格爾網(wǎng)上銀行解決策劃方案探析

1、 HYPERLINK /KOAL Software 安全白皮書格爾網(wǎng)上銀行安全方案版本：2.0日期：1999/12/21上海格爾軟件有限公司格爾網(wǎng)上銀行安全方案目錄 TOC o 1-31概述 PAGEREF _Toc470620396 h 12網(wǎng)上銀行安全需求分析 PAGEREF _Toc470620397 h 22.1網(wǎng)上銀行的業(yè)務(wù)安全分析 PAGEREF _Toc470620398 h 22.1.1公共信息公布 PAGEREF _Toc470620399 h 22.1.2網(wǎng)上帳戶查詢 PAGEREF _Toc470620400 h 62.1.3網(wǎng)上支付和轉(zhuǎn)賬 PAGEREF _Toc470

2、620401 h 93格爾網(wǎng)上銀行解決方案 PAGEREF _Toc470620402 h 121.1高加密位數(shù)SSL代理 PAGEREF _Toc470620403 h 123.1.1SSL 介紹 PAGEREF _Toc470620404 h 123.1.2SSL工作流程 PAGEREF _Toc470620405 h 123.1.3SSL代理的工作原理 PAGEREF _Toc470620406 h 143.1.4SSL代理的特性 PAGEREF _Toc470620407 h 163.2格爾PKI加密模塊 PAGEREF _Toc470620408 h 173.2.1加密模塊 PAGE

3、REF _Toc470620409 h 173.2.2格爾PKI加密模塊 PAGEREF _Toc470620410 h 173.3格爾證書認(rèn)證系統(tǒng) PAGEREF _Toc470620411 h 203.3.1證書認(rèn)證系統(tǒng) PAGEREF _Toc470620412 h 203.3.2工作流程 PAGEREF _Toc470620413 h 214格爾網(wǎng)上銀行解決方案特性分析 PAGEREF _Toc470620414 h 24附錄 PAGEREF _Toc470620415 h 25參考站點(diǎn) PAGEREF _Toc470620416 h 25名詞術(shù)語(yǔ) PAGEREF _Toc470620

4、417 h 25單鑰密碼體制和公鑰密碼體制 PAGEREF _Toc470620418 h 25數(shù)字簽名和數(shù)字信封 PAGEREF _Toc470620419 h 26數(shù)字證書 PAGEREF _Toc470620420 h 27概述從第一家網(wǎng)絡(luò)銀行(Internet Bank)Security First Network Bank(SFNB)1995年10月在網(wǎng)絡(luò)上開(kāi)業(yè)至今四年多。開(kāi)業(yè)后的短短幾個(gè)月，即有近千萬(wàn)人次上網(wǎng)掃瞄，給金融界帶來(lái)極大震撼。因此更有若干銀行立即緊跟其后在網(wǎng)絡(luò)上開(kāi)設(shè)銀行，隨即此風(fēng)潮逐漸蔓延全世界，網(wǎng)絡(luò)銀行走進(jìn)了人們的生活。由于Internet無(wú)所不在，客戶只要擁有帳號(hào)和密

5、碼便能在世界各地與Internet聯(lián)網(wǎng)，處理個(gè)人交易。這不僅方便客戶，銀行本身也可因此加強(qiáng)與客戶的親和性。隨著金融環(huán)境競(jìng)爭(zhēng)加劇，銀行不得不重新審視自身的服務(wù)方式。在我國(guó)，差不多有許多商業(yè)銀行紛紛推出了網(wǎng)上銀行服務(wù)。網(wǎng)上銀行系統(tǒng)在蘊(yùn)藏著無(wú)限商機(jī)的同時(shí)，也帶來(lái)了風(fēng)險(xiǎn)，關(guān)于開(kāi)設(shè)網(wǎng)上銀行服務(wù)的提供者來(lái)講，當(dāng)務(wù)之急確實(shí)是要解決安全問(wèn)題。為此，上海格爾軟件公司在本文中介紹了一種網(wǎng)上銀行系統(tǒng)安全方案。在本文中所指的網(wǎng)上銀行，包括了個(gè)人銀行和企業(yè)銀行兩個(gè)概念，個(gè)人銀行是指通過(guò)網(wǎng)絡(luò)為個(gè)人銀行業(yè)務(wù)提供服務(wù)，企業(yè)銀行則是指通過(guò)網(wǎng)絡(luò)為企業(yè)用戶提供服務(wù)。兩者相比，個(gè)人銀行業(yè)務(wù)應(yīng)該具有較簡(jiǎn)便的操作界面，而企業(yè)銀行更注重整

6、個(gè)環(huán)節(jié)的安全性。從廣義來(lái)講，安全的概念能夠包括數(shù)據(jù)安全，系統(tǒng)安全和信息安全三個(gè)方面，數(shù)據(jù)安全是指通過(guò)采納系統(tǒng)備份，磁盤鏡像等安全手段以防止數(shù)據(jù)丟失；系統(tǒng)安全是指通過(guò)系統(tǒng)加固，邊界防備，入侵檢測(cè)等手段以防止黑客攻擊系統(tǒng)破壞數(shù)據(jù)；而信息安全則要緊是指通過(guò)加密技術(shù)防止信息和數(shù)據(jù)在公開(kāi)網(wǎng)絡(luò)傳輸上被竊聽(tīng)、篡改和頂替。信息安全包括四個(gè)功能：數(shù)據(jù)保密，身份認(rèn)證，數(shù)據(jù)完整性和防止抵賴。本文并沒(méi)有涉及到有關(guān)數(shù)據(jù)安全方面的概念，對(duì)系統(tǒng)安全作了一定的介紹，而對(duì)信息安全技術(shù)的實(shí)施則作了比較詳細(xì)的方案設(shè)計(jì)。本方案是基于上海格爾軟件公司電子商務(wù)部開(kāi)發(fā)的以下三個(gè)安全軟件產(chǎn)品：PKI加密模塊，SSL代理和Enterprise

7、 CA。這三個(gè)產(chǎn)品為解決網(wǎng)上銀行系統(tǒng)中數(shù)據(jù)加密，身份認(rèn)證，數(shù)據(jù)完整性和防止抵賴等信息安全問(wèn)題提供了完整的解決方案。網(wǎng)上銀行安全需求分析網(wǎng)上銀行的業(yè)務(wù)安全分析從功能劃分，網(wǎng)上銀行的業(yè)務(wù)可分為三類：公共信息公布公共信息公布用于介紹網(wǎng)上銀行的業(yè)務(wù)范圍流程，金融公共信息等。這類業(yè)務(wù)由于面向公眾公布，不需要保證信息只能被特定團(tuán)體或個(gè)人訪問(wèn)，需要的是愛(ài)護(hù)信息可不能被非法篡改。目前在Internet上比較多的黑客事件差不多上篡改公共Web站點(diǎn)的內(nèi)容，制造虛假信息或涂改頁(yè)面。如美國(guó)NASA和國(guó)防部站點(diǎn)被“黑”事件確實(shí)是這類事件。關(guān)于銀行來(lái)講，公共金融信息盡管是公開(kāi)的，然而假如被篡改某些敏感數(shù)據(jù)，如銀行利率等，

8、專門可能會(huì)造成不必要的苦惱，對(duì)銀行的名譽(yù)也會(huì)造成不利的阻礙。因此，對(duì)這些內(nèi)容的愛(ài)護(hù)也是不能夠忽視的。Web站點(diǎn)內(nèi)容被黑客篡改，是這些黑客通過(guò)主動(dòng)攻擊實(shí)現(xiàn)的。例如，黑客通過(guò)密碼字典推測(cè)信息系統(tǒng)的特權(quán)口令，在獲得特權(quán)口令之后，登錄進(jìn)入系統(tǒng)，篡改公布內(nèi)容，制造不良阻礙。關(guān)于這種情況，我們能夠通過(guò)改進(jìn)系統(tǒng)配置、增加防火墻防護(hù)、配置入侵檢測(cè)模塊和完善安全治理策略來(lái)實(shí)現(xiàn)安全愛(ài)護(hù)，幸免站點(diǎn)被非法篡改。完善安全治理策略黑客一般是通過(guò)分析網(wǎng)絡(luò)治理上的漏洞以達(dá)到其攻擊目的。專門難定義如何樣的系統(tǒng)治理才是完善的，因?yàn)橥晟频南到y(tǒng)治理是各方面的總和，例如對(duì)路由器以及其他主機(jī)定期更改密碼，采納不規(guī)則密碼，關(guān)閉不必要的服務(wù)

