ch7電子支付課件

1、網(wǎng) 絡(luò) 金 融1第七章 支付協(xié)議與認(rèn)證系統(tǒng)電子支付系統(tǒng)概述電子支付工具電子支付網(wǎng)絡(luò)與密碼2電子支付系統(tǒng)概述電子支付的概念電子支付系統(tǒng)的特點(diǎn)電子支付系統(tǒng)的參與者電子支付系統(tǒng)的功能電子支付系統(tǒng)的標(biāo)準(zhǔn)3電子支付的概念電子支付是指應(yīng)用計(jì)算機(jī)和網(wǎng)絡(luò)等數(shù)字技術(shù)提供支付與結(jié)算功能。電子支付與網(wǎng)絡(luò)支付的區(qū)別4電子支付的產(chǎn)生傳統(tǒng)匯款郵局、行內(nèi)、行間電報(bào)、傳真電匯計(jì)算機(jī)系統(tǒng)(軟硬件)+通信網(wǎng)絡(luò)電子支付銀行、商家、消費(fèi)者5電子支付的產(chǎn)生為什么電子支付效率高？為什么業(yè)務(wù)處理的接受方不需要人為干預(yù)，計(jì)算機(jī)就可以接受相應(yīng)的業(yè)務(wù)？6電子支付系統(tǒng)的分類大額實(shí)時(shí)支付系統(tǒng)銀行間支付清算、金額大、實(shí)時(shí)小額批量支付系統(tǒng)小額貸記支付、

2、定期借記支付、量多金額少在線支付/聯(lián)機(jī)支付系統(tǒng)POS、ATM、網(wǎng)絡(luò)支付7電子支付系統(tǒng)的分類微付款(Micro-Payment)價(jià)值大約少于4美元的交易。這種付款方案是建立在電子現(xiàn)金規(guī)則基礎(chǔ)之上。消費(fèi)者級(jí)付款(Consumer Payment)價(jià)值大約在5至500美元之間的交易。典型的消費(fèi)者級(jí)付款是由信用卡交易來執(zhí)行的。商業(yè)級(jí)付款(Business Payment)價(jià)值大于500美元的交易。直接借記或發(fā)票是最適合的解決方案。8電子支付系統(tǒng)的特點(diǎn)高效實(shí)時(shí)、724小時(shí)便捷低成本安全保密性完整性不可否認(rèn)性身份的真實(shí)性9電子支付系統(tǒng)的參與者金融機(jī)構(gòu)或銀行，就支付而言，即為收款人或付款人的開戶銀行。收款人

3、或付款人，資金劃出或接收的個(gè)人或團(tuán)體。支付網(wǎng)關(guān)。金融專用網(wǎng)。10電子支付系統(tǒng)的功能使用X.509和數(shù)字簽名實(shí)現(xiàn)對(duì)各方的認(rèn)證；使用加密算法對(duì)信息進(jìn)行加密；使用消息摘要算法和數(shù)字簽名以保證業(yè)務(wù)的完整性；在業(yè)務(wù)出現(xiàn)異議時(shí)，保證對(duì)業(yè)務(wù)的不可否認(rèn)性；處理多方貿(mào)易的多支付協(xié)議(隱私性)。11電子支付系統(tǒng)的標(biāo)準(zhǔn)PKI標(biāo)準(zhǔn)：公共密鑰體系(public key infrastructure)SSL標(biāo)準(zhǔn)：安全套接層協(xié)議(securesockets layer)SET標(biāo)準(zhǔn)：安全電子交易標(biāo)準(zhǔn)(secure electronic transactions簡(jiǎn)稱SET)X.509標(biāo)準(zhǔn)：電子商務(wù)證書發(fā)放標(biāo)準(zhǔn)，基于PKI12密

4、碼技術(shù)密碼技術(shù)概述密碼技術(shù)的基礎(chǔ)知識(shí)對(duì)稱密碼體制非對(duì)稱密碼體制13密碼技術(shù)概述密碼學(xué)(cryptology)是研究密碼系統(tǒng)及通信安全的一門科學(xué)。 密碼學(xué)以研究秘密通訊為目的。即研究對(duì)傳輸信息采取何種變換以防止第三者對(duì)信息的竊取及篡改。主要包括兩個(gè)分支，即密碼編碼學(xué)和密碼分析學(xué)。 傳統(tǒng)密碼學(xué)近現(xiàn)代密碼學(xué)14密碼技術(shù)的基礎(chǔ)知識(shí)傳統(tǒng)的密碼體系密碼系統(tǒng)密碼體制的分類對(duì)稱密碼體制非對(duì)稱密碼體制15傳統(tǒng)的密碼體系16密碼系統(tǒng)明文：需要隱蔽的消息稱作明文(plaintext)。密文：隱蔽后的消息稱作密文(ciphertext)或密報(bào)(cryptogram)。 加密：將明文變換成密文的過程稱作加密(encry

