《网上银行安全系统框架.ppt》由会员分享,可在线阅读,更多相关《网上银行安全系统框架.ppt(52页珍藏版)》请在三一办公上搜索。
1、北京远东网络安全研究院中科院信息安全国家重点实验室,北京远东网络安全研究院中国科学院信息安全国家重点实验室,网上银行安全系统框架,内容提要,信息安全国家重点实验室介绍网络安全技术密码基础PKI和X.509SSL网上银行安全系统安全需求和建设目标安全系统框架安全系统解决方案特点和优势,信息安全国家重点实验室介绍,信息安全领域内的唯一国家级重点实验室国家商用密码管理委员会指定的四家定点研制机构之一承接了包括863和973在内的众多国家重点支持的课题研究,并获得多个国家级奖项拥有知名的密码学专家和大量专业技术人员研究领域包括:密码学算法和协议加密芯片和加密卡/加密机PKI构架和CA认证系统安全传输系
2、统和VPN防火墙和入侵检测系统动态口令认证系统国家级网络应急响应中心,安全信息系统,国际标准ISO 7498-2和国标GB/T9387.2ZHONG中提出了一个关于网络信息系统的安全框架的参考模型,应该包含如下安全机制:认证(Authentication)证明通信双方的身份与其声明的一致访问控制(Access Control)对不同的信息和用户设定不同的权限,保证只允许授权的用户访问授权的资源数据保密(Data Confidentiality)保证通信内容不被他人捕获,不会有敏感的信息泄露数据完整性(Data Integrity)保证信息在传输过程中不会被他人篡改抗否认(Non-repudia
3、tion)证明一条信息已经被发送和接收,发送和接收方都有能力证明接收和发送的操作确实发生了,并能够确定对方的身份可审计,安全信息系统的三个层次,密码算法和技术安全协议身份认证协议密钥管理协议安全通信协议电子商务协议安全应用系统,密码算法,流密码算法分组密码算法对称密码算法DESAES非对称密码算法(公钥密码算法)RSA椭圆曲线密码算法数字文摘算法,对称密码算法,数据加密和解密使用相同的密钥,通信双方必须掌握相同的密钥,此密钥必须保密,不能公开。,对称密码算法,常见的对称密码算法DESAES优点安全性好数据处理效率高缺点密钥交换的方式是个难题,非对称密码算法,加密和解密所使用的密钥不同“互补”的
4、公钥和私钥同时产生一一对应不可推算用途不同,非对称密码算法,非对称密码算法,常见的公钥密码算法RSA优点安全性好解决了密钥交换的难题缺点实现代价高运算效率低,数字文摘算法,单向性变换函数雪崩特性主要用途进行完整性校验用于数字签名主要的数字文摘算法MD5、SHA-1,信息明文,文摘信息,数字文摘运算,数字签名,抗否认特性先签名后加密的原则数字签名的使用方式常见的签名算法RSA、ElGamal、DSS/DSA,信息明文,文摘信息,数字文摘运算,数字签名,私钥,签名运算,公钥基础设施PKI,证书认证中心CA,管理和维护证书和CRL证书注册中心RA,实现证书与证书申请者身份属性之间的关系绑定 证书持有
5、者,持有自身的证书并且使用数字签名 客户,通过信任的CA的证书(公钥)来验证他人(例如证书持有者)的数字签名和证书。存储机构,存储和发布证书和CRL,公钥基础设施PKI,X.509标准,国际电信联盟制定的证书标准,PKI的关键组成部分规定了数字证书的格式和内容规定了证书作废表CRL的格式和内容不同CA系统互操作性的前提保证,X.509标准,证书的内容包括:证书所遵循的协议版本号证书序列号签名算法标识签发证书的CA名称证书有效期证书持有人的名称公钥算法标识公钥扩展选项(证书中的公钥用途等可选项)CA的签名,X.509标准,CRL的内容包括:所遵循的协议版本号签名算法标识发布CRL的CA名称本次C
