WEB網(wǎng)站系統(tǒng)安全解決方案

1、 網(wǎng)站系系統(tǒng)安全的的需求分析析本文從數(shù)據(jù)據(jù)安全和業(yè)業(yè)務(wù)邏輯安安全兩個(gè)角角度對應(yīng)用用系統(tǒng)的安安全進(jìn)行需需求分析，主主要包括保保密性需求求、完整性性需求、可可用性需求求三部分；隨后對業(yè)業(yè)務(wù)邏輯安安全需求進(jìn)進(jìn)行了分析析，包括身身份認(rèn)證、訪問控制制、交易重重復(fù)提交控控制、異步步交易處理理、交易數(shù)數(shù)據(jù)不可否否認(rèn)性、監(jiān)監(jiān)控與審計(jì)計(jì)等幾個(gè)方方面；最后后還分析了了系統(tǒng)中一一些其它的的安全需求求。2.1 數(shù)據(jù)安全全需求2.1.11數(shù)據(jù)保密密性需求數(shù)據(jù)保密性性要求數(shù)據(jù)據(jù)只能由授授權(quán)實(shí)體存存取和識(shí)別別，防止非非授權(quán)泄露露。從目前前國內(nèi)應(yīng)用用的安全案案例統(tǒng)計(jì)數(shù)數(shù)據(jù)來看，數(shù)數(shù)據(jù)保密性性是最易受受到攻擊的的一個(gè)方面面，通

2、常表表現(xiàn)為客戶戶端發(fā)生的的數(shù)據(jù)泄密密，包括用用戶的基本本信息、賬賬戶信息、登錄信息息等的泄露露。在應(yīng)用用系統(tǒng)中，數(shù)數(shù)據(jù)保密性性需求通常常主要體現(xiàn)現(xiàn)在以下幾幾個(gè)方面：A客戶端端與系統(tǒng)交交互時(shí)輸入入的各類密密碼：包括括系統(tǒng)登錄錄密碼、轉(zhuǎn)賬密碼碼、憑證查詢詢密碼、憑證交易易密碼等必必須加密傳傳輸及存放放，這些密密碼在應(yīng)用用系統(tǒng)中只只能以密文文的方式存存在，其明明文形式能能且只能由由其合法主主體能夠識(shí)識(shí)別。以網(wǎng)銀系統(tǒng)統(tǒng)為例，在在網(wǎng)銀系統(tǒng)統(tǒng)中，通常常存有四種種密碼：系系統(tǒng)登錄密密碼、網(wǎng)銀銀轉(zhuǎn)賬密碼碼、柜面交交易密碼及及一次性密密碼。系統(tǒng)統(tǒng)登錄密碼碼用來認(rèn)證證當(dāng)前登錄錄者為指定定登錄名的的合法用戶戶，網(wǎng)銀

3、用用戶的登錄錄密碼和網(wǎng)網(wǎng)銀轉(zhuǎn)賬密密碼由用戶戶在柜面開開戶時(shí)指定定，用戶在在首次登錄錄網(wǎng)銀系統(tǒng)統(tǒng)時(shí)，系統(tǒng)統(tǒng)必須強(qiáng)制制用戶修改改初始密碼碼，通常要要求長度不不得少于六六位數(shù)，且且不能是類類似于11111111、123345677、987765433等的簡單單數(shù)字序列列，系統(tǒng)將將進(jìn)行檢查查。網(wǎng)銀轉(zhuǎn)賬密密碼是指網(wǎng)網(wǎng)銀系統(tǒng)為為鞏固用戶戶資金安全全，在涉及及資金變動(dòng)動(dòng)的交易中中對用戶身身份進(jìn)行了了再認(rèn)證，要要求用戶輸輸入預(yù)設(shè)的的密碼，網(wǎng)網(wǎng)銀交易密密碼僅針對對個(gè)人用戶戶使用，企企業(yè)用戶沒沒有網(wǎng)銀交交易密碼。建立多重重密碼機(jī)制制，將登錄錄密碼與網(wǎng)網(wǎng)銀轉(zhuǎn)賬密密碼分開管管理，有利利于加強(qiáng)密密碼的安全全性。由于于用

4、戶在使使用網(wǎng)銀時(shí)時(shí)每次都必必須先提供供登錄密碼碼，故登錄錄密碼暴露露的機(jī)會(huì)較較多，安全全性相對較較弱；但登登錄網(wǎng)銀的的用戶并不不是每次都都會(huì)操作賬賬戶資金的的，所以專專門設(shè)定網(wǎng)網(wǎng)銀轉(zhuǎn)賬密密碼可加強(qiáng)強(qiáng)賬戶的安安全性。網(wǎng)網(wǎng)銀轉(zhuǎn)賬密密碼在網(wǎng)銀銀開戶時(shí)設(shè)設(shè)定，網(wǎng)銀銀用戶在系系統(tǒng)中作轉(zhuǎn)轉(zhuǎn)賬支付、理財(cái)、代代繳費(fèi)等資資金變動(dòng)類類交易時(shí)使使用。柜面交易密密碼是指用用戶在銀行行柜面辦理理儲(chǔ)蓄時(shí)，針針對儲(chǔ)蓄憑憑證（如卡卡折、存單單等）而設(shè)設(shè)的密碼。柜面交易易密碼常用用于POSS系統(tǒng)支付付時(shí)、ATTM取款時(shí)時(shí)、憑證柜柜面取款時(shí)時(shí)，柜面交交易密碼一一個(gè)明顯的的特征是它它目前只能能是六位的的數(shù)字，這這是由于目目前柜面密

5、密碼輸入設(shè)設(shè)備的限制制而造成的的。柜面交交易密碼與與上述的網(wǎng)網(wǎng)銀轉(zhuǎn)賬密密碼的區(qū)別別在于：網(wǎng)網(wǎng)銀轉(zhuǎn)賬密密碼和系統(tǒng)統(tǒng)登錄密碼碼都產(chǎn)生于于網(wǎng)銀系統(tǒng)統(tǒng)，儲(chǔ)存在在網(wǎng)銀系統(tǒng)統(tǒng)中，僅限限網(wǎng)銀系統(tǒng)統(tǒng)中認(rèn)證使使用；而柜柜面交易密密碼產(chǎn)生于于銀行柜臺(tái)臺(tái)，可以在在外圍渠道道如ATMM、電話銀銀行、自助助終端上修修改，它保保存在銀行行核心系統(tǒng)統(tǒng)中，供外外圍各個(gè)渠渠道系統(tǒng)共共同使用。另外網(wǎng)銀銀轉(zhuǎn)賬密碼碼可以有非非數(shù)字字符符組成，而而柜面交易易密碼只能能是六位的的數(shù)字。網(wǎng)網(wǎng)銀中使用用到柜面交交易密碼的的交易包括括：網(wǎng)銀開開戶、加掛掛賬戶。一次性密碼碼由用戶的的智能卡、令牌卡產(chǎn)產(chǎn)生，或由由動(dòng)態(tài)密碼碼系統(tǒng)產(chǎn)生生通過短信信方式

6、發(fā)送送到用戶注注冊的手機(jī)機(jī)上。一次次性密碼的的作用與網(wǎng)網(wǎng)銀轉(zhuǎn)賬密密碼相同，適適用的場合合也相同。一次性密密碼在農(nóng)商商行網(wǎng)銀系系統(tǒng)中是可可選的安全全服務(wù)，用用戶需到柜柜面辦理開開通手續(xù)才才能使用，沒沒有開通一一次性密碼碼服務(wù)的用用戶必須設(shè)設(shè)定網(wǎng)銀交交易密碼，開開通一次性性密碼服務(wù)務(wù)的用戶則則無需設(shè)定定網(wǎng)銀交易易密碼，要要求網(wǎng)銀系系統(tǒng)自動(dòng)判判斷并提示示用戶在某某個(gè)交易中中是要輸入入網(wǎng)銀交易易密碼還是是提示一次次性密碼。B應(yīng)用系系統(tǒng)與其它它系統(tǒng)進(jìn)行行數(shù)據(jù)交換換時(shí)在特定定安全需求求下需進(jìn)行行端對端的的加解密處處理。這里里的數(shù)據(jù)加加密主要是是為了防止止交易數(shù)據(jù)據(jù)被銀行內(nèi)內(nèi)部人士截截取利用，具具體通訊加加

