为了适应集约化经营及统一管理的需要,中国建设银行江西省分行于2001年2月开始将数据分布在地市二级分行的柜面业务系统,改造成全省数据大集中模式。数据安全问题随之被提上议事日程,最突出的问题集中在两个方面:后台如何验证操作员的身份,操作员如何验证后台的身份?如何保证在网络上传输的数据不被篡改? 在原有的柜面业务系统中,操作员的合法性用操作员代码和密码进行注册,初始密钥由系统管理人员统一生成并下发,操作员可以自由修改自己的密码。口令注册的方式存在明显的不安全性:口令成为唯一屏障,一旦口令泄露,系统就为非法用户敞开了大门;操作员口令在网络上传输,增加了被窃取的风险;操作员口令经过DES加密保存在数据库中,而DES密钥又在程序中固定,存在从数据库中获取操作员口令的可能性;口令注册只是让后台验证了操作员身份,操作员却无法确认后台的身份。 在原有的柜面业务系统中,交易数据包中的关键字段用传输密钥进行DES加密后得到MAC值,MAC值和数据一起发送。接收方也计算一次MAC值,与收到的MAC值进行比较,以此保证传输数据的完整性。传输密钥由主密钥生成,分别存放在营业网点和中心主机的共享内存中。这种校验方式也存在安全隐患:每个营业网点使用同一个传输密钥,使得验证的对象是营业网点,而非发起交易的操作员个人,也就是说不能提供交易的不可抵赖性;传输密钥要通过网络下发给营业网点,增加了被窃取、篡改的风险。 同时,在原有的柜面业务系统中,ATM和POS前置机既无身份认证,也无数据校验。 因此,中国建设银行江西省分行要求在全省数据大集中式柜面业务系统中实现下述安全需求。 前台操作员、前置机在登录过程中完成与生产机的双向身份认证; 每笔交易必须具有完整性、保密性、不可抵赖性; 登录过程、交易过程的安全不能基于简单的口令机制; 简单易用的安全接口。 基于上述安全需求,中国建设银行江西省分行决定在全省数据大集中模式柜面业务系统中采用东方通科技的安全中间件TongSEC。 为了适应集约化经营及统一管理的需要,中国建设银行江西省分行于2001年2月开始将数据分布在地市二级分行的柜面业务系统,改造成全省数据大集中模式。数据安全问题随之被提上议事日程,最突出的问题集中在两个方面:后台如何验证操作员的身份,操作员如何验证后台的身份?如何保证在网络上传输的数据不被篡改? 在原有的柜面业务系统中,操作员的合法性用操作员代码和密码进行注册,初始密钥由系统管理人员统一生成并下发,操作员可以自由修改自己的密码。口令注册的方式存在明显的不安全性:口令成为唯一屏障,一旦口令泄露,系统就为非法用户敞开了大门;操作员口令在网络上传输,增加了被窃取的风险;操作员口令经过DES加密保存在数据库中,而DES密钥又在程序中固定,存在从数据库中获取操作员口令的可能性;口令注册只是让后台验证了操作员身份,操作员却无法确认后台的身份。 在原有的柜面业务系统中,交易数据包中的关键字段用传输密钥进行DES加密后得到MAC值,MAC值和数据一起发送。接收方也计算一次MAC值,与收到的MAC值进行比较,以此保证传输数据的完整性。传输密钥由主密钥生成,分别存放在营业网点和中心主机的共享内存中。这种校验方式也存在安全隐患:每个营业网点使用同一个传输密钥,使得验证的对象是营业网点,而非发起交易的操作员个人,也就是说不能提供交易的不可抵赖性;传输密钥要通过网络下发给营业网点,增加了被窃取、篡改的风险。 同时,在原有的柜面业务系统中,ATM和POS前置机既无身份认证,也无数据校验。 因此,中国建设银行江西省分行要求在全省数据大集中式柜面业务系统中实现下述安全需求。 前台操作员、前置机在登录过程中完成与生产机的双向身份认证; 每笔交易必须具有完整性、保密性、不可抵赖性; 登录过程、交易过程的安全不能基于简单的口令机制; 简单易用的安全接口。 