1、第3章 网络环境下的金融安全技术,第3章 网络环境下的金融安全技术,3.1 网络金融安全问题的提出 3.2 网络安全技术 3.3 加密技术 3.4 数字认证技术 3.5 网络金融活动的安全技术标准,教学目的,通过本章的学习,使同学们对网络金融安全问题有正确清晰地认识,掌握网络金融安全的基本的知识,为进一步增强金融安全防范意识和学习相关安全技术打下一个良好的基础。,3.1 网络金融安全问题的提出,一、网络金融犯罪 网络犯罪案件逐年上升 2004年底到2005年初,中国银行,工商行,农业银行的网站先后在互联网上被克隆。 网络金融犯罪可以追溯到1996年。当年,美国立案查处了一起篡改银行计算机数据,
2、窃取现金的案件。以后的40年,网络金融犯罪在全球逐步蔓延并呈几何级增长。 研究表明:计算机犯罪平均每件案件所造成损失高达45万美元,而传统的银行欺诈案和侵占案平均损失1.9万美元;银行抢劫案的平均损失不过4900美元。,网络金融安全问题的提出,计算机网络安全,通俗来讲,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改和泄漏。 金融网络面临的安全威胁按对象来源划分如下几种: (1)Internet的威胁 (2)Intranet的威胁 (3)黑客攻击的威胁 (4)网络病毒的威胁,网络攻击的动机,偷取国家机密 商业竞争行为 内部员工对单位的不满 对企业核心机
3、密的企望 网络接入帐号、信用卡号等金钱利益的诱惑 利用攻击网络站点而出名 对网络安全技术的挑战 对网络的好奇心,网络在信息中的传输,金融的信息安全隐患 信息的截获和窃取 信息的篡改 信息的假冒 交易抵赖 电子金融交易安全要素 有效性 机密性 完整性 不可否认性,二、网络金融安全防范技术,网络金融网络安全防范技术 计算机网络安全是电子金融与电子商务活动安全的基础,一个完整的商务活动系统建立在安全的网络基础设施之上。 包括:操作系统安全、防火墙技术、虚拟专用网技术、入侵检测技术。 网络金融信息安全防范技术 包括:加密技术、认证技术,3.2 网络安全技术,概念 古时候,人们常在寓所之间砌起一道砖墙,
4、一旦火灾发生,它能够防止火势蔓延到别的寓所,这种墙因此而得名“防火墙”,主要进行火势隔离。 它是设置在用户网络和外界之间的一道屏障,防止不可预料的、潜在的破坏侵入用户网络。 特性: 所有从内部到外部或者从外部到内部的通信都必须经过它。 只有被内部访问策略授权的通信才被允许通过; 系统本身具有高可靠性。 目的 防止不希望的、未授权的通信进出被保护的网络,强化自己的网络安全政策。,一、防火墙技术,防火墙的基本功能 作用 过滤不安全的服务和非法用户;禁止未授权的用户访问受保护的网络。 控制对特殊站点的访问。防火墙可以允许受保护网络中一部分主机被外部网访问,另一部分则被保护起来。例如:受保护网中的ma
5、il、FTP、WWW服务器可被外部网访问,而其他访问则被禁止。 作为网络安全的集中监视点。防火墙可以记录通过他的访问,并提供统计数据,提供预警和审计功能。,防火墙,一、防火墙技术,防火墙体系结构与类型 包过滤型 处理对象是网络层中的数据包,功能是处理通过网络的数据包信息,实现进出网络的安全控制。 价格便宜,通常安装在路由器上,适用于安全性要求较低的小型电子商务和网络金融系统。,防火墙体系结构与类型,应用网关型 应用网关型防火墙 应用网关型防火墙的处理对象是各种不同的应用服务,其功能是检查进出网络的各种服务。 目前防火墙技术一般和路由器结合一起使用,包过滤防火墙负责处理网络层数据, 应用网关型防
6、火墙负责处理应用层数据。 最简单的防火墙配置,是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。,防火墙体系结构与类型,三种防火墙配置方案 双宿主机网关 用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,称为堡垒主机。防火墙上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。 两种服务方式 用户直接登录 运行代理服务器,防火墙体系结构与类型,屏蔽主机网关 它分为单宿堡垒主机和双宿堡垒主机两种。,屏蔽主机网关(单宿堡垒主机),屏蔽主机网关(双宿堡垒主机),屏蔽子网,这种方法是在Intranet和Internet之间建立一个被隔离的子
7、网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。可在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,来自两个网络的访问必须通过两个包过滤路由器的检查。,二、入侵检测系统,入侵检测系统(IDS)是一种网络安全系统,当敌人或恶意用户试图进入网络甚至计算机系统时,IDS能检测出来,并进行报警,通知网络采取措施进行响应。 IDS是检测和发现为特征的技术行为,追求的是漏报率和误报率的降低。,三、漏洞扫描技术,根据工作模式,分为主机漏洞扫描器和网络漏洞扫描器。 网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务记录目标给予的答应,来搜集目标主机上
