捷之間的辯證關(guān)系。（3）完全理解、遵循和利

5、用有關(guān)電子商務(wù)安全與網(wǎng)絡(luò)支付安全的法律法規(guī) （4）建立相關(guān)安全策略和確定一套安全機制 安全策略中最后要根據(jù)定義的保護資源、定義的保護風(fēng)險、電子商務(wù)安全的法律法規(guī)，建立安全策略和確定一套安全機制。 安全策略是由個人或組織針對網(wǎng)絡(luò)支付結(jié)算安全全面制定的， 安全機制是實現(xiàn)安全策略的手段或技術(shù)、整套規(guī)則和決策 第九張，PPT共九十三頁，創(chuàng)作于2022年6月二、網(wǎng)絡(luò)支付的安全策略及解決方法 3.保證網(wǎng)絡(luò)支付安全的解決方法 (1)交易方身份認證 (2)網(wǎng)絡(luò)支付數(shù)據(jù)流內(nèi)容保密 (3)網(wǎng)絡(luò)支付數(shù)據(jù)流內(nèi)容完整性 (4)保證對網(wǎng)絡(luò)支付行為內(nèi)容的不可否認性 (5)處理多方貿(mào)易業(yè)務(wù)的多邊支付問題 (6)網(wǎng)絡(luò)支付系統(tǒng)軟

6、件、支撐網(wǎng)絡(luò)平臺的正常運行 (7)政府支持相關(guān)管理機構(gòu)的建立和電子商務(wù)法律的制定第十張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù) 1. 網(wǎng)絡(luò)平臺系統(tǒng)的構(gòu)成及其主要安全威脅 網(wǎng)絡(luò)平臺系統(tǒng)的構(gòu)成Intranet 電子商務(wù)服務(wù)器銀行專網(wǎng)Internet客戶機 支付網(wǎng)關(guān)支持網(wǎng)絡(luò)支付的Internet網(wǎng)絡(luò)平臺系統(tǒng)組成示意圖第十一張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù) 公共通信通道Internet的安全威脅 截斷堵塞：如切斷通訊線路、毀壞硬件、病毒癱瘓軟件系統(tǒng)、垃圾信息堵塞網(wǎng)絡(luò)通道等） 偽造：偽造客戶或商家信息，假冒身份以騙取財物。 篡

7、改：為某目的對相關(guān)網(wǎng)絡(luò)支付信息進行篡改 介入：利用特殊軟件工具提取Internet上通信的數(shù)據(jù)，以期破解信息；或進行信息流量分析，對信息的流動情況進行分析；或非法進入系統(tǒng)或數(shù)據(jù)庫，進行破壞、COPY等。 1. 網(wǎng)絡(luò)平臺系統(tǒng)的構(gòu)成及其主要安全威脅第十二張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù) Intranet的最基本安全需求 網(wǎng)絡(luò)邊界的安全 內(nèi)部網(wǎng)絡(luò)的安全 身份驗證 授權(quán)管理 數(shù)據(jù)的保密性和完整性 完整的審計、記錄、備份機制，以便分析處理 1. 網(wǎng)絡(luò)平臺系統(tǒng)的構(gòu)成及其主要安全威脅第十三張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù)

8、 2. Internet網(wǎng)絡(luò)平臺系統(tǒng)的安全措施 Internet網(wǎng)絡(luò)平臺上安全措施主要從保護網(wǎng)絡(luò)安全、保護應(yīng)用的安全和保護系統(tǒng)安全三個方面來敘述。 （1）保護網(wǎng)絡(luò)安全全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略制定網(wǎng)絡(luò)安全管理措施 使用防火墻。盡量記錄網(wǎng)絡(luò)上的一切活動注意對設(shè)備的物理保護檢查網(wǎng)絡(luò)平臺系統(tǒng)脆弱性可靠的識別和鑒別 第十四張，PPT共九十三頁，創(chuàng)作于2022年6月（2）保護應(yīng)用的安全應(yīng)用安全是針對特定應(yīng)用(如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng))中所建立的安全防護措施，獨立于任何網(wǎng)絡(luò)的安全措施。網(wǎng)絡(luò)支付協(xié)議就很復(fù)雜，它涉及購貨人、零售商和銀行之間的轉(zhuǎn)賬，不同參與者之間的通信需要不同水平的保護，需要在應(yīng)用

9、層上處理。由于現(xiàn)在電子商務(wù)中的應(yīng)用層對安全的要求最嚴格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。應(yīng)用層上的安全業(yè)務(wù)可以涉及認證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。 第十五張，PPT共九十三頁，創(chuàng)作于2022年6月（3）保護系統(tǒng)安全 系統(tǒng)安全性是指從整體系統(tǒng)的角度來進行保護，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施：(1)檢查和確認安裝軟件中未知的安全漏洞(2)使系統(tǒng)具有最小穿透風(fēng)險性(3)對入侵進行檢測、審計、追蹤第十六張，PPT共九十三頁，創(chuàng)作于2022年6月三

