第二章 网络金融安全(二)

第二章网络金融安全（二）•网络金融安全问题概述•网络金融用户的安全•网络金融运行的风险•网络金融的安全技术网络金融的安全技术•网络安全通行技术：防火墙、密码通行、登入•网络安全监测技术：IDS•网络安全传输技术：SSL•网络安全交易技术：SET•网络安全密码技术:公私密钥•网络身份认证技术：PKI•OSI/RM模型国际标准化组织OSI提出的开放互联网系统互连参考模型（OpenSystemInterconnectionReferenceModel），定义了互联网中设备所遵守的七层次结构及其功能。网络安全传输技术互联网OSI/RM模型七层次结构应用层表示层会话层传输层网络层数据链路层物理层1234567底层:负责网络数据传输高层:负责主机之间的数据传输应用层协议传输层协议网络层协议数据链路层协议物理层协议1234567提供应用程序间通信处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接寻址和路由选择提供介质访问、链路管理等比特流传输互联网TCP/IP结构对应OSI结构七层次功能及协议•安全套接层协议(SSL)SSL(SecureSocketLayer是一种国际标准的加密及身份认证通信协议，为使用TCP时提供一个可靠的端到端安全服务，即为两个通讯个体之间提供保密性和完整性。SSL通过加密传输来确保数据的机密性，通过信息验证码（MessageAuthenticationCodes，MAC）机制来保护信息的完整性，通过数字证书来对发送和接收者的身份进行认证。LowerlayersIP（网络层协议）TCP（传输层协议）SSL（安全套接层协议）HTTP、FTP、Telnet（应用层协议）•SSL协议的分层结构–其底层是SSL记录协议层（SSLRecordProtocolLayer），简称记录层。–其高层是SSL握手协议层（SSLHandshakeProtocolLayer），简称握手层.应用层协议（HTTP、Telnet、FTP、SMTP等）SSL握手协议（HandshakeProtocol）SSL记录协议（RecordProtocol）传输层协议（TCP）网络层协议（IP）SSL协议SSL协议的分层结构•SSL的功能1、用户和服务器的合法性相互认证–SSL协议允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心（CA）的证书，来确认对方服务器的合法性。同时对方服务器也可通过公钥技术和证书对客户进行认证，也可要求客户通过用户名和password来认证。2、实现数据安全、保密和完整传输–SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密，建立服务器与客户之间安全的数据通道。同时在传输数据和接收数据时检查数据的完整性。•SSL协议实现的步骤1、接通阶段：客户机通过网络向服务器打招呼，服务器回应；2、密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法；3、会谈密码阶段：客户机器与服务器间产生彼此交谈的会谈密码；4、检验阶段：客户机检验服务器取得的密码；5、客户认证阶段：服务器验证客户机的可信度；6、结束阶段：客户机与服务器之间相互交换结束的信息。•SSL对网络金融和电子商务的安全保障★服务器和客户身份验证——防假冒★网络信息发送内容加密——防偷窥★网络信息发送完整性检测——防删节★网络信息发送内容修改提醒——防篡改•安全电子交易协议（SET）SET（secureElectronicTransaction）是一个基于可信的第三方认证中心的交易安全技术方案。它的主要目标是：1、实现电子交易安全（电子交易的机密性、数据完整性、身份的合法性、行为不可否认性以及付款的安全性）。2、保障协议应用的互通性。3、达到全球市场的接受性。网络安全交易技术•SET协议中的关系人1、持卡人（Cardholder）2、发卡机构（CardIssuer）3、商家（Merchant）4、收单银行（AcquiringBank）5、支付网关（PaymentGateway）6、认证中心（CertificateAuthority，CA）•SET的相关技术1、SET的双重签名技术■双重签名的产生（1）用户c浏览网站，选择商品，产生给商家m的订购信息oi和给银行b方的支付信息pi；（2）用户c使用hash函数产生交易信息oi的摘要值为H(oi)；（3）用户c使用hash函数产生支付信息pi的摘要值为H(pi)；（4）连接H(oi)和H(pi)得到op，再生成op的摘要H(op)，然后c使用自己的私钥加密H(op)从而得到摘要连接值op的数字签名值，记为sig[H(op)]，这个值就称为pi和oi这两部分敏感信息的双重签名值。■双重签名的发送（1）m方得到c方产生的信息oi，H(pi)，sig[H(op)]；（2）b方得到c方产生的信息pi，H(oi)，sig[H(op)]。（在set协议中这些信息是由m方转发的）。■双重签名的验证—m方接收信息后：（1）对接收到的订购信息oi生成信息摘要H(oi)；（2）把H(oi)和接收到的信息摘要H(pi)连接在一起形成连接值op，用hash函数对op生成摘要值H(op)；（3）商家m用c的公钥对接收到的双重签名值sig[H(op)]进行验证，以确认oi信息发送者的身份、信息的完整性和不可否认性。—b方接收信息后：（1）对接收到的pi生成信息摘要H(pi)；（2）把H(pi)和接收到的信息摘要H(oi)连接在一起op，用hash单项函数对op生成摘要——H(op)；（3）m方用c方的公钥对接收到的双重签名值[H(op)]进行验证，以确认pi信息发送者的身份、信息的完整性和不可否认性。•SET的认证技术C和M身份认证（电子证书认证）•SET购物与支付处理流程1、基于SET协议的简单工作流程2、基于SET的交易图•基于SET的支付处理流程SETL——支付网关协议下节课的核心概念和问题（小组准备和课堂讨论）1、何为网络通信用户公私密钥及区别？2、何为网络身份数字证书？