7、密方案參參照應(yīng)用系系統(tǒng)的特定定需求。 2.1.22數(shù)據(jù)完整整性需求數(shù)據(jù)完整性性要求防止止非授權(quán)實(shí)實(shí)體對數(shù)據(jù)據(jù)進(jìn)行非法法修改。用用戶在跟應(yīng)應(yīng)用系統(tǒng)進(jìn)進(jìn)行交互時(shí)時(shí)，其輸入入設(shè)備如鍵鍵盤、鼠標(biāo)標(biāo)等有可能能被木馬程程序偵聽，輸輸入的數(shù)據(jù)據(jù)遭到截取取修改后被被提交到應(yīng)應(yīng)用系統(tǒng)中中，如原本本用戶準(zhǔn)備備向A賬戶戶轉(zhuǎn)一筆資資金在交易易數(shù)據(jù)遭到到修改后就就被轉(zhuǎn)到BB賬戶中了了。同樣的的威脅還存存在于交易易數(shù)據(jù)的傳傳輸過程中中，如在用用戶向應(yīng)用用系統(tǒng)提交交的網(wǎng)絡(luò)傳傳輸過程中中或應(yīng)用系系統(tǒng)跟第三三方等其它它系統(tǒng)的通通訊過程中中，另外存存儲(chǔ)在應(yīng)用用系統(tǒng)數(shù)據(jù)據(jù)庫中的數(shù)數(shù)據(jù)也有可可能遭到非非法修改，如如SQL注注入攻擊等

8、等。2.1.33數(shù)據(jù)可用用性需求數(shù)據(jù)可用性性要求數(shù)據(jù)據(jù)對于授權(quán)權(quán)實(shí)體是有有效、可用用的，保證證授權(quán)實(shí)體體對數(shù)據(jù)的的合法存取取權(quán)利。對數(shù)據(jù)可用用性最典型型的攻擊就就是拒絕式式攻擊（DDoS）和和分布式拒拒絕攻擊，兩兩者都是通通過大量并并發(fā)的惡意意請求來占占用系統(tǒng)資資源，致使使合法用戶戶無法正常常訪問目標(biāo)標(biāo)系統(tǒng)，如如SYN Floood攻擊等等，將會(huì)直直接導(dǎo)致其其他用戶無無法登錄系系統(tǒng)。另外外，應(yīng)用登登錄機(jī)器人人對用戶的的密碼進(jìn)行行窮舉攻擊擊也會(huì)嚴(yán)重重影響系統(tǒng)統(tǒng)的可用性性。2.2 業(yè)務(wù)邏輯輯安全需求求業(yè)務(wù)邏輯安安全主要是是為了保護(hù)護(hù)應(yīng)用系統(tǒng)統(tǒng)的業(yè)務(wù)邏邏輯按照特特定的規(guī)則則和流程被被存取及處處理。2

9、.2.11身份認(rèn)證證需求身份認(rèn)證就就是確定某某個(gè)個(gè)體身身份的過程程。系統(tǒng)通通過身份認(rèn)認(rèn)證過程以以識(shí)別個(gè)體體的用戶身身份，確保保個(gè)體為所所宣稱的身身份。應(yīng)用用系統(tǒng)中身身份認(rèn)證可可分為單向向身份認(rèn)證證和雙向身身份認(rèn)證，單單向身份認(rèn)認(rèn)證是指應(yīng)應(yīng)用系統(tǒng)對對用戶進(jìn)行行認(rèn)證，而而雙向身份份認(rèn)證則指指應(yīng)用系統(tǒng)統(tǒng)和用戶進(jìn)進(jìn)行互相認(rèn)認(rèn)證，雙向向身份認(rèn)證證可有效防防止“網(wǎng)絡(luò)釣魚魚”等假網(wǎng)站站對真正系系統(tǒng)的冒充充。應(yīng)用服務(wù)器器采用數(shù)字字證書，向向客戶端提提供身份認(rèn)認(rèn)證，數(shù)字字證書要求求由權(quán)威、獨(dú)立、公公正的第三三方機(jī)構(gòu)頒頒發(fā)；系統(tǒng)統(tǒng)為客戶端端提供兩種種可選身份份認(rèn)證方案案，服務(wù)器器端對客戶戶端進(jìn)行多多重身份認(rèn)認(rèn)證，

10、要求求充分考慮慮到客戶端端安全問題題。將客戶戶端用戶身身份認(rèn)證與與賬戶身份份認(rèn)證分開開進(jìn)行，在在用戶登錄錄系統(tǒng)時(shí)，采采用單點(diǎn)用用戶身份認(rèn)認(rèn)證，在用用戶提交更更新類、管管理類交易易請求時(shí)，再再次對用戶戶的操作進(jìn)進(jìn)行認(rèn)證或或?qū)τ脩羯砩矸葸M(jìn)行二二次認(rèn)證，以以確保用戶戶信息安全全。2.2.22訪問控制制需求訪問控制規(guī)規(guī)定了主體體對客體訪訪問的限制制，并在身身份識(shí)別的的基礎(chǔ)上，根根據(jù)身份對對提出資源源訪問的請請求加以控控制。訪問問控制是應(yīng)應(yīng)用系統(tǒng)中中的核心安安全策略，它它的主要任任務(wù)是保證證應(yīng)用系統(tǒng)統(tǒng)資源不被被非法訪問問。主體、客體和主主體對客體體操作的權(quán)權(quán)限構(gòu)成訪訪問控制機(jī)機(jī)制的三要要素。訪問問控制策

11、略略可以劃分分為自主訪訪問控制、強(qiáng)制訪問問控制和基基于角色的的訪問控制制三種。交易重復(fù)提提交控制需需求交易重復(fù)提提交就是同同一個(gè)交易易被多次提提交給應(yīng)用用系統(tǒng)。查查詢類的交交易被重復(fù)復(fù)提交將會(huì)會(huì)無故占用用更多的系系統(tǒng)資源，而而管理類或或金融類的的交易被重重復(fù)提交后后，后果則則會(huì)嚴(yán)重的的多，譬如如一筆轉(zhuǎn)賬賬交易被提提交兩次則則將導(dǎo)致用用戶的賬戶戶被轉(zhuǎn)出兩兩筆相同額額的資金，顯顯然用戶只只想轉(zhuǎn)出一一筆。交易易被重復(fù)提提交可能是是無意的，也也有可能是是故意的：A用戶的的誤操作。在B/SS結(jié)構(gòu)中，從從客戶端來來看，服務(wù)務(wù)器端對客客戶端的響響應(yīng)總有一一定的延遲遲，這在某某些交易處處理上體現(xiàn)現(xiàn)的更為明明顯

12、，特別別是那些涉涉及多個(gè)系系統(tǒng)交互、遠(yuǎn)程訪問問、數(shù)據(jù)庫庫全表掃描描、頁面數(shù)數(shù)據(jù)簽名等等交易，這這種延遲通通常都會(huì)在在5至7秒秒以上。這這時(shí)用戶有有可能在頁頁面已提交交的情況下下，再次點(diǎn)點(diǎn)擊了提交交按鈕，這這時(shí)將會(huì)造造成交易被被重復(fù)提交交。B被提交交的交易數(shù)數(shù)據(jù)有可能能被拿來作作重放攻擊擊。應(yīng)用系統(tǒng)必必須對管理理類和金融融類交易提提交的次數(shù)數(shù)進(jìn)行控制制，這種控控制即要有有效的杜絕絕用戶的誤誤操作，還還不能影響響用戶正常常情況下對對某個(gè)交易易的多次提提交。比如如說：當(dāng)某某個(gè)用戶在在10秒內(nèi)內(nèi)提交了兩兩筆相同的的轉(zhuǎn)賬業(yè)務(wù)務(wù)，則系統(tǒng)統(tǒng)必須對此此進(jìn)行控制制；另一方方面，當(dāng)用用戶在第一一筆轉(zhuǎn)賬業(yè)業(yè)務(wù)完成后

