數(shù)據(jù)安全問題被提上議事日程

申請免費(fèi)試用、咨詢電話：400-8352-114

　　為了適應(yīng)集約化經(jīng)營及統(tǒng)一管理的需要，中國建設(shè)銀行江西省分行于2001年2月開始將數(shù)據(jù)分布在地市二級分行的柜面業(yè)務(wù)系統(tǒng)，改造成全省數(shù)據(jù)大集中模式。數(shù)據(jù)安全問題隨之被提上議事日程，最突出的問題集中在 兩個方面：后臺如何驗(yàn)證操作員的身份，操作員如何驗(yàn)證后臺的身份？如何保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被篡改？ 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，操作員的合法性用操作員代碼和密碼進(jìn)行注冊，初始密鑰由系統(tǒng)管理人員統(tǒng)一生成并下發(fā)，操作員可以自由修改自己的密碼?？诹钭缘姆绞酱嬖诿黠@的不安全性：口令成為唯一屏障，一旦口令泄露，系統(tǒng)就為非法用戶敞開了大門；操作員口令在網(wǎng)絡(luò)上傳輸，增加了被竊取的風(fēng)險(xiǎn)；操作員口令經(jīng)過DES加密保存在數(shù)據(jù)庫中，而DES密鑰又在程序中固定，存在從數(shù)據(jù)庫中獲取操作員口令的可能性；口令注冊只是讓后臺驗(yàn)證了操作員身份，操作員卻無法確認(rèn)后臺的身份。 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，交易數(shù)據(jù)包中的關(guān)鍵字段用傳輸密鑰進(jìn)行DES加密后得到MAC值，MAC值和數(shù)據(jù)一起發(fā)送。接收方也計(jì)算一次MAC值，與收到的MAC值進(jìn)行比較，以此保證傳輸數(shù)據(jù)的完整性。傳輸密鑰由主密鑰生成，分別存放在營業(yè)網(wǎng)點(diǎn)和中心主機(jī)的共享內(nèi)存中。這種校驗(yàn)方式也存在安全隱患：每個營業(yè)網(wǎng)點(diǎn)使用同一個傳輸密鑰，使得驗(yàn)證的對象是營業(yè)網(wǎng)點(diǎn)，而非發(fā)起交易的操作員個人，也就是說不能提供交易的不可抵賴性；傳輸密鑰要通過網(wǎng)絡(luò)下發(fā)給營業(yè)網(wǎng)點(diǎn)，增加了被竊取、篡改的風(fēng)險(xiǎn)。 　　同時，在原有的柜面業(yè)務(wù)系統(tǒng)中，ATM和POS前置機(jī)既無身份認(rèn)證，也無數(shù)據(jù)校驗(yàn)。 　　因此，中國建設(shè)銀行江西省分行要求在全省數(shù)據(jù)大集中式柜面業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)下述安全需求。 　　前臺操作員、前置機(jī)在登錄過程中完成與生產(chǎn)機(jī)的雙向身份認(rèn)證； 　　每筆交易必須具有完整性、保密性、不可抵賴性； 　　登錄過程、交易過程的安全不能基于簡單的口令機(jī)制； 　　簡單易用的安全接口。 　　基于上述安全需求，中國建設(shè)銀行江西省分行決定在全省數(shù)據(jù)大集中模式柜面業(yè)務(wù)系統(tǒng)中采用東方通科技的安全中間件TongSEC。 　　 　　為了適應(yīng)集約化經(jīng)營及統(tǒng)一管理的需要，中國建設(shè)銀行江西省分行于2001年2月開始將數(shù)據(jù)分布在地市二級分行的柜面業(yè)務(wù)系統(tǒng)，改造成全省數(shù)據(jù)大集中模式。數(shù)據(jù)安全問題隨之被提上議事日程，最突出的問題集中在兩個方面：后臺如何驗(yàn)證操作員的身份，操作員如何驗(yàn)證后臺的身份？如何保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被篡改？ 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，操作員的合法性用操作員代碼和密碼進(jìn)行注冊，初始密鑰由系統(tǒng)管理人員統(tǒng)一生成并下發(fā)，操作員可以自由修改自己的密碼?？诹钭缘姆绞酱嬖诿黠@的不安全性：口令成為唯一屏障，一旦口令泄露，系統(tǒng)就為非法用戶敞開了大門；操作員口令在網(wǎng)絡(luò)上傳輸，增加了被竊取的風(fēng)險(xiǎn)；操作員口令經(jīng)過DES加密保存在數(shù)據(jù)庫中，而DES密鑰又在程序中固定，存在從數(shù)據(jù)庫中獲取操作員口令的可能性；口令注冊只是讓后臺驗(yàn)證了操作員身份，操作員卻無法確認(rèn)后臺的身份。 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，交易數(shù)據(jù)包中的關(guān)鍵字段用傳輸密鑰進(jìn)行DES加密后得到MAC值，MAC值和數(shù)據(jù)一起發(fā)送。接收方也計(jì)算一次MAC值，與收到的MAC值進(jìn)行比較，以此保證傳輸數(shù)據(jù)的完整性。傳輸密鑰由主密鑰生成，分別存放在營業(yè)網(wǎng)點(diǎn)和中心主機(jī)的共享內(nèi)存中。