8、的各种信息,与系统的漏洞库进行匹配。 主机漏洞扫描器通过主机上的代理程序对系统配置、注册表、系统日志等进行监视,搜集他们的信息,与系统漏洞库进行比较,如果满足条件,认为安全漏洞存在。,四、网络病毒防治,计算机病毒分类:引导型病毒、文件型病毒、混合型病毒、宏病毒。 反病毒三大技术:实时监视技术、自动解压缩技术、全平台反病毒技术。,3.3 加密技术,网络金融安全交易体系网络金融活动大致包括3个方面:一、 交易信息必须通过计算机网络进行传输;二、 在网络上传输的信息需要进行加密;三、 进行商务活动的双方必须得到某种身份认证,保证交易的安全性。,网络金融安全交易体系,网络金融活动的信息安全体系包括基本
9、加密技术、安全认证技术以及安全应用标准与协议3大层次,在此安全体系之上便可以建立网络金融与商务活动的支付体系和各种业务应用系统。,3.2 加密技术,加密技术基础 基本的加密过程,荷兰人A.Kerckhoffs提出一个密码分析的基本假设,若无K1,K2,称为无钥密码, 若K1=K2,称为对称密码 若K1K2,称为非对称密码,二、对称加密技术,20世纪70年代开始用在商业网络中。,三、非对称加密,采用在数学上相关的密钥对来进行加密解密。 加密模式,三、非对称加密,采用在数学上相关的密钥对来进行加密解密。 验证模式(RSA),三、非对称加密,采用在数学上相关的密钥对来进行加密解密。 加密和验证模式的
10、结合,四、哈希散列算法,单向散列函数是一种计算相对简单但很难进行逆向运算的函数。 hash函数是把任意长的输入串x变化成固定长的输出串y的一种函数。 HASH函数的数学表述为: y=f(x), x是任意长度明文,y是固定长度,即每改变x的一比特,都将对y产生明显影响。 消息摘要用来检测消息的完整性。 目前常用的Hash算法主要有-和,五、混合密码技术,充分利用非对称密钥和对称密钥加密算法的优点,克服缺点,解决每次传送更换密钥的问题,出现了混合密钥系统。 利用对称加密算法加密大量输入数据提供机密性,然后利用公钥加密对称密钥。 混合密码系统能同时提供机密性和存取控制。,3.4 数字认证技术,PKI
11、技术 PKI(public key infrastructure) 是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户利用PKI平台提供的服务进行安全通信。 PKI在实际应用上是一套软硬件和安全策略的集合,它提供了一整套安全机制,使用户在不知道对方身份或分布很广的情况下,以证书为基础,通过一系列的信任关系进行通讯和电子商务交易。 PKI的基础技术包括:加密、数字签名、数据完整性机制、数字信封、双重数字签名等。,PKI的体系结构及功能,PKI两种策略:证书策略;CPS(证书运作规范) CA机构:发放证书,规定有效期,发布证书废除列表。 RA机构:提供用户和CA
12、之间的接口,获取并认证用户身份。 证书发布系统:负责证书的发放。 PKI应用:电子邮件、服务器和浏览器之间的通讯、EDI、信用卡交易,PKI的服务应用,PKI作为整个社会的安全基础设施,能为不同的用户提供多种安全服务,核心服务包括提供认证、完整性和机密性,附加服务包括提供抗抵赖服务、安全时间戳和公正服务。 虚拟专用网(VPN) VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议和建立在PKI上的加密与签名技术获得机密性保护。 安全电子邮件 在商业机构或政府发机密文件时,确认其完整性、机密性、认证身份。其协议S/MIME,有赖于PKI技术。 Web安全 利用PKI技术,S
13、SL协议允许在浏览器和服务器之间进行加密通信。服务器和浏览器通信双方可以通过数字证书确认对方身份。,数字证书,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。一般还包括密钥的有效时间、发证机关的名称、该证书的系列号,遵循ITUT X509国际标准。,认证中心,CA是一个可信的第三方实体,其主要职能是保证用户的真实性。它通过向电子商务各参与方发放数字证书,来确认各方的身份,保证在Internet及内部网上传送数据的安全及网上支付的安全性。 本质上,CA的作用同政府机关的护照颁发机构类似。 认证中心的主要任务是受理数字凭证的申请、签发数字证书并进行管理。,认证中心的构
14、成,接收用户证书申请的证书受理者(RS) 证书发放的审核部门(RA) 证书发放的操作部门(CP),一般称这部分为CA, 以及记录、作废证书的证书作废表(CRL) 在证书申请被审批部门批准后,CA通过登记服务器将证书发放给申请者。 电子商务CA体系包括两大部分,即“金融CA”体系(如SETCA体系)和“非金融CA”体系(如PKICA体系)。,证书的申请和撤消(CA365),证书的申请方式有两种方式,在线申请和离线申请。 在线申请步骤:填写表格,提交给注册机。 注册机构审核。用户与注册机构人员联系,证明自己的身份,或者请求代理人与注册机构联系。 CA发行证书。RA向CA传输用户的证书申请与操作员的