10、、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù) 3. 防火墻技術(shù)與應(yīng)用 （1）防火墻的定義 防火墻(Firewall)，是一種由計算機軟件和硬件組成的隔離系統(tǒng)設(shè)備，用于在Intranet和Internet之間構(gòu)筑一道防護屏障，能按設(shè)置的條件進行區(qū)分，實現(xiàn)內(nèi)外有別。其主要目標(biāo)是保護Intranet中的信息、資源等不受來自Internet中非法用戶的侵犯，它控制Intranet與Internet之間的所有數(shù)據(jù)流量。第十七張，PPT共九十三頁，創(chuàng)作于2022年6月（2）防火墻的應(yīng)用示意圖為：Internet企業(yè)內(nèi)部網(wǎng)絡(luò)（如Intranet)防火墻系統(tǒng)（堡壘主機+路由器等）非安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)第十八張，PPT共九十三

11、頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù)（2）防火墻的功能 實現(xiàn)安全策略 創(chuàng)建一個阻塞點 記錄網(wǎng)絡(luò)活動 限制網(wǎng)絡(luò)暴露 VPN網(wǎng)關(guān) 3. 防火墻技術(shù)與應(yīng)用第十九張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù)（3）防火墻的種類 數(shù)據(jù)包過濾性防火墻 應(yīng)用級網(wǎng)關(guān)型防火墻 代理服務(wù)器型防火墻 復(fù)合型防火墻 3. 防火墻技術(shù)與應(yīng)用第二十張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù) 5.防火墻的類型 按防火墻采用的技術(shù)分類，主要有包過濾式防火墻、應(yīng)用級網(wǎng)關(guān)和狀態(tài)檢測防火墻數(shù)據(jù)包過濾式防火墻Internet數(shù)據(jù)包過濾防火墻+路由器

12、Internet優(yōu)點：對用戶來說是透明的，處理速度快，易于維護，進行網(wǎng)絡(luò)及維護缺點：不能鑒別不同的用戶和防止IP地址盜用，配置繁瑣數(shù)據(jù)包過濾式的防火墻應(yīng)用原理示意圖 3. 防火墻技術(shù)與應(yīng)用第二十一張，PPT共九十三頁，創(chuàng)作于2022年6月 應(yīng)用級防火墻通常是運行在防火墻上的運行代理服務(wù)器軟件部分（又名稱為應(yīng)用網(wǎng)關(guān)）應(yīng)用級網(wǎng)關(guān)Internet優(yōu)點：比包過濾式防火墻更為安全、可靠，詳細記錄所有訪問狀態(tài)信息缺點：速度慢，不允許用戶直接訪問網(wǎng)絡(luò)，透明性差I(lǐng)ntranet內(nèi)部服務(wù)器等代理服務(wù)器路由器應(yīng)用級網(wǎng)關(guān)的應(yīng)用原理示意圖第二十二張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻

13、技術(shù) （4）防火墻的優(yōu)缺點優(yōu)點遏制來自Internet各種路線的攻擊借助網(wǎng)絡(luò)服務(wù)選擇，保護網(wǎng)絡(luò)中脆弱的易受攻擊的服務(wù)監(jiān)視整個網(wǎng)絡(luò)的安全性，具有實時報警提醒功能作為部署NAT的邏輯地址增強內(nèi)部網(wǎng)中資源的保密性，強化私有權(quán) 3. 防火墻技術(shù)與應(yīng)用第二十三張，PPT共九十三頁，創(chuàng)作于2022年6月三、網(wǎng)絡(luò)支付平臺的安全及防火墻技術(shù)缺點限制了一些有用的網(wǎng)絡(luò)服務(wù)的使用，降低了網(wǎng)絡(luò)性能；只能限制內(nèi)部用戶對外的訪問，無法防護來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊；不能完全防止傳送感染病毒的軟件或文件，特別是一些數(shù)據(jù) 驅(qū)動型的攻擊數(shù)據(jù)；被動防守，不能防備新的網(wǎng)絡(luò)安全問題； （4）防火墻的優(yōu)缺點 3. 防火墻技術(shù)與應(yīng)用第二十四

14、張，PPT共九十三頁，創(chuàng)作于2022年6月四、病毒的防治和管理死機、黑屏、藍屏或者非法運行；應(yīng)用軟件不能運行；計算機速度明顯下降；設(shè)備被禁用，數(shù)據(jù)不能保存；局域網(wǎng)環(huán)境下，能造成網(wǎng)絡(luò)堵塞，服務(wù)器不能正常工作； 1. 計算機病毒的發(fā)作現(xiàn)象第二十五張，PPT共九十三頁，創(chuàng)作于2022年6月系統(tǒng)病毒蠕蟲病毒木馬病毒腳本病毒宏病毒后門病毒病毒種植程序病毒破壞性病毒玩笑病毒捆綁機病毒 2. 計算機病毒的種類四、病毒的防治和管理第二十六張，PPT共九十三頁，創(chuàng)作于2022年6月防病毒軟件查漏補缺Windows update 自動更新防止下載病毒 3. 計算機病毒的防治方法四、病毒的防治和管理第二十七張，PP