這種校驗(yàn)方式也存在安全隱患：每個營業(yè)網(wǎng)點(diǎn)使用同一個傳輸密鑰，使得驗(yàn)證的對象是營業(yè)網(wǎng)點(diǎn)，而非發(fā)起交易的操作員個人，也就是說不能提供交易的不可抵賴性；傳輸密鑰要通過網(wǎng)絡(luò)下發(fā)給營業(yè)網(wǎng)點(diǎn)，增加了被竊取、篡改的風(fēng)險(xiǎn)。 　　同時，在原有的柜面業(yè)務(wù)系統(tǒng)中，ATM和POS前置機(jī)既無身份認(rèn)證，也無數(shù)據(jù)校驗(yàn)。 　　因此，中國建設(shè)銀行江西省分行要求在全省數(shù)據(jù)大集中式柜面業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)下述安全需求。 　　前臺操作員、前置機(jī)在登錄過程中完成與生產(chǎn)機(jī)的雙向身份認(rèn)證； 　　每筆交易必須具有完整性、保密性、不可抵賴性； 　　登錄過程、交易過程的安全不能基于簡單的口令機(jī)制； 　　簡單易用的安全接口。 　　基于上述安全需求，中國建設(shè)銀行江西省分行決定在全省數(shù)據(jù)大集中模式柜面業(yè)務(wù)系統(tǒng)中采用東方通科技的安全中間件TongSEC。 　　安全中間件TongSEC是以公鑰基礎(chǔ)設(shè)施（PKI）為核心的、建立在一系列相關(guān)國際安全標(biāo)準(zhǔn)之上的一個開放式應(yīng)用開發(fā)平臺。TongSEC向上為應(yīng)用系統(tǒng)提供開發(fā)接口，向下提供統(tǒng)一的密碼算法接口及各種IC卡、安全芯片等設(shè)備的驅(qū)動接口。 　　公鑰基礎(chǔ)設(shè)施（PKI）是建立在公開密鑰密碼體制之上的一整套安全系統(tǒng)框架。公開密鑰密碼體制（也被稱為非對稱密鑰密碼體制）中，公鑰與私鑰不相同，私鑰是由擁有者自己保存，而公鑰則需要公之于眾。用私鑰簽名，只有用與私鑰一同產(chǎn)生的公鑰才能驗(yàn)證。用公鑰加密，只有用與公鑰一同產(chǎn)生的私鑰才能解密。公開密鑰密碼體制的這些特性保證了數(shù)據(jù)的完整性、不可否認(rèn)性、不可篡改性、不可偽造性。 　　PKI的核心是證書簽證機(jī)關(guān)（Certificate Authority，即CA）。CA對公鑰進(jìn)行統(tǒng)一的管理并將公鑰以公鑰證書的形式對外分發(fā)。目錄服務(wù)器（LDAP）作為證書庫。注冊機(jī)關(guān)（Registration Authority，即RA）則作為簽證機(jī)關(guān)的用戶代理，代表用戶向簽證機(jī)關(guān)申請公鑰證書，并將公鑰證書和私鑰存放到智能卡或磁盤上。 　　如圖，在中國建設(shè)銀行江西省分行，TongSEC 的CA和RA安裝在兩臺PC/Windows2000上。TongSEC的LDAP可以在生產(chǎn)機(jī)上，也可以在生產(chǎn)機(jī)能夠訪問的機(jī)器上。生產(chǎn)機(jī)和營業(yè)網(wǎng)點(diǎn)均安裝TongSEC安全模塊。 　　操作員注冊的雙向認(rèn)證 　　在個人身份認(rèn)證的諸多方式中，口令過于簡單、易泄露、易被攻破，很不安全；指紋、視網(wǎng)膜技術(shù)安全系數(shù)高，但是成本過高，不太適合國情。 　　智能卡便于攜帶，所需硬件只是一個讀卡器，靈巧方便，目前基于智能卡的系統(tǒng)尚未發(fā)生過一例安全泄漏，因此，中國建設(shè)銀行江西省分行確定用智能卡進(jìn)行個人身份認(rèn)證。 　　操作員注冊時，將智能卡插入讀卡器輸入PIN碼，然后在卡上用數(shù)字簽名發(fā)送到后臺；后臺用操作員公鑰驗(yàn)證簽名成功后，用自己的私鑰進(jìn)行數(shù)字簽名，發(fā)送給操作員；操作員從本地共享內(nèi)存中取出后臺公鑰，驗(yàn)證簽名。這一過程成功后操作員才能進(jìn)入工作界面。這就是操作員與后臺的雙向認(rèn)證。 　　交易數(shù)據(jù)的傳輸認(rèn)證 　　操作員的請求報(bào)文用操作員的私鑰簽名后，用傳輸密鑰將請求報(bào)文連同簽名一起進(jìn)行DES加密后發(fā)送到后臺，后臺先解密，取得操作員的公鑰后驗(yàn)證簽名。驗(yàn)證成功后，后臺用自己的私鑰對響應(yīng)報(bào)文簽名，用傳輸密鑰將響應(yīng)報(bào)文連同簽名一起進(jìn)行DES加密后發(fā)送到前臺，前臺操作員先解密，再從共享內(nèi)存中取得后臺公鑰來驗(yàn)證簽名。這一過程保證了數(shù)據(jù)的保密性、完整性、不可否認(rèn)性。 　　前置機(jī)的安全 　　前置機(jī)使用磁盤作為其公鑰證書和私鑰的載體。在注冊和數(shù)據(jù)傳輸方面與前臺操作員相同。 　　安全中間件TongSEC在中國建設(shè)銀行江西省分行全省數(shù)據(jù)大集中式柜面業(yè)務(wù)系統(tǒng)中具有如下特點(diǎn)： 　　透明性 　　應(yīng)用程序能無縫地驗(yàn)證CA的簽名，保證證書的有效性。 　　應(yīng)用程序能無縫地比較證書時間，保證證書處在有效期內(nèi)。 　　讀取操作員公鑰的過程透明化。 　　處理CRL的過程透明化。 　　簽名過程透明化，不論卡簽名還是軟件簽名。 　　注冊過程透明化