數(shù)據(jù)安全問(wèn)題被提上議事日程

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　　為了適應(yīng)集約化經(jīng)營(yíng)及統(tǒng)一管理的需要，中國(guó)建設(shè)銀行江西省分行于2001年2月開始將數(shù)據(jù)分布在地市二級(jí)分行的柜面業(yè)務(wù)系統(tǒng)，改造成全省數(shù)據(jù)大集中模式。數(shù)據(jù)安全問(wèn)題隨之被提上議事日程，最突出的問(wèn)題集中在 兩個(gè)方面：后臺(tái)如何驗(yàn)證操作員的身份，操作員如何驗(yàn)證后臺(tái)的身份？如何保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被篡改？ 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，操作員的合法性用操作員代碼和密碼進(jìn)行注冊(cè)，初始密鑰由系統(tǒng)管理人員統(tǒng)一生成并下發(fā)，操作員可以自由修改自己的密碼。口令注冊(cè)的方式存在明顯的不安全性：口令成為唯一屏障，一旦口令泄露，系統(tǒng)就為非法用戶敞開了大門；操作員口令在網(wǎng)絡(luò)上傳輸，增加了被竊取的風(fēng)險(xiǎn)；操作員口令經(jīng)過(guò)DES加密保存在數(shù)據(jù)庫(kù)中，而DES密鑰又在程序中固定，存在從數(shù)據(jù)庫(kù)中獲取操作員口令的可能性；口令注冊(cè)只是讓后臺(tái)驗(yàn)證了操作員身份，操作員卻無(wú)法確認(rèn)后臺(tái)的身份。 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，交易數(shù)據(jù)包中的關(guān)鍵字段用傳輸密鑰進(jìn)行DES加密后得到MAC值，MAC值和數(shù)據(jù)一起發(fā)送。接收方也計(jì)算一次MAC值，與收到的MAC值進(jìn)行比較，以此保證傳輸數(shù)據(jù)的完整性。傳輸密鑰由主密鑰生成，分別存放在營(yíng)業(yè)網(wǎng)點(diǎn)和中心主機(jī)的共享內(nèi)存中。這種校驗(yàn)方式也存在安全隱患：每個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)使用同一個(gè)傳輸密鑰，使得驗(yàn)證的對(duì)象是營(yíng)業(yè)網(wǎng)點(diǎn)，而非發(fā)起交易的操作員個(gè)人，也就是說(shuō)不能提供交易的不可抵賴性；傳輸密鑰要通過(guò)網(wǎng)絡(luò)下發(fā)給營(yíng)業(yè)網(wǎng)點(diǎn)，增加了被竊取、篡改的風(fēng)險(xiǎn)。 　　同時(shí)，在原有的柜面業(yè)務(wù)系統(tǒng)中，ATM和POS前置機(jī)既無(wú)身份認(rèn)證，也無(wú)數(shù)據(jù)校驗(yàn)。 　　因此，中國(guó)建設(shè)銀行江西省分行要求在全省數(shù)據(jù)大集中式柜面業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)下述安全需求。 　　前臺(tái)操作員、前置機(jī)在登錄過(guò)程中完成與生產(chǎn)機(jī)的雙向身份認(rèn)證； 　　每筆交易必須具有完整性、保密性、不可抵賴性； 　　登錄過(guò)程、交易過(guò)程的安全不能基于簡(jiǎn)單的口令機(jī)制； 　　簡(jiǎn)單易用的安全接口。 　　基于上述安全需求，中國(guó)建設(shè)銀行江西省分行決定在全省數(shù)據(jù)大集中模式柜面業(yè)務(wù)系統(tǒng)中采用東方通科技的安全中間件TongSEC。 　　 　　