1、第4章 网上银行网上银行1O掌握掌握网上银行具备的基本功能和特点;网上银行具备的基本功能和特点;O掌握掌握网上银行的安全技术;网上银行的安全技术;O清楚清楚网上银行几种服务类型的应用流程;网上银行几种服务类型的应用流程;O了解了解企业网上银行和个人网上银行的相关企业网上银行和个人网上银行的相关知识,知识,特别是企业网上银行的流程特别是企业网上银行的流程;O掌握掌握如何利用网上银行开展业务。如何利用网上银行开展业务。学习目标学习目标24.1 网上银行概述网上银行概述4.2 网上银行流程与技术网上银行流程与技术4.3 网上银行的安全技术网上银行的安全技术主要内容主要内容3 富国银行建立网络银行的战
2、略目标在于适应客户变化了的交易富国银行建立网络银行的战略目标在于适应客户变化了的交易偏好和低经营成本。在开发其网络银行时,富国银行通过调查发现偏好和低经营成本。在开发其网络银行时,富国银行通过调查发现:客户不仅需要查询账户余额、变易记录,转账客户不仅需要查询账户余额、变易记录,转账,支付票据,申请新账户和签发新支票等基本网支付票据,申请新账户和签发新支票等基本网 络银行服务,还需要关于账簿管理、税收和财络银行服务,还需要关于账簿管理、税收和财 务预算的服务。务预算的服务。美国的富国银行是美国几大银行之一,位于美国的富国银行是美国几大银行之一,位于加利福尼亚州,它注重发展自己的网络银行。早加利福
3、尼亚州,它注重发展自己的网络银行。早在在19921992年,年,富国银行就开始建设以网络银行服富国银行就开始建设以网络银行服务为核心的信息系统。实际上,富国银行的网络务为核心的信息系统。实际上,富国银行的网络银行开业时要比美国银行开业时要比美国SFNBSFNB早几个月。至早几个月。至20192019年年1212月,通过网络与月,通过网络与富国银行交易的客户已超过富国银行交易的客户已超过4343万,远远多于万,远远多于SFNBSFNB。引例:美国富国银行网上银行引例:美国富国银行网上银行4 于是,富国银行便在于是,富国银行便在20192019年,与微软货币(年,与微软货币(Microsoft M
4、icrosoft MoneyMoney)、直观便利()、直观便利(IntuitIntuit)和快讯()和快讯(QuickenQuicken)等公司建立战略)等公司建立战略联盟,利用它们的软件包提供这方面的服务。在降低成本方面,据该联盟,利用它们的软件包提供这方面的服务。在降低成本方面,据该银行自己的估计,每银行自己的估计,每200200万笔交易从银行柜面服务转向网络银行服务万笔交易从银行柜面服务转向网络银行服务将节省将节省1 5001 500万美元,即每笔交易可节省万美元,即每笔交易可节省7.57.5美元。随着客户从分行向美元。随着客户从分行向低成本的网络转移,银行将节约大量费用。低成本的网络
5、转移,银行将节约大量费用。引例:美国富国银行网上银行引例:美国富国银行网上银行 从富国银行网上银行的成功运营中,我们可以看出网上银从富国银行网上银行的成功运营中,我们可以看出网上银行的哪些优越性呢?行的哪些优越性呢?网上银行必将是银行在信息网上银行必将是银行在信息技术发展中面临的必然选择技术发展中面临的必然选择5 网络银行网络银行(Internet bank,E-bankInternet bank,E-bank),),也称也称在线银行在线银行、网络银行网络银行,是指利用是指利用InternetInternet、IntranetIntranet及相关技术,及相关技术,处理传统的非现金类银行业务,
6、完成网上支付等电子处理传统的非现金类银行业务,完成网上支付等电子商务中介服务的新型银行。商务中介服务的新型银行。它实现了银行与客户之间安全、便捷、实时、友好的它实现了银行与客户之间安全、便捷、实时、友好的对接,为银行客户提供开户、销户、查询、转账、对对接,为银行客户提供开户、销户、查询、转账、对账、网上证券、投资理财等全方位银行业务服务。可账、网上证券、投资理财等全方位银行业务服务。可以说,以说,网上银行就是传统银行柜台在网上银行就是传统银行柜台在InternetInternet上的延上的延伸和拓展伸和拓展。4.1 网上银行概述网上银行概述6网上银行的特点网上银行的特点 网络经济发展的必然结果