9、，關(guān)閉防火墻任何不使用的端口等。關(guān)于一個(gè)Unix系統(tǒng)，安全治理要緊可分為四個(gè)方面：防止未授權(quán)存取權(quán)限操縱是系統(tǒng)安全的差不多問(wèn)題，即防止未被授權(quán)的用戶進(jìn)入系統(tǒng)。良好的用戶意識(shí)，良好的口令治理(由系統(tǒng)治理員和用戶雙方配合)，登錄活動(dòng)記錄和報(bào)告，用戶和網(wǎng)絡(luò)活動(dòng)的周期檢查是防止未授權(quán)存取的關(guān)鍵。防止泄密數(shù)據(jù)保密也是系統(tǒng)安全的一個(gè)重要問(wèn)題。防止已授權(quán)或未授權(quán)的用戶相互存取對(duì)方的重要信息，經(jīng)常性的文件系統(tǒng)查帳，su登錄和報(bào)告以及良好的用戶保密意識(shí)差不多上防止泄密的手段。防止用戶濫用系統(tǒng)資源一個(gè)系統(tǒng)不應(yīng)被一個(gè)有意試圖使用過(guò)多資源的用戶損害，因?yàn)樵诟哓?fù)載的情況下系統(tǒng)的安全性能往往會(huì)降低。例如黑客通過(guò)占用整個(gè)磁

10、盤空間來(lái)防止日志生成，不幸的是專門多商業(yè)UNIX不能專門好地限制用戶對(duì)資源的使用。因此系統(tǒng)治理員必須通過(guò)一些系統(tǒng)命令如PS命令，記帳程序df和du周期地檢查系統(tǒng).查出過(guò)多占用CUP的進(jìn)程和大量占用磁盤的文件。同時(shí)安裝某些監(jiān)控軟件也是有效的手段之一。維護(hù)系統(tǒng)的完整性大多數(shù)情況下，維護(hù)系統(tǒng)完整是系統(tǒng)治理員的責(zé)任，例如：周期地備份文件系統(tǒng)，系統(tǒng)崩潰后運(yùn)行磁盤掃描檢查，修復(fù)文件系統(tǒng)，檢測(cè)用戶是否正在使用可能導(dǎo)致系統(tǒng)崩潰的軟件。良好的安全治理策略對(duì)系統(tǒng)的安全水平起著至關(guān)重要的作用。因此系統(tǒng)治理員能夠?qū)⒁韵聨讉€(gè)方面作為維護(hù)的重點(diǎn)：系統(tǒng)配置認(rèn)真研究最新的系統(tǒng)維護(hù)文檔，完善系統(tǒng)各方面的安全配置，降低安全風(fēng)險(xiǎn)。

11、同時(shí)，周期性的維護(hù)系統(tǒng)，包括備份和安裝補(bǔ)丁程序、訂閱安全電子新聞。系統(tǒng)隔離將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行隔離，確保銀行業(yè)務(wù)前置機(jī)、業(yè)務(wù)主機(jī)和數(shù)據(jù)庫(kù)服務(wù)器只處于內(nèi)網(wǎng)中，內(nèi)網(wǎng)和外網(wǎng)通過(guò)防火墻相連。切斷共享Web服務(wù)器上的系統(tǒng)配置盡可能地保證安全。關(guān)閉所有不必要的文件共享。停止所有與業(yè)務(wù)無(wú)關(guān)的服務(wù)器進(jìn)程，如Telnet、SMTP和FTP等服務(wù)器守護(hù)進(jìn)程。日志記錄打開(kāi)日志記錄功能，保存系統(tǒng)的訪問(wèn)日志記錄，對(duì)其進(jìn)行分析，能夠有助于發(fā)覺(jué)有問(wèn)題的訪問(wèn)情況。如有必要，使用專門的入侵檢測(cè)模塊?？诹畈呗灾贫ㄍ晟频目诹畈呗?，限制口令的最小長(zhǎng)度和最長(zhǎng)有效期，檢查口令的質(zhì)量。專人專權(quán)由專人負(fù)責(zé)系統(tǒng)安全和系統(tǒng)維護(hù)，減少不必要的用戶治理

12、權(quán)限，嚴(yán)格操縱非系統(tǒng)治理員的權(quán)限和系統(tǒng)治理員的數(shù)量。以下是一個(gè)簡(jiǎn)化的虛擬網(wǎng)上銀行網(wǎng)絡(luò)結(jié)構(gòu)圖：圖1網(wǎng)上銀行網(wǎng)絡(luò)結(jié)構(gòu)圖EMBED Visio.Drawing.4從圖中能夠看到整個(gè)網(wǎng)絡(luò)體系分為：Internet，非軍事區(qū)（DMZ），Intranet以及銀行內(nèi)部網(wǎng)四部分。其安全等級(jí)從前往后逐次遞增。這些網(wǎng)段由兩個(gè)網(wǎng)關(guān)連為一體。首先防火墻將Internet和Intranet以及非軍事區(qū)分離。非軍事區(qū)是所有用戶能夠訪問(wèn)的區(qū)域，而Intranet則只有特定用戶才能訪問(wèn)，通過(guò)對(duì)防火墻的合理配置能夠幸免內(nèi)部服務(wù)器被攻擊，能夠采納多級(jí)防火墻配置（如在非軍事區(qū)和Internet之間用防火墻隔離）以提供更強(qiáng)的網(wǎng)絡(luò)安全

13、愛(ài)護(hù)。Intranet與網(wǎng)上內(nèi)部網(wǎng)絡(luò)由前置機(jī)相連，為了保證銀行業(yè)務(wù)主機(jī)的運(yùn)行安全，網(wǎng)上銀行系統(tǒng)不直接連接業(yè)務(wù)主機(jī)，而是由特定的前置機(jī)來(lái)代理其請(qǐng)求，前置機(jī)只響應(yīng)特定服務(wù)請(qǐng)求，然后將請(qǐng)求轉(zhuǎn)換為特定消息格式發(fā)送給業(yè)務(wù)主機(jī)，收到應(yīng)答后再將數(shù)據(jù)返回給請(qǐng)求者。通過(guò)這種隔離進(jìn)一步增強(qiáng)了系統(tǒng)的安全保證。增加防火墻防護(hù)在網(wǎng)絡(luò)系統(tǒng)中，防火墻是一種裝置，可使內(nèi)部網(wǎng)絡(luò)不受公共部分（整個(gè)Internet）的阻礙。它能同時(shí)連同意到愛(ài)護(hù)的網(wǎng)絡(luò)和Internet兩端，但受到愛(ài)護(hù)的網(wǎng)絡(luò)無(wú)法直接接到Internet，Internet也無(wú)法直接接到受到愛(ài)護(hù)的網(wǎng)絡(luò)。假如要從受到愛(ài)護(hù)的網(wǎng)絡(luò)內(nèi)部接到Internet，首先需要連接到防火墻

14、，然后從防火墻接入Internet。最簡(jiǎn)單的防火墻是雙主機(jī)系統(tǒng)（具有兩個(gè)網(wǎng)絡(luò)連接的系統(tǒng)）。防火墻有兩種：IP過(guò)濾防火墻IP過(guò)濾防火墻在數(shù)據(jù)包一層工作。它依據(jù)起點(diǎn)、終點(diǎn)、端口號(hào)和每一數(shù)據(jù)包中所含的數(shù)據(jù)包種類信息操縱數(shù)據(jù)包的流淌。這種防火墻特不安全。它阻擋不人進(jìn)入內(nèi)部網(wǎng)絡(luò)。過(guò)濾防火墻是絕對(duì)性的過(guò)濾系統(tǒng)。即使要讓外界的一些人進(jìn)入防火墻之內(nèi)，也無(wú)法讓每一個(gè)人進(jìn)入服務(wù)器。 代理服務(wù)器代理服務(wù)器同意通過(guò)防火墻間接進(jìn)入Internet。最好的例子是先連接到防火墻，然后從該處再連接到另一個(gè)系統(tǒng)。在有代理服務(wù)器的系統(tǒng)中，這項(xiàng)工作是完全自動(dòng)的。利用客戶端軟件連接代理服務(wù)器后，代理服務(wù)器啟動(dòng)它的客戶端軟件（代理），

15、然后傳回?cái)?shù)據(jù)。只要配置正確，代理服務(wù)器就絕對(duì)安全，它阻擋任何人進(jìn)入內(nèi)部網(wǎng)絡(luò)，因?yàn)闆](méi)有直接的IP通路。 在網(wǎng)上銀行系統(tǒng)中，由于Web服務(wù)器需要連接到Internet，因此，我們建議在Web服務(wù)器和Internet之間架設(shè)一個(gè)IP過(guò)濾防火墻。配置入侵檢測(cè)模塊除了防火墻之外，配置入侵檢測(cè)模塊也是一個(gè)重要的安全措施。例如，關(guān)于銀行帳戶和密碼，入侵者可能嘗試枚舉攻擊，由于密碼長(zhǎng)度有限且均為數(shù)字，密碼空間比較小。假如入侵者明白帳戶號(hào)碼，專門容易通過(guò)枚舉攻擊推測(cè)出帳戶密碼。入侵攻擊的特點(diǎn)是在一個(gè)攻擊源同時(shí)發(fā)出密集攻擊數(shù)據(jù)。自然，這些攻擊數(shù)據(jù)關(guān)于查詢系統(tǒng)來(lái)講，可能是合法的查詢參數(shù)，它的特點(diǎn)是在同一個(gè)攻擊源同時(shí)