15、T共九十三頁，創(chuàng)作于2022年6月五、數(shù)據(jù)機密性技術(shù) 1. 私有密鑰加密法 （1）私用密鑰加密法的定義與應(yīng)用原理 信息發(fā)送方用一個密鑰對要發(fā)送的數(shù)據(jù)進行加密，信息的接收方能用同樣的密鑰解密，而且只能用這一密鑰解密。由于雙方所用加密和解密的密鑰相同，所以叫作對稱密鑰加密法。對稱密鑰密碼體系的優(yōu)點是加密、解密速度很快(高效)，但缺點也很明顯：密鑰難于共享，需太多密鑰。目前比較著名的對稱密碼加密算法有：DES和IDEA第二十八張，PPT共九十三頁，創(chuàng)作于2022年6月 （2）私用密鑰加密法的使用過程乙銀行：有一筆20 000元資金轉(zhuǎn)帳至貴行12345賬號上 甲銀行乙銀行：有一筆20 000元資金轉(zhuǎn)帳

16、至貴行12345賬號上 甲銀行密鑰A密鑰A加密解密信息明文信息明文信息密文信息密文網(wǎng)絡(luò)傳輸甲銀行乙銀行五、數(shù)據(jù)機密性技術(shù) 1. 私有密鑰加密法第二十九張，PPT共九十三頁，創(chuàng)作于2022年6月五、 數(shù)據(jù)機密性技術(shù) 2. 公開密鑰加密法（1）公開密鑰加密法的定義與應(yīng)用原理原理：共用2個密鑰，在數(shù)學(xué)上相關(guān)，稱作密鑰對。用密鑰對中任何一個密鑰加密，可以用另一個密鑰解密，而且只能用此密鑰對中的另一個密鑰解密。商家采用某種算法（秘鑰生成程序）生成了這2個密鑰后，將其中一個保存好，叫做私人密鑰(Private Key)，將另一個密鑰公開散發(fā)出去，叫做公開密鑰(Public Key)。非對稱密鑰技術(shù)的優(yōu)點是

17、：易于實現(xiàn)，使用靈活，密鑰較少。弱點在于:要取得較好的加密效果和強度，必須使用較長的密鑰。第三十張，PPT共九十三頁，創(chuàng)作于2022年6月 （2）公開密鑰加密法的使用過程乙銀行：有一筆20 000元資金轉(zhuǎn)帳至貴行12345賬號上 客戶甲乙銀行：有一筆20 000元資金轉(zhuǎn)帳至貴行12345賬號上 客戶甲加密解密支付通知明文支付通知明文支付通知密文支付通知密文網(wǎng)絡(luò)傳輸客戶甲乙銀行公鑰私鑰 BA實現(xiàn)了定點保密通知五、 數(shù)據(jù)機密性技術(shù) 2. 公開密鑰加密法第三十一張，PPT共九十三頁，創(chuàng)作于2022年6月客戶甲：本行已將20 000元資金從你賬號轉(zhuǎn)移至12345賬號上 乙銀行解密加密支付確認明文支付確

18、認明文支付確認密文支付確認密文網(wǎng)絡(luò)傳輸客戶甲乙銀行公鑰私鑰 BA網(wǎng)絡(luò)銀行不能否認或抵賴客戶甲：本行已將20 000元資金從你賬號轉(zhuǎn)移至12345賬號上 乙銀行 （2）公開密鑰加密法的使用過程五、 數(shù)據(jù)機密性技術(shù) 2. 公開密鑰加密法第三十二張，PPT共九十三頁，創(chuàng)作于2022年6月五、數(shù)據(jù)機密性技術(shù)3. 私有密鑰加密法和公開密鑰加密法的比較DES算法RSA算法加密、解密的處理效率快慢密鑰的分發(fā)與管理密鑰變更困難，需產(chǎn)生和保管巨量的不同密鑰更新加密密鑰容易，對不同的通信對象，只需保存自己的私鑰安全性好好數(shù)字簽名和認證不能實現(xiàn)能實現(xiàn)第三十三張，PPT共九十三頁，創(chuàng)作于2022年6月五、數(shù)據(jù)機密性技

19、術(shù) 4. 數(shù)字信封 （1）數(shù)字信封的定義和應(yīng)用原理對需傳送的信息（如電子合同、支付指令）的加密采用對稱密鑰加密法；但密鑰不先由雙方約定，而是在加密前由發(fā)送方隨機產(chǎn)生；用此隨機產(chǎn)生的對稱密鑰對信息進行加密，然后將此對稱密鑰用接收方的公開密鑰加密，準(zhǔn)備定點加密發(fā)送給接受方。這就好比用“信封”封裝起來，所以稱作數(shù)字信封（封裝的是里面的對稱密鑰）。接收方收到信息后，用自己的私人密鑰解密，打開數(shù)字信封，取出隨機產(chǎn)生的對稱密鑰，用此對稱密鑰再對所收到的密文解密，得到原來的信息。第三十四張，PPT共九十三頁，創(chuàng)作于2022年6月 （2）數(shù)字信封在網(wǎng)絡(luò)支付中的應(yīng)用示例銀行乙的公鑰B客戶甲隨即產(chǎn)生的私鑰P銀行乙