15、数字签名,验证通过,颁发证书。 注册机构证书转发。RA操作员得到新的证书,操作员向用户发送一封电子邮件,通知用户证书已经发成功,告之系列号。 用户证书获取。,证书的撤消和存放,撤消 用户向注册机构操作员发送一封加密的邮件,申明愿意撤消证书。 注册机构同意撤消,CA查询证书撤消请求列表(CRL),验证,更新CRL列表。存放 使用IC卡存放证书 下载到磁盘或自己的终端上。 CRL一般通过网上下载方式存储在用户端。,实例:中国金融认证中心 中国金融认证中心(China Financial Certification Authority,简称CFCA),是由中国人民银行牵头,联合工商行、农行、中国银行
16、、建行等十四家全国性商业银行共同建立的国家级权威金融认证机构。 中国人民银行牵头的CFCA工程在1999年3月29日开始招标,最终签署两份合同:一份由SUN、Entrust、德达公司承建PKICA系统建设工作;另一份由IBM承建SETCA系统建设工作。 中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务,为参与网上交易的各方提供信息安全保障,建立彼此信任的机制,实现互联网上电子交易的保密性、真实性、完整性和不可否认性。同时参与制定有关网上安全交易规则,确立相应技术规范和运作规范,提供网上支付,特别是网上跨行支付的相互认证等服务。 中国金融认证中心的突出特点是其金融特色,CFCA证
17、书发放前须经过金融机构审批以规避交易中可能发生的支付风险,证书申请者必须具备合格的金融资信和支付能力才能获得CFCA证书。,中国金融认证中心(CFCA)体系结构,CFCA认证系统采用国际领先的PKI技术,总体为三层CA结构:第一层为根CA;第二层为政策CA,可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范(CPS)发放证书。运营CA由CA系统和证书注册审批机构(RA)两大部分组成: (1)CA系统 CA系统承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定,CA系统设在CFCA本部,不直接面对用户; (2)RA系统 RA系统直接面向
18、用户,负责用户身份申请审核,并向CA申请为用户转发证书; RA系统一般设置在商业银行的总行、证券公司、保险公司总部及其他应用证书的机构总部; 受理点(LRA)设置在商业银行的分/支行、证券、保险营业部及其他应用证书机构的分支机构,RA系统可方便集成到其业务应用系统。 前两层CA目前都是离线的,只有第三层是在线的,第三层广泛地用于为最终用户发放证书。,CFCA系统体系结构示意图,3.5 网络金融活动的安全技术标准,安全套接层协议 SSL安全电子交易协议 SET,安全套接层协议 SSL,1SSL协议概述 2SSL原理 3SSL协议的加密和认证算法,1SSL协议概述,由Netscape公司开发的,保
19、证通信安全的国际电子支付安全标准协议,也是国际上最早的一种电子商务安全协议。 安全套接层协议处于应用程序和网络层之间,为网络层上应用程序之间的数据传输提供安全保护。 提供的服务: 用户和服务器的合法人证性 加密被传输的数据 保护数据的完整性 SSL应用广泛,凡是构建在TCP协议之上的客户机/服务器模式需要进行安全通信时,都可以使用。 被大部分WEB浏览器和WEB服务器内置,比较容易应用。,3SSL协议的加密和认证算法,SSL协议在工作的过程中,涉及到安全的技术基本上可以分为两类,即用来保护数据安全的加密算法和用来鉴定用户身份的认证技术。 (1)加密算法 SSL协议支持很多的加密算法,比如说对称
20、加密体制(DES加密算法)、RC2RC4和IDEA。 RC2RC4是由非对称加密体制(RSA算法)定义的,其中的RC2用于块加密,RC4用于流加密。SSL协议采用的是X.509电子证书标准,通过公开密钥加密算法来实现数字签名。 服务器认证 客户端认证阶段,安全电子交易协议SET,1SET协议概述 SET(安全电子交易)是一种电子支付过程标准,由Visa、Mastercard、Netscape、Microsoft及其他业界主流于1996年2月制定,是专为网上支付业务安全所制定的标准,用以保护网上支付卡交易的每一个环节。 SET是一种应用于internet环境下,以信用卡为基础的安全电子支付协议。 SET推广应用较缓慢,主要原因在于:使用SET协议比较昂贵,已被广泛应用,银行的支付业务不光是卡,SET协议只支持B2C类型的电子商务模式,不支持B2B模式。,SSL和SET的区别和联系,SET是一个多方的消息报文协议,定义了银行、商户、持卡人之间必须的保温规范,而SSL只是简单的在两方之间建立了一条安全连接。SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。 安全性方面,SET的安全性比SSL高。 在网络层应用方面,SSL是基于传输层的通用安全协议,SET位于应用层,对网络上其他各层也有涉及。 SSL主要和Web一起工作,而SET是为信用卡交易提供安全。,