7、网络经济发展的必然结果 电子商务发展的需要电子商务发展的需要 银行自身发展的需要银行自身发展的需要 消费者行为的变化消费者行为的变化“3A”3A”交易成本低廉、服务响应快捷,是其主要优点。交易成本低廉、服务响应快捷,是其主要优点。7模式一:纯网络银行模式一:纯网络银行完全依赖于互联网发展起来的全完全依赖于互联网发展起来的全新网络银行,所有业务交易均依靠互联网进行。新网络银行,所有业务交易均依靠互联网进行。网上银行的发展模式网上银行的发展模式 如如SFNBSFNB,成立于,成立于20192019年年1010月,是在美国成立的第一家无营月,是在美国成立的第一家无营业网点的虚拟网上银行,它的营业厅就
8、是画面,当时银行业网点的虚拟网上银行,它的营业厅就是画面,当时银行的员工只有的员工只有1919人,主要负责对网络进行维护和管理。人,主要负责对网络进行维护和管理。特点特点:不受传统银行体制框架、技术框架的限制,低:不受传统银行体制框架、技术框架的限制,低成本、高效率、广泛的市场信息和个性化的产品。成本、高效率、广泛的市场信息和个性化的产品。但但是,营销、技术和筹资成本高,开发贷款和赢利性资是,营销、技术和筹资成本高,开发贷款和赢利性资产业务方面相对逊色产业务方面相对逊色。发展模式发展模式:全方位发展模式全方位发展模式与与特色化发展模式特色化发展模式。8模式二:网络分支结构模式二:网络分支结构是
9、传统银行网上业务的延伸,是传统银行网上业务的延伸,通过网络分支结构拓展用户群、业务种类和处通过网络分支结构拓展用户群、业务种类和处理渠道,进而降低成本,提高效益。理渠道,进而降低成本,提高效益。网络银行的发展模式网络银行的发展模式 我国现在的网上银行基本都属于这一种模式。我国现在的网上银行基本都属于这一种模式。优势优势:以原有的:以原有的“母体母体”为依托,无论从资金来源还为依托,无论从资金来源还是用户基础看,都具有良好的前景。是用户基础看,都具有良好的前景。劣势劣势:1 1)模式受到母体银行体制框架、技术框架的)模式受到母体银行体制框架、技术框架的束缚,不能适用信息社会的发展;束缚,不能适用
10、信息社会的发展;2 2)商业战略问题:)商业战略问题:是发展更多的传统业务,还是专注于电子商务?是发展更多的传统业务,还是专注于电子商务?9 银行业务拓展:银行业务拓展:包括包括个人银行个人银行(Personal Banking Personal Banking 或或 Consumer BankingConsumer Banking)、)、企业银行企业银行(Corporate Corporate BankingBanking)、)、信用卡业务信用卡业务、支付业务支付业务、国际业务国际业务、信贷业务信贷业务、投资业务投资业务等。等。中介服务:中介服务:通过与电子商务平台对接,利用各种电子通过与电
11、子商务平台对接,利用各种电子支付工具,实现客户与商户之间的资金支付、结算,支付工具,实现客户与商户之间的资金支付、结算,搭建安全的互联网购物平台。搭建安全的互联网购物平台。经营信息发布:经营信息发布:发布权威消息。发布权威消息。网上银行的功能网上银行的功能10 2019到到2019年,美国成年网年,美国成年网民中使用网上银民中使用网上银行进行查询、投行进行查询、投资理财等活动的资理财等活动的用户数稳步增长;用户数稳步增长;预计该用户数量预计该用户数量将持续稳定增长,将持续稳定增长,2019年将突破年将突破1亿,亿,网上银行网上银行在美国成年网民在美国成年网民中的渗透正在逐中的渗透正在逐步加深步
12、加深。网络银行的发展现状网络银行的发展现状美国美国11 2009年年2月月中国网上银行中国网上银行使用率较欧洲使用率较欧洲还有一定差距。还有一定差距。网络银行的发展现状网络银行的发展现状中国中国12网络银行的发展现状网络银行的发展现状中国中国交 易交 易额 规额 规模 稳模 稳定 增定 增长,长,原 因原 因有 哪有 哪些?些?13 在金融全球化浪潮下,网上银行是国际银行业在日趋在金融全球化浪潮下,网上银行是国际银行业在日趋激烈的竞争中以变革求生存、求发展的必然选择。激烈的竞争中以变革求生存、求发展的必然选择。交易信息更安全交易信息更安全 交易流程更简化交易流程更简化 交易内容更丰富交易内容更
13、丰富网上银行的发展前景网上银行的发展前景144.2 网上银行流程与技术网上银行流程与技术95599中国农业银行中国农业银行15农业银行个人网上银行业务农业银行个人网上银行业务16企业财务人员无需到银行网点,就能管理所有支票账户、企业财务人员无需到银行网点,就能管理所有支票账户、单位卡账户及贷款账户,完成通达全国的资金实时结算。单位卡账户及贷款账户,完成通达全国的资金实时结算。最新推出网上代付、网上代收、电子工资单服务;最新推出网上代付、网上代收、电子工资单服务;集团母公司可实时监控各子公司的财务状况,农行现金管集团母公司可实时监控各子公司的财务状况,农行现金管理客户还可通过最新推出的现金管理业
