網(wǎng)上銀行安全系統(tǒng)框架課件

北京遠(yuǎn)東網(wǎng)絡(luò)安全研究院

中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室

北京遠(yuǎn)東網(wǎng)絡(luò)安全研究院網(wǎng)上銀行內(nèi)容提要信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室介紹網(wǎng)絡(luò)安全技術(shù)密碼基礎(chǔ)PKI和X.509SSL網(wǎng)上銀行安全系統(tǒng)安全需求和建設(shè)目標(biāo)安全系統(tǒng)框架安全系統(tǒng)解決方案特點(diǎn)和優(yōu)勢(shì)信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室介紹信息安全領(lǐng)域內(nèi)的唯一國(guó)家級(jí)重點(diǎn)實(shí)驗(yàn)室國(guó)家商用密碼管理委員會(huì)指定的四家定點(diǎn)研制機(jī)構(gòu)之一承接了包括863和973在內(nèi)的眾多國(guó)家重點(diǎn)支持的課題研究，并獲得多個(gè)國(guó)家級(jí)獎(jiǎng)項(xiàng)擁有知名的密碼學(xué)專家和大量專業(yè)技術(shù)人員研究領(lǐng)域包括：密碼學(xué)算法和協(xié)議加密芯片和加密卡/加密機(jī)PKI構(gòu)架和CA認(rèn)證系統(tǒng)安全傳輸系統(tǒng)和VPN防火墻和入侵檢測(cè)系統(tǒng)動(dòng)態(tài)口令認(rèn)證系統(tǒng)國(guó)家級(jí)網(wǎng)絡(luò)應(yīng)急響應(yīng)中心安全信息系統(tǒng)的三個(gè)層次密碼算法和技術(shù)安全協(xié)議身份認(rèn)證協(xié)議密鑰管理協(xié)議安全通信協(xié)議電子商務(wù)協(xié)議安全應(yīng)用系統(tǒng)密碼算法流密碼算法分組密碼算法對(duì)稱密碼算法DESAES非對(duì)稱密碼算法（公鑰密碼算法）RSA橢圓曲線密碼算法數(shù)字文摘算法對(duì)稱密碼算法數(shù)據(jù)加密和解密使用相同的密鑰，通信雙方必須掌握相同的密鑰，此密鑰必須保密，不能公開。信息明文密鑰信息密文加密運(yùn)算密鑰信息明文解密運(yùn)算非對(duì)稱密碼算法加密和解密所使用的密鑰不同“互補(bǔ)”的公鑰和私鑰同時(shí)產(chǎn)生一一對(duì)應(yīng)不可推算用途不同信息明文公鑰信息密文加密運(yùn)算私鑰信息明文解密運(yùn)算信息明文信息密文信息明文私鑰公鑰非對(duì)稱密碼算法非對(duì)稱密碼算法常見的公鑰密碼算法RSA優(yōu)點(diǎn)安全性好解決了密鑰交換的難題缺點(diǎn)實(shí)現(xiàn)代價(jià)高運(yùn)算效率低數(shù)字簽名抗否認(rèn)特性先簽名后加密的原則數(shù)字簽名的使用方式常見的簽名算法RSA、ElGamal、DSS/DSA信息明文文摘信息數(shù)字文摘運(yùn)算數(shù)字簽名私鑰簽名運(yùn)算公鑰基礎(chǔ)設(shè)施PKI證書認(rèn)證中心CA，管理和維護(hù)證書和CRL證書注冊(cè)中心RA，實(shí)現(xiàn)證書與證書申請(qǐng)者身份屬性之間的關(guān)系綁定證書持有者，持有自身的證書并且使用數(shù)字簽名客戶，通過(guò)信任的CA的證書（公鑰）來(lái)驗(yàn)證他人（例如證書持有者）的數(shù)字簽名和證書。存儲(chǔ)機(jī)構(gòu)，存儲(chǔ)和發(fā)布證書和CRL公鑰基礎(chǔ)設(shè)施PKIX.509標(biāo)準(zhǔn)證書的內(nèi)容包括：證書所遵循的協(xié)議版本號(hào)證書序列號(hào)簽名算法標(biāo)識(shí)簽發(fā)證書的CA名稱證書有效期證書持有人的名稱公鑰算法標(biāo)識(shí)公鑰擴(kuò)展選項(xiàng)（證書中的公鑰用途等可選項(xiàng)）CA的簽名X.509標(biāo)準(zhǔn)CRL的內(nèi)容包括：所遵循的協(xié)議版本號(hào)簽名算法標(biāo)識(shí)發(fā)布CRL的CA名稱本次CRL更新時(shí)間作廢證書的序列號(hào)和作廢時(shí)間列表CA的簽名安全套接層協(xié)議SSLNetscape公司針對(duì)Internet環(huán)境的提出的安全通信協(xié)議由SSL握手協(xié)議和SSL記錄協(xié)議組成綜合使用了公鑰密碼技術(shù)和對(duì)稱加密技術(shù)屬于傳輸層協(xié)議范疇，對(duì)上層應(yīng)用透明廣泛應(yīng)用于各種網(wǎng)絡(luò)通信系統(tǒng)，成為事實(shí)上的業(yè)界標(biāo)準(zhǔn)安全套接層協(xié)議SSLSSL安全通道的特性信道是經(jīng)過(guò)認(rèn)證的信道是保密的信道是可靠的網(wǎng)上銀行系統(tǒng)現(xiàn)狀業(yè)務(wù)類型個(gè)人儲(chǔ)蓄業(yè)務(wù)對(duì)私中間業(yè)務(wù)安全構(gòu)架沒有全面的認(rèn)證系統(tǒng)，WEB服務(wù)器自簽證書HTTPS安全通道，128比特密鑰強(qiáng)度沒有業(yè)務(wù)簽名機(jī)制網(wǎng)上銀行系統(tǒng)現(xiàn)狀優(yōu)點(diǎn)系統(tǒng)結(jié)構(gòu)簡(jiǎn)單，易維護(hù)客戶操作簡(jiǎn)單缺點(diǎn)無(wú)法提供客戶的對(duì)等身份認(rèn)證機(jī)制無(wú)法提供關(guān)鍵業(yè)務(wù)的簽名機(jī)制很難嵌入先進(jìn)可靠的加密算法安全需求建立一個(gè)符合規(guī)范的CA證書認(rèn)證系統(tǒng)，為內(nèi)部和外部用戶簽發(fā)身份證書，系統(tǒng)應(yīng)該具有良好的標(biāo)準(zhǔn)性和健壯性建立一個(gè)遵循標(biāo)準(zhǔn)的安全傳輸系統(tǒng)，實(shí)現(xiàn)雙向的身份認(rèn)證和業(yè)務(wù)數(shù)據(jù)保護(hù)，系統(tǒng)對(duì)于上層應(yīng)用應(yīng)該具有良好的透明性提供針對(duì)關(guān)鍵業(yè)務(wù)的簽名機(jī)制，實(shí)現(xiàn)系統(tǒng)的抗否認(rèn)特性網(wǎng)上銀行系統(tǒng)的組成安全系統(tǒng)CA認(rèn)證和客戶授權(quán)子系統(tǒng)安全傳輸和業(yè)務(wù)簽名子系統(tǒng)防火墻和入侵檢測(cè)子系統(tǒng)業(yè)務(wù)系統(tǒng)RealCert證書認(rèn)證系統(tǒng)