16、發(fā)出大批量查詢請(qǐng)求。一般情況下，一個(gè)用戶連接后可不能特不頻繁的查詢數(shù)據(jù)（每分鐘最多不超過(guò)5次查詢），而且查詢的帳戶號(hào)碼也有限（每分鐘最多不超過(guò)10個(gè)帳戶）。相反，入侵者為了推測(cè)密碼，會(huì)大批量、長(zhǎng)時(shí)刻、從同一地點(diǎn)發(fā)出攻擊信息。這種攻擊模式是能夠被檢測(cè)到的。檢測(cè)到異常情況之后，檢測(cè)模塊能夠自動(dòng)予以記錄和預(yù)警。自動(dòng)預(yù)警甚至能夠通過(guò)尋呼機(jī)通知系統(tǒng)治理員。網(wǎng)上帳戶查詢網(wǎng)上賬戶查詢是指網(wǎng)上銀行通過(guò)Internet進(jìn)行帳戶實(shí)時(shí)查詢功能，企業(yè)銀行的查詢功能包括：余額查詢交易歷史查詢匯款查詢公司對(duì)公賬戶查詢個(gè)人銀行的查詢功能包括：公積金賬戶查詢交易明細(xì)查詢定期到期查詢消費(fèi)積分查詢網(wǎng)上賬戶查詢的安全需求比公共信息

17、公布要更高，因此網(wǎng)上賬戶對(duì)系統(tǒng)安全也有同樣的需求，而且，除此之外，網(wǎng)上賬戶查詢的還需要解決用戶的私有信息（口令，賬戶數(shù)據(jù)）在Internet那個(gè)公開(kāi)網(wǎng)絡(luò)上傳輸?shù)陌踩珕?wèn)題。而這些屬于信息安全范疇。網(wǎng)上賬戶查詢的信息安全功能應(yīng)包括兩個(gè)方面：身份認(rèn)證和數(shù)據(jù)保密。身份驗(yàn)證傳統(tǒng)銀行業(yè)務(wù)的身份驗(yàn)證方案要緊是通過(guò)口令或PIN來(lái)實(shí)現(xiàn)的，它具有以下兩個(gè)特點(diǎn)：PIN一般為4-8個(gè)數(shù)字，范圍比較窄。銀行主機(jī)記錄用戶輸錯(cuò)PIN的次數(shù)，一旦超過(guò)一定數(shù)量，就自動(dòng)關(guān)閉該賬戶的服務(wù)功能。在網(wǎng)上銀行業(yè)務(wù)中，僅通過(guò)如此的方式來(lái)進(jìn)行身份驗(yàn)證，存在專門大的不足：由于網(wǎng)上銀行業(yè)務(wù)的通信信道是公開(kāi)網(wǎng)絡(luò)，因此口令明文傳輸容易被截獲。在網(wǎng)絡(luò)

18、上，口令推測(cè)是黑客使用最多的攻擊手段，即使使用蠻力攻擊法，攻破8位的數(shù)字口令也只需專門短的時(shí)刻。在網(wǎng)上提供服務(wù)，專門難對(duì)錯(cuò)誤PIN輸入進(jìn)行限制。網(wǎng)絡(luò)的信道故障或者人為的惡意行為都專門容易使輸錯(cuò)口令次數(shù)達(dá)到限制。錯(cuò)誤次數(shù)限制會(huì)給合法的用戶帶來(lái)了專門大的不便。因此，傳統(tǒng)的口令驗(yàn)證難以成為網(wǎng)上銀行業(yè)務(wù)的唯一身份認(rèn)證技術(shù)。在網(wǎng)絡(luò)應(yīng)用中，目前采納較多的方法是動(dòng)態(tài)口令（例如Kerberos），令牌卡和數(shù)字證書認(rèn)證技術(shù)。這些技術(shù)配合口令機(jī)制，就稱為雙因子身份認(rèn)證技術(shù)。SSL協(xié)議是采納最為廣泛的數(shù)字證書身份認(rèn)證技術(shù)。它不但能夠解決身份認(rèn)證，也解決了數(shù)據(jù)保密問(wèn)題，因此目前大部分網(wǎng)上應(yīng)用，包括網(wǎng)上銀行都采納SSL

19、技術(shù)來(lái)實(shí)現(xiàn)身份認(rèn)證。關(guān)于SSL技術(shù)的具體介紹參見(jiàn)本文第三章。簡(jiǎn)單地講，SSL確實(shí)是在傳輸數(shù)據(jù)前，服務(wù)器和客戶雙方通過(guò)數(shù)字證書進(jìn)行“握手”，驗(yàn)證對(duì)方的數(shù)字證書是否合法，同時(shí)約定一個(gè)臨時(shí)的會(huì)話密鑰，對(duì)接下來(lái)要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。SSL V2.0不支持客戶證書，客戶能夠通過(guò)驗(yàn)證服務(wù)器的證書來(lái)推斷服務(wù)器的合法性，服務(wù)器則無(wú)法驗(yàn)證客戶的證書，通常服務(wù)器仍然通過(guò)口令驗(yàn)證客戶的身份，由于口令在傳輸時(shí)差不多被加密，因此安全性有了專門大的提高。SSL V3.0對(duì)V2.0進(jìn)行了擴(kuò)展，支持客戶證書，這時(shí)服務(wù)器就能夠驗(yàn)證客戶的證書，只有那些擁有合法證書的用戶才能接著保持與服務(wù)器的連接，假如配合口令驗(yàn)證，就成為雙因子身

20、份認(rèn)證。采納數(shù)字證書的安全體現(xiàn)在私鑰的安全，只要私鑰不被竊取，數(shù)字證書確實(shí)是安全的，而通過(guò)蠻力攻擊法攻破私鑰的可能性是不存在的。下表是數(shù)字證書同傳統(tǒng)口令模式的身份驗(yàn)證在性能上的比較：口令方式數(shù)字證書方式用戶登錄時(shí)口令在公開(kāi)網(wǎng)絡(luò)上傳輸，有可能泄密私鑰由用戶保存，只需公布其公鑰。私鑰永久可不能在公開(kāi)網(wǎng)絡(luò)上傳輸，而且從公鑰無(wú)法推導(dǎo)出私鑰口令一旦泄密，所有安全機(jī)制即失效用戶私鑰能夠存放在IC卡中并有口令愛(ài)護(hù)，安全性更高服務(wù)器需要維護(hù)龐大的用戶口令列表并負(fù)責(zé)口令保存的安全服務(wù)器使用數(shù)字證書驗(yàn)證用戶身份，不保存用戶的私鑰，因此用戶私鑰不可能在服務(wù)器端泄露與傳統(tǒng)方法一致，易于理解技術(shù)較新，一般用戶理解略有難

21、度關(guān)于企業(yè)銀行，由于數(shù)據(jù)安全性要求較高，因此應(yīng)該采納數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。每個(gè)企業(yè)用戶應(yīng)該申請(qǐng)一張數(shù)字證書，當(dāng)企業(yè)用戶上網(wǎng)進(jìn)行賬戶查詢時(shí)，通過(guò)SSL建立安全連接。網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶的數(shù)字證書是否為合法證書。然后將查詢請(qǐng)求和口令一起發(fā)送給業(yè)務(wù)前置機(jī)，由銀行業(yè)務(wù)主機(jī)對(duì)口令再次進(jìn)行認(rèn)證。企業(yè)用戶的身份驗(yàn)證過(guò)程和CA不可分割。當(dāng)服務(wù)器通過(guò)SSL獲得用戶證書后，服務(wù)器應(yīng)用程序還要到CA服務(wù)器檢索該證書是否在廢止證書列表之中。圖2顯示了企業(yè)用戶身份驗(yàn)證的完整過(guò)程。圖2是網(wǎng)上銀行企業(yè)用戶的口令驗(yàn)證方式。關(guān)于個(gè)人用戶，考慮到使用的方便性更為重要，能夠采納SSLv2.0方式對(duì)

22、口令加密進(jìn)行身份驗(yàn)證，因此用戶不需要申請(qǐng)證書，只需要記住口令就行。數(shù)據(jù)加密Web應(yīng)用數(shù)據(jù)加密的方案除了SSL以外，并沒(méi)有太多可供選擇的方案。除了采納數(shù)字證書身份認(rèn)證方案以外，SSL的另一個(gè)優(yōu)點(diǎn)是在建立握手以后，對(duì)客戶和服務(wù)器之間的所有數(shù)據(jù)均采納對(duì)稱算法進(jìn)行加密，對(duì)稱算法的加密效率比較高，因此對(duì)性能可不能造成專門大的阻礙。另外SSL采納了會(huì)話密鑰的機(jī)制，每次握手時(shí)約定一個(gè)會(huì)話密鑰，會(huì)話結(jié)束，密鑰趕忙失效，最大程度上保證了數(shù)據(jù)的保密性。由于采納了SSL技術(shù)，Web應(yīng)用的開(kāi)發(fā)也大為簡(jiǎn)化，Web服務(wù)器應(yīng)用程序能夠把與查詢狀態(tài)有關(guān)的信息都保存在Cookie中，而不必?fù)?dān)心Cookie的安全問(wèn)題。遞交口令的