5、ption)，加密時(shí)采用的一組規(guī)則稱作加密算法(encryption algorithm) 。解密：由密文恢復(fù)出原明文的過程稱作解密(decryption)，解密時(shí)采用的一組規(guī)則稱作解密算法(decryption algorithm) 。 17密碼系統(tǒng)加密密鑰和解密密鑰：加密算法和解密算法的操作通常是在一組密鑰(key)的控制下進(jìn)行的，分別稱為加密密鑰(encryption key)和解密密鑰(decryption key)。 18密碼體制的分類根據(jù)密鑰的特點(diǎn)將密碼體制分為對(duì)稱和非對(duì)稱密碼體制(symmetric cryptosystem And asymmetric cryptosystem

6、)兩種。對(duì)稱密碼體制又稱單鑰(one-key)或私鑰(private key)或傳統(tǒng)(classical)密碼體制。非對(duì)稱密碼體制又稱雙鑰(two-key)或公鑰(public key)密碼體制。19對(duì)稱密碼體制20對(duì)稱密碼體制明文加密密鑰密文密文明文密鑰解密發(fā)送方接收方21非對(duì)稱密碼體制22非對(duì)稱密碼體制23非對(duì)稱密碼體制24非對(duì)稱密碼體制文件簽名私鑰已簽名已簽名認(rèn)證通過公鑰驗(yàn)證發(fā)送方接收方25傳統(tǒng)密碼移位密碼A B C D E F G H I J K L M N O P Q R S T U V W X Y ZD E F G H I J K L M N O P Q R S T U V W X

7、 Y Z A B CPlaintext: Meet me at midnightCiphertext: PHHW PH DW PLGQLJKW26傳統(tǒng)密碼移位密碼A B C D E F G H I J K L M N O P Q R S T U V W X Y Z0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25Meet me at midnight12 4 4 19 12 4 0 19 12 8 3 13 8 6 7 19(M+3) mod 2615 7 7 22 15 7 3 22 15 11 6 16 1

8、1 9 10 22PHHW PH DW PLGQLJKW27傳統(tǒng)密碼移位密碼A B C D E F G H I J K L M N O P Q R S T U V W X Y Z0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25PHHW PH DW PLGQLJKW15 7 7 22 15 7 3 22 15 11 6 16 11 9 10 22(C-3) mod 2612 4 4 19 12 4 0 19 12 8 3 13 8 6 7 19Meet me at midnight28傳統(tǒng)密碼移位密碼A B C

9、 D E F G H I J K L M N O P Q R S T U V W X Y Z0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25NPCL TL H NBU AVUPNOA13 15 2 11 19 11 7 13 1 20 0 21 20 15 13 14 0(C-K) mod 26Give me a gun tonight29傳統(tǒng)密碼移位密碼加密(M+K) mod 26解密 (C-K) mod 2630傳統(tǒng)密碼移位密碼A B C D E F G H I J K L M N O P Q R S T

10、 U V W X Y ZD E F G H I J K L M N O P Q R S T U V W X Y Z A B CA B C D E F G H I J K L M N O P Q R S T U V W X Y ZZ X C V B N M L K J H G F D S A Q W E R T Y U I O P31現(xiàn)代密碼流密碼采用密鑰生成器，從原始密鑰生成一系列密鑰流用來加密信息，每個(gè)明文可以選用的不同的密鑰加密。32現(xiàn)代密碼分組密碼對(duì)明文進(jìn)行分組，每組的長(zhǎng)度都相同，然后對(duì)每組明文分別加密得到等長(zhǎng)的密文。DES和AES 33非對(duì)稱密碼體制非對(duì)稱密碼系統(tǒng)非對(duì)稱密碼體制的理論基

11、礎(chǔ)非對(duì)稱密鑰密碼體制的特點(diǎn)RSA公鑰密碼體制34非對(duì)稱密碼系統(tǒng)35非對(duì)稱密碼體制的理論基礎(chǔ)非對(duì)稱密碼體制如果一個(gè)密碼系統(tǒng)把加密和解密分開，加密和解密分別用兩個(gè)不同的密鑰實(shí)現(xiàn)，并且由加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是困難的，則該系統(tǒng)所采用的就是非對(duì)稱密碼體制。公鑰和私鑰采用非對(duì)稱密碼體制的每個(gè)用戶都有一對(duì)選定的密鑰，其中一個(gè)是可以公開的，稱為公鑰，一個(gè)由用戶自己秘密保存，稱為私鑰。36非對(duì)稱密鑰密碼體制的特點(diǎn)密鑰分發(fā)和管理簡(jiǎn)單。加密密鑰可以做成密鑰本公開，解密密鑰由各用戶自行掌握；每個(gè)用戶秘密保存的密鑰量減少。網(wǎng)絡(luò)中每個(gè)用戶只需要秘密保存自己的私鑰，與其他用戶通信所使用的加密密鑰可以由密鑰本得到；

