电子支付中存在的安全隐患
银行系统不断增加中间业务,增加服务功能,例如代收电话费、代收保险费、证券转账等业务,因此就与电信局、保险公司、证券交易所等单位网络互联。
安全认证技术也是为了满足电子支付系统的安全性要求采用的一种常用的必需的安全技术。安全认证的主要作用是进行信息认证。信息认证的目的包括以下几个方面。
(1)可信性:指信息的接收者能够确认所获得的信息不是由冒充者所发出的。
(2) 完整性:指信息接收者能够确认所获得的信息在传输过程中没有被篡改、延迟和替换。
(3)不可抵赖性:要求信息的发送者不能否认自己所发出的信息,同样,信息的接收者也不能否认已收到的信息。
(4)访问控制:拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定的资源。
1.数字摘要
数字摘要亦称为消息摘要或安全Hash编码或MD5,它由Ron Rivest设计。交易双方在传送消息时,不仅要对数据进行加密,而且还要知道数据在传输过程中是否被改变,也就是要保证数据的完整性和有效性。数字摘要技术是采用单向Hash函数读取明文文件中若千重要元素进行某种运算得到固定长度的摘要码,也就是数字指纹( finger print), 算法在数学上保证:只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符,这样保证了报文的不可更改。在传输信息时将摘要码加入文件一起发送给接收方,接收方收到文件后,用相同的方法进行变换计算,若得出的结果与发送来的摘要码相同,则断定文件未被篡改。
对数字摘要有几个要求:
第一,生成消息摘要的算法必须是一个公开的算法,数据交换的双方可以用同一算法对原始明文经计算而生成的消息摘要进行验证。
第二,算法必须是一个单向算法,就是只能通过此算法从原始明文中计算出消息摘要,而不能通过消息摘要得到原始明文。
第三,消息摘要同明文是一对应的,不同的明文加密成不同的密文;相同的明文其摘要必然一样。
Hash算法本身并不能保证消息的完整性,它必须与其他密码技术结合起来才能保证数据的完整性。在SET系统中是将消息摘要用发送者的私人密钥加密,产生数字签名来保证数据的完整性;接收者收到加密的消息摘要,就用发送者的公开密钥解密,然后,通过消息摘要就可以判断收到消息的完整性。
2.数字签名
日常生活中,对某文档进行签名来保证文档的真实有效性,并把文档与签名同时发送以作为日后查证的依据。签名可对签字方进行约束,防止抵赖。在网络环境下,可用电子签名作为模拟,从而为电子金融交易与商务活动提供不可否认的服务。
数字签名就是只有信息的发送者才能产生的,而别人无法伪造的一段数字串,这段数字串同时也是对发送者发送信息的真实性的一个有效凭证。它一般选用RSA算法作为数字签名的公开密钥密码算法。
在网络上传输数据前,将报文按双方约定的Hash算法计算得到报文的数字摘要值;然后把该报文的数字摘要值用发送者的私有密钥加密,最后将该密文同原报文一起发送给接收者,所产生的报文即称为数字签名。接收方收到数字签名后,用同样的Hash算法对报文计算摘要值,然后与用发送者的公开密钥进行解密后的报文摘要值相比较。如相等则说明报文确实来自发送者,因为只有用发送者的签名私钥加密的信息才能用发送者的公钥解开,从而保证了数据的真实性。同时,只要拥有发送方的公开密钥的人都能够验证数字签名的正确性,面只有真正的发送方才能发送这一数字签名,从而完成对发送方身份的鉴别。这符合了签名的唯一性、 不可仿冒性和不可否认性3大特征。
3.数字信封
数字信封是为了解决传送更换密钥问题而产生的技术,它结合了对称加密和非对称加密技术的各自优点。基本原理是:发送者使用随机产生的对称密钥加密数据,然后将生成的密文和密钥本身一起用接收者的公开密钥加密,加密的对称密钥称为数字信封,将密文及加密后的密钥发送给接收者;接收者先用自己的私钥解密数字信封,得到对称密钥,然后使用对称密钥解密数据。
数字信封是用消息接收方的公开密钥加密的,只能用接收方的私人密钥才能解密,别人无法得到信封中的对称密钥,因而确保了消息的安全。数字信封的好处是提高了加密速度,避免了对称密钥的分发。
个人POS机专业办理,费率低至0.38%!不做最低费率,只做最合理的费率,良心企业,良心支付!央行一天之内开出15张支付机构罚单
一天之内15家支付机构收到央行处罚罚单,2019年8月6日,中国人民银行呼和浩特支行发布行政处罚,一共有15家支付机构被处罚,处罚资金共27万元。
4.数字时间戳
数字时间戳(DIS)技术是数字签名技术的一种变种应用。同传统商务一样 日期和时间是商务文件中的重要内容之一,需要加以确认与保护。同样,在电子商务中,也需对交易文件的日期和时间消息采取安全措施防止被伪造和篡改。数字时间戳服务专用于提供电子文件发表时间的安全保护,由专门机构提供。
如果在签名时加上一个时间标记,即是有数字时间戳的数字签名。时间戳是一个经加密后形成的凭证文档,共包括三个部分:需要加盖时间戳的文件的摘要DTS、收到文件的日期和时间、DIS 的数字签名。