－－開放性的系統(tǒng)構(gòu)架支持層次結(jié)構(gòu)的多級(jí)CA體系證書格式和證書編碼嚴(yán)格遵循國(guó)際標(biāo)準(zhǔn)，為PKI體系中的互操作RealCert證書認(rèn)證系統(tǒng)

－－遵循的國(guó)際標(biāo)準(zhǔn)ITU-TX.509V3PKCS#7、PKCS#10、PKCS#12ITU-TX.500、LDAPSSLRealCert證書認(rèn)證系統(tǒng)

－－基于角色的分級(jí)權(quán)限管理超級(jí)管理員負(fù)責(zé)RealServer的安裝、啟動(dòng)、關(guān)閉、備份、策略改變等管理和維護(hù)工作

管理員使用RealAdmin，負(fù)責(zé)證書操作員的證書管理和系統(tǒng)審計(jì)

證書操作員使用RealOperator，負(fù)責(zé)最終客戶的證書管理和系統(tǒng)審計(jì)RealCert證書認(rèn)證系統(tǒng)

－－證書服務(wù)器RealServer的主要功能管理和維護(hù)客戶證書管理和維護(hù)證書作廢列表CRL發(fā)布證書和CRL管理和維護(hù)自身安全RealCert證書認(rèn)證系統(tǒng)