14、务实现移动办公。理客户还可通过最新推出的现金管理业务实现移动办公。p资金资金“零在途零在途”p安全安全“全方位全方位”p服务服务“新体验新体验”17个人客户、企业客户在网上特约商户的交易网站购物时,个人客户、企业客户在网上特约商户的交易网站购物时,农业银行为其提供实时的资金结算服务。农业银行为其提供实时的资金结算服务。pB2C网上支付:网上支付:农行农行B2CB2C网上支付提供网上支付提供电子支付卡支付电子支付卡支付和和注册客户支付注册客户支付两种方式。两种方式。如果客户持有农行金穗借记卡、准贷记卡,可以凭银行卡卡号、查如果客户持有农行金穗借记卡、准贷记卡,可以凭银行卡卡号、查询密码自助申请电
15、子支付卡。如果客户已经是农行个人注册客户,询密码自助申请电子支付卡。如果客户已经是农行个人注册客户,则无需另外申请即可使用注册的银行卡账户进行网上支付。则无需另外申请即可使用注册的银行卡账户进行网上支付。pB2B网上支付:网上支付:农行农行B2BB2B网上支付能够为企业开展电子商务提供强有力的资金结算网上支付能够为企业开展电子商务提供强有力的资金结算保障,在全国范围内实现实时达账,充分满足交易各方的需求。保障,在全国范围内实现实时达账,充分满足交易各方的需求。采购方只需要申请成为农行企业注册客户采购方只需要申请成为农行企业注册客户,就能够享受便捷安全的,就能够享受便捷安全的电子支付服务。电子支
16、付服务。供货方可以申请成为农行网上特约商户供货方可以申请成为农行网上特约商户。18 该架构是根据银行的业务需求和现有的该架构是根据银行的业务需求和现有的IT系统,并基系统,并基于于CFCA证书安全体系而形成的网上银行建设架构。证书安全体系而形成的网上银行建设架构。功能及特点:功能及特点:高性能高性能Web服务器;服务器;基本全面的网络银行业务功能;基本全面的网络银行业务功能;基本成熟的网络银行软件包;基本成熟的网络银行软件包;完整的安全防范措施;完整的安全防范措施;数字安全证书;数字安全证书;B2B及及B2C网上支付;网上支付;全面的全面的WAP服务支持。服务支持。19 系统总体结构:系统总体
17、结构:网络银行系统采取网络银行系统采取客户客户/网银中心网银中心/业业务系统务系统三层体系结构,其中三层体系结构,其中网银中心网银中心实现账务查询和实现账务查询和实时交易功能。实时交易功能。系统网络通信结构系统网络通信结构 网络银行系统软件结构:网络银行系统软件结构:会话(会话(SessionSession)管理)管理、安全安全管理管理、交易分类交易分类。支付网关:支付网关:建立在建立在SSLSSL协议之上协议之上的支付网关。建设的目的支付网关。建设的目的是为银行客户在网上提供实时支付功能。的是为银行客户在网上提供实时支付功能。20O 理论上,电子支付比传统的支付方式更具优势。理论上,电子支付
18、比传统的支付方式更具优势。O 但是很多人在电子商务中却迷恋但是很多人在电子商务中却迷恋 传统支付方式传统支付方式O 建立一个安全、便捷的电建立一个安全、便捷的电子支付应用环境,对信息子支付应用环境,对信息提供足够保护!提供足够保护!21 截至截至2019年年12月月31日,中国网上支付用户规模日,中国网上支付用户规模达到达到5325万,安全问题仍是影响电子支付普及的最核万,安全问题仍是影响电子支付普及的最核心问题。据艾瑞市场咨询的心问题。据艾瑞市场咨询的2019年中国网上支付研年中国网上支付研究报告显示,从网民在未来一年是否愿意使用网上支究报告显示,从网民在未来一年是否愿意使用网上支付的情况来
19、看,明确表示不使用网上支付的网民仅为付的情况来看,明确表示不使用网上支付的网民仅为6%,其中高达,其中高达62%的人是担心安全性。的人是担心安全性。在在CNNIC公布的一份报告中,用户对公布的一份报告中,用户对“目前网上目前网上购物最大的问题购物最大的问题”的回答结果是:认为网上支付安全得的回答结果是:认为网上支付安全得不到保障的占不到保障的占36.5%。22网上银行的安全技术网上银行的安全技术防火墙防火墙高安全级别的高安全级别的Web服务器服务器实时监控实时监控23O 防火墙防火墙(Firewall)是在企业或商家的内部网和)是在企业或商家的内部网和外部网之间构筑的一道屏障,保护内部网中的信
