支付安全策略理念.ppt

Public Key Infrastructure (PKI) . . . . . . 是硬件、软件、人员、策略和操作规程的总和，它们要完成创建、管理、保存、发放和废止证书的功能 PKI 基于公开密钥加密算法来保证网络通讯安全 PKI是一个用公钥技术来实施和提供安全服务具有普适性的安全基础设施. 它的目标是为所有应用提供统一规范的安全服务. 遵循一定规则建立的PKI, 提供信息安全服务, 能够节省费用, 提高效率, 简化管理, 降低复杂性, 提高可靠性. PKI系统如何工作 PKI提供的基本服务 认证 采用数字签名技术，签名作用于相应的数据之上 数据源认证服务 身份认证服务 完整性 PKI采用了两种技术 数字签名：既可以是实体认证，也可以是数据完整性 MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5 PKI提供的基本服务 保密性 用公钥分发随机密钥，然后用随机密钥对数据加密 不可否认 发送方的不可否认 —— 数字签名 接受方的不可否认 —— 收条 + 数字签名 补充：3D协议 3D协议 3D安全协议涉及5个实体，包括持卡人、发卡行、商户、收单行和VISA组织。3D安全协议将这5个实体逻辑地分到3个域中。其中，发卡机构域指发卡行和持卡人；中间运行域是使发卡机构域和收单机构域在全球范围内协同运行的系统和功能设施；收单机构域指收单行和商户。 3D安全协议中一个重要的组成部分是发卡行认证服务器——访问控制服务器ACS。 （7）发卡机构的ACS要求持卡人输入用户名和密码。 （8）持卡人向发卡机构中输入用户名和密码。 （9）发卡方的ACS验证密码，产生回应信息，然后将客户重新定位向商户插件；与此同时将有关信息发送给VISA的历史验证服务器。 （10）商户将交易信息提交给收单机构。 （11）收单机构向发卡机构要求授权。 （12）发卡机构通过VISANET向收单机构发送授权（这里的交易流与传统刷卡交易一样）。 （13）收单机构将交易回应信息返回到商户。 （14）商户确认交易并向持卡人提供收据。 （1）持卡人登陆商户网站，浏览商品，输入口令及卡号，输入订购信息及支付信息。 （2）商户软件插件通过VISA的目录服务器检查卡号所示的发卡机构是否参与了3D安全协议。 （3）VISA目录服务器将卡号传送给发卡机构的访问控制服务器，通过发卡机构检查认证该卡是否已参与3D安全协议。 （4）发卡机构的ACS确认该卡是否已参与3D安全协议。 （5）VISA目录服务器将发卡机构的ACS的地址告知商户插件。 （6）商户插件将持卡人浏览器定位到ACS，同时附上交易信息待持卡人进一步确认。 电子支付的安全保障 * 【教学目标与要求】 了解电子支付的安全风险，掌握电子支付的相关安全需求； 了解保障支付安全的多种技术； 掌握对称技术原理； 掌握非对称加密技术原理； 了解数字签名的概念及原理； 掌握数字证书的主要内容及其实现技术； 了解数字摘要、数字时间戳等安全技术； ? 第六讲 　支付安全技术 * 第六讲 　支付安全技术 【知识架构】 【重要术语】 密码技术；数字签名；数字证书；CFCA； PKI；CA ； SSL； SET； ? 第六讲 　支付安全技术 6.1 电子支付安全概述 来自银行合 作单位的安 全隐患 6.1.1 电子支付的安全隐患 6.1 电子支付安全概述 电子支付系统安全需求 保密性 可靠性 完整性 可用性 抗否认性 所谓防火墙就是指综合采用适当技术在被保护网络周边建立的用于隔离被保护网络与外部网络的系统。 6.2 电子支付安全相关技术 6.2.1 安全防范技术 1.防火墙技术 6.2 电子支付安全相关技术 2.虚拟专用网技术 虚拟专用网（Virtual Private Networking，VPN）指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 VPN采用的主要技术有哪些？ 隧道技术（Tunneling） 身份认证技术（Authentication） 加解密技术（EncryptionDecryption） 密钥管理技术（Keymanagement） 6.2 电子支付安全相关技术 3.存取访问控制技术 常见的存取访问控制方式 存取访问控制表 存取访问控制矩阵 口令方式 6.2 电子支付安全相关技术 6.2.2 数据加密技术 1.对称加密技术 又称秘密密钥、私有密钥，用且只用同一个密钥对信息进行加密和解密。 对称密钥密码体系的优点是加密、解密速度很快(高效)，但缺点也很明显：密钥难于共享，需太多密钥。 目前比较著名的对称密码加密算法有：DES和IDEA 明文 密文 密文 明文 加密 解密 密钥 传输 发送