－－證書服務(wù)器RealServer的主要功能管理和維護(hù)客戶證書管理和維護(hù)證書作廢列表CRL發(fā)布證書和CRL管理和維護(hù)自身安全RealCert證書認(rèn)證系統(tǒng)

－－LDAP目錄服務(wù)器的主要功能發(fā)布客戶證書發(fā)布證書作廢列表CRL支持以DN為索引的證書和CRL查詢RealCert證書認(rèn)證系統(tǒng)

－－證書注冊(cè)中心RealRegistry的主要功能客戶證書的管理和維護(hù)包括客戶證書的申請(qǐng)、更新、凍結(jié)、解凍、作廢、黑名單等操作客戶信息數(shù)據(jù)庫(kù)的管理和維護(hù)系統(tǒng)審計(jì)日志的查詢RealCert證書認(rèn)證系統(tǒng)

－－管理員控制臺(tái)RealAdmin的主要功能操作員證書的管理和維護(hù)CRL和系統(tǒng)日志的查詢對(duì)下級(jí)CA根證書的管理和維護(hù)RealCert證書認(rèn)證系統(tǒng)

－－客戶端RealClient的主要功能本地密鑰管理包括密鑰對(duì)的產(chǎn)生、存儲(chǔ)等遠(yuǎn)程證書操作包括證書申請(qǐng)、更新、以及作廢等網(wǎng)上銀行系統(tǒng)客戶端軟件的一個(gè)關(guān)鍵功能模塊RealCert證書認(rèn)證系統(tǒng)

－－密鑰產(chǎn)生與保護(hù)個(gè)人客戶密鑰對(duì)由客戶端軟件產(chǎn)生私鑰文件加密存儲(chǔ)，有口令保護(hù)證書文件和私鑰文件保存在磁盤上（硬盤、軟盤、FLASH盤）企業(yè)客戶密鑰對(duì)由CA服務(wù)器產(chǎn)生證書文件和私鑰文件的存儲(chǔ)介質(zhì)為IC卡或者USBKEY證書文件和私鑰文件都有PIN值進(jìn)行保護(hù)我們的系統(tǒng)可以根據(jù)銀行所選用的IC卡和USBKEY的型號(hào)進(jìn)行客戶化遠(yuǎn)東RealCert證書認(rèn)證系統(tǒng)

－－在線證書申請(qǐng)流程客戶在RealRegistry進(jìn)行注冊(cè)和審核，并獲得授權(quán)號(hào)客戶使用RealClient產(chǎn)生密鑰對(duì)，將公鑰和授權(quán)信息提交給RealServerRealServer校驗(yàn)授權(quán)信息，如果通過(guò)校驗(yàn)，則為客戶公鑰簽發(fā)證書RealServer將證書存入證書數(shù)據(jù)庫(kù)和目錄服務(wù)器RealClient從目錄服務(wù)器獲得自己的證書副本遠(yuǎn)東RealCert證書認(rèn)證系統(tǒng)

－－離線證書申請(qǐng)流程客戶在RealRegistry進(jìn)行注冊(cè)和審核RA操作員從RealRegistry向RealServer提交證書申請(qǐng)RealServer為客戶產(chǎn)生密鑰對(duì)，并為客戶公鑰簽發(fā)證書RealServer將證書副本存入證書數(shù)據(jù)庫(kù)和目錄服務(wù)器RealRegistry從RealServer獲得客戶私鑰和證書文件，并保存到相應(yīng)的介質(zhì)中客戶從RA操作員那里領(lǐng)取存儲(chǔ)介質(zhì)，從而獲得自己的證書和私鑰文件RealCert證書認(rèn)證系統(tǒng)