20、的私鑰A網(wǎng)絡(luò)傳送1銀行乙從數(shù)字信封中取出私鑰P乙銀行：有一筆200元資金轉(zhuǎn)帳至貴行12345賬號上 客戶甲支付通知明文網(wǎng)絡(luò)傳送2加密支付通知明文乙銀行：有一筆200元資金轉(zhuǎn)帳至貴行12345賬號上 客戶甲支付確認密文支付確認密文客戶甲乙銀行解密第三十五張，PPT共九十三頁，創(chuàng)作于2022年6月 （3）數(shù)字信封的優(yōu)點 加密、解密速度快，可以滿足即時處理需要 RSA和DES相結(jié)合，不用為交換DES密鑰周折，減小了DES泄密的風(fēng)險 具有數(shù)字簽名和認證功能 密鑰管理方便 保證通信的安全第三十六張，PPT共九十三頁，創(chuàng)作于2022年6月五、數(shù)據(jù)完整性技術(shù) 1. 數(shù)字摘要技術(shù) （1）.數(shù)字摘要的定義和應(yīng)用

21、原理 通訊雙方在互相傳送消息時，不僅要對數(shù)據(jù)進行保密，不讓第三者知道，還要能夠知道數(shù)據(jù)在傳輸過程中沒有被別人改變，也就是要保證數(shù)據(jù)的完整性。 用某種算法對被傳送的數(shù)據(jù)生成一個完整性值，將此完整性值與原始數(shù)據(jù)一起傳送給接收者，接收者用此完整性值來檢驗消息在傳送過程中有沒有發(fā)生改變。這個值由原始數(shù)據(jù)通過某一加密算法產(chǎn)生的一個特殊的數(shù)字信息串，比原始數(shù)據(jù)短小，能代表原始數(shù)據(jù)，所以稱作數(shù)字摘要（Digital Digest）。 第三十七張，PPT共九十三頁，創(chuàng)作于2022年6月 （2）數(shù)字摘要的產(chǎn)生示例銀行乙：請將200元資金從本帳號轉(zhuǎn)移至12345賬號上。 客戶甲Hash算法：數(shù)字摘要生成器Abcd

22、dabc347698jdf74.kxs支付通知支付通知的數(shù)字摘要第三十八張，PPT共九十三頁，創(chuàng)作于2022年6月 2. 數(shù)字簽名技術(shù) （1）數(shù)字簽名的定義和應(yīng)用原理 在傳統(tǒng)商務(wù)的合同或支付信件中平時人們用筆簽名，這個簽名通常有兩個作用： 可以證明信件是由簽名者發(fā)送并認可的 （不可抵賴） 保證信件的真實性 （非偽造、非篡改） 數(shù)字簽名及原理：Digita1 Signature,就是指利用數(shù)字加密技術(shù)實現(xiàn)在網(wǎng)絡(luò)傳送信息文件時，附加個人標(biāo)記，完成傳統(tǒng)上手書簽名或印章的作用，以表示確認、負責(zé)、經(jīng)手、真實等；或 數(shù)字簽名就是在要發(fā)送的消息上附加一小段只有消息發(fā)送者才能產(chǎn)生而別人無法偽造的特殊數(shù)據(jù)（個人

23、標(biāo)記），而且這段數(shù)據(jù)是原消息數(shù)據(jù)加密轉(zhuǎn)換生成的，用來證明消息是由發(fā)送者發(fā)來的。 第三十九張，PPT共九十三頁，創(chuàng)作于2022年6月（2）數(shù)字簽名的特點 (1)信息是由簽名者發(fā)送的； (2)信息自簽發(fā)后到收到為止未曾做過任何修改； (3)如果A否認對信息的簽名，可以通過仲裁解決A和B之間的爭議 (4)數(shù)字簽名又不同于手寫簽名： 數(shù)字簽名隨文本的變化而變化，手寫簽字反映某個人個性特征，是不變的；數(shù)字簽名與文本信息是不可分割的，而用手寫簽字是附加在文本之后的，與文本信息是分離的。（3）數(shù)字簽名的形式化定義 “數(shù)字簽名”系指在數(shù)據(jù)電文中，以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，和與數(shù)據(jù)電

24、文有關(guān)的任何方法，它可用于數(shù)據(jù)電文有關(guān)的簽字持有人和表明此人認可數(shù)據(jù)電文所含信息。第四十張，PPT共九十三頁，創(chuàng)作于2022年6月（4）數(shù)字簽名的功能 (1)身份認證。收方通過發(fā)方的電子簽名能夠確認發(fā)方的確切身份，但無法偽造。(2)保密。雙方的通信內(nèi)容高度保密，第三方無從知曉。(3)完整性。通信的內(nèi)容無法被篡改。(4)不可抵賴。發(fā)方一旦將電子簽字的信息發(fā)出，就不能再否認。 數(shù)字簽名與數(shù)據(jù)加密完全獨立。數(shù)據(jù)可以只簽名或只加密，也可既簽名又加密，當(dāng)然，也可以既不簽名也不加密。 2. 數(shù)字簽名技術(shù)第四十一張，PPT共九十三頁，創(chuàng)作于2022年6月（5）數(shù)字簽名與手寫簽名的區(qū)別 數(shù)字簽名與手書簽名的區(qū)