6、RL更新时间作废证书的序列号和作废时间列表CA的签名,安全套接层协议SSL,Netscape公司针对Internet环境的提出的安全通信协议由SSL握手协议和SSL记录协议组成综合使用了公钥密码技术和对称加密技术属于传输层协议范畴,对上层应用透明广泛应用于各种网络通信系统,成为事实上的业界标准,安全套接层协议SSL,安全套接层协议SSL,SSL安全通道的特性信道是经过认证的信道是保密的信道是可靠的,网上银行系统现状,业务类型个人储蓄业务对私中间业务安全构架没有全面的认证系统,WEB服务器自签证书HTTPS安全通道,128比特密钥强度没有业务签名机制,网上银行系统现状,优点系统结构简单,易维护客
7、户操作简单缺点无法提供客户的对等身份认证机制无法提供关键业务的签名机制很难嵌入先进可靠的加密算法,网上银行系统的建设目标,建立一个基于公钥基础设施PKI的安全应用系统,系统的主要功能包括:建立一个CA证书认证系统,为网上银行系统中的主体签发X.509证书每个客户都拥有自己的证书和私钥,并且可以与服务器之间通过双向的身份认证,按照标准的协议完成加密算法和密钥的协商,从而建立起安全通道客户在安全通道的保护下完成系统提供的交易服务客户使用自己的私钥对关键业务进行签名,服务器可以验证并且保存签名,安全需求,建立一个符合规范的CA证书认证系统,为内部和外部用户签发身份证书,系统应该具有良好的标准性和健壮
8、性建立一个遵循标准的安全传输系统,实现双向的身份认证和业务数据保护,系统对于上层应用应该具有良好的透明性提供针对关键业务的签名机制,实现系统的抗否认特性,网上银行系统的组成,安全系统CA认证和客户授权子系统安全传输和业务签名子系统防火墙和入侵检测子系统业务系统,网上银行系统的结构,RealCert证书认证系统系统组成结构,RealCert证书认证系统开放性的系统构架,支持层次结构的多级CA体系证书格式和证书编码严格遵循国际标准,为PKI体系中的互操作,RealCert证书认证系统遵循的国际标准,ITU-T X.509 V3PKCS#7、PKCS#10、PKCS#12ITU-T X.500、LD
9、APSSL,RealCert证书认证系统基于角色的分级权限管理,超级管理员负责RealServer的安装、启动、关闭、备份、策略改变等管理和维护工作 管理员使用RealAdmin,负责证书操作员的证书管理和系统审计 证书操作员使用RealOperator,负责最终客户的证书管理和系统审计,RealCert证书认证系统证书服务器RealServer的主要功能,管理和维护客户证书管理和维护证书作废列表CRL发布证书和CRL管理和维护自身安全,RealCert证书认证系统证书服务器RealServer的主要功能,管理和维护客户证书管理和维护证书作废列表CRL发布证书和CRL管理和维护自身安全,Rea
10、lCert证书认证系统LDAP目录服务器的主要功能,发布客户证书发布证书作废列表CRL支持以DN为索引的证书和CRL查询,RealCert证书认证系统证书注册中心RealRegistry的主要功能,客户证书的管理和维护包括客户证书的申请、更新、冻结、解冻、作废、黑名单等操作客户信息数据库的管理和维护系统审计日志的查询,RealCert证书认证系统管理员控制台RealAdmin的主要功能,操作员证书的管理和维护CRL和系统日志的查询对下级CA根证书的管理和维护,RealCert证书认证系统客户端RealClient的主要功能,本地密钥管理包括密钥对的产生、存储等远程证书操作包括证书申请、更新、以
11、及作废等网上银行系统客户端软件的一个关键功能模块,RealCert证书认证系统密钥产生与保护,个人客户密钥对由客户端软件产生私钥文件加密存储,有口令保护证书文件和私钥文件保存在磁盘上(硬盘、软盘、FLASH盘)企业客户密钥对由CA服务器产生证书文件和私钥文件的存储介质为IC卡或者USB KEY证书文件和私钥文件都有PIN值进行保护我们的系统可以根据银行所选用的IC卡和USB KEY的型号进行客户化,远东RealCert证书认证系统在线证书申请流程,客户在RealRegistry进行注册和审核,并获得授权号客户使用RealClient产生密钥对,将公钥和授权信息提交给RealServerReal