20、外部网之间构筑的一道屏障,保护内部网中的信息、资源等不受来自互联网中非法用户的侵犯。息、资源等不受来自互联网中非法用户的侵犯。No.1 防火墙技术防火墙技术Intranet防防 火火 墙墙Internet客户机客户机电子邮件服务器电子邮件服务器Web服务器服务器数据库服务器数据库服务器24设置防火墙有什么意义?设置防火墙有什么意义?O 阻止未经授权的用户访问机构的内部网络。是保阻止未经授权的用户访问机构的内部网络。是保证整个电子交易与支付安全的第一道关卡,也是证整个电子交易与支付安全的第一道关卡,也是比较关键的安全防护环节。比较关键的安全防护环节。No.1 防火墙技术防火墙技术防火墙在电子支付
21、中的应用?防火墙在电子支付中的应用?O 业务业务Web服务器设置在防火墙之内服务器设置在防火墙之内:Web服务器服务器可得到安全防护,但仅能由内部网中用户访问。可得到安全防护,但仅能由内部网中用户访问。O 业务业务Web服务器设置在防火墙之外服务器设置在防火墙之外:保护内部网:保护内部网络安全,络安全,Web服务器没有保护。服务器没有保护。25O 网上支付在开放的网上支付在开放的Internet上进行,大量的数上进行,大量的数据需要在网上传输。据需要在网上传输。如何保证这些数据的安全?如何保证这些数据的安全?No.2 加密技术加密技术O 确保电子支付中数据确保电子支付中数据安全性安全性、真实性
22、真实性和和完整性完整性的重的重要手段!要手段!26O 加密技术加密技术,包括信息的,包括信息的加密加密和和解密解密两个过程。两个过程。O 一个加密系统,至少包括一个加密系统,至少包括明文、密文、算法和密明文、密文、算法和密钥钥四个部分。四个部分。No.2 加密技术加密技术加密加密解密解密明文明文密文密文原来的原来的明文明文加密密钥加密密钥解密密钥解密密钥对称密钥加密技术对称密钥加密技术非对称密钥加密技术非对称密钥加密技术27O 对称密钥加密技术对称密钥加密技术:发送方和接受方使用同一密:发送方和接受方使用同一密钥对信息进行加密解密。钥对信息进行加密解密。O 如果一个加密系统的加密密钥和解密密钥
23、相同,如果一个加密系统的加密密钥和解密密钥相同,或者虽然不同,但可以由其中一个推导出另一个,或者虽然不同,但可以由其中一个推导出另一个,则称为则称为对称密码体制对称密码体制。No.2 加密技术加密技术明文明文MK密文密文E密文密文EK明文明文M发送方发送方A接收方接收方B28O 非对称密钥加密技术非对称密钥加密技术:也称公开密钥加密。加密:也称公开密钥加密。加密和解密过程分别使用两个不同的密钥。和解密过程分别使用两个不同的密钥。O 密钥被分解为一对:密钥被分解为一对:公开密钥公开密钥和和私有密钥私有密钥。O 公开密钥公开密钥用于对机密信息的加密或验证数字签名,用于对机密信息的加密或验证数字签名
24、,私有密钥私有密钥则用于对加密信息的解密或对消息进行则用于对加密信息的解密或对消息进行数字签名。数字签名。O 公开密钥加密体制主要有两种应用:公开密钥加密体制主要有两种应用:信息加密与信息加密与解密解密、身份认证身份认证。No.2 加密技术加密技术29公开密钥加密体制应用之公开密钥加密体制应用之信息加密与解密信息加密与解密No.2 加密技术加密技术明文明文MB的公开密钥的公开密钥密文密文E密文密文E明文明文M发送方发送方A接收方接收方BB的私有密钥的私有密钥 公钥作为加密密钥,私钥作为解密密钥;公钥作为加密密钥,私钥作为解密密钥;可以实现由多个用户加密的信息只能由一个用户可以实现由多个用户加密
25、的信息只能由一个用户解读,保证了数据的机密性和完整性。解读,保证了数据的机密性和完整性。30公开密钥加密体制应用之公开密钥加密体制应用之身份认证身份认证No.2 加密技术加密技术明文明文MA的私有密钥的私有密钥密文密文E密文密文E明文明文M发送方发送方A接收方接收方BA的公开密钥的公开密钥 私钥作为加密密钥,公钥作为解密密钥;私钥作为加密密钥,公钥作为解密密钥;可以实现由一个用户加密的信息可由多个用户解可以实现由一个用户加密的信息可由多个用户解读,这就是数字签名的原理。读,这就是数字签名的原理。31问题:问题:O 在金融专用网络中,密钥的保密性是至关重要在金融专用网络中,密钥的保密性是至关重要