12、適應(yīng)于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，能夠滿足互不相識(shí)的用戶之間進(jìn)行保密通信的要求；能夠很容易的完成數(shù)字簽名和認(rèn)證。加密和解密的效率比對(duì)稱密碼體制要差。37RSA公鑰密碼體制38RSA公鑰密碼體制Ron Rivest, Adi Shamir, Len Adleman 39認(rèn)證技術(shù)認(rèn)證技術(shù)的作用和分類認(rèn)證技術(shù)是解決電子商務(wù)活動(dòng)中的安全問題的技術(shù)基礎(chǔ)，為電子商務(wù)活動(dòng)中的信息完整性和不可否認(rèn)性以及電子商務(wù)實(shí)體的身份真實(shí)性提供技術(shù)保障。認(rèn)證可分為消息認(rèn)證（也稱數(shù)據(jù)源認(rèn)證）和身份認(rèn)證。消息認(rèn)證用于保證信息的完整性與抗否認(rèn)性；身份認(rèn)證則用于鑒別用戶身份。40認(rèn)證技術(shù)數(shù)字簽名身份認(rèn)證41數(shù)字簽名數(shù)字簽名政治、軍事、外交等

13、簽署文件、命令和條約，商業(yè)上簽定契約和合同，過去都是采用手書簽字和印簽。簽字起著認(rèn)證、核準(zhǔn)、生效的作用。但是，隨著信息時(shí)代的來臨，通信與計(jì)算機(jī)網(wǎng)絡(luò)的結(jié)合，人們開始希望能通過數(shù)字通信網(wǎng)進(jìn)行迅速的、遠(yuǎn)距離的貿(mào)易合同的簽字，這可用數(shù)字簽名來完成。 42數(shù)字簽名數(shù)字簽名數(shù)字簽名就是通過對(duì)要簽名的數(shù)據(jù)進(jìn)行一個(gè)變換處理，得到一個(gè)字符串，用這幾個(gè)字符串來代替書寫簽名或印章，起到與書寫簽名或印章同樣的法律效用。數(shù)字簽名應(yīng)用數(shù)字簽名可以提供一些基本的密碼服務(wù)，如數(shù)據(jù)的完整性、真實(shí)性以及不可否認(rèn)性。43數(shù)字簽名數(shù)字簽名與傳統(tǒng)的手寫簽名有所不同手寫簽名是模擬的，無論哪種語(yǔ)言的手寫簽名，偽造這都可模仿，數(shù)字簽名不可模

14、仿；手寫簽名時(shí)不變的，而數(shù)字簽名在不同的消息中是不同的，也就是說手寫簽名因人而異，數(shù)字簽名因消息而異。 44數(shù)字簽名數(shù)字簽名的目的使收方能確認(rèn)發(fā)方的簽名，但不能偽造；發(fā)方發(fā)出簽了名的消息給收方后，就不能否認(rèn)他所簽發(fā)的消息；一旦收發(fā)雙方就消息的內(nèi)容和來源發(fā)生爭(zhēng)執(zhí)時(shí)，應(yīng)能給仲裁者提供發(fā)方對(duì)所發(fā)消息簽了名的證據(jù)。 45數(shù)字簽名數(shù)字簽名的實(shí)現(xiàn)目前數(shù)字簽名采用較多的是公鑰加密技術(shù)和Hash函數(shù)相結(jié)合的一種數(shù)字簽名方式。46數(shù)字簽名算法Hash函數(shù)RSA數(shù)字簽名 DSS數(shù)字簽名 其他數(shù)字簽名 47Hash函數(shù)概念Hash函數(shù)以一個(gè)任意的數(shù)據(jù)M做為其輸入，輸出一個(gè)定長(zhǎng)的Hash值H(M)，這個(gè)Hash值是數(shù)

15、據(jù)中所有比特信息的函數(shù)值，并有差錯(cuò)檢測(cè)能力：報(bào)文改變?nèi)我庖稽c(diǎn)，Hash值都將發(fā)生改變。Hash函數(shù)性質(zhì)有：易于實(shí)現(xiàn)單向性防偽造性(又稱弱抗沖突性)很好的抵抗攻擊能力(又稱強(qiáng)抗沖突性)48Hash函數(shù)MD5將任意長(zhǎng)度的“字節(jié)串”變換成一個(gè)128bit的大整數(shù)，并且它是一個(gè)不可逆的字符串變換算法，換句話說就是，即使你看到源程序和算法描述，也無法將一個(gè)MD5的值變換回原始的字符串。SHA-1/SHA-256160bits、256bits49RSA數(shù)字簽名1978年，Ron Rivest和Adi Shamir以及Leonard Adleman提出了RSA（名字的縮寫）數(shù)字簽名和公鑰算法。數(shù)字簽名算法簽名的實(shí)現(xiàn) A先用Hash函數(shù)對(duì)數(shù)據(jù)M處理生成一個(gè)定長(zhǎng)的Hash值H(M)，再使用自己的私鑰進(jìn)行加密就形成了簽名。然后將數(shù)據(jù)和簽名一起發(fā)送出去。數(shù)字簽名原理 只有發(fā)方知道自己的私鑰，因此只有發(fā)方才能產(chǎn)生有效的簽名。簽名的驗(yàn)證 接收方B將接收到的簽名用發(fā)