Upload
ryan-yu
View
196
Download
5
Embed Size (px)
Citation preview
支付安全技术培训演讲技巧示例演示稿
2014.11.19
目标
·掌握基本的安全技术
·通过实例理解主要的安全技术方案
提纲
·网络支付安全概述
·支付安全技术
·网络支付安全技术应用实例
网络支付安全概述
网络支付安全现状·近80%的支付用户使用网络支付
·支付宝:79.2%
·网银支付:75.7%
·网络支付用户安全意识不高
· 47%的用户不关注安全问题
· 57%的用户不了解安全保障方法
·网络支付不安全事件整体状况较好
·不安全事件比例仅3%
·虚假网站:64%
·账号密码被盗:19%
·遭遇木马病毒:11%
网络支付安全隐患·支付账号、密码等隐私信息泄露
·支付金额被更改
·无法有效验证收款方的身份
·对支付行为或者信息内容进行抵赖
·网络支付系统中断或者被攻击
网络支付安全技术·安全防范技术 ·数据加密技术 ·身份认证技术 ·CA和PKI体系 ·安全协议
安全防范技术
安全防范技术目标·保证计算机系统自身安全
·保证网络支付系统内部网络的边界安全
·保证数据传输通道的安全
安全防范技术·防火墙技术
· 包过滤器
· 电路中继器
· 应用网关
·虚拟专网技术
· 隧道技术
·存储访问控制技术
数据加密技术
数据加密技术·最基本的安全技术
·采用数学方法对信息进行再组织
·例如:代换密码技术
· 0,1,2,···,9 => a,b,c,···,j
· “2097”=> “cajh”
·“明文” => “密文”加密
数据加密过程
abcdefg
&%¥#@%&
abcdefg
&%¥#@%&
传输加密 解密明⽂文 密⽂文 密⽂文 明⽂文
加密密钥 解密密钥
发送⽅方 接收⽅方
互联⺴⽹网
加密技术类型·对称加密技术 Symmetric Cryptography
· 加解密密钥相同
·加密密钥可以相互推导
·非对称加密技术 Asymmetric Cryptography
· 加解密密钥不同
·加密密钥可以公开(公钥)
·解密密钥不能公开(私钥)
对称加密技术
abcdefg
&%¥#@%&
abcdefg
&%¥#@%&
传输加密 解密明⽂文 密⽂文 密⽂文 明⽂文
公共密钥
发送⽅方 接收⽅方
互联⺴⽹网
对称加密常用算法
·DES(数据加密标准)
·采用56位bit密钥
·64位的数据块进行16次置换计算
·几个小时即可破译
·AES(高级加密标准)
·采用128bit、192bit、256bit三种密钥
·采用AES-128,破译时间需要1.49×1010年
对称加密的特点
·优点
·加密速度快
·保密度高
·缺点
·安全性依赖密钥的保护,密钥的分发过程比较复杂
·多方通信时密钥的组合数量会出现急速增加,密钥的维护成本高
·通信方必须事先交换密钥,不能进行身份认定
非对称加密常用算法
·RSA加密算法
·1978年由Rivest、Shamirh和Adleman发明
·公开密钥和私有密钥数学相关,成对出现,可以互换
·运用大整数因子分解的复杂性,足够大的密钥很难破解
·其他非对称加密算法
·DSA
· ECC
非对称加密技术
abcdefg
&%¥#@%&
abcdefg
&%¥#@%&
传输加密 解密明⽂文 密⽂文 密⽂文 明⽂文
公开密钥 私有密钥
发送⽅方 接收⽅方
互联⺴⽹网
非对称加密的特点
·优点
·密钥分配简单,无需担心密钥传输安全性,易维护
·保密度更高
·可以进行身份识别
·定向发送
·缺点
·加解密速度慢
·适用于少量数据加密
回顾
·加解密处理效率
·密钥分发和管理
·安全性
·身份认证