26、的。为通信安全,通信双方需要经常改变通信的。为通信安全,通信双方需要经常改变通信密钥,因此需要经常交换各种密钥,密钥的分密钥,因此需要经常交换各种密钥,密钥的分配安全就成为重要问题。配安全就成为重要问题。No.2 加密技术加密技术32解决办法:解决办法:随机选择协议随机选择协议 设设A A和和B B决定通过邮寄玩扑克,决定通过邮寄玩扑克,A A为发牌方并负责为发牌方并负责洗牌,假设仅有洗牌,假设仅有1010张牌,每方各张牌,每方各5 5张,则保证分张,则保证分发公平性的协议做法是:发公平性的协议做法是:No.2 加密技术加密技术33步骤步骤1:34步骤步骤1:35步骤步骤2:36步骤步骤2:3
27、7步骤步骤3:38步骤步骤3:39步骤步骤4:40 A任意组合牌,将每张牌放在一个未作标志的盒子中,任意组合牌,将每张牌放在一个未作标志的盒子中,并加上并加上A的锁,然后的锁,然后 将将10个盒子发送给个盒子发送给B;B无法区分,任选其中无法区分,任选其中5个盒子加上个盒子加上B的锁,再将的锁,再将10个个盒子寄回给盒子寄回给A;A收到盒子可看出收到盒子可看出B的行为是公平的。的行为是公平的。A移去移去10个盒子个盒子上的锁,则后上的锁,则后5张张B留下的牌就够成了留下的牌就够成了A的牌;然后的牌;然后A将将余下仍然上了余下仍然上了B锁的盒子寄给锁的盒子寄给B;B移开锁后就看到了移开锁后就看到
28、了5个盒子中的牌。个盒子中的牌。上述做法确保了发牌的公平性。这一过程就是随机选择上述做法确保了发牌的公平性。这一过程就是随机选择过程,分发协议即为随机选择协议。过程,分发协议即为随机选择协议。No.2 加密技术加密技术41O 以以密钥密钥来代替扑克游戏中的纸牌,以来代替扑克游戏中的纸牌,以密码密码KA和和KB分别分别代替代替A锁和锁和B锁,则够成了密钥分配中的随机选择协议。锁,则够成了密钥分配中的随机选择协议。No.2 加密技术加密技术42解决办法:解决办法:由一个中心密钥服务器来产生并分配密钥。由一个中心密钥服务器来产生并分配密钥。满足条件:必须确保使用者得到一个新密钥,而其他任满足条件:必
29、须确保使用者得到一个新密钥,而其他任何人,包括密钥仓库,都不能知道使用者选择的密钥。何人,包括密钥仓库,都不能知道使用者选择的密钥。做法做法:密钥分配器是产生密钥和加密所产生密钥的中心:密钥分配器是产生密钥和加密所产生密钥的中心源源A A,它发出一串连续的被加密的密钥流。欲使用新密,它发出一串连续的被加密的密钥流。欲使用新密钥的用户钥的用户B B,获得,获得A A发来的一些加密过的密钥后,选择其发来的一些加密过的密钥后,选择其中一个,并加密,将经过两次加密的密钥送回给中一个,并加密,将经过两次加密的密钥送回给A A。A A解解密,再发送给密,再发送给B B。B B解密后得到自己挑选的密钥。解密
30、后得到自己挑选的密钥。No.2 加密技术加密技术43O 在电子交易过程中,交易双方不仅要确保相关数在电子交易过程中,交易双方不仅要确保相关数据的据的保密性保密性,还要确保数据在传输过程中没有被,还要确保数据在传输过程中没有被人篡改,即保证数据的人篡改,即保证数据的真实性真实性。No.2 加密技术加密技术数字摘要数字摘要信息报文信息报文发送方发送方A接收方接收方B数字摘要数字摘要信息报文信息报文数字摘要数字摘要比较比较是否是否一致一致44O 数字签名数字签名:也称电子签名,在身份认证、数据完:也称电子签名,在身份认证、数据完整性、不可否认性及匿名性等方面有重要应用。整性、不可否认性及匿名性等方面
31、有重要应用。No.2 加密技术应用之:数字签名加密技术应用之:数字签名O 所谓数字签名就是在要发送的信息报文上附加一所谓数字签名就是在要发送的信息报文上附加一小段只有信息发送者才能产生的,别人无法伪造小段只有信息发送者才能产生的,别人无法伪造的特殊个人数据标记,的特殊个人数据标记,起到传统上手书签名或印起到传统上手书签名或印章的作用,既证明了信息报文是由真正的发送者章的作用,既证明了信息报文是由真正的发送者发送过来的,同时解决了信息报文传送与交换后发送过来的,同时解决了信息报文传送与交换后的不可否认性与完整性的不可否认性与完整性。45情景:情景:O 客户张三向其开户银行发送一条支付指令,授客户