13、后，再作另另一筆數(shù)據(jù)據(jù)相同的轉(zhuǎn)轉(zhuǎn)賬時(shí)，則則系統(tǒng)不能能對此進(jìn)行行誤控制。這里判斷斷的依據(jù)就就是交易重重復(fù)提交的的控制因子子a，當(dāng)交交易提交的的間隔小于于a時(shí)，系系統(tǒng)認(rèn)為這這是重復(fù)提提交，提交交間隔大于于a的則不不作處理，控控制因子的的大小由應(yīng)應(yīng)用系統(tǒng)業(yè)業(yè)務(wù)人員決決定，系統(tǒng)統(tǒng)應(yīng)可對其其進(jìn)行配置置化管理。2.2.44異步交易易處理需求求所謂異步交交易就是指指那些錄入入與提交不不是同時(shí)完完成的交易易，這里的的同時(shí)是指指客戶端在在錄入交易易數(shù)據(jù)與提提交交易的的過程中，應(yīng)應(yīng)用系統(tǒng)服服務(wù)器端并并沒有對錄錄入的數(shù)據(jù)據(jù)進(jìn)行持久久化保存，而而異步交易易在系統(tǒng)處處理過程中中，錄入與與提交時(shí)間間上發(fā)生在在兩個(gè)相分分離

14、的階段段，在兩階階段之間，應(yīng)應(yīng)用系統(tǒng)對對錄入的數(shù)數(shù)據(jù)進(jìn)行了了持久化保保存。由于異步交交易是被系系統(tǒng)分兩階階段受理的的，這就涉涉及到以下下三個(gè)方面面的問題：錄入與提交交的關(guān)系管管理。如何保證提提交的數(shù)據(jù)據(jù)就是用戶戶當(dāng)初錄入入的數(shù)據(jù)。如何記錄交交易在兩階階段的日志志狀態(tài)。錄入與提交交的關(guān)系定定義不當(dāng)將將會(huì)導(dǎo)致交交易錄入與與提交被同同時(shí)完成而而違反了業(yè)業(yè)務(wù)處理流流程，錄入入的數(shù)據(jù)被被系統(tǒng)保存存后有可能能遭到非法法篡改，非非異步交易易執(zhí)行后的的日志狀態(tài)態(tài)不會(huì)被更更新而異步步交易在提提交后日志志狀態(tài)將會(huì)會(huì)被更新。應(yīng)用系統(tǒng)中中需要定義義成異步的的交易通常常有以下兩兩類：需要授權(quán)的的交易。出出于業(yè)務(wù)管管理和

15、業(yè)務(wù)務(wù)安全方面面的考慮，大大部分管理理類和金融融類的交易易都需要經(jīng)經(jīng)過一定的的授權(quán)流程程后方能被被提交。部分定時(shí)交交易，如預(yù)預(yù)約轉(zhuǎn)賬等等。預(yù)約一一筆在周三三轉(zhuǎn)賬的預(yù)預(yù)約轉(zhuǎn)賬有有可能是周周一被錄入入的，用戶戶在錄入后后，預(yù)約轉(zhuǎn)轉(zhuǎn)賬的數(shù)據(jù)據(jù)將被網(wǎng)銀銀系統(tǒng)保存存直到周三三這筆轉(zhuǎn)賬賬才會(huì)真正正發(fā)生。應(yīng)用系統(tǒng)必必須定義簡簡單、清晰晰、易維護(hù)護(hù)的錄入與與提交關(guān)系系模型，保保證被保存存的錄入數(shù)數(shù)據(jù)不會(huì)被被非法篡改改，同時(shí)要要求異步交交易的日志志狀態(tài)是明明確的，不不應(yīng)出現(xiàn)錄錄入與提交交相矛盾的的日志狀態(tài)態(tài)。2.2.55交易數(shù)據(jù)據(jù)不可否認(rèn)認(rèn)性需求交易數(shù)據(jù)不不可否認(rèn)性性是指應(yīng)用用系統(tǒng)的客客戶不能否否認(rèn)其所簽簽名的

16、數(shù)據(jù)據(jù)，客戶對對交易數(shù)據(jù)據(jù)的簽名是是通過應(yīng)用用系統(tǒng)使用用客戶的數(shù)數(shù)字證書來來完成的。數(shù)字證書書的應(yīng)用為為交易數(shù)據(jù)據(jù)不可否認(rèn)認(rèn)性提供了了技術(shù)支持持，而電子子簽名法的的頒布為交交易數(shù)據(jù)不不可否認(rèn)性性提供了法法律基礎(chǔ)。在應(yīng)用系統(tǒng)統(tǒng)中通常要要求對所有有管理類與與金融類的的交易進(jìn)行行數(shù)字簽名名，以防客客戶事后對對交易或交交易數(shù)據(jù)的的抵賴。應(yīng)應(yīng)用系統(tǒng)需需同時(shí)保存存客戶錄入入的原始數(shù)數(shù)據(jù)和簽名名后的數(shù)據(jù)據(jù)，保存期期限依業(yè)務(wù)務(wù)部門的具具體要求而而定?？紤]慮到系統(tǒng)性性能和對用用戶的響應(yīng)應(yīng)問題，應(yīng)應(yīng)用系統(tǒng)可可只簽與交交易有關(guān)的的關(guān)鍵數(shù)據(jù)據(jù)，支付類類的交易只只對付款人人賬號(hào)、付付款金額、收款人姓姓名、收款款人賬號(hào)、

17、收款人開開戶行五個(gè)個(gè)字段進(jìn)行行數(shù)字簽名名就可以了了。2.2.66監(jiān)控與審審計(jì)需求安全級別要要求高的應(yīng)應(yīng)用系統(tǒng)應(yīng)應(yīng)提供對系系統(tǒng)進(jìn)行實(shí)實(shí)時(shí)監(jiān)控的的功能，監(jiān)監(jiān)控的內(nèi)容容包括系統(tǒng)統(tǒng)當(dāng)前登錄錄的用戶、用戶類型型、用戶正正在訪問的的交易、用用戶登錄的的IP等。對金融類類、管理類類的交易以以及應(yīng)用系系統(tǒng)登錄交交易需要完完整地記錄錄用戶的訪訪問過程，記記錄的關(guān)鍵鍵元素包括括：用戶登登錄名、登登錄IP、交易日期期及時(shí)間、交易名稱稱、交易相相關(guān)數(shù)據(jù)等等，對有授授權(quán)流程的的交易要求求完整記錄錄授權(quán)的經(jīng)經(jīng)過，授權(quán)權(quán)記錄與交交易記錄分分開存放。 2.3 其它安全全需求2.3.11 登錄控控制需求登錄通常是是應(yīng)用系統(tǒng)統(tǒng)的

18、關(guān)鍵交交易，系統(tǒng)統(tǒng)通過登錄錄交易對用用戶身份進(jìn)進(jìn)行認(rèn)證。針對不同同角色的用用戶指定不不同的登錄錄策略：最小權(quán)限集集用戶，可可使用用戶戶登錄名+靜態(tài)登錄錄密碼+圖圖形識(shí)別碼碼方式登錄錄。低安全全性。普通權(quán)限集集用戶，可可使用用戶戶登錄名+動(dòng)態(tài)登錄錄密碼+數(shù)數(shù)圖形識(shí)別別碼方式登登錄。高權(quán)限集用用戶，可使使用用戶登登錄名+數(shù)數(shù)字證書+靜態(tài)密碼碼+數(shù)圖形形識(shí)別碼方方式登錄。所有權(quán)限集集用戶，可可使用用戶戶登錄名+數(shù)字證書書+動(dòng)態(tài)密密碼+數(shù)圖圖形識(shí)別碼碼方式登錄錄。應(yīng)用系統(tǒng)可可提供客戶戶端加密控控件對用戶戶輸入的密密碼域進(jìn)行行加密處理理后再提交交。連續(xù)登錄多多次失敗的的用戶，其其IP將被被應(yīng)用系統(tǒng)統(tǒng)鎖定