23、用戶的表單的銀行業(yè)務(wù)主機(jī)的CA服務(wù)器的1SSL服務(wù)器代理驗(yàn)證用戶證書本身的合法性3。銀行業(yè)務(wù)主機(jī)再對(duì)口令進(jìn)行驗(yàn)證圖 2企業(yè)用戶身份驗(yàn)證示意圖EMBED Visio.Drawing.4網(wǎng)上支付和轉(zhuǎn)賬網(wǎng)上支付和轉(zhuǎn)賬在查詢的基礎(chǔ)上進(jìn)一步給用戶提供了方便，用戶能夠在網(wǎng)上進(jìn)行支付、轉(zhuǎn)賬從而達(dá)到交易的目的，就目前而言，國(guó)內(nèi)專門多網(wǎng)上銀行系統(tǒng)差不多開(kāi)通了如下支付和轉(zhuǎn)賬業(yè)務(wù)：定期賬戶轉(zhuǎn)活期活期賬戶轉(zhuǎn)定期活期賬戶轉(zhuǎn)活期信用卡賬戶轉(zhuǎn)信用卡賬戶公用事業(yè)費(fèi)代繳企業(yè)轉(zhuǎn)賬證券資金賬戶轉(zhuǎn)賬特約商戶網(wǎng)上支付和查詢相比，支付和帳戶轉(zhuǎn)帳的安全需求更高，除了必須具備查詢所需要的安全性之外，還需要應(yīng)該提供數(shù)據(jù)完整性和不可否認(rèn)性。數(shù)據(jù)

24、完整性所謂數(shù)據(jù)完整性確實(shí)是指用戶在支付指令和轉(zhuǎn)賬指令中所填寫的數(shù)據(jù)必須保持完整，不能在公開(kāi)網(wǎng)絡(luò)上被其他用戶無(wú)意或惡意地修改。SSL由于對(duì)整個(gè)數(shù)據(jù)鏈路進(jìn)行了加密，因此在一定程度上能夠保證完整性，然而公開(kāi)網(wǎng)絡(luò)上的數(shù)據(jù)加密對(duì)完整性的愛(ài)護(hù)只是局部的，一旦數(shù)據(jù)被解密后依舊存在著被更改的可能。因此正確的方案應(yīng)該采納數(shù)字簽名機(jī)制，由用戶使用自己的數(shù)字證書對(duì)支付指令或轉(zhuǎn)賬指令進(jìn)行簽名，同時(shí)簽名數(shù)據(jù)被永久保存，只有如此才能真正幸免數(shù)據(jù)完整性被破壞，簽名是對(duì)用戶私鑰對(duì)數(shù)據(jù)摘要（又稱指紋）的加密，數(shù)據(jù)發(fā)生變化時(shí)，數(shù)據(jù)摘要也必定發(fā)生變化。假如將原先的數(shù)字簽名解密，就專門容易發(fā)覺(jué)兩段數(shù)據(jù)摘要不符。不可否認(rèn)性不可否認(rèn)性是

25、指指令發(fā)出者不能在事后否認(rèn)曾經(jīng)發(fā)出該指令。這關(guān)于規(guī)范業(yè)務(wù)，幸免法律糾紛起著專門大的作用。傳統(tǒng)地，不可否認(rèn)性是通過(guò)手工簽名完成的，在網(wǎng)上銀行，不可否認(rèn)性是由數(shù)字簽名機(jī)制實(shí)現(xiàn)的。由于私鑰專門難攻擊，其他人（包括銀行）不可能得到私有密鑰。因此用私鑰對(duì)交易指令的摘要簽名后，就保證了該用戶確實(shí)是發(fā)出了該指令。將簽名數(shù)據(jù)作為業(yè)務(wù)數(shù)據(jù)的憑證，在業(yè)務(wù)成功后就開(kāi)始保障不可否認(rèn)性。不可否認(rèn)性能夠保證每個(gè)帳戶用戶的轉(zhuǎn)帳過(guò)程具有法律效力。另外，關(guān)于企業(yè)級(jí)的帳戶。關(guān)于個(gè)人銀行業(yè)務(wù)來(lái)講，轉(zhuǎn)賬金額比較小，風(fēng)險(xiǎn)相對(duì)較低，因此在雙方都認(rèn)可的情況下，沒(méi)有數(shù)字簽名的支付和轉(zhuǎn)賬的指令也是能夠同意的。然而關(guān)于企業(yè)用戶和進(jìn)行證券轉(zhuǎn)賬的個(gè)

26、人用戶來(lái)講，轉(zhuǎn)賬金額大，風(fēng)險(xiǎn)大，指令必須附帶簽名數(shù)據(jù)，在簽名數(shù)據(jù)驗(yàn)證通過(guò)以后才能真正進(jìn)行支付或轉(zhuǎn)賬。有四種方案能夠?qū)崿F(xiàn)用戶簽名：專用客戶端軟件：例如電子鈔票包，這類軟件通常是一個(gè)掃瞄器的插件（PlugIn），在用戶填好支付指令或轉(zhuǎn)賬指令并發(fā)送給服務(wù)器以后，服務(wù)器用某種協(xié)議規(guī)范化該指令，并作為喚醒消息的參數(shù)返回給用戶，這時(shí)插件被激活，用戶的指令在插件程序中再次被顯示，現(xiàn)在用戶能夠?qū)@段指令進(jìn)行數(shù)字簽名。許多SET應(yīng)用的實(shí)現(xiàn)采納了這種方案，這種方案的要緊缺點(diǎn)是效率比較低，同一段數(shù)據(jù)需要被來(lái)回傳送兩次。另外不同的應(yīng)用可能需要開(kāi)發(fā)不同的插件，對(duì)用戶和系統(tǒng)開(kāi)發(fā)者來(lái)講都增加了額外的負(fù)擔(dān)。表單簽名技術(shù)：Ne

27、tscape公司發(fā)明的一種技術(shù)，在其掃瞄器中差不多支持，通過(guò)調(diào)用Java腳本實(shí)現(xiàn)對(duì)表單域內(nèi)容的簽名，這種方案盡管沒(méi)有方案1的缺點(diǎn)，然而事實(shí)上現(xiàn)與掃瞄器相關(guān)。而且簽名數(shù)據(jù)形式比較固定，不利于開(kāi)發(fā)新的應(yīng)用，因此專門少采納。Java方式：這種方式是采納客戶端腳本的一類方式，用戶在填好支付指令或轉(zhuǎn)賬指令時(shí)，點(diǎn)擊“發(fā)送”按鈕，掃瞄器腳本或Applet開(kāi)始運(yùn)行，調(diào)用系統(tǒng)的加密模塊對(duì)表單中的數(shù)據(jù)進(jìn)行簽名，并把簽名結(jié)果一起發(fā)送給服務(wù)器應(yīng)用程序。這種方案克服了第一種方案的缺點(diǎn)，然而需要掃瞄器支持對(duì)應(yīng)的腳本語(yǔ)言。因?yàn)镴ava具有較大的代表性，因此稱為Java方式。另外用戶必須安裝具有COM接口的加密模塊。XML

28、Signature方式：這時(shí)目前最有希望的一種技術(shù)，IETF組織正在預(yù)備將這項(xiàng)技術(shù)確立為標(biāo)準(zhǔn)。它通過(guò)在網(wǎng)頁(yè)中嵌入一段XML，掃瞄器或其他客戶端程序在處理XML時(shí)自動(dòng)將數(shù)據(jù)簽名。由于XML在保存和傳輸數(shù)據(jù)標(biāo)準(zhǔn)化方面的優(yōu)越性，這項(xiàng)技術(shù)正在成為微軟和SUN公司競(jìng)爭(zhēng)的焦點(diǎn)。從以上方案比較能夠看出，方案3和方案4與前兩種相比，機(jī)制靈活，應(yīng)用開(kāi)發(fā)方便，具有較大的優(yōu)勢(shì)。因此上海格爾軟件公司的加密模塊和SSL代理產(chǎn)品對(duì)這兩種用戶簽名方式提供了支持。格爾網(wǎng)上銀行解決方案高加密位數(shù)SSL代理SSL 介紹SSL是一種在Web服務(wù)協(xié)議 (HTTP) 和 TCP/IP 之間提供數(shù)據(jù)連接安全性的協(xié)議。這種安全性協(xié)議被稱為

29、安全套接字層Security Socket Layer (SSL)，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證和消息完整性驗(yàn)證。SSL被視為 Internet 上 Web 掃瞄器和服務(wù)器的安全標(biāo)準(zhǔn)。SSL 提供了用于啟動(dòng) TCP/IP 安全連接的“信號(hào)交換”機(jī)制。信號(hào)交換機(jī)制協(xié)調(diào)客戶和服務(wù)器使用的安全性級(jí)不，并履行連接的身份驗(yàn)證。此后，SSL 的作用是加密和解密要使用的應(yīng)用程序協(xié)議的字節(jié)流（例如 HTTP數(shù)據(jù)包）。這意味著 HTTP 請(qǐng)求和 HTTP 響應(yīng)中的所有信息將完全被加密，包括客戶請(qǐng)求的 URL地址，表單提交內(nèi)容（例如信用卡號(hào)）、 HTTP 訪問(wèn)身份驗(yàn)證信息以及從服務(wù)器返回到

