【文章內(nèi)容簡(jiǎn)介】 發(fā)送方的身份。 否認(rèn)。發(fā)送者事后不能否認(rèn)自己發(fā)送過文件。 偽造。接收者不能偽造文件，聲稱它來自發(fā)送者，或篡改收到的消息。 公證。第三者可以公證收發(fā)雙方之間的消息但不能偽造這一過程。 網(wǎng) 絡(luò) 金 融 安 全 39 上一頁 下一頁 結(jié) 束 認(rèn) 證 技 術(shù) 例 1：對(duì)發(fā)送的信息 m進(jìn)行整體簽名 Internet Decryption m Encryption ? ? Ksa Kpa Sending Receiving ? ? ? pare m’ m Digital signature Digital signature Ksa: secret key of sender A Kpa: public key of sender A 網(wǎng) 絡(luò) 金 融 安 全 40 上一頁 下一頁 結(jié) 束 例 2：利用雜湊函數(shù)進(jìn)行數(shù)字簽名 數(shù)字簽名 =Hash算法 +私人密鑰加密 認(rèn) 證 技 術(shù) Internet Decryption m Encryption ? ? Ksa Kpa Sending A Receiving B ? ? pare m’ Hash H(m) Hash H(m’) H(m) Digital signature Digital signature ? ⑥ ① ② ③ ④ ⑤ ① 信息發(fā)送方使用安全單向 Hash 函數(shù)對(duì)要發(fā)送的信 息進(jìn)行變換，生成信息摘要； ② 發(fā)送方使用公開密鑰加密算法和自己的私鑰，對(duì)生成的信息摘要進(jìn)行數(shù)字簽名； ③ 發(fā)送方將簽名的信息摘要和原信息一起發(fā)送給信息接收方； ④ 接收方使用與發(fā)送方相同的單向 Hash函數(shù)對(duì)收到的信息進(jìn)行變換，生成一個(gè)新的消息摘要； ⑤ 接收方使用公開密鑰算法和發(fā)送方的公鑰，解密接收到的信息摘要； ⑥ 將解密后的信息摘要和新生成的信息摘要對(duì)比，如果相同，則證明了信息在傳輸過程中沒有被更改和遺漏，同時(shí)，證明發(fā)送方的身份的真實(shí)性。如果不同，則數(shù)字簽名無效，不與接受。這通過上述數(shù)字指紋特性得到保證。 網(wǎng) 絡(luò) 金 融 安 全 41 上一頁 下一頁 結(jié) 束 認(rèn) 證 技 術(shù) 數(shù)字證書 數(shù)字證書也叫數(shù)字標(biāo)識(shí)，是一段包含有用戶身份信息、用戶公鑰信息以及證書認(rèn)證中心數(shù)字簽名的數(shù)據(jù)。數(shù)字證書用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限，是各類終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明。 網(wǎng) 絡(luò) 金 融 安 全 42 上一頁 下一頁 結(jié) 束 認(rèn) 證 技 術(shù) 數(shù)字證書 數(shù)字證書的內(nèi)容 數(shù)字證書內(nèi)容一般包括： ① 證書擁有者的姓名； ② 證書擁有者的公鑰； ③ 公鑰的有效期； ④ 頒發(fā)數(shù)字證書的單位； ⑤ 頒發(fā)數(shù)字證書單位的數(shù)字簽名； ⑥ 數(shù)字證書的序號(hào)； ⑦ 證書擁有者的數(shù)字簽名； ⑧ 證書的版本號(hào)。 網(wǎng) 絡(luò) 金 融 安 全 43 上一頁 下一頁 結(jié) 束 認(rèn) 證 技 術(shù) 認(rèn)證中心 CA， Certification Authority CA是一個(gè)具有權(quán)威性和公證性，提供身份認(rèn)證的第三方機(jī)構(gòu)，它是交易雙方都信任的組織實(shí)體。 CA的基本功能 ① 證書頒發(fā)； ② 證書的更新； ③ 證書的查詢； ④ 證書申請(qǐng)的查詢； ⑤ 用戶證書的查詢； ⑥ 證書的作廢：私鑰泄密；過了有效期；上級(jí) CA對(duì)下級(jí) CA不能信賴； ⑦ 證書歸檔：管理作廢證書和作廢私鑰； ⑧ 提供密鑰托管和密鑰恢復(fù)服務(wù)。 網(wǎng) 絡(luò) 金 融 安 全 44 上一頁 下一頁 結(jié) 束 ? CA認(rèn)證機(jī)構(gòu)的結(jié)構(gòu) 認(rèn) 證 技 術(shù) RootCA CAA CAB CAD CAC Customer 1 Customer 2 網(wǎng) 絡(luò) 金 融 安 全 45 上一頁 下一頁 結(jié) 束 認(rèn) 證 技 術(shù) 數(shù)字時(shí)間戳 數(shù)字時(shí)間戳是用來證明信息的收發(fā)時(shí)間，是經(jīng)過加密后形成的憑證文檔。時(shí)間和簽名一樣都是證明電子商務(wù)交易文件的有效性內(nèi)容。 網(wǎng) 絡(luò) 金 融 安 全 46 上一頁 下一頁 結(jié) 束 認(rèn) 證 技 術(shù) 數(shù)字時(shí)間戳 數(shù)字時(shí)間戳應(yīng)當(dāng)保證： ① 信息文件加上去的時(shí)間戳與存儲(chǔ)信息的物理媒介無關(guān)； ② 對(duì)已加上數(shù)字時(shí)間戳的信息文件不能作任何改動(dòng)和偽造； ③ 要想在某個(gè)信息文件中加上與當(dāng)前日期和時(shí)間不同的時(shí)間戳是不可能的。 網(wǎng) 絡(luò) 金 融 安 全 47 上一頁 下一頁 結(jié) 束 數(shù)字時(shí)間戳產(chǎn)生過程 用戶 文件 數(shù)字簽名 amp。