19、，224小時(shí)后后系統(tǒng)將自自動(dòng)對鎖定定的IP進(jìn)進(jìn)行解鎖。這里登錄錄失敗的次次數(shù)和IPP鎖定時(shí)長長根據(jù)業(yè)務(wù)務(wù)需求說明明應(yīng)由配置置文件進(jìn)行行設(shè)定。對于首次登登錄系統(tǒng)的的用戶，系系統(tǒng)將強(qiáng)制制定位到修修改密碼的的頁面，要要求用戶修修改初始密密碼重新登登錄方可使使用系統(tǒng)。對于密碼碼類型和長長度，系統(tǒng)統(tǒng)將規(guī)則檢檢查。對于成功登登錄的用戶戶，應(yīng)用系系統(tǒng)自動(dòng)清清除其連續(xù)續(xù)登錄失敗敗的次數(shù)，同同時(shí)初始化化用戶的相相關(guān)數(shù)據(jù)并并同時(shí)對登登錄數(shù)據(jù)進(jìn)進(jìn)行記錄，以以備審計(jì)。2.3.22 會(huì)話控控制需求通過應(yīng)用服服務(wù)器自身身的會(huì)話管管理或應(yīng)用用程序的會(huì)會(huì)話管理都都可以控制制會(huì)話的時(shí)時(shí)長設(shè)定，設(shè)設(shè)置過久的的會(huì)話將給給客戶端帶帶

20、來安全風(fēng)風(fēng)險(xiǎn)，而設(shè)設(shè)置過短則則影響用戶戶的正常使使用。該機(jī)機(jī)制使在應(yīng)應(yīng)用層無狀狀態(tài)的HTTTP/HHTTPSS協(xié)議，能能夠支持需需要狀態(tài)記記錄的互聯(lián)聯(lián)網(wǎng)應(yīng)用，實(shí)實(shí)現(xiàn)用戶登登錄后在新新的狀態(tài)下下從事交易易、超時(shí)斷斷路等功能能。2.3.33 被訪問問對象控制制需求應(yīng)用系統(tǒng)對對用戶的關(guān)關(guān)鍵資源或或信息，提提供操作權(quán)權(quán)限設(shè)置支支持，權(quán)限限分為：查查詢和更新新兩類。權(quán)權(quán)限為查詢詢的資源或或信息只能能對其進(jìn)行行查詢操作作，不能進(jìn)進(jìn)行更新。資源權(quán)限限由開戶時(shí)時(shí)指定，為為加強(qiáng)安全全性，權(quán)限限分配可通通過落地處處理開通。2.3.44 交易提提醒需求交易提醒是是指將客戶戶的賬號(hào)與與客戶手機(jī)機(jī)號(hào)、電子子郵件等關(guān)關(guān)聯(lián)

21、起來，當(dāng)當(dāng)客戶信息息發(fā)生變動(dòng)動(dòng)時(shí)，向客客戶的手機(jī)機(jī)發(fā)送一條條短信或電電話通知或或發(fā)送一封封電子郵件件，及時(shí)準(zhǔn)準(zhǔn)確的告知知客戶。另另通過通知知提醒功能能，系統(tǒng)應(yīng)應(yīng)定期向用用戶發(fā)送統(tǒng)統(tǒng)計(jì)、明細(xì)細(xì)、確認(rèn)等等信息。第三章 應(yīng)用系統(tǒng)統(tǒng)安全的總總體解決方方案3.1 安全技術(shù)術(shù)安全技術(shù)是是安全子系系統(tǒng)的理論論基礎(chǔ)，安安全子系統(tǒng)統(tǒng)中主要涉涉及的安全全技術(shù)包括括：密碼技技術(shù)、PKKI技術(shù)體體系、一次次性口令技技術(shù)等，另另外考慮到到目前實(shí)際際應(yīng)用中，大大部分WEEB應(yīng)用系系統(tǒng)是基于于J2EEE平臺(tái)的，JJ2EE平平臺(tái)本身也也對系統(tǒng)安安全提供了了較多內(nèi)置置的支持，如如JAASS技術(shù)等，所所以本章中中對于J22EE平

22、臺(tái)臺(tái)的安全技技術(shù)特性也也有少量的的討論。3.1.11 密碼技技術(shù)密碼技術(shù)是是保護(hù)信息息系統(tǒng)安全全的基礎(chǔ)技技術(shù)之一，密密碼技術(shù)可可以保證數(shù)數(shù)據(jù)的保密密性和完整整性，同時(shí)時(shí)它還具有有身份認(rèn)證證和數(shù)字簽簽名的功能能。從密碼碼體制方面面來說，密密碼技術(shù)可可分為對稱稱密鑰密碼碼技術(shù)和非非對稱密鑰鑰密碼技術(shù)術(shù)兩大類。在應(yīng)用系系統(tǒng)中常用用的密碼技技術(shù)主要有有以下幾種種：A加密解解密技術(shù)加密（Enncrypptionn）就是指指通過特定定的加密算算法對數(shù)據(jù)據(jù)進(jìn)行變換換，將明文文（Plaainteext）轉(zhuǎn)轉(zhuǎn)換成密文文（Cryyptoggraphh）；解密密（Deccrypttion）是是加密的逆逆過程，解解密

23、的過程程就是將密密文還原為為明文。設(shè)設(shè)明文為PP，密文為為C，E為為加密算法法，D為解解密算法，則則加密解密密的過程可可以記為： (3.11)上述的加密密與解密過過程沒有使使用到密鑰鑰，通常稱稱之為無密密鑰密碼體體制。無密密鑰密碼主主要依靠加加密算法提提供保密性性，在應(yīng)用用系統(tǒng)中這這種密碼很很少用到，主主要使用還還是有密鑰鑰的密碼體體制，在有有密鑰的密密碼體制中中，密文的的保密性依依賴于密鑰鑰而不依賴賴于算法，算算法可以公公開。其中中，只有一一個(gè)密鑰KK的密碼體體制稱為單單鑰體制（OOne-kkey SSysteem），又又稱對稱加加密體制（SSymmeetriccal EEncryyptio

24、on）；有有加密密鑰鑰KE和解密密密鑰KD兩個(gè)密鑰鑰的密碼體體制稱為雙雙鑰體制（TTwo-kkey SSysteem），又又稱非對稱稱加密體制制（Disssymmmetriical Encrryptiion），有有時(shí)也叫公公開密鑰算算法（Puublicc Keyy Alggoritthm)。應(yīng)用系統(tǒng)統(tǒng)中經(jīng)常使使用最廣泛泛的對稱加加密算法是是DES算算法 (DData Encrryptiion SStanddard)，非對稱稱加密算法法是RSAA算法（RReceiive，SShamiir，Addelmaan）。單單鑰體制的的加密解密密過程可以以記為： (3.22)上式用圖示示可以表示示為：明文密

25、文明文加密密鑰K解密密鑰K圖5 單單鑰體制加加密解密過過程圖雙鑰體制的的加密解密密過程可以以記為： (3.33)上式用圖示示可以表示示為： 明文密文明文加密密鑰KE解密密鑰KD圖6 雙雙鑰體制加加密解密過過程圖還有一種應(yīng)應(yīng)用系統(tǒng)中中經(jīng)常用到到的加密技技術(shù)是數(shù)據(jù)據(jù)摘要，數(shù)數(shù)據(jù)摘要就就是應(yīng)用單單向散列函函數(shù)算法，將將輸入的任任意長度明明文變換成成固定長度度的密文，而而將此密文文再轉(zhuǎn)換成成明文在數(shù)數(shù)學(xué)上來說說是困難的的。應(yīng)用系系統(tǒng)中應(yīng)用用最廣泛的的數(shù)據(jù)摘要要算法主要要有MD55和SHAA兩種，MMD5輸出出壓縮值為為128bbits，SSHA輸出出壓縮值為為160bbits。設(shè)Hassh表示單單向散