30、客戶的所有信息。SSL協(xié)議保證了在Internet上交換信息雙方的信息安全性和可靠性。服務(wù)器證書用來(lái)在Internet上標(biāo)識(shí)一臺(tái)服務(wù)器的身份，服務(wù)器證書是 Web 服務(wù)器 SSL 安全功能的基礎(chǔ)。來(lái)自第三方身份認(rèn)證機(jī)構(gòu)的服務(wù)器證書提供用戶驗(yàn)證 Web 站點(diǎn)的方法。利用 SSL，Web 服務(wù)器還能夠通過(guò)檢查客戶證書的內(nèi)容來(lái)驗(yàn)證用戶。典型的客戶證書包含用戶和證書發(fā)行機(jī)構(gòu)的詳細(xì)標(biāo)識(shí)信息。綜合使用客戶證書標(biāo)識(shí)和 SSL，能夠?qū)崿F(xiàn)身份認(rèn)證功能和防止信息篡改。SSL工作流程利用 SSL，服務(wù)器和用戶 Web 掃瞄器首先參與處理交換 需要證書和密鑰對(duì) 以決定安全通訊需要的加密等級(jí)。此交換要求 Web 服務(wù)器

31、和用戶掃瞄器都具有兼容的加密和解密能力。交換的最后結(jié)果是創(chuàng)建（通常由 Web 掃瞄器）會(huì)話密鑰。服務(wù)器和 Web 掃瞄器都使用會(huì)話密鑰加密和解密傳輸?shù)男畔?。此?huì)話密鑰的加密度，或強(qiáng)度，用位來(lái)表示。構(gòu)成會(huì)話密鑰的位數(shù)越大或越長(zhǎng)，加密和安全的等級(jí)就越高。Web 服務(wù)器的會(huì)話密鑰一般為 40 位長(zhǎng)，但實(shí)際上能夠更長(zhǎng)。Web 服務(wù)器使用本質(zhì)上相同的加密方法來(lái)維護(hù)與用戶的通訊鏈接的安全。建立安全鏈接后，Web 服務(wù)器和用戶 Web 掃瞄器都使用指定的會(huì)話密鑰來(lái)加密和解密信息。例如，當(dāng)經(jīng)認(rèn)證的用戶企圖從要求安全通道的 Web 站點(diǎn)下載文件時(shí)，Web 服務(wù)器使用會(huì)話密鑰加密此文件和相關(guān)的 HTTP 標(biāo)題。接

32、收到加密文件后，Web 掃瞄器將使用相同會(huì)話密鑰的副本還原此文件。這種加密方法盡管安全，但有先天不足：在創(chuàng)建安全鏈接過(guò)程期間，會(huì)話密鑰的副本可能會(huì)在不安全的網(wǎng)絡(luò)上傳輸。這意味著要危害鏈接的計(jì)算機(jī)破壞者只需要截取和偷竊此會(huì)話密鑰就能夠了。要防止這種可能性，Web 服務(wù)器可使用其他加密方法。 Web 服務(wù)器的安全套接字層 (SSL) 安全功能使用了一種稱為公共密鑰的加密技術(shù)來(lái)屏蔽此密鑰以防在傳輸期間被截取。使用了兩個(gè)附加密鑰：私人和公共密鑰。公共密鑰加密的工作方式如下： 用戶 Web 掃瞄器建立與 Web 服務(wù)器的安全 (HTTPS) 通訊鏈接。 Web 服務(wù)器向用戶發(fā)送服務(wù)器證書和公共密鑰。（此

33、證書使用戶能夠確認(rèn)服務(wù)器的真實(shí)性和 Web 內(nèi)容的完整性。） 用戶的 Web 掃瞄器和服務(wù)器參與商量交換，以確定用于安全通訊的加密度。 Web 掃瞄器生成會(huì)話密鑰，再用服務(wù)器的公共密鑰加密它。然后掃瞄器把加密的會(huì)話密鑰發(fā)送給 Web 服務(wù)器。 服務(wù)器用私人密鑰解密會(huì)話密鑰，并建立安全通道。 Web 服務(wù)器和掃瞄器都用會(huì)話密鑰加密和解密傳輸?shù)臄?shù)據(jù)。 會(huì)話密鑰的復(fù)雜度，或強(qiáng)度，是和組成會(huì)話密鑰文件的二進(jìn)制位數(shù)成正比的。這意味著會(huì)話密鑰的位數(shù)越大，安全度就越大，解密就越困難。用戶要建立與 Web 服務(wù)器的安全通訊通道時(shí)，用戶掃瞄器必須確認(rèn)能用于該通道安全通訊的最高級(jí)加密或最高會(huì)話密鑰強(qiáng)度。這意味著

34、Web 服務(wù)器和用戶掃瞄器都必須具有兼容的會(huì)話密鑰加密和解密能力。例如，假如將服務(wù)器配置為要求最小 128位加密強(qiáng)度的會(huì)話密鑰，則若要使連接安全，用戶必須使 Web 掃瞄器有能力處理具有 128 位會(huì)話密鑰的信息。目前，在國(guó)內(nèi)使用的掃瞄器要緊是微軟公司開(kāi)發(fā)的Internet Explore和網(wǎng)景公司開(kāi)發(fā)的Navigator或Communicator。這兩種掃瞄器都具備SSL連接的功能。然而，使用掃瞄器缺省的SSL功能，存在著許多缺點(diǎn)：由于國(guó)內(nèi)掃瞄器受到美國(guó)出口限制，加密位數(shù)無(wú)法達(dá)到128位。盡管美國(guó)國(guó)會(huì)差不多批準(zhǔn)了56位密碼產(chǎn)品出口，然而簡(jiǎn)體中文版的掃瞄器依舊仍然只支持40位加密強(qiáng)度。而40位

35、加密強(qiáng)度遠(yuǎn)達(dá)不到在電子商務(wù)中應(yīng)用的安全需求。Internet Explore SSL模塊的加密部分實(shí)際上是由操作系統(tǒng)加密內(nèi)核CSP提供的，而Navigator和Communicator掃瞄器的加密模塊采納的是網(wǎng)景公司開(kāi)發(fā)的PKCS11模塊，這兩個(gè)模塊之間不能夠交換私鑰，因此用戶申請(qǐng)證書時(shí)用的是何種掃瞄器，以后就必須使用那個(gè)掃瞄器，這給用戶帶來(lái)了不便。由于CSP和PKCS11的接口不同，因此要兼顧兩個(gè)掃瞄器的用戶，應(yīng)用系統(tǒng)必須開(kāi)發(fā)兩套網(wǎng)頁(yè)，增加了應(yīng)用系統(tǒng)的開(kāi)發(fā)工作量。缺省的CSP和PKCS11模塊都不能支持IC卡，給用戶保存和治理密鑰增加了難度，也降低了安全性能?？蛻舻淖C書和私鑰保存在CSP或P

36、KCS11模塊中，給用戶簽名和其他電子商務(wù)應(yīng)用擴(kuò)展帶來(lái)了專門大的不便。以SET應(yīng)用為例，目前大部分SET系統(tǒng)的客戶端電子鈔票包差不多上采納自己開(kāi)發(fā)的加密模塊，也確實(shí)是講，用戶必須再申請(qǐng)一張SET數(shù)字證書，不同的應(yīng)用采納自己的加密模塊，給用戶造成了極大的不便。因此國(guó)內(nèi)采納比較多的確實(shí)是SSL代理的做法，SSL代理通過(guò)截獲HTTPS請(qǐng)求響應(yīng)對(duì)，在客戶請(qǐng)求受愛(ài)護(hù)的URL時(shí)建立SSL連接。SSL代理產(chǎn)品完全符合SSL標(biāo)準(zhǔn)，因此和掃瞄器，Web服務(wù)器內(nèi)置的SSL功能都能完全兼容。 SSL代理的工作原理SSL代理分為兩個(gè)部分：代理客戶端和代理服務(wù)器。代理客戶端運(yùn)行在用戶的PC機(jī)上，與掃瞄器同在一臺(tái)機(jī)器上，

37、代理客戶端通過(guò)修改掃瞄器的代理設(shè)置，從而捕獲掃瞄器發(fā)出的安全連接。當(dāng)用戶需要用掃瞄器的SSL與服務(wù)器（代理服務(wù)器或Web Server本身）進(jìn)行連接時(shí)，該請(qǐng)求被代理服務(wù)器捕獲后，代理客戶端先與服務(wù)器建立高位數(shù)加密強(qiáng)度（高于128位）的握手，再和掃瞄器之間生成低位數(shù)的SSL握手，掃瞄器發(fā)出的http請(qǐng)求通過(guò)40位SSL到達(dá)代理客戶端，代理客戶端首先將數(shù)據(jù)解密，然后用與服務(wù)器端之間建立的128位SSL連接加密，發(fā)送給服務(wù)器，類似地，服務(wù)器將http響應(yīng)發(fā)送給代理客戶端，代理客戶端先將數(shù)據(jù)解密，然后通過(guò)與掃瞄器之間建立的40位SSL連接將數(shù)據(jù)發(fā)送給掃瞄器。在服務(wù)器端，代理服務(wù)器端則與低位數(shù)的web