基于上述安全需求,中国建设银行江西省分行决定在全省数据大集中模式柜面业务系统中采用东方通科技的安全中间件TongSEC。 安全中间件TongSEC是以公钥基础设施(PKI)为核心的、建立在一系列相关国际安全标准之上的一个开放式应用开发平台。TongSEC向上为应用系统提供开发接口,向下提供统一的密码算法接口及各种IC卡、安全芯片等设备的驱动接口。 公钥基础设施(PKI)是建立在公开密钥密码体制之上的一整套安全系统框架。公开密钥密码体制(也被称为非对称密钥密码体制)中,公钥与私钥不相同,私钥是由拥有者自己保存,而公钥则需要公之于众。用私钥签名,只有用与私钥一同产生的公钥才能验证。用公钥加密,只有用与公钥一同产生的私钥才能解密。公开密钥密码体制的这些特性保证了数据的完整性、不可否认性、不可篡改性、不可伪造性。 PKI的核心是证书签证机关(CertificateAuthority,即CA)。CA对公钥进行统一的管理并将公钥以公钥证书的形式对外分发。目录服务器(LDAP)作为证书库。注册机关(RegistrationAuthority,即RA)则作为签证机关的用户代理,代表用户向签证机关申请公钥证书,并将公钥证书和私钥存放到智能卡或磁盘上。 如图,在中国建设银行江西省分行,TongSEC的CA和RA安装在两台PCWindows2000上。TongSEC的LDAP可以在生产机上,也可以在生产机能够访问的机器上。生产机和营业网点均安装TongSEC安全模块。 操作员注册的双向认证 在个人身份认证的诸多方式中,口令过于简单、易泄露、易被攻破,很不安全;指纹、视网膜技术安全系数高,但是成本过高,不太适合国情。 智能卡便于携带,所需硬件只是一个读卡器,灵巧方便,目前基于智能卡的系统尚未发生过一例安全泄漏,因此,中国建设银行江西省分行确定用智能卡进行个人身份认证。 操作员注册时,将智能卡插入读卡器输入PIN码,然后在卡上用数字签名发送到后台;后台用操作员公钥验证签名成功后,用自己的私钥进行数字签名,发送给操作员;操作员从本地共享内存中取出后台公钥,验证签名。这一过程成功后操作员才能进入工作界面。这就是操作员与后台的双向认证。 交易数据的传输认证 操作员的请求报文用操作员的私钥签名后,用传输密钥将请求报文连同签名一起进行DES加密后发送到后台,后台先解密,取得操作员的公钥后验证签名。验证成功后,后台用自己的私钥对响应报文签名,用传输密钥将响应报文连同签名一起进行DES加密后发送到前台,前台操作员先解密,再从共享内存中取得后台公钥来验证签名。这一过程保证了数据的保密性、完整性、不可否认性。 前置机的安全 前置机使用磁盘作为其公钥证书和私钥的载体。在注册和数据传输方面与前台操作员相同。 安全中间件TongSEC在中国建设银行江西省分行全省数据大集中式柜面业务系统中具有如下特点: 透明性 应用程序能无缝地验证CA的签名,保证证书的有效性。 应用程序能无缝地比较证书时间,保证证书处在有效期内。 读取操作员公钥的过程透明化。 处理CRL的过程透明化。 签名过程透明化,不论卡签名还是软件签名。 注册过程透明化
信息发布:广州名易软件有限公司 http://www.myidp.net
|
名易MyOA协同综合办公平台
名易MyCRM客户关系管理平台
名易MyHR人力资源管理平台
名易MyIDP智能开发平台
名易MyIBP保险业务管理平台
名易MyHMS酒店综合管理系统
名易MyPM项目管理平台
名易MyTMS物流运输管理平台
名易MyVMS汽车综合管理系统
名易MyIMS贷款管理系统
名易MyEDU教育管理平台
名易MyPCS生产事务协调系统
名易MyWIDP微信智能开发平台