26、列函函數(shù)，則數(shù)數(shù)據(jù)摘要的的過程可以以記為： (3.44)上式用圖示示可以表示示為：明文密文明文加密密鑰K解密密鑰K密文明文Hash圖7 數(shù)數(shù)據(jù)摘要的的過程圖B數(shù)字簽簽名。數(shù)字簽名是是指通過密密碼算法對對原始數(shù)據(jù)據(jù)信息進(jìn)行行加密處理理后，生成成一段原始始數(shù)據(jù)信息息的信息標(biāo)標(biāo)識(shí)，這段段信息標(biāo)識(shí)識(shí)稱為原始始數(shù)據(jù)信息息的數(shù)字簽簽名。通常常數(shù)字簽名名和原始數(shù)數(shù)據(jù)信息是是放在一起起發(fā)送的，這這樣便于信信息的接受受者對其進(jìn)進(jìn)行驗(yàn)證，數(shù)數(shù)字簽名是是對現(xiàn)實(shí)中中手寫簽名名和印章的的模擬，數(shù)數(shù)字簽名只只有信息發(fā)發(fā)送方一人人能產(chǎn)生，這這種唯一性性對應(yīng)了原原始數(shù)據(jù)信信息的來源源。數(shù)字簽簽名具有驗(yàn)驗(yàn)證數(shù)據(jù)完完整性和信信息

27、來源不不可否認(rèn)性性的功能，這這正是PKKI體系提提供的核心心功能。在應(yīng)用系統(tǒng)統(tǒng)中，較小小的數(shù)據(jù)可可以直接簽簽名，而較較大的數(shù)據(jù)據(jù)或文件通通常先對其其作數(shù)據(jù)摘摘要后再對對數(shù)據(jù)摘要要作數(shù)字簽簽名。下式式表達(dá)了對對一段原始始數(shù)據(jù)信息息進(jìn)行簽名名的過程：原始數(shù)據(jù)據(jù)信息OrriginnalMssg先是被被單向散列列函數(shù)Haash作數(shù)數(shù)據(jù)摘要生生成摘要信信息DiggestMMsg，然然后應(yīng)用非非對稱加密密算法DiissymmmetrricallEncrrypt及及其私鑰KKeyprrivatte對數(shù)據(jù)據(jù)摘要進(jìn)行行簽名（私私鑰僅有發(fā)發(fā)送方持有有，公鑰需需散發(fā)給接接收方），最最后將簽名名結(jié)果Diigitaal

28、Siggnatuure與原原始數(shù)據(jù)信信息一起發(fā)發(fā)送給接受受方： (3.4)上式用圖圖示可以表表示為：OriginalMsgKeyprivavteDigitalSignatureHashDissymmetricalEncrytDigestOriginalMsg + DigitalSignature圖8 數(shù)數(shù)字簽名的的過程圖信息接受方方在接受到到原始數(shù)據(jù)據(jù)信息OrriginnalMssg與其數(shù)數(shù)字簽名DDigittalSiignatture后后，可以對對數(shù)字簽名名進(jìn)行驗(yàn)證證。首先分分離出兩者者，然后對對原始數(shù)據(jù)據(jù)信息應(yīng)用用同樣的單單向散列函函數(shù)Hassh對其作作數(shù)據(jù)摘要要得到Diigestt2，再

29、對對接收到的的數(shù)字簽名名應(yīng)用非對對稱加密算算法DisssymmmetriicalEEncryypt及其其公鑰Keeypubblic對對其進(jìn)行解解密，得到到Digeest1。比較Diigestt1與Diigestt2，如果果兩者一樣樣則證明：1信息OOrigiinalMMsg及其其數(shù)字簽名名DigiitalSSignaaturee是真實(shí)的的，確實(shí)來來自于私鑰鑰Keypprivaate的持持有方。2信息OOrigiinalMMsg及其其數(shù)字簽名名DigiitalSSignaaturee在發(fā)送過過程中是完完整的，未未曾遭到篡篡改。3私鑰KKeyprrivatte的持有有方發(fā)送了了信息Orriginn

30、alMssg及其數(shù)數(shù)字簽名DDigittalSiignatture這這件事是不不可否認(rèn)的的。上述數(shù)字簽簽名的驗(yàn)證證過程可以以表達(dá)為： (3.5)用圖形表示示如下：KeypublicOriginalMsgDigitalSignatureHashDissymmetricalEncrytDigest2OriginalMsg + DigitalSignatureDigest2兩者相同？圖9 數(shù)數(shù)字簽名驗(yàn)驗(yàn)證的過程程圖C報(bào)文識(shí)識(shí)別碼應(yīng)用系統(tǒng)跟跟其它系統(tǒng)統(tǒng)通訊時(shí)大大都是通過過發(fā)送接收收報(bào)文方式式進(jìn)行的，除除比較常用用的ISOO85833，sopp報(bào)文等，還還有比較多多的就是自自定義的報(bào)報(bào)文格式，自自定義報(bào)

31、文文需要解決決報(bào)文的保保密性和完完整性問題題，報(bào)文的的完整性可可以通過加加密算法生生成原始報(bào)報(bào)文的報(bào)文文標(biāo)識(shí)來識(shí)識(shí)別，這個(gè)個(gè)加密后的的報(bào)文標(biāo)識(shí)識(shí)稱為原始始報(bào)文的識(shí)識(shí)別碼，也也叫報(bào)文校校驗(yàn)碼MAAC（Meessagge Auuthennticaationn Codde）。而而報(bào)文的保保密性可以以通過對整整個(gè)報(bào)文及及其識(shí)別碼碼進(jìn)行加密密處理來完完成，實(shí)際際應(yīng)用中識(shí)識(shí)別碼通常?？梢酝ㄟ^過單向散列列函數(shù)對原原始報(bào)文作作數(shù)據(jù)摘要要得到，然然后對原始始報(bào)文和數(shù)數(shù)據(jù)摘要作作對稱加密密，這樣既既保證了報(bào)報(bào)文的完整整性，同時(shí)時(shí)也保證了了報(bào)文的保保密性，這這里對稱加加密算法的的密鑰分發(fā)發(fā)是主要問問題。D數(shù)字信信封

32、數(shù)字信封DDE（Diigitaal Ennveloope）是是指信息發(fā)發(fā)送方在通通訊雙發(fā)首首次通訊時(shí)時(shí)，使用對對方的公鑰鑰對雙方的的通訊密鑰鑰SK（SSymmeentriic Keey）進(jìn)行行加密，形形成一個(gè)數(shù)數(shù)字信封，然然后發(fā)給接接收方，接接收方收到到數(shù)字信封封后進(jìn)行拆拆封操作，用用自己的私私鑰對信封封進(jìn)行解密密得到通訊訊密鑰，然然后雙方可可以用通訊訊密鑰對自自己發(fā)送的的信息進(jìn)行行對稱加密密2。這這樣既解決決了對稱加加密的密鑰鑰分配問題題又提高了了雙方通訊訊加密的效效率，畢竟竟非對稱加加密算法比比對稱加密密算法效率率要低下。3.1.22 PKI體系系PKI體系系是由政策策機(jī)構(gòu)、認(rèn)認(rèn)證機(jī)構(gòu)和和

33、注冊機(jī)構(gòu)構(gòu)組成的，通通過使用單單向散列函函數(shù)、非對對稱加密體體制等加密密解密技術(shù)術(shù)，安全套套接字協(xié)議議SSL，LLDAP協(xié)協(xié)議（Liightwweighht Diirecttory Acceess PProtoocol），XX.5099證書標(biāo)準(zhǔn)準(zhǔn)等技術(shù)，實(shí)實(shí)現(xiàn)數(shù)據(jù)加加密、身份份認(rèn)證和數(shù)數(shù)字簽名等等功能，從從而保證數(shù)數(shù)據(jù)保密性性、完整性性、真實(shí)性性和不可否否認(rèn)性的一一種技術(shù)體體系。PKKI體系很很好的解決決了網(wǎng)上銀銀行的大部部分安全需需求，對網(wǎng)網(wǎng)上銀行的的數(shù)據(jù)安全全和業(yè)務(wù)邏邏輯安全提提供了有力力的支持。CA是PPKI體系系的主要實(shí)實(shí)體，數(shù)字字證書是CCA的主要要產(chǎn)品，CCA通過數(shù)數(shù)字證書的的應(yīng)用