32、张三向其开户银行发送一条支付指令,授权银行将一笔款项转给李四。权银行将一笔款项转给李四。银行银行:验明该消息确实来自张三;确信消息全部:验明该消息确实来自张三;确信消息全部是张三发出的,中途未经任何篡改。是张三发出的,中途未经任何篡改。张三张三:确信银行没有拒绝这条转账信息。:确信银行没有拒绝这条转账信息。对电文进行电子签名,实现上述要求。对电文进行电子签名,实现上述要求。No.3 加密技术应用之:数字签名加密技术应用之:数字签名46数字签名技术的原理数字签名技术的原理数字摘要数字摘要信息报文信息报文发送方发送方A接收方接收方B信息报文信息报文信息报文信息报文数字摘要数字摘要比较比较是否是否一
33、致一致A A的的私钥私钥加密加密数字签名数字签名数字签名数字签名A A的的公钥公钥解密解密数字摘要数字摘要整个过程结合整个过程结合了公开密钥加了公开密钥加密技术和数字密技术和数字摘要技术。摘要技术。47数字签名技术数字签名技术O 双重签名双重签名:解决电子交易中三方之间信息传输的:解决电子交易中三方之间信息传输的安全性问题。安全性问题。消费者消费者订单信息订单信息支付信息支付信息商家商家金融机构金融机构O 目前支持银行卡网上支付的目前支持银行卡网上支付的SET安全协议就采用安全协议就采用双重数字签名的办法。双重数字签名的办法。48O 双重签名原理:双重签名原理:发送方发送方A A将发送到接收方
34、甲的报文信息将发送到接收方甲的报文信息1 1生成报文摘要生成报文摘要a aA A将发送到接收方乙的报文信息将发送到接收方乙的报文信息2 2生成报文摘要生成报文摘要b b;A A将报文摘要将报文摘要a a、b b连接起来,再次进行连接起来,再次进行HashHash运算,得到运算,得到报文摘要报文摘要c c,即双重报文摘要;,即双重报文摘要;A A用自己的私钥对用自己的私钥对c c进行数字签名,得到双重数字签名进行数字签名,得到双重数字签名A A将双重数字签名、报文信息将双重数字签名、报文信息1 1(可用甲的公钥加密)(可用甲的公钥加密)和报文摘要和报文摘要b b一起发送给甲;一起发送给甲;A A
35、将双重数字签名、报文信息将双重数字签名、报文信息2 2(可用乙的公钥加密)(可用乙的公钥加密)和报文摘要和报文摘要a a一起发送给乙;一起发送给乙;数字签名技术数字签名技术49甲收到信息后,对报文信息甲收到信息后,对报文信息1 1进行相同的进行相同的HashHash运算后运算后得到一个新的报文摘要,将它与收到的报文摘要相连得到一个新的报文摘要,将它与收到的报文摘要相连接,再次使用接,再次使用HashHash运算,得到一个双重数字摘要;用运算,得到一个双重数字摘要;用A A的公开密钥对接收到的双重数字签名解密,与新生的公开密钥对接收到的双重数字签名解密,与新生成的这个双重数字摘要相比较,若一致,
36、则可以确认成的这个双重数字摘要相比较,若一致,则可以确认信息发送方的身份,而且保证了信息在传输过程中未信息发送方的身份,而且保证了信息在传输过程中未被修改。被修改。乙双收信息后,与甲进行类似操作。乙双收信息后,与甲进行类似操作。数字签名技术数字签名技术50数字签名技术数字签名技术O 盲签名盲签名:1982年由年由David Chaum提出来的。提出来的。O 盲签名是一种特殊类型的数字签名。先由信息报文拥盲签名是一种特殊类型的数字签名。先由信息报文拥有者对原始信息进行盲化,然后发送给签名者,签名有者对原始信息进行盲化,然后发送给签名者,签名者对盲化后的信息进行签名并返还给信息报文拥有者,者对盲化
37、后的信息进行签名并返还给信息报文拥有者,最后由信息报文拥有者去除盲化因子,得到签名者对最后由信息报文拥有者去除盲化因子,得到签名者对原始信息报文的签名。原始信息报文的签名。O 使签名的信息报文对签名者保密,在认证的同时不泄使签名的信息报文对签名者保密,在认证的同时不泄露信息报文的内容。在合同公证、电子货币、电子支露信息报文的内容。在合同公证、电子货币、电子支付、电子投票系统中广泛应用。付、电子投票系统中广泛应用。51数字签名技术数字签名技术O 盲签名的应用:盲签名的应用:Digicash数字现金数字现金用户首先在银行建立资金账户,并领取用户端软件。用户首先在银行建立资金账户,并领取用户端软件。