Hash 權(quán)威時(shí)間源 時(shí)間戳 服務(wù)器 時(shí)間戳 請(qǐng)求 經(jīng)數(shù)字簽名的時(shí)間戳 反饋 認(rèn) 證 技 術(shù) 網(wǎng) 絡(luò) 金 融 安 全 48 上一頁 下一頁 結(jié) 束 認(rèn) 證 技 術(shù) The private key of DTS Sending DTS Inter Inter Message Digest Message Digest Hash transform Original message Attaching the DTS Digital Signature Message Digest Message Digest Message Digest ? ? ? 用戶首先對(duì)需要加時(shí)間戳的文件取其摘要 然后，將該摘要發(fā)送到提供數(shù)字時(shí)間戳服務(wù)的權(quán)威機(jī)構(gòu) DTS DTS對(duì)原摘要加上時(shí)間 DTS對(duì)加了時(shí)間戳的摘要進(jìn)行數(shù)字簽名 最后發(fā)送給原用戶 網(wǎng) 絡(luò) 金 融 安 全 49 上一頁 下一頁 結(jié) 束 數(shù)字時(shí)間戳技術(shù)中要注意的幾點(diǎn) 1）加了數(shù)字時(shí)間戳的信息包含的內(nèi)容有： ?原信息的摘要； ?DTS為摘要添加進(jìn)去的日期和時(shí)間； ?DTS的數(shù)字簽名。 2）數(shù)字時(shí)間戳上的時(shí)間是由認(rèn)證單位 DTS（第三方）加上去的，與書面文件簽署的時(shí)間不一樣，書面文件簽署的時(shí)間是由簽署人自己寫上去的。 3）數(shù)字時(shí)間戳中的時(shí)間是以 DTS收到發(fā)送端發(fā)送過來的信息摘要的時(shí)間為依據(jù)。 認(rèn) 證 技 術(shù) 網(wǎng) 絡(luò) 金 融 安 全 50 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 為了保證網(wǎng)上金融活動(dòng)的安全，需要營(yíng)造一個(gè)可信賴的金融活動(dòng)環(huán)境。現(xiàn)實(shí)中，不同企業(yè)會(huì)采用不同的手段來實(shí)現(xiàn)，這些就在客觀上要求有一種統(tǒng)一的標(biāo)準(zhǔn)來支持。為解決這個(gè)問題，已出現(xiàn)了各種各樣的用于加強(qiáng)Inter通信安全性的協(xié)議。 在網(wǎng)絡(luò)中，安全措施可以在網(wǎng)絡(luò)協(xié)議的任何一層采取。 網(wǎng) 絡(luò) 金 融 安 全 51 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 網(wǎng)絡(luò)體系架構(gòu) ISO/OSI參考模型 TCP/IP參考模型 應(yīng)用層 應(yīng)用層 表示層 在模型中 不存在該層 會(huì)話層 傳輸層 傳輸層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)接口層 物理層 網(wǎng) 絡(luò) 金 融 安 全 52 上一頁 下一頁 結(jié) 束 ? 優(yōu)點(diǎn) ? 以用戶為背景執(zhí)行，更容易訪問用戶憑據(jù) ? 對(duì)用戶想保護(hù)的數(shù)據(jù)具有完整的訪問權(quán) ? 應(yīng)用可以自由擴(kuò)展 ? 應(yīng)用程序?qū)?shù)據(jù)有著充分的理解 ? 缺點(diǎn) ? 針對(duì)每個(gè)應(yīng)用須設(shè)計(jì)一套安全機(jī)制 應(yīng)用層安全 應(yīng)用層安全必須在終端主機(jī)上實(shí)施 安 全 協(xié) 議 Inter安全性途徑 應(yīng)用層 SHTTP Set 傳輸層 SSL 網(wǎng)絡(luò)層 IPsec 傳輸層安全傳輸層安全只能在端系統(tǒng)上實(shí)現(xiàn) 不會(huì)強(qiáng)制要求每個(gè)應(yīng)用都在安全方面作出相應(yīng)改進(jìn) ? 缺點(diǎn) ?由于要取得用戶背景，通常假定只有一名用戶使用系統(tǒng)，與應(yīng)用級(jí)安全類似，只能在端系統(tǒng)實(shí)現(xiàn) ?應(yīng)用程序仍需要修改，才能要求傳輸層提供安全服務(wù) 網(wǎng)絡(luò)層安全密鑰協(xié)商的開銷被大大削減了 需要改動(dòng)的應(yīng)用程序要少得多 能很容易構(gòu)建 VPN ? 缺點(diǎn) ? 很難解決 “ 抗抵賴 ” 之類的問題 網(wǎng) 絡(luò) 金 融 安 全 53 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 IPSec IPSec Inter Protocol Security (Inter協(xié)議安全性 ) ，是一種具有互操作性、高質(zhì)量、基于加密的，適用于 IPv4 和 IPv6 的規(guī)范。 IPSec 能夠?qū)?shù)據(jù)的存取控制、機(jī)密性、完整性和可用性提供保證，并能夠防止重放攻擊。 IPSec 的工作原理類似于包過濾防火墻，可以看作是對(duì)包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí)， IPSec 通過查詢 SD（ Security Policy Database 安全策略數(shù)據(jù)庫 ) 來決定對(duì)接收到的 IP 數(shù)據(jù)包的處理。 網(wǎng) 絡(luò) 金 融 安 全 54