34、來實(shí)實(shí)現(xiàn)PKII體系所提提供的功能能。1PKII的組成PKI由政政策批準(zhǔn)機(jī)機(jī)構(gòu)PAAA、政策CCA機(jī)構(gòu)PPCA、認(rèn)認(rèn)證機(jī)構(gòu)CCA和注冊冊機(jī)構(gòu)RAA組成。PPAA創(chuàng)建建整個(gè)PKKI系統(tǒng)的的方針、政政策，批準(zhǔn)準(zhǔn)本PAAA下屬的PPCA的政政策，為下下屬PCAA簽發(fā)公鑰鑰證書，建建立整個(gè)PPKI體系系的安全策策略，并具具有監(jiān)控個(gè)個(gè)PCA行行為的責(zé)任任。PPCA制定定自身的具具體政策，包包括密鑰的的產(chǎn)生、密密鑰的長度度、證書的的有效期規(guī)規(guī)定及CRRL的處理理等，同時(shí)時(shí)PCA為為其下屬CCA簽發(fā)公公鑰證書。CA按照照上級PCCA制定的的政策，為為具體用戶戶簽發(fā)、生生成并發(fā)布布數(shù)字證書書，負(fù)責(zé)CCRL的管

35、管理與維護(hù)護(hù)。RA負(fù)負(fù)責(zé)接收用用戶的證書書申請，驗(yàn)驗(yàn)證用戶的的身份，向向CA提交交證書申請請，驗(yàn)證接接收CA簽簽發(fā)的數(shù)字字證書，并并將證書發(fā)發(fā)放給申請請者。PKKI的組成成圖示如下下：PCA1RA1PAAPCAnRAnCAnRAnRA1CAnCA1CA1圖10 PKI的的體系結(jié)構(gòu)構(gòu)圖2PKII的操作功功能證書的生成成及分發(fā)。在用戶向向RA提交交數(shù)字證書書申請后，RRA負(fù)責(zé)對對申請者的的身份進(jìn)行行認(rèn)證，認(rèn)認(rèn)證通過后后RA將向向CA轉(zhuǎn)發(fā)發(fā)證書申請請。CA負(fù)負(fù)責(zé)生成用用戶的數(shù)字字證書，數(shù)數(shù)字證書的的公私密鑰鑰對可以由由用戶產(chǎn)生生，也可以以由CA產(chǎn)產(chǎn)生。用戶戶自己產(chǎn)生生的公鑰需需提交給CCA，CAA對

36、公鑰強(qiáng)強(qiáng)度驗(yàn)證后后將根據(jù)用用戶提交的的公鑰產(chǎn)生生用戶的數(shù)數(shù)字證書；如果是CCA產(chǎn)生用用戶的公私私密鑰對，則則CA不保保存用戶的的私鑰，私私鑰需通過過安全的方方式發(fā)放給給用戶。CCA生成證證書后將其其發(fā)布到相相應(yīng)的目錄錄服務(wù)器上上。證書的獲取取。在PKKI體系中中，要獲取取某個(gè)用戶戶的數(shù)字證證書，可以以RA處獲獲得，也可可以查詢CCA的證書書目錄服務(wù)務(wù)器，另外外用戶也可可以將自己己的證書發(fā)發(fā)送給別人人。證書的廢止止。數(shù)字證證書的持證證人如果發(fā)發(fā)生證書丟丟失、密鑰鑰泄漏時(shí)，持持證人可以以向CA或或RA提交交證書廢止止請求，CCA將會(huì)把把用戶的證證書加入到到廢止列表表中。廢止列表CCRL的獲獲取與查

37、詢詢。由于CCRL通常常都比較大大，在線查查詢效率比比較低下，所所以現(xiàn)在通通常在RAA端建立一一個(gè)CRLL的鏡像，定定期將CAA端的CRRL同步到到本地，同同步又分全全部CRLL同步和增增量同步兩兩種，全部部CRL同同步的好處處能保證CCRL數(shù)據(jù)據(jù)一致，缺缺點(diǎn)是同步步的數(shù)據(jù)量量龐大，通通常也沒有有必要進(jìn)行行全局同步步。增量同同步就是每每次只同步步CA端新新增的CRRL部分，增增量同步的的數(shù)據(jù)量較較小，比較較符合現(xiàn)實(shí)實(shí)。CRLL的查詢可可以通過LLDAP等等訪問。證書恢復(fù)。證書恢復(fù)復(fù)功能為客客戶在證書書存儲(chǔ)介質(zhì)質(zhì)損壞或遺遺忘口令等等情況下，提提供原證書書的恢復(fù)，申申請者向RRA或CAA提出證書書

38、恢復(fù)請求求，CA將將會(huì)為用戶戶生成新的的數(shù)字證書書，原來的的證書將作作廢，同時(shí)時(shí)還會(huì)將其其加入CRRL中。證書更新。證書更新新用于解決決客戶證書書到期后的的續(xù)費(fèi)問題題，也有可可能是客戶戶的證書并并未到達(dá)有有效期而是是CA或RRA的本身身的數(shù)字證證書到達(dá)了了有效期。這時(shí)用戶戶需更新證證書，CAA將會(huì)為用用戶簽發(fā)新新的數(shù)字證證書。3PKII的服務(wù)功功能PKI提供供的服務(wù)功功能包括：數(shù)據(jù)保密密性服務(wù)、數(shù)據(jù)完整整性服務(wù)、數(shù)據(jù)真實(shí)實(shí)性服務(wù)、數(shù)據(jù)不可可否認(rèn)性服服務(wù)和身份份認(rèn)證服務(wù)務(wù)。這些服服務(wù)都是通通過數(shù)字證證書的應(yīng)用用來實(shí)現(xiàn)的的，在集成成這些服務(wù)務(wù)時(shí)，還需需要應(yīng)用系系統(tǒng)作部分分支持才能能真正實(shí)現(xiàn)現(xiàn)這些服

39、務(wù)務(wù)。3.1.33 一次性性口令技術(shù)術(shù)所謂一次性性口令（OOTP，OOne TTime Passswordd）是指針針對傳統(tǒng)可可重復(fù)使用用的口令而而言的。一一次性口令令只能使用用一次，不不可重復(fù)使使用?？芍刂赜玫目诹盍钜资芊N種種攻擊：截取攻擊：當(dāng)口令以以明文方式式在網(wǎng)絡(luò)上上傳遞時(shí)，容容易被攻擊擊者截取獲獲得，一旦旦口令泄漏漏則可能被被未授權(quán)者者非法使用用。重放攻擊：當(dāng)口令以以密文方式式在網(wǎng)絡(luò)上上傳遞時(shí)，雖雖然攻擊者者無法獲取取口令的明明文，但攻攻擊者可以以截取口令令密文后對對系統(tǒng)實(shí)施施重放攻擊擊。窮舉攻擊：攻擊者還還有可能針針對用戶的的登錄名，根根據(jù)系統(tǒng)對對口令的限限定規(guī)則，嘗嘗試規(guī)則范范圍內(nèi)

40、各個(gè)個(gè)可能的口口令，對用用戶口令實(shí)實(shí)施窮舉攻攻擊。窺探：用戶戶在輸入可可重復(fù)使用用的口令時(shí)時(shí)必然要借借助某種輸輸入設(shè)備，如如鍵盤、鼠鼠標(biāo)、手寫寫筆等，這這時(shí)容易被被他人或其其它錄影設(shè)設(shè)備窺探到到輸入內(nèi)容容，也有可可能被木馬馬程序等記記錄了擊鍵鍵事件而分分析出口令令。社交工程：攻擊者通通過利用人人們心理弱弱點(diǎn)、本能能反應(yīng)、好好奇心、信信任、貪婪婪等心理陷陷阱通過電電子郵件、電話訪談?wù)?、釣魚網(wǎng)網(wǎng)站等騙取取用戶的口口令。垃圾搜索：攻擊者偽偽裝成垃圾圾工人收集集用戶的垃垃圾文檔用用以分析用用戶的口令令等。一次口令由由于每次使使用各不相相同的口令令，所以并并不存在上上述的問題題。一次口口令并不要要求用戶