為了適應(yīng)集約化經(jīng)營(yíng)及統(tǒng)一管理的需要，中國(guó)建設(shè)銀行江西省分行于2001年2月開始將數(shù)據(jù)分布在地市二級(jí)分行的柜面業(yè)務(wù)系統(tǒng)，改造成全省數(shù)據(jù)大集中模式。數(shù)據(jù)安全問(wèn)題隨之被提上議事日程，最突出的問(wèn)題集中在兩個(gè)方面：后臺(tái)如何驗(yàn)證操作員的身份，操作員如何驗(yàn)證后臺(tái)的身份？如何保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被篡改？ 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，操作員的合法性用操作員代碼和密碼進(jìn)行注冊(cè)，初始密鑰由系統(tǒng)管理人員統(tǒng)一生成并下發(fā)，操作員可以自由修改自己的密碼?？诹钭?cè)的方式存在明顯的不安全性：口令成為唯一屏障，一旦口令泄露，系統(tǒng)就為非法用戶敞開了大門；操作員口令在網(wǎng)絡(luò)上傳輸，增加了被竊取的風(fēng)險(xiǎn)；操作員口令經(jīng)過(guò)DES加密保存在數(shù)據(jù)庫(kù)中，而DES密鑰又在程序中固定，存在從數(shù)據(jù)庫(kù)中獲取操作員口令的可能性；口令注冊(cè)只是讓后臺(tái)驗(yàn)證了操作員身份，操作員卻無(wú)法確認(rèn)后臺(tái)的身份。 　　在原有的柜面業(yè)務(wù)系統(tǒng)中，交易數(shù)據(jù)包中的關(guān)鍵字段用傳輸密鑰進(jìn)行DES加密后得到MAC值，MAC值和數(shù)據(jù)一起發(fā)送。接收方也計(jì)算一次MAC值，與收到的MAC值進(jìn)行比較，以此保證傳輸數(shù)據(jù)的完整性。傳輸密鑰由主密鑰生成，分別存放在營(yíng)業(yè)網(wǎng)點(diǎn)和中心主機(jī)的共享內(nèi)存中。這種校驗(yàn)方式也存在安全隱患：每個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)使用同一個(gè)傳輸密鑰，使得驗(yàn)證的對(duì)象是營(yíng)業(yè)網(wǎng)點(diǎn)，而非發(fā)起交易的操作員個(gè)人，也就是說(shuō)不能提供交易的不可抵賴性；傳輸密鑰要通過(guò)網(wǎng)絡(luò)下發(fā)給營(yíng)業(yè)網(wǎng)點(diǎn)，增加了被竊取、篡改的風(fēng)險(xiǎn)。 　　同時(shí)，在原有的柜面業(yè)務(wù)系統(tǒng)中，ATM和POS前置機(jī)既無(wú)身份認(rèn)證，也無(wú)數(shù)據(jù)校驗(yàn)。 　　因此，中國(guó)建設(shè)銀行江西省分行要求在全省數(shù)據(jù)大集中式柜面業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)下述安全需求。 　　前臺(tái)操作員、前置機(jī)在登錄過(guò)程中完成與生產(chǎn)機(jī)的雙向身份認(rèn)證； 　　每筆交易必須具有完整性、保密性、不可抵賴性； 　　登錄過(guò)程、交易過(guò)程的安全不能基于簡(jiǎn)單的口令機(jī)制； 　　簡(jiǎn)單易用的安全接口。 　　基于上述安全需求，中國(guó)建設(shè)銀行江西省分行決定在全省數(shù)據(jù)大集中模式柜面業(yè)務(wù)系統(tǒng)中采用東方通科技的安全中間件TongSEC。 　　安全中間件TongSEC是以公鑰基礎(chǔ)設(shè)施（PKI）為核心的、建立在一系列相關(guān)國(guó)際安全標(biāo)準(zhǔn)之上的一個(gè)開放式應(yīng)用開發(fā)平臺(tái)。TongSEC向上為應(yīng)用系統(tǒng)提供開發(fā)接口，向下提供統(tǒng)一的密碼算法接口及各種IC卡、安全芯片等設(shè)備的驅(qū)動(dòng)接口。 　　公鑰基礎(chǔ)設(shè)施（PKI）是建立在公開密鑰密碼體制之上的一整套安全系統(tǒng)框架。