25、別在于，手書簽名是模擬的，且因人而異； 數(shù)字簽名是0和1的數(shù)字串，因消息而異； 數(shù)字簽名與消息認證的區(qū)別在于，消息認證使收方能驗證消息發(fā)送者及所發(fā)消息內(nèi)容是否被篡改過；當(dāng)收者和發(fā)者之間有利害沖突時，單純用消息認證技術(shù)就無法解決他們之間的糾紛，此時須借助滿足前述要求的數(shù)字簽名技術(shù)。任何一種產(chǎn)生簽名的算法或函數(shù)都應(yīng)當(dāng)提供這兩種信息，而且從公開的信息很難推測出用于產(chǎn)生簽名的機密信息；任何一種數(shù)字簽名的實現(xiàn)都有賴于精心設(shè)計的通信協(xié)議； 第四十二張，PPT共九十三頁，創(chuàng)作于2022年6月客戶甲銀行乙發(fā)送的支付通知M收到的的支付通知M銀行乙：將200元資金345北交帳號上。 客戶甲銀行乙：將元資金北交帳號

26、上。 客戶甲0F812DDF64DBABFF45ADIAA0F812DDF64DBABFF45ADIAAABFF45DBAD數(shù)字摘要D數(shù)字摘要D數(shù)字摘要D數(shù)字簽名加密客戶甲的私鑰B網(wǎng)絡(luò)傳送客戶甲的公鑰SHAR1SHAR1比較如果D與D一樣，說明信息是真實的，若不一樣，說明信息是偽造或篡改過的 2. 數(shù)字簽名技術(shù)第四十三張，PPT共九十三頁，創(chuàng)作于2022年6月 數(shù)字簽名可以解決下述網(wǎng)絡(luò)支付中的安全鑒別問題：接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的：付款單據(jù)等。發(fā)送者或接收者否認：發(fā)送者或接收者事后不承認自己曾經(jīng)發(fā)送或接收過支付單據(jù)。第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收消息如

27、信用卡密碼；接收方篡改：接收方對收到的文件如支付金額進行改動。 2. 數(shù)字簽名技術(shù)作用與常見類型第四十四張，PPT共九十三頁，創(chuàng)作于2022年6月 3.身份認證技術(shù)（1）身份認證的概念 身份認證又叫身份識別，它是通信和數(shù)據(jù)系統(tǒng)正確識別通信用戶或終端的個人身份的重要途徑。第四十五張，PPT共九十三頁，創(chuàng)作于2022年6月身份認證的幾個相關(guān)概念（1）認證(Authentication) 在做任何動作之前必須要有方法來識別動作執(zhí)行者的真實身份。認證又稱為鑒別、確認。身份認證主要是通過標(biāo)識和鑒別用戶的身份，防止攻擊者假冒合法用戶獲取訪問權(quán)限。（2）授權(quán)(Authorization) 授權(quán)是指當(dāng)用戶身份

28、被確認合法后，賦予該用戶進行文件和數(shù)據(jù)等操作的權(quán)限。這種權(quán)限包括讀、寫、執(zhí)行及從屬權(quán)等。 （3）審計(Auditing) 每一個人都應(yīng)該為自己所做的操作負責(zé)，所以在做完事情之后都要審計。 身份認證分為單向認證和雙向認證。如果通信的雙方只需要一方被另一方鑒別身份，這樣的認證過程就是一種單向認證。在雙向認證過程中，通信雙方需要互相認證對方的身份。 3.身份認證技術(shù)第四十六張，PPT共九十三頁，創(chuàng)作于2022年6月身份認證的主要方法口令識別法 (1)根據(jù)用戶知道什么來判斷。如果用戶能說出正確的口令，則說明他是真的，如經(jīng)典的UNIX口令系統(tǒng)； (2)根據(jù)用戶擁有什么來判斷。如果用戶能提供正確的物理鑰匙

29、，則說明他是真的，如普通的門鑰匙和磁卡鑰匙； (3)根據(jù)用戶是什么來判斷。如果用戶生理特征與記錄相符，則說明他是真的，如指紋、聲音。視網(wǎng)膜等。 1.不安全口令的分析 （1）使用用戶名(賬號)作為口令 （2）使用用戶名(賬名)的變換形式作為口令 （3）使用自己或者親友的生日作為口令 （4）使用學(xué)號、身份證號、單位內(nèi)的員工號碼等作為口令 （5）使用常用的英文單詞作為口令 3.身份認證技術(shù)第四十七張，PPT共九十三頁，創(chuàng)作于2022年6月靜態(tài)密碼智能卡短信密碼動態(tài)口令個人特征識別法 簽名識別法指紋識別技術(shù) 3.身份認證技術(shù)身份認證的主要方法第四十八張，PPT共九十三頁，創(chuàng)作于2022年6月六、數(shù)據(jù)證