41、記記住多個(gè)口口令，所以以也不會(huì)增增加用戶和和系統(tǒng)的負(fù)負(fù)擔(dān)。一次次性口令的的原理：在在客戶端和和服務(wù)器端端各存在一一個(gè)相同的的算法、一一個(gè)與用戶戶有關(guān)的種種子、一個(gè)個(gè)不確定的的因子，每每次系統(tǒng)對對用戶進(jìn)行行認(rèn)證時(shí)，用用戶將不確確定的因子子追加到種種子后，然然后用算法法對其加密密算出一個(gè)個(gè)結(jié)果，這這個(gè)結(jié)果作作為一個(gè)一一次性口令令提交給服服務(wù)器，服服務(wù)器端用用相同的算算法對相同同種子和不不確定因子子進(jìn)行運(yùn)算算，將得出出的結(jié)果與與用戶提交交的結(jié)果進(jìn)進(jìn)行比較，相相同則說明明用戶輸入入的口令是是正確的。一次性口令令技術(shù)要求求服務(wù)器端端具有與用用戶端相同同的算法、種子及不不確定因子子。這里關(guān)關(guān)鍵是如何何保證

42、客戶戶端、服務(wù)務(wù)器端具有有相同的不不確定因子子。兩端不不確定因子子的選擇方方式主要有有以下三種種：1挑戰(zhàn)應(yīng)應(yīng)答方式。每次用戶戶請求登錄錄系統(tǒng)時(shí)，服服務(wù)器端將將不確定因因子發(fā)送給給用戶，稱稱為一次挑挑戰(zhàn)，而用用戶提交的的口令是根根據(jù)發(fā)送來來的不確定定因子，和和用戶端保保存的種子子，由用戶戶端保存的的算法計(jì)算算出來的，所所以每次計(jì)計(jì)算出的口口令不相同同。這里的的算法可以以采用單向向散列函數(shù)數(shù)算法，也也可以采用用對稱加密密算法。不不確定因子子采用挑戰(zhàn)戰(zhàn)應(yīng)答方式式的原理可可以圖示如如下：返回登錄結(jié)果運(yùn)用算法對種子和因子進(jìn)行運(yùn)算得出登錄口令并提交發(fā)送不確定因子請求登錄，輸入用戶名用 戶系 統(tǒng)圖11 一次

43、性口口令應(yīng)用的的原理圖2時(shí)間同同步方式。客戶端和和服務(wù)器端端以時(shí)間作作為不確定定因子，這這里要求雙雙方的時(shí)間間是嚴(yán)格同同步的，精精確度可以以控制在約約定的范圍圍內(nèi)，比如如說雙方的的時(shí)間差不不超過一分分鐘。3事件同同步方式?？蛻舳撕秃头?wù)器端端以單向序序列的迭代代值作為不不確定因子子，這里要要求雙方每每次迭代值值的大小相相同。這種種方式的實(shí)實(shí)現(xiàn)代價(jià)比比時(shí)間同步步方式的小小得多，而而且也不用用向挑戰(zhàn)應(yīng)應(yīng)答方式那那樣多出個(gè)個(gè)挑戰(zhàn)的交交互，這種種方式客戶戶端以單向向迭代作為為挑戰(zhàn)，迭迭代作為規(guī)規(guī)則可以在在客戶端實(shí)實(shí)現(xiàn)。3.1.33 基于JJ2EE平平臺(tái)的相關(guān)關(guān)安全技術(shù)術(shù)1語言內(nèi)內(nèi)置的安全全技術(shù)Java

44、語語言具有強(qiáng)強(qiáng)類型檢查查，在編譯譯時(shí)就能對對變量類型型進(jìn)行檢查查；自動(dòng)內(nèi)內(nèi)存管理，在在C、C+中內(nèi)存存的分配和和回收都需需要程序員員負(fù)責(zé)完成成，在大型型應(yīng)用中內(nèi)內(nèi)存泄漏是是個(gè)頗為棘棘手的問題題，而Jaava內(nèi)置置垃圾回收收機(jī)制，由由系統(tǒng)負(fù)責(zé)責(zé)內(nèi)存的管管理；字節(jié)節(jié)碼檢查，JJVM（JJava Virttual Machhine）對對源代碼編編譯生成的的字節(jié)碼進(jìn)進(jìn)行檢查，防防止惡意代代碼對運(yùn)行行環(huán)境的破破壞；安全全的類裝載載機(jī)制，確確保不信任任的代碼不不會(huì)影響其其它Javva程序的的運(yùn)行。2密碼技技術(shù)支持JCA（JJava Crypptogrraphyy Arcchiteecturre）和JJCE

45、（JJava Crypptogrraphiic Exxtenssion）為為加密、解解密、數(shù)字字證書、數(shù)數(shù)據(jù)摘要提提供完整的的支持；提提供對各種種密碼算法法的支持，包包括RSAA、DSAA、DESS、SHAA等；提供供對PKCCS#111的支持。3認(rèn)證和和訪問控制制支持JAAS（Java Authentication and Authorization Service）和Policy的實(shí)現(xiàn)及語法等提供了細(xì)粒度的訪問控制，抽象的認(rèn)證APIs可以插件方式靈活地集成到其它登錄控制系統(tǒng)中。4安全通通訊Java Secuure SSockeet Exxtenssion (JSSSE)，Javaa GSS

46、S-APII (JGGSS)，Javaa Simmple Authhentiicatiion aand SSecurrity Layeer APPI（SAASL）等等提供對TTranssportt Layyer SSecurrity (TLSS)、SSSL、Keerberros、SSASL等等協(xié)議的實(shí)實(shí)現(xiàn)，提供供對基于SSSL/TTLS的HHTTPSS完全支持持，為的數(shù)數(shù)據(jù)完整性性、保密性性提供支持持確保通訊訊安全。5為PKKI提供支支持J2EE提提供管理密密鑰和證書書的工具，廣廣泛抽象的的APIss對X.5509證書書、廢止列列表、證書書路徑、OOCSP (On-Linee Cerrtifi

47、icatee Staatus Prottocoll)、PKCSS#11、PKCSS#12、LDAPP等提供支支持，大大大簡化了PPKI應(yīng)用用開發(fā)和部部署的難度度3。3.2 網(wǎng)絡(luò)總體體結(jié)構(gòu)應(yīng)用系統(tǒng)的的總體拓?fù)鋼鋱D參考如如下示：圖12 應(yīng)應(yīng)用系統(tǒng)的的總體拓?fù)鋼鋱D參考用戶通過IInterrnet網(wǎng)網(wǎng)絡(luò)向應(yīng)用用系統(tǒng)發(fā)起起請求，請請求在到達(dá)達(dá)Web服服務(wù)器之前前將通過NNSAE（使使用兩臺(tái)帶帶SSL加加速卡的SSSL安全全網(wǎng)關(guān)服務(wù)務(wù)器，并配配置為熱備備部署模式式）建立1128位SSSL加密密通信通道道。系統(tǒng)應(yīng)用服服務(wù)器通過過有NSAAE經(jīng)由WWeb服務(wù)務(wù)器傳過來來的Reqquestt對象獲取取客戶端證證

48、書（如果果客戶端采采用數(shù)字證證書認(rèn)證的的話）。在在登錄環(huán)節(jié)節(jié)，系統(tǒng)應(yīng)應(yīng)用服務(wù)器器通過身份份認(rèn)證及簽簽名驗(yàn)證服服務(wù)器（NNetSiign SServeer）所提提供的APPI驗(yàn)證用用戶證書有有效性并完完成登錄。在交易過程程中需要對對交易簽名名時(shí)，通過過客戶端簽簽名控件對對頁面信息息進(jìn)行簽名名，簽名結(jié)結(jié)果信息及及原始信息息傳遞至應(yīng)應(yīng)用服務(wù)器器后，通過過簽名驗(yàn)證證服務(wù)器（NNetSiign SServeer）提供供的APII將簽名結(jié)結(jié)果和原始始信息以及及客戶端證證書傳至簽簽名驗(yàn)證服服務(wù)器進(jìn)行行驗(yàn)證。一次性口令令的驗(yàn)證由由系統(tǒng)應(yīng)用用程序調(diào)用用動(dòng)態(tài)密碼碼系統(tǒng)的服服務(wù)適配器器，由動(dòng)態(tài)態(tài)密碼服務(wù)務(wù)器完成驗(yàn)驗(yàn)