38、server運(yùn)行在同一臺(tái)主機(jī)上，代理web server的高位數(shù)加密連接，其工作過(guò)程與代理客戶端十分類似。SSL代理的工作原理見(jiàn)圖3。由于代理客戶端和掃瞄器安裝在同一臺(tái)機(jī)器上，具有相同的IP地址，因此數(shù)據(jù)僅到達(dá)數(shù)據(jù)鏈路層，不可能在任何網(wǎng)絡(luò)上出現(xiàn)，兩者之間即便只有40位的加密強(qiáng)度，也是足夠安全的。代理服務(wù)器和web server之間亦是如此。SSL代理除了提高了傳輸密鑰的位數(shù)，同時(shí)也提高了證書非對(duì)稱密鑰的位數(shù)，依照美國(guó)的出口限制，非對(duì)稱密鑰位數(shù)不能超過(guò)512位。和40位對(duì)稱密鑰一樣，攻破512位非對(duì)稱密鑰差不多成為可能。代理客戶端代理服務(wù)器掃瞄器web 服務(wù)器內(nèi)置40位SSL代理客戶端代理服務(wù)器

39、端40位連接128位連接http應(yīng)用數(shù)據(jù)圖 3SSL代理工作原理示意圖EMBED Visio.Drawing.4不管是代理客戶端依舊代理服務(wù)器，都只需要代理本機(jī)上的對(duì)應(yīng)產(chǎn)品，而不是代理兩者之間的連接，因此，在沒(méi)有對(duì)方的情況下，代理客戶端或代理服務(wù)器均能正常工作，假如掃瞄器具有128位加密強(qiáng)度，則即使沒(méi)有代理客戶端，也能與配備代理服務(wù)器的40位web服務(wù)器建立128位的加密強(qiáng)度，同樣地，具有128位加密強(qiáng)度的web server，在沒(méi)有代理服務(wù)器的情況下，也能與128位加密位數(shù)的掃瞄器建立128位連接。這一點(diǎn)，不管是關(guān)于面向國(guó)際的國(guó)內(nèi)web站點(diǎn)，依舊關(guān)于希望能夠與國(guó)外的web站點(diǎn)建立128位連接

40、的用戶來(lái)講，差不多上至關(guān)重要的。關(guān)于用戶來(lái)講，代理客戶端能夠真正提高掃瞄器建立SSL連接的安全強(qiáng)度，不需要任何配置工作，就象安裝掃瞄器的補(bǔ)丁程序一樣，絲毫感受不到其對(duì)某個(gè)網(wǎng)站有專門的功能或限制。上海格爾軟件公司開(kāi)發(fā)的SSL代理，通過(guò)上海格爾軟件公司開(kāi)發(fā)的PKCS加密模塊保存和治理個(gè)人證書和私有密鑰。用戶能夠在同一個(gè)應(yīng)用的不同層次使用相同的證書，進(jìn)一步降低了用戶使用該產(chǎn)品的開(kāi)銷。 SSL代理的特性上海格爾軟件公司開(kāi)發(fā)的SSL代理具有以下特性：SSL代理通過(guò)格爾PKI加密模塊提供加密和密鑰治理的能力，因此基于該模塊開(kāi)發(fā)的應(yīng)用系統(tǒng)都能夠盡可能地共用同一張用戶證書，為用戶節(jié)約了證書治理費(fèi)，簡(jiǎn)化了治理復(fù)

41、雜度。關(guān)于PKCS加密模塊詳見(jiàn)下一節(jié)。KOAL PKCS加密模塊是一個(gè)專業(yè)化的加密模塊，具有更高的安全強(qiáng)度，使用更方便，支持IC卡保存密鑰，也支持用PK卡代替軟件加密，私鑰終身不離開(kāi)IC卡，增強(qiáng)其安全性。代理服務(wù)器可對(duì)加密算法進(jìn)行配置，在不同的應(yīng)用提高或降低加密強(qiáng)度。SSL代理具有良好的兼容性，支持Windows和Unix平臺(tái)。SSL客戶端代理能夠和所有符合SSL協(xié)議的SSL服務(wù)器產(chǎn)品兼容，SSL服務(wù)器端也能夠和Internet Explore與網(wǎng)景公司的掃瞄器兼容。SSL代理采納Cache技術(shù)保存往常客戶服務(wù)器之間的安全連接，從而減少了握手的次數(shù)，在性能上盡可能地降低了阻礙。SSL服務(wù)器代理

42、能夠?qū)⒔馕龊蟮淖C書內(nèi)容添加到用戶Http請(qǐng)求中，不需要應(yīng)用系統(tǒng)自己解碼證書。立即推出的SSL代理客戶端具備XML處理能力，能夠?qū)崿F(xiàn)用XML方式進(jìn)行各種加密，簽名操作。格爾PKI加密模塊加密模塊加密模塊的要緊功能是進(jìn)行密鑰運(yùn)算和密鑰治理，大部分密碼產(chǎn)品差不多上在某個(gè)加密模塊的基礎(chǔ)上開(kāi)發(fā)的，例如微軟公司和網(wǎng)景公司的掃瞄器和Web服務(wù)器差不多上基于加密模塊開(kāi)發(fā)的。微軟公司的加密模塊是Windows操作系統(tǒng)內(nèi)置的CSP模塊，網(wǎng)景公司則是自己開(kāi)發(fā)的PKCS11模塊。類似地，格爾PKI加密模塊是格爾Enterprise CA和SSL代理產(chǎn)品的基礎(chǔ)，Enterprise CA和SSL代理產(chǎn)品的加密運(yùn)算和密鑰

43、治理功能差不多上由PKI加密模塊提供的。除此之外，格爾PKI加密模塊向二次開(kāi)發(fā)提供了接口和SDK，基于此，網(wǎng)上銀行應(yīng)用系統(tǒng)的開(kāi)發(fā)就不必再考慮加密運(yùn)算和密鑰治理的設(shè)計(jì)了。PKI加密模塊不僅支持RSA，3DES，MC5等常用標(biāo)準(zhǔn)加密算法，而且支持由上海格爾軟件公司自行研制的元胞加密算法，該算法是一種流加密算法，用作對(duì)稱加密或者計(jì)算摘要，具有專門高的強(qiáng)度和運(yùn)算速度。用戶也能夠通過(guò)PlugIn的方式插入其他算法。這比完全定制Token要方便的多。關(guān)于加密模塊來(lái)講，除了加密功能以外，密鑰的治理機(jī)制十分重要，例如密鑰是保存在磁盤文件中，Memory IC卡依舊IC卡，是否終生保存在IC卡中，密鑰的備份機(jī)制

44、如何等等。格爾PKI加密模塊PKCS11是RSA公司提出的基于公鑰體制的加密模塊標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了一個(gè)提供保存加密信息和執(zhí)行加解密操作的標(biāo)準(zhǔn)應(yīng)用程序接口（API）（稱為Cryptoki）。加密運(yùn)算和密鑰治理的功能實(shí)際上是由Token完成的。Token是一種邏輯設(shè)備，能夠替換或“插拔”，以實(shí)現(xiàn)用不同的物理設(shè)備保存密鑰和進(jìn)行加密運(yùn)算。格爾PKI（Public Key Infrastructure）加密模塊是參照PKCS11規(guī)范設(shè)計(jì)的加密模塊。然而對(duì)PKCS11規(guī)范作了功能上的擴(kuò)展，增加了ASN編碼和解碼的功能，以及一些協(xié)議的處理，例如OCSP，IPSec協(xié)議等。其原理可參見(jiàn)圖4。圖 4 PKI加密

45、模塊示意圖格爾PKI加密模塊為上層應(yīng)用提供了加密、證書治理、密鑰治理和黑名單治理的差不多功能，因此是PKI應(yīng)用的基礎(chǔ)。除了應(yīng)用在PKI系統(tǒng)外，該加密模塊也包括了符合PBOC規(guī)范的密鑰分散等IC卡加密機(jī)制。以便IC卡網(wǎng)上交易系統(tǒng)的開(kāi)發(fā)。格爾PKI加密模塊的Token是一個(gè)多介質(zhì)的Token，它支持用IC卡或磁盤保存密鑰，也支持用帶有非對(duì)稱運(yùn)算能力的IC卡（PK卡）來(lái)實(shí)現(xiàn)運(yùn)算。另外用戶能夠自己實(shí)現(xiàn)Token，例如基于硬件加密機(jī)的Token等。Token以PlugIn的方式插入到加密模塊中。格爾加密模塊還提供了COM接口的封裝，應(yīng)用系統(tǒng)的開(kāi)發(fā)者甚至能夠用Java Applet，ASP，PHP等腳本語(yǔ)

46、言調(diào)用加密功能。在Windows平臺(tái)，格爾加密模塊還提供了證書，密鑰和黑名單等對(duì)象治理圖形界面工具。格爾加密模塊具有專門好的伸縮性，作為客戶端使用時(shí)，僅支持少量的功能和部分加密算法，從而縮小程序的大小，便于用戶下載。加密模塊提供了比較好的便攜性能，證書和密鑰專門容易從一臺(tái)PC的加密模塊移到另一臺(tái)上。這對(duì)某些應(yīng)用提供了便利。KOAL PKI加密模塊支持多用戶權(quán)限操縱，即多個(gè)用戶能夠共用同一個(gè)加密模塊，但一個(gè)用戶不能存取或利用其他用戶的密鑰進(jìn)行運(yùn)算。硬件實(shí)現(xiàn)方案由格爾加密模塊來(lái)治理用戶的私鑰和證書，執(zhí)行數(shù)據(jù)的簽名，加密和解密操作。一方面，我們能夠?qū)崿F(xiàn)用戶私鑰的硬件方式保存，將用戶的私鑰保存在IC卡