30、書與認證中心CA 1. 數(shù)字證書（1）數(shù)字證書的定義和應(yīng)用原理數(shù)字證書：指用數(shù)字技術(shù)手段確認、鑒定、認證Internet上信息交流參與者身份或服務(wù)器身份，是一個擔(dān)保個人、計算機系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。工作原理：接收方在網(wǎng)上收到發(fā)送方業(yè)務(wù)信息的同時，還收到發(fā)送方的數(shù)字證書，通過對其數(shù)字證書的驗證，可以確認發(fā)送方的身份。在交換數(shù)字證書的同時，雙方都得到了對方的公開密鑰，由于公開密鑰是包含在數(shù)字證書中的，可以確信收到的公開密鑰肯定是對方的。從而完成數(shù)據(jù)傳送中的加解密工作。數(shù)字證書第四十九張，PPT共九十三頁，創(chuàng)作于2022年6月數(shù)字證書是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源訪

31、問的權(quán)限，是一個經(jīng)證書授權(quán)中心CA（Certificate Authority）數(shù)字簽名的、包含證書申請者個人消息及其公開密鑰的文件。123個人證書（Personal Digital ID）企業(yè)（服務(wù)器）證書（Server ID）軟件（開發(fā)者）證書（Developer ID）第五十張，PPT共九十三頁，創(chuàng)作于2022年6月 2.數(shù)字證書的內(nèi)容證書的版號證書的序列號證書擁有者的姓名證書擁有者的公共密鑰公共密鑰的有效期6.證書的有效期7.頒發(fā)證書的單位CCTTT.509國際標(biāo)準(zhǔn)， X.509數(shù)字證書包含 第五十一張，PPT共九十三頁，創(chuàng)作于2022年6月 2.數(shù)字證書的內(nèi)容第五十二張，PPT共九十

32、三頁，創(chuàng)作于2022年6月 3.與網(wǎng)絡(luò)支付有關(guān)的數(shù)字證書的類型（1）個人證書(客戶證書)： 證實客戶(例如一個使用IE的個人)身份和密鑰所有權(quán)（2）服務(wù)器證書： 證實銀行或商家業(yè)務(wù)服務(wù)器的身份和公鑰（3）支付網(wǎng)關(guān)證書： 如果在網(wǎng)絡(luò)支付時利用第三方支付網(wǎng)關(guān)，那么第三方要為支付網(wǎng)關(guān)申請一個數(shù)字證書 （4）認證中心CA證書： 證實CA身份和CA的簽名密鑰(簽名密鑰被用來簽署它所發(fā)行的證書)第五十三張，PPT共九十三頁，創(chuàng)作于2022年6月 4. 數(shù)字證書的有效性與使用 數(shù)字證書必須同時滿足以下三個條件，才是有效的：（1）證書沒有過期（2）密鑰沒有被修改（3）有可信任的相應(yīng)的頒發(fā)機構(gòu)CA及時管理與回收

33、無效證書，并且發(fā)行無效證書清單第五十四張，PPT共九十三頁，創(chuàng)作于2022年6月如果數(shù)字證書記載的網(wǎng)址，與你正在瀏覽的網(wǎng)址不一致，就說明這張證書可能被冒用，瀏覽器會發(fā)出警告。第五十五張，PPT共九十三頁，創(chuàng)作于2022年6月如果這張數(shù)字證書不是由受信任的機構(gòu)頒發(fā)的，瀏覽器會發(fā)出另一種警告。第五十六張，PPT共九十三頁，創(chuàng)作于2022年6月七、公鑰基礎(chǔ)設(shè)施PKI 1. 什么是公鑰PKI公鑰PKI 公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它可以為各種網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。 密鑰

34、管理，是一門綜合性的技術(shù)，涉及密鑰的產(chǎn)生、檢驗、分配、傳遞、保管、使用、銷毀的全過程，還與密鑰的行政管理制度以及人員的素質(zhì)密切相關(guān)。第五十七張，PPT共九十三頁，創(chuàng)作于2022年6月七、公鑰基礎(chǔ)設(shè)施PKI 1. 公鑰PKI的組成公鑰PKI（1）認證中心CA（2）X.500目錄服務(wù)器（3）具有高強度密碼算法的安全（4）Web安全通信平臺（5）自身開發(fā)安全應(yīng)用系統(tǒng)第五十八張，PPT共九十三頁，創(chuàng)作于2022年6月七、公鑰基礎(chǔ)設(shè)施PKI2、PKI的基本概念和所要處理的問題公鑰PKIPKI是一套利用非對稱密碼（公鑰密碼）技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺的技術(shù)和規(guī)范，它規(guī)定了該安全基礎(chǔ)平臺應(yīng)遵循的標(biāo)準(zhǔn)。

35、PKI的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份證書和密鑰管理、機密性、完整性、身份認證和數(shù)字簽名等。因此，用戶可利用PKI平臺提供的服務(wù)進行電子商務(wù)和電子政務(wù)應(yīng)用。第五十九張，PPT共九十三頁，創(chuàng)作于2022年6月七、公鑰基礎(chǔ)設(shè)施PKI2、PKI的基本概念和所要處理的問題公鑰PKIPKI是一套利用非對稱密碼（公鑰密碼）技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺的技術(shù)和規(guī)范，它規(guī)定了該安全基礎(chǔ)平臺應(yīng)遵循的標(biāo)準(zhǔn)。PKI的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份證書和密鑰管理、機密性、完整性、身份認證和數(shù)字簽名等。因