－－成功應(yīng)用案例公安部第三研究所安全產(chǎn)品檢測(cè)中心中國(guó)科學(xué)技術(shù)大學(xué)核心技術(shù)應(yīng)用于多家商業(yè)銀行RealTunnel安全代理系統(tǒng)RealTunnel安全代理系統(tǒng)客戶端安全代理RealClient透明代理代理轉(zhuǎn)發(fā)HTTP數(shù)據(jù)流按照SSL協(xié)議，完成雙向身份認(rèn)證和密鑰協(xié)商，建立安全信道，并對(duì)數(shù)據(jù)流進(jìn)行加密和解密客戶證書的遠(yuǎn)程管理，包括在線證書申請(qǐng)、更新、廢除等本地證書和私鑰管理，包括密鑰產(chǎn)生、密鑰加密存儲(chǔ)、以及證書存儲(chǔ)、密鑰和證書的使用等關(guān)鍵業(yè)務(wù)的數(shù)字簽名機(jī)制，提供抗否認(rèn)保障運(yùn)行于Windows操作系統(tǒng)平臺(tái)RealTunnel安全代理系統(tǒng)安全代理網(wǎng)關(guān)RealGateway透明代理轉(zhuǎn)發(fā)HTTP數(shù)據(jù)流并發(fā)處理SSL連接請(qǐng)求，完成雙向身份認(rèn)證和密鑰協(xié)商，建立安全信道，并對(duì)數(shù)據(jù)流進(jìn)行加密和解密驗(yàn)證并且存儲(chǔ)客戶針對(duì)關(guān)鍵業(yè)務(wù)的數(shù)字簽名系統(tǒng)日志的審計(jì)記錄RealTunnel安全代理系統(tǒng)關(guān)鍵業(yè)務(wù)的數(shù)字簽名機(jī)制頁(yè)面數(shù)據(jù)中內(nèi)嵌要求簽名的特征字符串客戶端代理RealClient檢測(cè)數(shù)據(jù)流中是否存在特征字符串，并且提示客戶使用私鑰進(jìn)行簽名安全代理網(wǎng)關(guān)驗(yàn)證客戶的數(shù)字簽名存儲(chǔ)數(shù)字簽名數(shù)據(jù)，并且進(jìn)行系統(tǒng)日志記錄交易信息數(shù)字文摘數(shù)字簽名交易信息數(shù)字簽名+密文SHA-1RSA（客戶私鑰）對(duì)稱密鑰加密RealTunnel安全代理系統(tǒng)

－－交易流程示意圖（客戶端代理）數(shù)字文摘交易信息數(shù)字簽名+密文SHA-1RSA（客戶公鑰）對(duì)稱密鑰解密原始數(shù)字文摘是否相同？提交業(yè)務(wù)信息RealTunnel安全代理系統(tǒng)

－－交易流程示意圖（安全代理網(wǎng)關(guān)）RealTunnel安全代理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)安全機(jī)制位于傳輸層，提供身份認(rèn)證、數(shù)據(jù)保密、數(shù)據(jù)完整性保護(hù)等安全服務(wù)，對(duì)上層應(yīng)用透明，上層應(yīng)用可以靈活修改，采用SKLOIS經(jīng)過(guò)國(guó)家檢驗(yàn)允許使用的高強(qiáng)度高效率分組密碼算法，尤其適用于對(duì)安全性有特殊需求的金融行業(yè)采用完全透明代理技術(shù)，用戶操作簡(jiǎn)單內(nèi)嵌完善的數(shù)字簽名機(jī)制，可以提供抗否認(rèn)保障網(wǎng)關(guān)部分采用線程池等技術(shù)，提供優(yōu)秀的并發(fā)處理能力支持IC卡，USBKEY等多種密鑰管理介質(zhì)網(wǎng)上銀行安全系統(tǒng)

－－與其它PKI系統(tǒng)之間的互操作性良好互操作性的前提CA認(rèn)證系統(tǒng)都嚴(yán)格遵循相關(guān)的國(guó)際標(biāo)準(zhǔn)不同的CA認(rèn)證系統(tǒng)在安全策略的基礎(chǔ)上，建立起某種信任關(guān)系，形成CA體系CA認(rèn)證系統(tǒng)向應(yīng)用軟件開發(fā)商開放相關(guān)接口函數(shù)網(wǎng)上銀行安全系統(tǒng)

－－與其它PKI系統(tǒng)之間的互操作性RealCert系統(tǒng)嚴(yán)格遵循相關(guān)的國(guó)際標(biāo)準(zhǔn)證書和CRL格式遵循ITU-TX.509標(biāo)準(zhǔn)證書和消息的編碼遵循PKCS和ASN.1系列標(biāo)準(zhǔn)向應(yīng)用軟件開發(fā)商開放相關(guān)接口函數(shù)使用第三方CA簽發(fā)的證書第三方CA系統(tǒng)遵循國(guó)際標(biāo)準(zhǔn)向網(wǎng)上銀行應(yīng)用系統(tǒng)開放相關(guān)接口函數(shù)（包括證書遠(yuǎn)程管理接口