方案背景
銀行業是國民經濟的重要領域,隨著電子商務的高速發展,銀行業務從傳統的櫃面系統、ATM機、POS機等服務渠道拓展到網上銀行、手機銀行等各種新形式。無論是傳統的以櫃面業務和ATM機、POS機為主的線下交易,還是以互聯網等開放式網絡環境為主的網上銀行交易,都不同程度的涉及用戶資金等敏感信息,然而銀行業信息安全是國家信息安全的重要組成部分,因此在用戶認證、支付數據的機密性和完整性方面,都需要用密碼進行保護。銀行服務提供要保護系統不受網絡黑客入侵,防止敏感信息洩露、業務損失或服務中斷;保護用戶在網絡上輸入的敏感信息不被盜用,輸入的交易資料不被篡改。
因此,銀行業務中的密碼應用需求主要包括:
(1) 正確鑑別用戶個人身份及權限。驗證用戶身份的真實性和合法性,防止非法用戶假冒身份進行交易。
(2) 保證交易數據的真實性和完整性。防止非法用戶對數據進行篡改和刪除,防止傳輸過程中數據丟失。
(3) 保證交易數據的機密性。通過對敏感數據加密來保護系統數據交換安全,防止除接收方之外的第三方竊取數據。
(4) 確保消息的抗抵賴性。防止消息發送者事後否認。
(5) 具有完備的密鑰管理體系,能夠確保用戶所使用密鑰的全生命週期安全。
銀行應用信息安全解決方案 網絡拓撲圖
本方案基於密碼技術,以數字證書為基礎,結合數字簽名、數據加解密及數據完整性等密碼技術,為在開放網絡環境下各實體(個人、商家、企業等)的網上銀行、手機支付交易提供身份認證、數據保密、數據防篡改和操作行為不可否認等安全服務保障。
密碼功能介紹
01 數字證書認證系統(CA)
數字證書認證系統(CA)可為網上銀行業務系統中的網銀用戶、手機支付用戶、網銀服務器等實體提供數字證書的頒發、管理功能,頒發的數字證書作為交易實體在開放互聯網絡中的身份憑證。基於數字證書認證體系,用戶不論是通過網上銀行還是手機支付,交易支付時須與後臺網銀系統或支付系統進行雙向身份認證,保證交易雙方身份的真實性。
02 SSL VPN網關
SSL VPN網關基於SSL協議,為網絡傳輸建立安全通道,實現PC、手機等終端設備與銀行業務系統間、銀行業務系統與非銀行業務第三方對接系統間、銀行業務系統與銀行中心節點關鍵系統間重要敏感信息的加密傳輸,防止交易信息洩露或被篡改,同時SSL VPN網關支持基於國際標準算法的定製。
03 簽名驗籤服務器
簽名驗籤服務器為網上銀行、手機支付後臺服務器提供數字簽名、簽名驗證、數據加解密等高性能的密碼運算服務,對網銀用戶提交的交易指令、數據等重要信息進行合法性驗證,服務器端在驗證簽名有效的情況下進行交易支付,進而確保交易信息的真實性、完整性。也支持基於國際標準算法的定製。
04 金融數據密碼機
(1) 使用金融數據密碼機,可以實現終端與銀行業務系統間報文、銀行業務系統與非銀行業第三方對接系統間報文、銀行業務系統與銀行中心節點關鍵系統間報文等的加密傳輸。
(2) 實現對系統存儲的用戶口令、用戶隱私信息、重要交易數據等的加密保護。
(3) 支持基於國際標準算法的定製。
05 智能密碼鑰匙(USB key)
用於存儲網上銀行用戶個人數字證書及用戶私鑰等敏感信息,網上銀行用戶在進行網上交易時需要提交設備中的證書進行身份鑑別,並用自己的私鑰對交易數據進行簽名,防止被非法偽造和篡改。
應用效果
- 以數字證書標識網上銀行各交易實體的真實身份,並結合傳統“用戶名+口令”的登錄方式;雙重認證最大限度保證了身份驗證的有效性。用戶的數字證書安全存儲在智能密碼鑰匙中,確保數字證書及私鑰的安全,杜絕證書、私鑰被非法複製、盜取的風險。
- 網上銀行業務系統與網上銀行用戶客戶端瀏覽器之間通過建立SSL加密通道,並採用高強度的加密算法對交易金額、交易密碼等信息進行加密傳輸,確保在信息交互過程中的敏感信息不被非法截取和脫密。
- 交易過程中,網銀用戶通過自己的智能密碼鑰匙對交易數據進行簽名,網銀後臺服務器通過漁翁簽名驗證服務器對交易數據的合法性進行確認和驗證,充分確保了網上銀行用戶操作行為的法律效力,杜絕偽造、濫用,全面保障信息的完整性和抗抵賴性。
方案特點
- 高性能:使用專用的硬件密碼運算部件,確保數據處理的高效性
- 高安全性:高強度的加密算法和專用、高性能的密碼安全設備,確保了網上銀行系統用戶身份認證的真實合法性、業務數據的私密性和完整性,以及交易行為的不可否認性.
- 高兼容性:方案中從服務端到客戶端涉及的全部密碼產品均為漁翁信息自主研發,網銀系統兼容性高,確保了系統運行安全、穩定。
閱讀更多 漁翁信息 的文章