公開密鑰密碼體制（也被稱為非對(duì)稱密鑰密碼體制）中，公鑰與私鑰不相同，私鑰是由擁有者自己保存，而公鑰則需要公之于眾。用私鑰簽名，只有用與私鑰一同產(chǎn)生的公鑰才能驗(yàn)證。用公鑰加密，只有用與公鑰一同產(chǎn)生的私鑰才能解密。公開密鑰密碼體制的這些特性保證了數(shù)據(jù)的完整性、不可否認(rèn)性、不可篡改性、不可偽造性。 　　PKI的核心是證書簽證機(jī)關(guān)（Certificate Authority，即CA）。CA對(duì)公鑰進(jìn)行統(tǒng)一的管理并將公鑰以公鑰證書的形式對(duì)外分發(fā)。目錄服務(wù)器（LDAP）作為證書庫(kù)。注冊(cè)機(jī)關(guān)（Registration Authority，即RA）則作為簽證機(jī)關(guān)的用戶代理，代表用戶向簽證機(jī)關(guān)申請(qǐng)公鑰證書，并將公鑰證書和私鑰存放到智能卡或磁盤上。 　　如圖，在中國(guó)建設(shè)銀行江西省分行，TongSEC 的CA和RA安裝在兩臺(tái)PC/Windows2000上。TongSEC的LDAP可以在生產(chǎn)機(jī)上，也可以在生產(chǎn)機(jī)能夠訪問(wèn)的機(jī)器上。生產(chǎn)機(jī)和營(yíng)業(yè)網(wǎng)點(diǎn)均安裝TongSEC安全模塊。 　　操作員注冊(cè)的雙向認(rèn)證 　　在個(gè)人身份認(rèn)證的諸多方式中，口令過(guò)于簡(jiǎn)單、易泄露、易被攻破，很不安全；指紋、視網(wǎng)膜技術(shù)安全系數(shù)高，但是成本過(guò)高，不太適合國(guó)情。 　　智能卡便于攜帶，所需硬件只是一個(gè)讀卡器，靈巧方便，目前基于智能卡的系統(tǒng)尚未發(fā)生過(guò)一例安全泄漏，因此，中國(guó)建設(shè)銀行江西省分行確定用智能卡進(jìn)行個(gè)人身份認(rèn)證。 　　操作員注冊(cè)時(shí)，將智能卡插入讀卡器輸入PIN碼，然后在卡上用數(shù)字簽名發(fā)送到后臺(tái)；后臺(tái)用操作員公鑰驗(yàn)證簽名成功后，用自己的私鑰進(jìn)行數(shù)字簽名，發(fā)送給操作員；操作員從本地共享內(nèi)存中取出后臺(tái)公鑰，驗(yàn)證簽名。這一過(guò)程成功后操作員才能進(jìn)入工作界面。這就是操作員與后臺(tái)的雙向認(rèn)證。 　　交易數(shù)據(jù)的傳輸認(rèn)證 　　操作員的請(qǐng)求報(bào)文用操作員的私鑰簽名后，用傳輸密鑰將請(qǐng)求報(bào)文連同簽名一起進(jìn)行DES加密后發(fā)送到后臺(tái)，后臺(tái)先解密，取得操作員的公鑰后驗(yàn)證簽名。驗(yàn)證成功后，后臺(tái)用自己的私鑰對(duì)響應(yīng)報(bào)文簽名，用傳輸密鑰將響應(yīng)報(bào)文連同簽名一起進(jìn)行DES加密后發(fā)送到前臺(tái)，前臺(tái)操作員先解密，再?gòu)墓蚕韮?nèi)存中取得后臺(tái)公鑰來(lái)驗(yàn)證簽名。這一過(guò)程保證了數(shù)據(jù)的保密性、完整性、不可否認(rèn)性。 　　前置機(jī)的安全 　　前置機(jī)使用磁盤作為其公鑰證書和私鑰的載體。在注冊(cè)和數(shù)據(jù)傳輸方面與前臺(tái)操作員相同。 　　安全中間件TongSEC在中國(guó)建設(shè)銀行江西省分行全省數(shù)據(jù)大集中式柜面業(yè)務(wù)系統(tǒng)中具有如下特點(diǎn)： 　　透明性 　　應(yīng)用程序能無(wú)縫地驗(yàn)證CA的簽名，保證證書的有效性。 　　應(yīng)用程序能無(wú)縫地比較證書時(shí)間，保證證書處在有效期內(nèi)。 　　讀取操作員公鑰的過(guò)程透明化。 　　處理CRL的過(guò)程透明化。 　　簽名過(guò)程透明化，不論卡簽名還是軟件簽名。 　　注冊(cè)過(guò)程透明化