49、證并返回回結(jié)果。短短信密碼的的發(fā)送，由由動(dòng)態(tài)密碼碼服務(wù)器向向的短信網(wǎng)網(wǎng)關(guān)SMSS Gattewayy發(fā)送請求求實(shí)現(xiàn)。3.3 網(wǎng)絡(luò)層方方案選擇3.3.11 安全連連接協(xié)議系統(tǒng)客戶端端至服務(wù)器器端的安全全連接常見見的協(xié)議有有SSL、SPKMM可供選擇擇4。SPKM（Simple Public Key Mechanism）協(xié)議，用于建立點(diǎn)對點(diǎn)之間的安全通道，結(jié)合數(shù)字證書主要適用于內(nèi)聯(lián)網(wǎng)環(huán)境，在運(yùn)用于互聯(lián)網(wǎng)時(shí)有如下問題5：1因客戶戶端在跟服服務(wù)器端建建立連接時(shí)時(shí)需要訪問問CRL，而而SPKMM協(xié)議固有有的原因會(huì)會(huì)造成客戶戶端對廢止止列表訪問問的時(shí)間過過長。2SPKKM協(xié)議在在客戶端對對整個(gè)頁面面進(jìn)行數(shù)

50、字字簽名也是是沒有必要要的，并不不是用戶提提交的所有有頁面都需需要數(shù)字簽簽名的，而而且就算某某個(gè)頁面需需要數(shù)字簽簽名通常也也不是頁面面中所有的的元素都是是需要數(shù)字字簽名的。比如對于于行外轉(zhuǎn)賬賬交易而言言，收款人人姓名、收收款人賬號(hào)號(hào)、收款人人開戶行、轉(zhuǎn)賬金額額、付款人人賬號(hào)是其其五要素，客客戶在提交交轉(zhuǎn)賬交易易時(shí)只需對對這五要素素進(jìn)行數(shù)字字簽名就可可以了，而而頁面上還還有一些諸諸如是否發(fā)發(fā)送Email通通知等要素素就沒必再再被簽名了了。超出需需求的要素素被簽名，一一方面將會(huì)會(huì)增加網(wǎng)絡(luò)絡(luò)流量，同同時(shí)還會(huì)導(dǎo)導(dǎo)致服務(wù)器器相應(yīng)的遲遲滯。3由于SSPKM協(xié)協(xié)議并非普普遍采用的的安全通訊訊協(xié)議，因因此在通

51、用用的瀏覽器器如IE、Naviigatoor等中沒沒有支持，需需要下載安安裝客戶端端軟件，這這就增加了了系統(tǒng)安裝裝、維護(hù)、使用的難難度。SSL（SSecurrity Sockket LLayerr）協(xié)議已已得到各主主流瀏覽器器內(nèi)置的支支持。由于于標(biāo)準(zhǔn)的SSSL協(xié)議議，在采用用客戶端證證書時(shí)，并并未對用戶戶的交易數(shù)數(shù)據(jù)進(jìn)行顯顯式簽名，造造成應(yīng)用系系統(tǒng)無法記記錄交易數(shù)數(shù)據(jù)的數(shù)字字簽名，給給在技術(shù)層層面維護(hù)交交易的不可可否認(rèn)性帶帶來了一定定的困難6。在應(yīng)用系統(tǒng)統(tǒng)中我們采采用SSLL協(xié)議來建建立安全連連接。SSSL協(xié)議簽簽名的問題題可通過在在客戶瀏覽覽器端安裝裝簽名控件件來完成，簽簽名控件一一方面可以

52、以完成數(shù)字字簽名，另另一方面，通通過自定義義簽名格式式，只對需需要的頁面面要素進(jìn)行行簽名，去去除不必要要的數(shù)據(jù)被被簽名。3.3.22 安全區(qū)區(qū)域的劃分分通過三臺(tái)防防火墻將網(wǎng)網(wǎng)絡(luò)劃分為為四個(gè)邏輯輯區(qū)域，按按由外到內(nèi)內(nèi)的順序部部署。第一一道防火墻墻之外是IInterrnet區(qū)區(qū)（非授信信區(qū)）；第一道防防火墻和第第二道防火火墻之間是是Web區(qū)區(qū)，在此區(qū)區(qū)域中部署署SSL服服務(wù)器以及及應(yīng)用系統(tǒng)統(tǒng)和網(wǎng)站系系統(tǒng)的Weeb服務(wù)器器等其它第第三方應(yīng)用用系統(tǒng)；第二道防防火墻和第第三道防火火墻之間是是系統(tǒng)及網(wǎng)站站的應(yīng)用/DB區(qū)，在在此區(qū)域中中部署應(yīng)用用服務(wù)器和和數(shù)據(jù)庫服服務(wù)器；第第三道防火火墻之后為為其它的核核心

53、系統(tǒng)、中間業(yè)務(wù)務(wù)平臺(tái)等第第三方業(yè)務(wù)務(wù)系統(tǒng)。3.3.22 網(wǎng)絡(luò)層層安全組件件應(yīng)用系統(tǒng)的的最外端部部署了綠盟盟黑洞抗DDoS攻擊擊系統(tǒng)COOLLAPPSAR6600D-5-B，以以控制拒絕絕式攻擊和和分布式拒拒絕攻擊；防火墻采采用的是天天融信防火火墻產(chǎn)品NNGFW44000-G，入侵侵檢測則采采用的是啟啟明入侵檢檢測NS5500系統(tǒng)統(tǒng)，漏洞掃掃描軟件采采用的是冠冠群金辰承承影網(wǎng)絡(luò)漏漏洞掃描器器，原有系系統(tǒng)被兩道道防火墻分分隔成三個(gè)個(gè)區(qū)。系統(tǒng)部署時(shí)時(shí)要求在停?；饏^(qū)中再再增加一道道防火墻，一一方面隔離離Web服服務(wù)器與應(yīng)應(yīng)用服務(wù)器器；另一方方面隔離應(yīng)應(yīng)用服務(wù)器器和其它核核心系統(tǒng)。增加的防防火墻依然然采

54、用的是是天融信NNGFW44000-G防火墻墻，此外還還增加了兩兩臺(tái)IBMM TottalSttoragge SAAN 166M-2的的交換機(jī)，一一套啟明NNS5000系統(tǒng)。3.4 系統(tǒng)層方方案選擇系統(tǒng)Webb服務(wù)器的的操作系統(tǒng)統(tǒng)采用SUUSE LLinuxx 9 EEnterrprisse，應(yīng)用用服務(wù)器和和數(shù)據(jù)庫服服務(wù)器的操操作系統(tǒng)采采用AIXX5L，VV5.3，數(shù)數(shù)據(jù)庫管理理系統(tǒng)采用用Oraccle 110.0.2 FOOR AIIX。由于軟件系系統(tǒng)通常都都存在漏洞洞，操作系系統(tǒng)也不例例外，無論論是Uniix、Liinux還還是Winndowss系統(tǒng)。操操作系統(tǒng)要要求定期安安裝系統(tǒng)的的最新

55、補(bǔ)丁丁，并定期期對審計(jì)日日志進(jìn)行檢檢查和備份份。另外，UUNIX、Linuux、NTT系統(tǒng)一般般包含許多多網(wǎng)絡(luò)服務(wù)務(wù)應(yīng)用程序序，如FTTP、Teelnett等，有些些不必要的的網(wǎng)絡(luò)服務(wù)務(wù)程序必須須禁用并關(guān)關(guān)閉對應(yīng)的的端口。3.5 應(yīng)用層方方案選擇3.5.11 數(shù)字字證書國外比較著著名的數(shù)字字證書有：Veriisignn、Etrrust、Balttimorre等；國國內(nèi)應(yīng)用比比較廣泛的的數(shù)字證書書主要有中中國金融認(rèn)認(rèn)證中心CCFCA的的數(shù)字證書書、上海數(shù)數(shù)字證書認(rèn)認(rèn)證中心SSHECAA的證書等等；另外有有些實(shí)體建建設(shè)了自己己的CA，向向本實(shí)體內(nèi)內(nèi)的系統(tǒng)及及其客戶發(fā)發(fā)放數(shù)字證證書。對比分析上上述的