⼩小测试: 采⽤用RSA公开密钥加密系统中,若A给
B发⼀一封邮件,并且想让B知道这封邮件是A发送的,则A应该选择的加密密钥:
A. A的公钥
B. A的私钥
C. B的公钥
D. B的私钥
身份认证技术
身份认证技术
·基于口令的身份认证
·基于物理证件的身份认证
·基于人体生物学特征的身份认证
数字认证技术
·目的
·可信性
·完整性
·不可抵赖性
·访问控制
数字认证技术类型
·数字摘要
·数字信封
·数字签名
数字摘要
·保证数据的完整性 · 本质上由加密算法产生的信息 · 技术要求 · 算法公开 · 单向算法 · 一一对应
· 哈希算法 ·MD5 · SHA1
abcdefg
Hash算法
明⽂文
数字摘要a1083d…
数字签名·实现发送者身份确认
·结合数字摘要和公开密钥加密技术
·特点
·可信的
·不可伪造
·不可重用
·原信息报文不可篡改
·不可抵赖
·双重数字签名
数字签名技术原理abcdefg
&%¥#@%&
abcdefg
&%¥#@%&
发送⽅方 接收⽅方
a1083d… %¥##@… a1083d…%¥##@…
a1083d…
对⽐比
互联⺴⽹网
数字信封·解决密钥分发问题
·结合了对称加密和非对称加密技术的优点
·数据加密速度快
数字信封技术原理
abcdefg
&%¥#@%&
abcdefg
&%¥#@%&
发送⽅方 接收⽅方
互联⺴⽹网
互联⺴⽹网
回顾
·可信性
·数据完整性
·不可抵赖性
⼩小测试: “为了安全保存,我把我的数字签名放在我的IC卡中了”,这种说法有什么问题吗?
PKI和CA认证中心
数字证书·利用电子手段来证实身份和访问权限的文件
·组成内容
·授权中心的数字签名
·证书拥有者的信息及公开密钥
·类型
·个人证书
·企业证书
·软件证书
认证中心·认证中心(Certification Authority,CA)
·公认的、可靠的第三方认证机构
·任务
·接收数字证书申请
·签发数字证书
·数字证书的管理
·公开密钥基础设施(PKI)
·密钥管理机制
·中国金融认证中心CFCA
安全协议
SSL协议·SSL协议概述
·基于Internet,保证通信用户间的保密性和可靠性
·利用公开密钥技术进行加密,提供安全通信
·主要服务于Web应用,即客户浏览器和服务器
·协议目标
·认证用户和服务器
·加密数据
·维护数据完整性
HTTP SNMP FTP IMAP
SSL握⼿手协议层
SSL记录协议层
TCP
IP
应⽤用层
⺴⽹网络层
网络支付安全协议机制·网络通信安全协议
·S-HTTP、IPv6、S/MIME、SNMPv3、SSL、SET
· SSL(Secure Socket Layer)
·传输层和应用层之间的安全协议
·1994年由Netscape公司率先采用
·SET(Secure Electronic Transaction)
·由Visa和MasterCard等联合制定的
·基于信用卡交易的一系列规范和协议
基于SSL的交易过程
客户端
CA
商家 服务器
银⾏行 服务器http
https
SET协议·基于Internet的卡基支付标准
·采用RSA公开密钥体系进行认证
·协议目标
·安全传输
·信息隔离
·多方认证
·交易的实时性
·兼容性和跨平台性
SET协议应用框架
客户端
CA
商家 服务器
收单 银⾏行 服务器
发卡 银⾏行 服务器
⽀支付 ⺴⽹网关
协商
订单确认
认证
审核
确认
请求
确认
审核 批准
回顾
·两者的层次不同:传输层 vs 应用层
·安全性:
· 浏览器证书 vs 信用卡证书
·多种支付 vs 信用卡支付
·商家中转 vs 双重签名
课后作业: 画出双重签名实现过程的⽰示意图
安全技术应用实例