38、用户利用此软件产生用户利用此软件产生原始数字代币原始数字代币、原始编号原始编号X和和致致盲系数盲系数,再将原始编号,再将原始编号X与致盲系数相乘,得到一个与致盲系数相乘,得到一个新的编号新的编号Y。将。将Y与原始数字代币与原始数字代币一起发送到银行。一起发送到银行。银行只能看见银行只能看见Y与数字代币的联合体,用签名私钥进与数字代币的联合体,用签名私钥进行数字签名,用从用户账户中扣去对应资金金额,并行数字签名,用从用户账户中扣去对应资金金额,并将将经过签名的经过签名的Y与数字代币的联合体与数字代币的联合体回送用户。回送用户。用户用致盲系数分解用户用致盲系数分解Y,变换出,变换出X,这个经过银行
39、签,这个经过银行签名的名的数字代币与数字代币与X的联合体就是电子现金的联合体就是电子现金。52No.4 身份识别身份识别传统的身份识别方法:用户名和登录密码。传统的身份识别方法:用户名和登录密码。容易泄露、被攻击者截获、破解。容易泄露、被攻击者截获、破解。O 基于口令的身份识别:基于口令的身份识别:Challenge-ResponseChallenge-ResponseTime SynchronizationTime SynchronizationO 基于物理证件的身份识别:基于物理证件的身份识别:O 基于生物特征的身份识别:基于生物特征的身份识别:53No.5 数字证书数字证书O 在网上银行
40、系统中,用户的身份认证在网上银行系统中,用户的身份认证 依靠基于依靠基于“RSARSA公钥密码体制公钥密码体制”的加密机制的加密机制、数字签名数字签名机制机制和和用户登录密码用户登录密码等多重保证。用户唯一的身份标志等多重保证。用户唯一的身份标志就是银行签发的就是银行签发的“数字证书数字证书”。O 2000年年6月,中国金融认证中心(月,中国金融认证中心(CFCA)正式挂牌)正式挂牌运营,标志着中国电子商务进入银行安全支付的新阶运营,标志着中国电子商务进入银行安全支付的新阶段。段。54No.5 数字证书数字证书O 为了保证互联网上电子交易及支付的安全性、保密为了保证互联网上电子交易及支付的安全
41、性、保密性等,必须在网上建立一种信任机制性等,必须在网上建立一种信任机制数字证书数字证书O 数字证书数字证书:由 一 个 权 威 机 构:由 一 个 权 威 机 构 证 书 认 证 中 心证 书 认 证 中 心(Certificate Authority,CA)发行的电子文档,)发行的电子文档,人们可以在网上交易中用它来识别对方的身份。人们可以在网上交易中用它来识别对方的身份。O 数字证书必须具有唯一性和可靠性。通常,数字证书采数字证书必须具有唯一性和可靠性。通常,数字证书采用用公钥体制公钥体制,利用一对互相匹配的密钥进行加密、解密,利用一对互相匹配的密钥进行加密、解密55No.5 数字证书数
42、字证书O 用户用户设定一把特定的设定一把特定的私有密钥私有密钥,用于,用于解密和签名解密和签名;同时;同时设定一把设定一把公开密钥公开密钥,为一组用户所共享,用于,为一组用户所共享,用于加密和验加密和验证签名证签名。O 发送方使用接收方的公钥加密,接收方使用自己的私钥发送方使用接收方的公钥加密,接收方使用自己的私钥解密解密,保证信息安全送达。,保证信息安全送达。所有者的公钥所有者的公钥所有者的名字所有者的名字公钥的失效期公钥的失效期发放机构名称发放机构名称数字证书序列号数字证书序列号发放机构的签名发放机构的签名作用作用:识别身份,识别身份,保证保密性、保证保密性、完整性、真实性、完整性、真实性
43、、不可否认性不可否认性56数字证书数字证书57数字证书数字证书58No.6 安全协议安全协议 (Secure Socket Layer,安全套接,安全套接层)协议,层)协议,Netscape公司于公司于1994年开发,年开发,建立一条安全、可信任的通信通道。建立一条安全、可信任的通信通道。(Secure Electronic Transaction 安全电子交易安全电子交易)协议,协议,VISA和和MasterCard于于2019年联合推出,应用在互联网环境下,年联合推出,应用在互联网环境下,以信用卡支付为基础的安全支付协议。以信用卡支付为基础的安全支付协议。59SSL协议协议O 运行在传输层
44、之上、应用层之下,运行在传输层之上、应用层之下,为应用层提供安全的传输通道。为应用层提供安全的传输通道。应用层应用层传输层传输层网络接口层网络接口层互联层互联层O 在应用层协议通信前就完成在应用层协议通信前就完成了加密算法、通信密钥的协了加密算法、通信密钥的协商以及通信双方的认证工作。商以及通信双方的认证工作。应用层协议所传送的数据都应用层协议所传送的数据都会被加密,保证通信的机密会被加密,保证通信的机密性性。用户用户服务器服务器传输通道传输通道60演示建立演示建立SSLSSL安全连接的过程安全连接的过程 (1 1)显示在)显示在eCoineCoin上在登陆(上在登陆(LoginLogin)用