47、上，并采納有效的手段愛(ài)護(hù)用戶的私鑰。另一方面，我們能夠?qū)崿F(xiàn)使用硬件進(jìn)行加密解密操作。 為了保證私有密鑰的安全，存放私有密鑰必須符合以下幾條策略：在任何時(shí)刻，私有密鑰都不以明文的形式存放在固定存儲(chǔ)介質(zhì)里。假如RAM里產(chǎn)生了私有密鑰的明文后，用完后趕忙銷毀。私有密鑰分塊存放在多個(gè)固定存儲(chǔ)介質(zhì)里。對(duì)分塊存放的密碼塊最好也要加密，那個(gè)加密密鑰不保存在任何存儲(chǔ)介質(zhì)里，只是存在人的腦子里。格爾加密模塊使用智能IC卡技術(shù)來(lái)存放用戶的私鑰，存放過(guò)程如下：系統(tǒng)產(chǎn)生RSA密鑰對(duì)后，用DES密鑰對(duì)私有密鑰進(jìn)行加密后，得到密鑰信息。系統(tǒng)把密鑰信息分為N個(gè)密鑰信息塊，每一塊的長(zhǎng)度不定，是隨機(jī)決定的。保密鑰信息塊和塊長(zhǎng)度

48、被不同的個(gè)人應(yīng)用密鑰加密后，存入一張IC卡的不同文件中保存。關(guān)于硬件加密則采納硬件加密機(jī)來(lái)實(shí)現(xiàn)。硬件加密機(jī)就如同一個(gè)黑盒子一樣，能夠產(chǎn)生、保存私有密鑰，同時(shí)能夠加密輸入數(shù)據(jù)流。它的內(nèi)部配置必須高性能的加密處理器以進(jìn)行RSA加密運(yùn)算，能支持密鑰長(zhǎng)度為1024位、2048位的RSA加密運(yùn)算以及安全哈什、塊加密等運(yùn)算，加密的速度能夠滿足應(yīng)用的要求：一次密鑰長(zhǎng)度為1024位的RSA加密運(yùn)算時(shí)刻不多于200ms。IC卡實(shí)現(xiàn)方案假如IC卡不具有非對(duì)稱運(yùn)算功能（非PK卡），我們利用它來(lái)保存用戶的私有密鑰。有時(shí)候也把用戶的證書放在IC卡里。IC卡具有特不行的安全性，首先，IC卡的COS有著專門好的安全性設(shè)計(jì)，

49、這種安全性超過(guò)了任何一種按ABCD分級(jí)的操作系統(tǒng)。其次IC卡本身具有一定的攻擊防范能力，存放在IC卡中的數(shù)據(jù)專門難通過(guò)特不規(guī)的物理方法讀取，數(shù)據(jù)也專門難被復(fù)制。因此，關(guān)于個(gè)人用戶來(lái)講，IC卡是一個(gè)專門好的密鑰保存介質(zhì)。PKCS11的實(shí)現(xiàn)與密鑰的存放媒質(zhì)無(wú)關(guān)，上海格爾公司開(kāi)發(fā)的PKCS11模塊，在客戶端能夠支持用IC卡存放密鑰和證書。這提高了用戶交易環(huán)境的安全等級(jí)，用戶能夠方便地?cái)y帶自己的私鑰。而不需擔(dān)心其他人通過(guò)攻擊PC的硬盤來(lái)獵取自己的密鑰。格爾證書認(rèn)證系統(tǒng)格爾證書認(rèn)證系統(tǒng)是數(shù)字證書的簽發(fā)者。數(shù)字證書是用于驗(yàn)證信息傳輸各方身份的有效證明，同時(shí)也用于加密數(shù)據(jù)，防止抵賴和篡改。它通過(guò)證書驗(yàn)證和授

50、權(quán)機(jī)構(gòu)對(duì)證書持有人及其公開(kāi)密鑰的簽名有效地將兩者相關(guān)聯(lián)。最新的數(shù)字證書標(biāo)準(zhǔn)是X.509v3，證書驗(yàn)證和授權(quán)機(jī)構(gòu)用一個(gè)唯一名（Distinguished Name）標(biāo)識(shí)一個(gè)用戶，并向其簽發(fā)數(shù)字證書，該證書包含了該用戶的唯一名和公鑰。證書認(rèn)證系統(tǒng)證書認(rèn)證系統(tǒng)包括證書認(rèn)證服務(wù)器、治理員接口、RA接口和用戶接口，提供多種用途數(shù)字證書的發(fā)行功能和治理功能。它能夠依照策略模塊進(jìn)行自動(dòng)發(fā)證，也能夠手工發(fā)證和治理。所發(fā)行的數(shù)字證書能夠用來(lái)驗(yàn)證客戶身份和服務(wù)器身份，從而達(dá)到對(duì)某些敏感信息的愛(ài)護(hù)。上海格爾軟件有限公司開(kāi)發(fā)的企業(yè)證書認(rèn)證系統(tǒng)是一個(gè)基于Internet/Intranet的數(shù)字證書發(fā)行、治理系統(tǒng)。用戶能

51、夠通過(guò)Internet用掃瞄器來(lái)申請(qǐng)和治理自己的數(shù)字證書，系統(tǒng)治理員同樣通過(guò)掃瞄器對(duì)系統(tǒng)進(jìn)行治理?？砂l(fā)行的數(shù)字證書包括個(gè)人數(shù)字證書和服務(wù)器數(shù)字證書。與CA中心相比，網(wǎng)上銀行系統(tǒng)維護(hù)自己的CA服務(wù)器成本更低，而且實(shí)時(shí)性更好，一般來(lái)講，CA中心不主動(dòng)發(fā)放CRL（證書廢止列表），應(yīng)用程序必須自己下載并維護(hù)CRL，而且查詢CRL的方式往往實(shí)時(shí)性比較差，處理CRL比較好的方法是通過(guò)OCSP（實(shí)時(shí)證書狀態(tài)驗(yàn)證協(xié)議）直接向CA查詢，然而CA中心處理OCSP請(qǐng)求的性能往往較低。實(shí)際上，大多數(shù)情況下CA中心的方案并不是十分有意義，只有當(dāng)某個(gè)用戶持有某家銀行的證書同時(shí)需要查詢另一家銀行的賬戶時(shí)才有意義，但目前看來(lái)

52、這種情形并不太可能發(fā)生。工作流程個(gè)人數(shù)字證書用于Web掃瞄器。用戶的掃瞄器產(chǎn)生密鑰對(duì)并將公鑰發(fā)送到身份認(rèn)證服務(wù)器，身份認(rèn)證通過(guò)發(fā)行策略檢查后，同意用戶的請(qǐng)求，對(duì)用戶的個(gè)人信息以及公鑰進(jìn)行簽名，產(chǎn)生數(shù)字證書。隨后發(fā)送給用戶，用戶的掃瞄器同意到證書以后會(huì)在自己的密鑰庫(kù)中對(duì)證書中的公鑰進(jìn)行匹配，假如找到匹配的私鑰，掃瞄器便將證書與私鑰合并成完整的密鑰環(huán)，整個(gè)證書申請(qǐng)過(guò)程完成。PAGE # Page: # 服務(wù)器證書被用于支持SSL協(xié)議的Web服務(wù)器上，首先用戶的服務(wù)器產(chǎn)生一個(gè)證書簽名請(qǐng)求（CSR）其中包含了服務(wù)器的一個(gè)公鑰，用戶將該請(qǐng)求發(fā)送到身份認(rèn)證服務(wù)器，身份認(rèn)證通過(guò)檢查同意用戶請(qǐng)求后產(chǎn)生數(shù)字證書

53、，并發(fā)送給用戶，用戶收到數(shù)字證書后將證書合并到Web服務(wù)器的密鑰環(huán)中，成為完整可用的密鑰環(huán)，服務(wù)器數(shù)字證書申請(qǐng)過(guò)程完成。服務(wù)器安裝數(shù)字證書后，能夠激活SSL連接，現(xiàn)在客戶通過(guò)Internet同服務(wù)器的信息交換差不多上以加密的方式進(jìn)行，從而愛(ài)護(hù)了信息的安全性，同時(shí)web master為了愛(ài)護(hù)自己的信息能夠要求驗(yàn)證客戶證書，那個(gè)地點(diǎn)的客戶證書確實(shí)是前面講的個(gè)人數(shù)字證書，服務(wù)器通過(guò)對(duì)客戶證書的驗(yàn)證來(lái)愛(ài)護(hù)站點(diǎn)不被非法用戶侵入。用戶注冊(cè)證書申請(qǐng)證書獲得證書廢除證書更新證書申請(qǐng)以后，在私鑰受到攻擊的時(shí)候，用戶還需要廢除或更新自己的證書。圖4給出了用戶證書操作的流程。圖 5 證書申請(qǐng)流程示意圖證書認(rèn)證系統(tǒng)界

