|
| |
|
|
|
|
| |
网上银行解决方案
一、 背景
网上银行是通过Internet提供的一种金融服务。由于网上银行具有降低经营服务成本,业务开展不受时间、地域限制,快捷、方便,加快资金流的流动速度,减少在途资金的损失等优点,因此得到了银行业的积极响应。从1995年全球第一家网上银行--美国安全第一网上银行成立至今,世界上已有超过1000家的银行开展了网上银行业务,我国也有数十家银行机构开展了网上银行业务。
由于网上银行是一种网络应用,它的所有内容都是以数字的形式流转于Internet之上,因此,在网上银行应用中不可避免地存在着由Internet的自由、开放所带来的信息安全隐患。另外,网上银行作为庞大资金流动的载体,更易成为非法入侵和恶意攻击的对象。为了规范网上银行业务,防范网上银行安全风险,中国人民银行颁布了《网上银行业务管理暂行办法》,明确规定:"银行应制定并实施充分的物理安全措施,能有效防范外部或内部非授权人员对关键设备的非法接触;银行应采用合适的加密技术和措施,以确认网上银行业务用户身份和授权,保证网上交易数据传输的保密性、真实性,保证通过网络传输信息的完整性和交易的不可否认性。
二、 网上银行应用中主要存在以下几个安全问题:
1、 身份认证
由于非法用户可以伪造、假冒网上银行和网上银行业务用户的身份,因此登录到网上银行应用系统的用户无法知道他们所登录的是否是可信的网上银行应用系统,网上银行应用系统也无法验证登录的用户是否是经过认证的合法用户,非法用户可以借机进行破坏。“用户名+口令”的传统认证方式安全性较弱,用户口令易被窃取而导致损失。
2、 信息的机密性
传输在客户端与网上银行应用系统服务器之间的敏感信息和交易数据,如用户的银行帐号、密码等,有可能在传输过程中被非法用户截取。
3、 信息的完整性
敏感信息和交易数据在传输过程中有可能被恶意篡改。
4、 信息的不可抵赖性
网上银行交易行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据。
三、 网上银行解决方案
针对上述的安全性问题,可以构造如图所示的基于PKI体系、易于实施的网上银行安全解决方案。
四、 系统组成及特点:
1、 身份认证设备及数字证书来保护用户身份的真实性
网上银行用户的数字证书由第三方权威的认证中心发放管理维护,用户端数字证书存放在硬件身份认证设备(eToken)中,在保护安全强度的同时,也方便了用户使用。
2、 网上交易安全中间件
网上交易安全中间件是专门针对网上银行等PKI网上交易系统而设计的应用层中间件,通过它可以与现有应用业务系统无缝地连接,并提供网上银行系统中的数据机密性、数据完整性、防抵赖、身份识别、访问控制等安全服务。网上银行安全中间件自动管理用户的密钥、证书和证书验证,提供信息加密、信息签名、信息签名并加密、交易签名、身份认证等接口,有效屏蔽了PKI技术的复杂性,有效地对现在应用系统提供了安全保护。
3、 客户端控件具有随时随地、免维护等特点
客户端软件为控件形式,用户在进行网上银行连接时,将动态下载至用户的计算机中。具有不受时间地点限制,不需安装软件的特点,对用户和系统维护人员带来极大的便利。它同时提供身份认证、数据加解密、安全通道建立、表单签名等功能。
|
|
|
|
推荐厂商 