时间戳产生的过程为:用户首先将需要加时间截的文件用Hash算法加密形成摘要,然后将该摘要发送到DTIS,DIS在加入了收到文件摘要的日期和时间消息后再对该文件加密(数字签名),然后送回用户。
书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DIS来加入的,以DTS收到文件的时间为依据。
5.数字证书
数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限,是一个经证书授权中心数字签名的、包含证书申请者个人消息及其公开密钥的文件。在网上的电子交易中,可以通过交换的数字证书确认双方各自的身份,并且得到对方的公开密钥,由于公开密钥是包含在数字证书中的,所以可以确信收到的公开密钥肯定是对方的,从而保证消息传送中的加解密工作。数字证书的原理是利用一对互相匹配的密钥进行加密、解密。每个用户自己设定-把特定的仅为本人所知的私有密钥,用它进行解密和签名;同时设定一把公共密钥并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密 文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。
数字证书的内部格式是由CCTT x.509国际标准所规定的,包含以下内容:数字证书拥有者的姓名、数字证书拥有者的公共密钥、公共密钥的有效期、颁发数字证书的单位、数字证书的序列号。
目前,数字证书有三种类型:
个人证书( Personal Digital ID):仅仅为某单个用户提供证书,用以帮助其个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的浏览器内的,并通过安全的电子邮件(S/MIME) 来进行交易操作。
企业(服务器)证书(ServerID):通常为网上的某个电子商务网站Web服务器提供证书,使其用来进行安全电子交易。拥有Web服务器的企业就可以用具有证书的万维站点来进行安全电子交易,有证书的Web服务器会自动地将其与客户端Web浏览器通信的消息加密。
软件(开发者)证书(Developer ID):通常为Intemet中被下载的软件提供证书,该证书用于和微软公司Authenticode技术( 合法化软件)结合的软件,使用户在下载软件时能获得所需的消息。
上述三类证书中前两类是常用的证书,第三类则用于较特殊的场合。
6.认证中心
在电子支付活动中,无论是数字时间戳还是数字证书的发放,都不是靠交易双方自己完成的,面是由一个大家都认可的可靠的第三方机构,即由一个认证中心(certificationauthority, CA)签发的。认证中心类似于现实中公证人的角色,它具有权威性和公正性,是一个普遍可信的第三方,负责证书的颁发和管理。当通信双方都信任同一CA时,两者就可以得到双方的公开密钥,从而进行秘密通信、签名和检验。
CA是一个可信的第三方实体,其主要职能是保正用户的真实性。它通过向电子商务各参与方发放数字证书,确认各方的身份,保证在Internet 及内部网上传送数据的安全,及网上支付的安全性。本质上,CA的作用同政府机关的护照颁发机构类似。网络用户的电子身份( electronie identity)是由CA来发布的,即他是被CA所信任的,该电子身份成为数字证书。因此,所有信任CA的其他用户同样也信任该用户。一个CA系统也可看成由许多人组成的一个组织。它用于指定网络安全策略,并决定组织中哪些人可发给一个在网络上使用的电子身份。
CA中心的任务:受理数字凭证的申请、签发数字证书并进行管理。它可分为几个部分:接收用户证书申请的证书受理者( RS),证书发放的审核部门(RA), 证书发放的操作部门(CP),一般称这部分为CA,以及记录、作废证书的证书吊销列表(CRL)。在证书申请被审核部门批准后,CA通过登记服务器将证书发放给申请者。
CA的一个重要应用与密钥机制相关。密钥管理是解决电子商务安全问题的重要环节,也形成了一套完整的解决方案,即公开密钥基础设施( pubie key ifastruecture,PKI)。PKI采用证书管理公钥,即结合一定标准的鉴别框架来实现密钥管理,通过CA把用户的公钥及其他标识信息捆绑在一起,在网上验证用户的身份,保证网上数据的保密性和完整性。电子商务CA体系包括两部分,即“金融CA体系”和“非金融CA体系”(如PKI CA体系)。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5511.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos数字证书中PKI和CA的介绍
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。