45、户名时即进入)用户名时即进入SSLSSL安全连接安全连接61 (2 2)这时浏览器发出安全警报,开始建立安全连接)这时浏览器发出安全警报,开始建立安全连接 浏览器开始建立安全连接浏览器开始建立安全连接62 (3)同时验证安全证书,用户单击)同时验证安全证书,用户单击“确定确定”键即进入安全连键即进入安全连接接浏览器验证服务器安全证书浏览器验证服务器安全证书63 (4 4)显示在)显示在eCoineCoin上的安全连接已经建立,浏览器右下角状态上的安全连接已经建立,浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密
46、方式传送。方式传送。64 (5 5)当加密方式传送结束后,浏览器会离开交换敏感信息当加密方式传送结束后,浏览器会离开交换敏感信息的页面,自动断开安全连接。的页面,自动断开安全连接。离开交换敏感信息的页面,浏览器自动断开安全连接离开交换敏感信息的页面,浏览器自动断开安全连接 65SSL协议协议O 加密数据以隐藏被传送的数据加密数据以隐藏被传送的数据:采用对称密钥和采用对称密钥和公开密钥相结合的技术。公开密钥相结合的技术。O 保护数据的完整性保护数据的完整性:利用信息验证码(利用信息验证码(MAC)机制保证信息的完整性。机制保证信息的完整性。O 用户和服务器的合法性认证用户和服务器的合法性认证:利
47、用数字证书技术利用数字证书技术和可信任的第三方认证,可让用户机和服务器相和可信任的第三方认证,可让用户机和服务器相互识别对方的身份互识别对方的身份(握手时相互交换数字证书握手时相互交换数字证书)。66SSL协议协议HTTPTELNETSMTPFTPSSLSSL握手协议握手协议 SSLSSL修改密文协议修改密文协议 SSLSSL报警协议报警协议 SSLSSL应用数据协议应用数据协议SSL记录协议记录协议TCPIP上层被封装的协议上层被封装的协议:管理:管理SSL的信的信息交换,让服务器和用户机在传输息交换,让服务器和用户机在传输数据前,协商加密算法和密钥。数据前,协商加密算法和密钥。封装不同的上
48、层协议封装不同的上层协议。67SSL协议协议O 安全方面安全方面:l缺乏数字签名能力;缺乏数字签名能力;l用户的信用卡信息传给商家后,对商家透明;用户的信用卡信息传给商家后,对商家透明;l出口受限制,出口受限制,如中国的如中国的SSLSSL产品只能提供产品只能提供512512位位的的RSARSA公钥和公钥和4040位的对称密钥,加密强度不够位的对称密钥,加密强度不够。68SET协议协议应用层应用层传输层传输层网络接口层网络接口层互联层互联层O 运行在应用层。运行在应用层。采用公开密码体制和采用公开密码体制和X.509数字证书标准,通过数字证书标准,通过公开密钥公开密钥加密加密、数字签名数字签名
49、、数字证书数字证书等等核心技术,解决了用户、商家、核心技术,解决了用户、商家、银行之间通过信用卡支付时银行之间通过信用卡支付时支支付信息的保密性、完整性付信息的保密性、完整性,支支付过程的安全性付过程的安全性,商家和持卡商家和持卡人身份的合法性人身份的合法性。69SET协议协议O 保证信息在互联网上传输的机密性;保证信息在互联网上传输的机密性;O 保证信息的完整性;保证信息的完整性;O 实现订单信息和个人账号信息的隔离;实现订单信息和个人账号信息的隔离;O 解决多方认证问题;解决多方认证问题;O 保证交易的不可否认性;保证交易的不可否认性;O 提供开放式的标准、规范协议和消息报文格式,提供开放
50、式的标准、规范协议和消息报文格式,可在不同的软硬件平台上运行。可在不同的软硬件平台上运行。70SET协议协议CardCardHolderHolderMerchantMerchantPaymentPaymentGatewayGatewayAcquirerAcquirerCACAIssuerIssuer订单订单协商协商确认确认审核审核请求请求审审核核批批准准确认确认确认确认认认证证认认证证认认证证71SET协议协议项目项目SSL协议协议SET协议协议协议所处层次协议所处层次传输层与应用层间传输层与应用层间应用层应用层是否透明是否透明透明透明不透明不透明使用专用软件使用专用软件否否是是过程过程简单简