




版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、北京遠東網絡安全研究院中科院信息安全國家重點實驗室,北京遠東網絡安全研究院 中國科學院信息安全國家重點實驗室,網上銀行 安全系統(tǒng)框架,內容提要,信息安全國家重點實驗室介紹 網絡安全技術 密碼基礎 PKI和X.509 SSL 網上銀行安全系統(tǒng) 安全需求和建設目標 安全系統(tǒng)框架 安全系統(tǒng)解決方案 特點和優(yōu)勢,信息安全國家重點實驗室介紹,信息安全領域內的唯一國家級重點實驗室 國家商用密碼管理委員會指定的四家定點研制機構之一 承接了包括863和973在內的眾多國家重點支持的課題研究,并獲得多個國家級獎項 擁有知名的密碼學專家和大量專業(yè)技術人員 研究領域包括: 密碼學算法和協(xié)議 加密芯片和加密卡/加密機
2、 PKI構架和CA認證系統(tǒng) 安全傳輸系統(tǒng)和VPN 防火墻和入侵檢測系統(tǒng) 動態(tài)口令認證系統(tǒng) 國家級網絡應急響應中心,安全信息系統(tǒng),國際標準ISO 7498-2和國標GB/T9387.2ZHONG中提出了一個關于網絡信息系統(tǒng)的安全框架的參考模型,應該包含如下安全機制: 認證(Authentication)證明通信雙方的身份與其聲明的一致 訪問控制(Access Control)對不同的信息和用戶設定不同的權限,保證只允許授權的用戶訪問授權的資源 數(shù)據保密(Data Confidentiality)保證通信內容不被他人捕獲,不會有敏感的信息泄露 數(shù)據完整性(Data Integrity)保證信息在傳
3、輸過程中不會被他人篡改 抗否認(Non-repudiation)證明一條信息已經被發(fā)送和接收,發(fā)送和接收方都有能力證明接收和發(fā)送的操作確實發(fā)生了,并能夠確定對方的身份 可審計,安全信息系統(tǒng)的三個層次,密碼算法和技術 安全協(xié)議 身份認證協(xié)議 密鑰管理協(xié)議 安全通信協(xié)議 電子商務協(xié)議 安全應用系統(tǒng),密碼算法,流密碼算法 分組密碼算法 對稱密碼算法 DES AES 非對稱密碼算法(公鑰密碼算法) RSA 橢圓曲線密碼算法 數(shù)字文摘算法,對稱密碼算法,數(shù)據加密和解密使用相同的密鑰,通信雙方必須掌握相同的密鑰,此密鑰必須保密,不能公開。,對稱密碼算法,常見的對稱密碼算法 DES AES 優(yōu)點 安全性好
4、數(shù)據處理效率高 缺點 密鑰交換的方式是個難題,非對稱密碼算法,加密和解密所使用的密鑰不同 “互補”的公鑰和私鑰 同時產生 一一對應 不可推算 用途不同,非對稱密碼算法,非對稱密碼算法,常見的公鑰密碼算法 RSA 優(yōu)點 安全性好 解決了密鑰交換的難題 缺點 實現(xiàn)代價高 運算效率低,數(shù)字文摘算法,單向性變換函數(shù) 雪崩特性 主要用途 進行完整性校驗 用于數(shù)字簽名 主要的數(shù)字文摘算法 MD5、SHA-1,信息明文,文摘信息,數(shù)字文摘運算,數(shù)字簽名,抗否認特性 先簽名后加密的原則 數(shù)字簽名的使用方式 常見的簽名算法 RSA、ElGamal 、DSS/DSA,信息明文,文摘信息,數(shù)字文摘運算,數(shù)字簽名,私
5、鑰,簽名運算,公鑰基礎設施PKI,證書認證中心CA,管理和維護證書和CRL 證書注冊中心RA,實現(xiàn)證書與證書申請者身份屬性之間的關系綁定 證書持有者,持有自身的證書并且使用數(shù)字簽名 客戶,通過信任的CA的證書(公鑰)來驗證他人(例如證書持有者)的數(shù)字簽名和證書。 存儲機構,存儲和發(fā)布證書和CRL,公鑰基礎設施PKI,X.509標準,國際電信聯(lián)盟制定的證書標準,PKI的關鍵組成部分 規(guī)定了數(shù)字證書的格式和內容 規(guī)定了證書作廢表CRL的格式和內容 不同CA系統(tǒng)互操作性的前提保證,X.509標準,證書的內容包括: 證書所遵循的協(xié)議版本號 證書序列號 簽名算法標識 簽發(fā)證書的CA名稱 證書有效期 證書