36、此，用戶可利用PKI平臺提供的服務(wù)進行電子商務(wù)和電子政務(wù)應(yīng)用。第六十張，PPT共九十三頁，創(chuàng)作于2022年6月密鑰的安全生成密鑰的安全歸檔和恢復(fù)信任關(guān)系的建立和管理簽名和時間戳的產(chǎn)生證書及相關(guān)信息的發(fā)布證書的頒發(fā)、更新和終止初始身份的確認證書的有效性檢查七、公鑰基礎(chǔ)設(shè)施PKI2、PKI必須處理的問題第六十一張，PPT共九十三頁，創(chuàng)作于2022年6月七、公鑰基礎(chǔ)設(shè)施PKI3、PKI的功能為了達到處理以上問題的目的，可以確定PKI系統(tǒng)具有以下服務(wù)功能。存儲、恢復(fù)證書和黑名單發(fā)布簽發(fā)證書注銷證書密鑰生命周期管理基于政策的證書路徑驗證用戶登記第六十二張，PPT共九十三頁，創(chuàng)作于2022年6月七、公鑰基

37、礎(chǔ)設(shè)施PKI4、PKI的主要流程PKI模式的主要流程：第六十三張，PPT共九十三頁，創(chuàng)作于2022年6月七、公鑰基礎(chǔ)設(shè)施PKI 5. 公鑰PKI的優(yōu)勢公鑰PKI（1）采用公開密碼密鑰技術(shù)。（2）保護機密性。（3）由于數(shù)字證書的作用，有巨量的用戶基礎(chǔ)。（4）PKI提供了證書撤銷機制，使其應(yīng)用領(lǐng)域不受限制。（5）PKI具有極強的互聯(lián)功能。第六十四張，PPT共九十三頁，創(chuàng)作于2022年6月第7章 認證中心CA第六十五張，PPT共九十三頁，創(chuàng)作于2022年6月認證中心CA簡介1認證中心CA的技術(shù)基礎(chǔ)2認證中心CA的功能3認證中心CA的組成框架4目 錄CONTENTS第六十六張，PPT共九十三頁，創(chuàng)作于

38、2022年6月認證中心CA簡介1認證中心CA的技術(shù)基礎(chǔ)2認證中心CA的功能3認證中心CA的組成框架4目 錄CONTENTS第六十七張，PPT共九十三頁，創(chuàng)作于2022年6月如何確認彼此的身份？網(wǎng)上應(yīng)用系統(tǒng)服務(wù)器用戶數(shù)據(jù)庫?假冒的站點?假冒的用戶互聯(lián)網(wǎng)應(yīng)用存在信息安全隱患第六十八張，PPT共九十三頁，創(chuàng)作于2022年6月 在傳統(tǒng)的商務(wù)中，用來認證商家或客戶真實身份的認證證書大多是被認為公正的第三方機構(gòu)（如政府部門）頒發(fā)的。 中國工商行政管理總局保證發(fā)行、管理營業(yè)證書合法性 而作為電子商務(wù)平臺的Internet是沒有“政府”的，那由誰來驗證商家的真實性呢？第六十九張，PPT共九十三頁，創(chuàng)作于202

39、2年6月一、什么是認證中心CACA(CertificateAuthority)是數(shù)字證書認證中心的簡稱，是指發(fā)放、管理、廢除數(shù)字證書的機構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。CA必須是各行業(yè)各部門及公眾共同信任的、認可的、權(quán)威的、不參與交易的第三方網(wǎng)上身份認證機構(gòu)。CA是PKI的核心組成部分。第七十張，PPT共九十三頁，創(chuàng)作于2022年6月認證中心CA簡介1認證中心CA的作用2認證中心CA的功能3認證中心CA的組成框架4目 錄CONTENTS第七十一張，PPT共九十三頁，創(chuàng)作于2022年6月二、CA的作用 CA提

40、供的安全技術(shù)對網(wǎng)上的數(shù)據(jù)、信息發(fā)送方、接收方進行身份確認，以保證各方信息傳遞的安全性、完整性、可靠性和交易的不可抵賴性。交易信息的安全性交易信息的完整性交易者身份的可靠性交易信息的不可抵賴性 第七十二張，PPT共九十三頁，創(chuàng)作于2022年6月認證中心CA簡介1認證中心CA的技術(shù)基礎(chǔ)2認證中心CA的功能3認證中心CA的組成框架4目 錄CONTENTS第七十三張，PPT共九十三頁，創(chuàng)作于2022年6月三、認證中心CA的功能CA的核心功能就是發(fā)放和管理數(shù)字證書。 CA認證中心的功能主要有：證書發(fā)放、證書更新、證書撤銷和證書驗證。 具體描述如下：1.生成密鑰對及CA證書2.驗證申請人身份3.頒發(fā)數(shù)字證