54、面包括用戶界面和治理員界面兩部分。用戶界面包括差不多服務(wù)、用戶信息治理、個(gè)人數(shù)字證書和服務(wù)器數(shù)字證書四部分。身份認(rèn)證差不多服務(wù)包括根證書下載和身份認(rèn)證服務(wù)器證書下載。用戶對(duì)個(gè)人數(shù)字證書和服務(wù)器數(shù)字證書的信任是基于對(duì)根證書的信任，因此身份認(rèn)證服務(wù)器需要提供根證書下載和每種證書類型的身份認(rèn)證服務(wù)器證書下載功能。用戶信息治理包括用戶注冊(cè)和注冊(cè)信息修改。用戶申請(qǐng)數(shù)字證書之前首先必須注冊(cè)，用戶必須將必要的身份信息提交給身份認(rèn)證服務(wù)器，用戶提供的信息將作為數(shù)字證書的一部分被身份認(rèn)證服務(wù)器簽名來(lái)產(chǎn)生用戶的數(shù)字證書。假如有必要用戶還能夠修改部分注冊(cè)信息。用戶信息治理并不是獨(dú)立與證書申請(qǐng)之外的過(guò)程，事實(shí)上，作為

55、證書申請(qǐng)流程的首要條件，用戶信息治理同證書申請(qǐng)是互相融合的。個(gè)人證書發(fā)行包括申請(qǐng)個(gè)人數(shù)字證書，個(gè)人數(shù)字治理以及查詢個(gè)人數(shù)字證書等功能。具體工作流程是：首先用戶必須進(jìn)行注冊(cè)，已注冊(cè)用戶能夠直接申請(qǐng)數(shù)字證書。用戶將提供其姓名，電子郵件地址等信息。當(dāng)注冊(cè)被確認(rèn)后，會(huì)以電子郵件或提示等方式通知用戶，其中包含有該用戶的PIN（Personal Identify Number）該號(hào)碼唯一標(biāo)識(shí)了該用戶，用戶也能夠自己查詢，檢查自己當(dāng)前的狀態(tài)，然后用戶就能夠用那個(gè)號(hào)碼來(lái)申請(qǐng)數(shù)字證書。在用戶的申請(qǐng)被同意以后，用戶能夠安裝證書。此外，用戶還能夠撤消原有的證書或更新已撤消或過(guò)期的證書。關(guān)于網(wǎng)上銀行系統(tǒng)，個(gè)人數(shù)字證書

56、的使用對(duì)用戶來(lái)講只需要在第一次使用時(shí)進(jìn)行一些操作。在以后的使用時(shí)是隱含的。因此，個(gè)人證書的發(fā)行將采納帳戶號(hào)碼作為PIN，帳戶密碼作為證書口令，或者由用戶重新選擇自己的證書口令。發(fā)行也是自動(dòng)發(fā)行的，如此才能夠滿足大量帳戶用戶的自動(dòng)發(fā)行要求。個(gè)人數(shù)字證書申請(qǐng)將產(chǎn)生用戶的個(gè)人數(shù)字證書，身份認(rèn)證系統(tǒng)收到用戶的證書請(qǐng)求后，能夠自動(dòng)或由治理員手工生成一張用戶個(gè)人數(shù)字證書，并將這些信息存放到數(shù)據(jù)庫(kù)和目錄服務(wù)器中以備查詢。個(gè)人數(shù)字證書治理包括證書下載和安裝、證書廢除和證書更新等服務(wù)。個(gè)人數(shù)字證書治理界面維護(hù)注冊(cè)用戶所有個(gè)人數(shù)字證書列表，用戶能夠下載和安裝這些數(shù)字證書，也能夠廢除某張證書，被廢除的數(shù)字證書將自動(dòng)

57、寫入證書黑名單，并從目錄服務(wù)器中刪除，用戶還能夠?qū)^(guò)期或已廢除的證書進(jìn)行更新。查詢個(gè)人數(shù)字證書提供對(duì)其他用戶的數(shù)字證書的檢索，用戶能夠查詢身份認(rèn)證的數(shù)據(jù)庫(kù)，也能夠查詢目錄服務(wù)器。個(gè)人數(shù)字證書查詢提供對(duì)數(shù)字證書的下載功能，其功能類似于電話號(hào)碼黃頁(yè)。治理員界面要緊包括數(shù)字證書治理、治理員帳號(hào)治理、系統(tǒng)配置治理和日志治理四部分組成。如圖6。證書治理黑名單治理日志治理系統(tǒng)配置注冊(cè)信息治理證書治理查看黑名單刷新黑名單CA證書治理根證書安裝系統(tǒng)策略配置清除日志查看日志查看證書信息批準(zhǔn)證書請(qǐng)求廢除證書圖 6 治理職員作流程示意圖治理員界面是基于掃瞄器的，需要對(duì)連接的用戶進(jìn)行身份識(shí)不，這一點(diǎn)必須通過(guò)WWW服務(wù)

58、器的安全機(jī)制來(lái)實(shí)現(xiàn)。關(guān)于支持客戶數(shù)字證書的服務(wù)器如Netscape Enterprise Server和微軟IIS，身份認(rèn)證系統(tǒng)通過(guò)獵取用戶的個(gè)人數(shù)字證書來(lái)進(jìn)行身份驗(yàn)證，關(guān)于不支持客戶數(shù)字證書的服務(wù)器，則通過(guò)其自身的用戶口令機(jī)制來(lái)進(jìn)行身份驗(yàn)證。個(gè)人數(shù)字證書治理包括個(gè)人注冊(cè)信息治理和個(gè)人數(shù)字證書治理兩部分。個(gè)人注冊(cè)信息治理能夠查詢一段時(shí)期內(nèi)的用戶注冊(cè)情況，并能夠產(chǎn)生用戶注冊(cè)信息報(bào)表。個(gè)人數(shù)字證書治理負(fù)責(zé)對(duì)用戶的個(gè)人數(shù)字證書申請(qǐng)進(jìn)行手工確認(rèn)或廢除工作，同時(shí)還能對(duì)一段時(shí)刻內(nèi)的用戶申請(qǐng)進(jìn)行統(tǒng)計(jì)。治理員帳號(hào)治理包括對(duì)治理員用戶的帳號(hào)增加，刪除，權(quán)限和口令的設(shè)置。這部分設(shè)置是針關(guān)于通過(guò)SSL3協(xié)議訪問(wèn)治理

59、員界面的情況的，系統(tǒng)治理員通過(guò)SSL3協(xié)議訪問(wèn)系統(tǒng)時(shí)必須提供個(gè)人數(shù)字證書，服務(wù)器驗(yàn)證其個(gè)人數(shù)字證書，同治理員帳號(hào)表進(jìn)行匹配，并給予其對(duì)系統(tǒng)進(jìn)行配置和治理的權(quán)利，系統(tǒng)治理員通過(guò)用戶治理來(lái)設(shè)定每個(gè)具有治理權(quán)限的用戶的具體權(quán)限等級(jí)。系統(tǒng)治理包括對(duì)系統(tǒng)參數(shù)的配置和根證書安裝。身份認(rèn)證安裝完畢后必須首先進(jìn)行系統(tǒng)參數(shù)配置和根證書安裝，只有安裝了根證書后才能正確安裝身份認(rèn)證證書，系統(tǒng)參數(shù)配置包括數(shù)據(jù)庫(kù)配置信息，SMTP服務(wù)器配置信息以及目錄服務(wù)器信息配置等等。系統(tǒng)報(bào)表治理包括對(duì)個(gè)人信息注冊(cè)，個(gè)人證書申請(qǐng)和站點(diǎn)證書申請(qǐng)的統(tǒng)計(jì)報(bào)表以及對(duì)系統(tǒng)日志的查詢和清除等功能。系統(tǒng)報(bào)表統(tǒng)計(jì)了一段時(shí)刻內(nèi)的用戶注冊(cè)，證書申請(qǐng)的情

60、況，關(guān)于不同的需求，這部分功能會(huì)有所不同，能夠依照身份認(rèn)證用戶的需求增加或改變某些功能。系統(tǒng)日志記錄了所有有關(guān)的治理員操作，包括發(fā)行證書，撤消證書，系統(tǒng)配置更改等。治理員能夠查看或清除這些日志。格爾網(wǎng)上銀行解決方案特性分析上海格爾軟件公司的優(yōu)勢(shì)在于：擁有自主版權(quán)的加密產(chǎn)品源代碼，安全自定義的應(yīng)用程序接口，提供完全的可定制性和靈活性符合國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的高強(qiáng)度加密算法模塊以及身份認(rèn)證系統(tǒng)嵌入式的客戶端安全插件消除了國(guó)外掃瞄器存在后門的隱患；同時(shí)提供了靈活的應(yīng)用層接口。國(guó)際兼容的SSL安全解決方案和IC卡解決方案完善的系統(tǒng)安全設(shè)計(jì)和實(shí)現(xiàn)方案強(qiáng)大的開(kāi)發(fā)和技術(shù)支持力量采納格爾安全方案的好處是明顯的。