12、Server校验授权信息,如果通过校验,则为客户公钥签发证书RealServer将证书存入证书数据库和目录服务器RealClient从目录服务器获得自己的证书副本,远东RealCert证书认证系统离线证书申请流程,客户在RealRegistry进行注册和审核RA操作员从RealRegistry向RealServer提交证书申请RealServer为客户产生密钥对,并为客户公钥签发证书RealServer将证书副本存入证书数据库和目录服务器RealRegistry从RealServer获得客户私钥和证书文件,并保存到相应的介质中客户从RA操作员那里领取存储介质,从而获得自己的证书和私钥文件,Re
13、alCert证书认证系统成功应用案例,公安部第三研究所安全产品检测中心中国科学技术大学核心技术应用于多家商业银行,RealTunnel安全代理系统,RealTunnel安全代理系统,客户端安全代理RealClient透明代理代理转发HTTP数据流按照SSL协议,完成双向身份认证和密钥协商,建立安全信道,并对数据流进行加密和解密客户证书的远程管理,包括在线证书申请、更新、废除等本地证书和私钥管理,包括密钥产生、密钥加密存储、以及证书存储、密钥和证书的使用等关键业务的数字签名机制,提供抗否认保障运行于Windows操作系统平台,RealTunnel安全代理系统,安全代理网关RealGateway透
14、明代理转发HTTP数据流并发处理SSL连接请求,完成双向身份认证和密钥协商,建立安全信道,并对数据流进行加密和解密验证并且存储客户针对关键业务的数字签名系统日志的审计记录,RealTunnel安全代理系统,关键业务的数字签名机制页面数据中内嵌要求签名的特征字符串客户端代理RealClient检测数据流中是否存在特征字符串,并且提示客户使用私钥进行签名安全代理网关验证客户的数字签名存储数字签名数据,并且进行系统日志记录,交易信息,数字文摘,数字签名,交易信息,数字签名,+,密文,SHA-1,RSA(客户私钥),对称密钥加密,RealTunnel安全代理系统交易流程示意图(客户端代理),数字文摘,
15、交易信息,数字签名,+,密文,SHA-1,RSA(客户公钥),对称密钥解密,原始数字文摘,是否相同?,提交业务信息,RealTunnel安全代理系统交易流程示意图(安全代理网关),RealTunnel安全代理系统,特点和优势安全机制位于传输层,提供身份认证、数据保密、数据完整性保护等安全服务,对上层应用透明,上层应用可以灵活修改,采用SKLOIS经过国家检验允许使用的高强度高效率分组密码算法,尤其适用于对安全性有特殊需求的金融行业采用完全透明代理技术,用户操作简单内嵌完善的数字签名机制,可以提供抗否认保障网关部分采用线程池等技术,提供优秀的并发处理能力支持IC卡,USB KEY等多种密钥管理介
16、质,网上银行安全系统与其它PKI系统之间的互操作性,良好互操作性的前提CA认证系统都严格遵循相关的国际标准不同的CA认证系统在安全策略的基础上,建立起某种信任关系,形成CA体系CA认证系统向应用软件开发商开放相关接口函数,网上银行安全系统与其它PKI系统之间的互操作性,RealCert系统严格遵循相关的国际标准证书和CRL格式遵循ITU-T X.509标准证书和消息的编码遵循PKCS和ASN.1系列标准向应用软件开发商开放相关接口函数使用第三方CA签发的证书第三方CA系统遵循国际标准向网上银行应用系统开放相关接口函数(包括证书远程管理接口、以及与私钥有关的接口)不同CA系统签发的证书之间的交叉认证来自同一厂商的应用系统内部不同厂商之间的应用系统之间,针对金融行业特别提出的解决方案,具有良好的安全性、稳定性、标准性、和易用性自主开发全部的系统源代码,可以根据用户需求灵活进行客户化采用SKLOIS经过国家检验允许使用的高强度分组密码算法,特别适合金融和政府等特殊行业使用来自信息安全国家重点实验室SKLOIS的技术保障迅速完善的技术支持和服务,特点和优势,结束,The End结束,
