第四章 数据安全技术.ppt

电子支付 与  电子金融 经济贸易系 王从辉 第四章 数据安全技术 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 §4.1 数据加密 单向散列函数（HASH函数） 定义：HASH函数是一种指纹函数，接收任意长度的输入消息，产生固定长度的HASH值，且消息不同，HASH值不同 特性： H能应用到任意大小数据上 H能生成大小固定的输出 易于用软、硬件实现 不可逆，即由HASH值无法得到输入消息 消息不同，产生的HASH值决不相同 §4.2 数字证书 一、数字证书概述 数字证书是一种身份证书，以电子标识形式表明，证书持有者是经可信任金融机构授权的，它担保参与电子商务交易的双方在金融上是可信任的 数字证书是用户身份的表征，解决了公钥发放问题，双方可以据此验证身份。 CA中心对含有公钥的证书进行数字签名，使证书无法伪造。 §4.2 数字证书 二、数字证书的内容 一个标准的X.509数字证书包含以下一些内容： ①版本号：标示证书的版本(v1, v2, 或是v3)； ②序列号：由证书颁发者分配的本证书的唯一标识符； ③签名算法：签名算法标识符； ④颁发者：证书颁发者的可识别名) ； ⑤有效期：证书有效的时间段，本字段由”Not Valid Before”和”Not Valid After”两项组成； ⑥主体：证书拥有者的可识别名，此字段必须是非空的，除非使用了其它的名字形式； ⑦主体公钥信息：主体的公钥(以及算法标识符) ； ⑧颁发者唯一标识符：证书颁发者的唯一标识符； ⑨主体唯一标识符：证书拥有者的唯一标识符； §4.2 数字证书 三、数字证书的类型 个人证书 为某一个用户提供的证书，帮助个人在网上进行安全的电子交易 通常安装在客户端的浏览器内 四个级别 电子邮件地址的认证 个人姓名、身份认证 比2增加信用支票功能 包含职位、组织的认证 §4.2 数字证书 企业证书 就是服务器证书，是对网上的服务器提供的证书，拥有WEB服务器的企业可以用具有证书的网站来进行安全电子交易 软件证书 为网上下载的软件提供的证书，让用户在下载软件时候能获得所需信息。 § 4.3 CA与PKI系统 一、认证中心概述 CA是具有权威的、可信赖的、公正的第三方机构，是承担网上安全电子交易认证服务、能签发数字证书、并能够认证用户身份的服务机构 主要任务是受理数字证书的申请、签发和管理 CA建立模式：层次结构和分布式 § 4.4 PKI系统的安全认证机制 三、我国的金融CA结构 国内CA公司有三类 行业主管部门建立的CA中心 地方政府部门建立的CA中心 民间资本建立的商业CA 中国金融认证中心CFCA 1998年由人民银行牵头组建，2000年6月建成 CFCA采用PKI技术体系，由SET CA和Non-SET CA两套系统 § 4.4 PKI系统的安全认证机制 SET CA的结构和功能 功能:发放、发布、管理数字证书和CRL，提供证书历史记录的查询等服务 结构：三层，根CA，品牌CA，用户CA（分为持卡人、商户、支付网关） 证书的管理：证书的申请、审批和发放，证书撤消，证书更新 Non-SET CA的结构和功能 § 4.4 PKI系统的安全认证机制 四、PKI概述 PKI（public key infrastructure）系统是提供公钥加密和数字签名服务的系统，包括认证中心CA、注册中心RA，通过使用SSL和SET或其他安全网上支付协议，实现数据加密、身份认证和数字签名，保证网上信息传输和网上结算交易的机密性、真实性、完整性和步可抵赖性，为电子商务提供了安全、可靠的环境。 § 4.4 PKI系统的安全认证机制 PKI体系的主要组件 数字证书 公钥加密体制 SSL、SET或其他网上认证体系 认证授权机构CA，提供数字证书的可信、独立的机构 其他：证书和密钥的安全存储；请求证书的管理工具；访问钱包和管理用户；机器识别和验证的集中库的目录服务 § 4.4 PKI系统的安全认证机制 PKI系统的组成 认证授权机构CA RCA（根CA） 注册机构RA 证书目录 管理协议：用于管理证书的注册、生效、发布和注销。 操作协议 必威体育官网网址安全环境（PSE）：保存用户私人信息的 § 4.4 PKI系统的安全认证机制 CA政策（一些证书的惯例声明） 确认手：申请手续和步骤 证书的范围：证书颁发的范围是有限制的 授权：持