41、書4.證書以及持有者身份認證查詢5.吊銷證書6.證書管理與更新7.制定相關(guān)政策8.有能力保護數(shù)字證書服務(wù)器的安全第七十四張，PPT共九十三頁，創(chuàng)作于2022年6月CA可以分為RS（證書業(yè)務(wù)受理中心）和CP(證書制作中心)兩部分。RS負責(zé)接收用戶的證書申請、發(fā)放等與用戶打交道的外部工作，CP負責(zé)證書的制作、記錄等內(nèi)部工作。用戶如果要獲得數(shù)字證書，必須上網(wǎng)，進入CA網(wǎng)站，實際就是進入了RS網(wǎng)站，向RS申請證書；RS與用戶對話后，可以獲得用戶的申請信息，然后傳遞給CP,CP與RA進行聯(lián)系，并從RA處獲得用戶的身份認證信息后，由CP為用戶制作證書，交給RS；當(dāng)用戶再上網(wǎng)要求獲取證書時，RS將制作好的證

42、書傳給用戶。三、CA證書的功管理第七十五張，PPT共九十三頁，創(chuàng)作于2022年6月CA簡介1CA的技術(shù)基礎(chǔ)2CA的功能3CA的組成框架4目 錄CONTENTS第七十六張，PPT共九十三頁，創(chuàng)作于2022年6月四、CA的組成框架CA可以分為RS（證書業(yè)務(wù)受理中心）和CP(證書制作中心)兩部分。RS負責(zé)接收用戶的證書申請、發(fā)放等與用戶打交道的外部工作，CP負責(zé)證書的制作、記錄等內(nèi)部工作。用戶如果要獲得數(shù)字證書，必須上網(wǎng)，進入CA網(wǎng)站，實際就是進入了RS網(wǎng)站，向RS申請證書；RS與用戶對話后，可以獲得用戶的申請信息，然后傳遞給CP,CP與RA進行聯(lián)系，并從RA處獲得用戶的身份認證信息后，由CP為用戶

43、制作證書，交給RS；當(dāng)用戶再上網(wǎng)要求獲取證書時，RS將制作好的證書傳給用戶。第七十七張，PPT共九十三頁，創(chuàng)作于2022年6月 RA的作用：在網(wǎng)上支付中，參與的每家銀行都要建立自己的RA。面對眾多的用戶，光有一個RA是無法完成任務(wù)的。因此，RA下必須設(shè)立許多業(yè)務(wù)受理點，接待用戶，進行申請登記工作。RA作為身份認證與審核部門，通過專線與各業(yè)務(wù)受理點連接。各業(yè)務(wù)受理點接收用戶的申請，審查用戶的身份證件，通過專線與RA交換信息，完成用戶的身份認證工作。第七十八張，PPT共九十三頁，創(chuàng)作于2022年6月證書服務(wù)中心 CPCRL/黑名單庫RSRARA業(yè)務(wù)受理點業(yè)務(wù)受理點業(yè)務(wù)受理點業(yè)務(wù)受理點證書用戶證書用

44、戶證書用戶第七十九張，PPT共九十三頁，創(chuàng)作于2022年6月證書的發(fā)放證書的發(fā)放包括兩部分：一、證書的申請、制作、發(fā)放。二、用戶的身份認證。CA(證書服務(wù)中心 )完成第一部分工作，RA（審核受理處）則完成第二部分工作。對于RA,持卡人RA由發(fā)卡銀行，商家的RA由收單銀行等能夠認證用戶身份的單位來擔(dān)任。第八十張，PPT共九十三頁，創(chuàng)作于2022年6月證書的申請流程一、用戶帶相關(guān)證明到正是業(yè)務(wù)受理中心RS申請證書；二、用戶在線填寫證書申請表格和證書申請協(xié)議書；三、RS業(yè)務(wù)人員取得用戶申請數(shù)據(jù)后，與RA中心聯(lián)系，要求用戶身份認證；四、RA下屬的業(yè)務(wù)受理點審核員通過離線方式（面對面）審核申請者的身份、

45、能力和信譽等；五、審核通過后，RA中心向CA中心轉(zhuǎn)發(fā)證書的申請要求；六、CA中心響應(yīng)RA中心的證書請求，為該用戶制作、簽發(fā)證書，并且交給RS；七、當(dāng)用戶再次上網(wǎng)要求獲取證書時，RS將制作好的證書傳給用戶；如果證書介質(zhì)是IC卡方式，則RS業(yè)務(wù)人員打印好相關(guān)密碼信封傳給用戶，通知用戶到相關(guān)業(yè)務(wù)受理點領(lǐng)取；八、用戶根據(jù)收到的用戶應(yīng)用指南，使用相關(guān)的證書業(yè)務(wù)。第八十一張，PPT共九十三頁，創(chuàng)作于2022年6月第八十二張，PPT共九十三頁，創(chuàng)作于2022年6月第八十三張，PPT共九十三頁，創(chuàng)作于2022年6月國內(nèi)外主要CA機構(gòu)世界上較早的數(shù)字證書認證中心、處于領(lǐng)導(dǎo)地位和全球最大的PKICA運營商是美國VeriSign公司，該公司成立于1995年4月，位于美國的加利福尼亞州。它為全世界50個國家提供數(shù)字證書服務(wù)，有超過45000個互聯(lián)網(wǎng)服務(wù)器接受該公司的服務(wù)器數(shù)字證書，使用它提供的個人數(shù)字憑證的人數(shù)也已經(jīng)超過200萬。另外