6、持有人的名稱 公鑰算法標識 公鑰 擴展選項(證書中的公鑰用途等可選項) CA的簽名,X.509標準,CRL的內容包括: 所遵循的協(xié)議版本號 簽名算法標識 發(fā)布CRL的CA名稱 本次CRL更新時間 作廢證書的序列號和作廢時間列表 CA的簽名,安全套接層協(xié)議SSL,Netscape公司針對Internet環(huán)境的提出的安全通信協(xié)議 由SSL握手協(xié)議和SSL記錄協(xié)議組成 綜合使用了公鑰密碼技術和對稱加密技術 屬于傳輸層協(xié)議范疇,對上層應用透明 廣泛應用于各種網絡通信系統(tǒng),成為事實上的業(yè)界標準,安全套接層協(xié)議SSL,安全套接層協(xié)議SSL,SSL安全通道的特性 信道是經過認證的 信道是保密的 信道是可靠的
7、,網上銀行系統(tǒng)現(xiàn)狀,業(yè)務類型 個人儲蓄業(yè)務 對私中間業(yè)務 安全構架 沒有全面的認證系統(tǒng),WEB服務器自簽證書 HTTPS安全通道,128比特密鑰強度 沒有業(yè)務簽名機制,網上銀行系統(tǒng)現(xiàn)狀,優(yōu)點 系統(tǒng)結構簡單,易維護 客戶操作簡單 缺點 無法提供客戶的對等身份認證機制 無法提供關鍵業(yè)務的簽名機制 很難嵌入先進可靠的加密算法,網上銀行系統(tǒng)的建設目標,建立一個基于公鑰基礎設施PKI的安全應用系統(tǒng),系統(tǒng)的主要功能包括: 建立一個CA證書認證系統(tǒng),為網上銀行系統(tǒng)中的主體簽發(fā)X.509證書 每個客戶都擁有自己的證書和私鑰,并且可以與服務器之間通過雙向的身份認證,按照標準的協(xié)議完成加密算法和密鑰的協(xié)商,從而建
8、立起安全通道 客戶在安全通道的保護下完成系統(tǒng)提供的交易服務 客戶使用自己的私鑰對關鍵業(yè)務進行簽名,服務器可以驗證并且保存簽名,安全需求,建立一個符合規(guī)范的CA證書認證系統(tǒng),為內部和外部用戶簽發(fā)身份證書,系統(tǒng)應該具有良好的標準性和健壯性 建立一個遵循標準的安全傳輸系統(tǒng),實現(xiàn)雙向的身份認證和業(yè)務數(shù)據保護,系統(tǒng)對于上層應用應該具有良好的透明性 提供針對關鍵業(yè)務的簽名機制,實現(xiàn)系統(tǒng)的抗否認特性,網上銀行系統(tǒng)的組成,安全系統(tǒng) CA認證和客戶授權子系統(tǒng) 安全傳輸和業(yè)務簽名子系統(tǒng) 防火墻和入侵檢測子系統(tǒng) 業(yè)務系統(tǒng),網上銀行系統(tǒng)的結構,RealCert證書認證系統(tǒng)系統(tǒng)組成結構,RealCert證書認證系統(tǒng)開放
9、性的系統(tǒng)構架,支持層次結構的多級CA體系 證書格式和證書編碼嚴格遵循國際標準,為PKI體系中的互操作,RealCert證書認證系統(tǒng)遵循的國際標準,ITU-T X.509 V3 PKCS#7、PKCS#10、PKCS#12 ITU-T X.500、LDAP SSL,RealCert證書認證系統(tǒng)基于角色的分級權限管理,超級管理員 負責RealServer的安裝、啟動、關閉、備份、策略改變等管理和維護工作 管理員 使用RealAdmin,負責證書操作員的證書管理和系統(tǒng)審計 證書操作員 使用RealOperator,負責最終客戶的證書管理和系統(tǒng)審計,RealCert證書認證系統(tǒng)證書服務器RealSer
10、ver的主要功能,管理和維護客戶證書 管理和維護證書作廢列表CRL 發(fā)布證書和CRL 管理和維護自身安全,RealCert證書認證系統(tǒng)證書服務器RealServer的主要功能,管理和維護客戶證書 管理和維護證書作廢列表CRL 發(fā)布證書和CRL 管理和維護自身安全,RealCert證書認證系統(tǒng)LDAP目錄服務器的主要功能,發(fā)布客戶證書 發(fā)布證書作廢列表CRL 支持以DN為索引的證書和CRL查詢,RealCert證書認證系統(tǒng)證書注冊中心RealRegistry的主要功能,客戶證書的管理和維護 包括客戶證書的申請、更新、凍結、解凍、作廢、黑名單等操作 客戶信息數(shù)據庫的管理和維護 系統(tǒng)審計日志的查詢,
11、RealCert證書認證系統(tǒng)管理員控制臺RealAdmin的主要功能,操作員證書的管理和維護 CRL和系統(tǒng)日志的查詢 對下級CA根證書的管理和維護,RealCert證書認證系統(tǒng)客戶端RealClient的主要功能,本地密鑰管理 包括密鑰對的產生、存儲等 遠程證書操作 包括證書申請、更新、以及作廢等 網上銀行系統(tǒng)客戶端軟件的一個關鍵功能模塊,RealCert證書認證系統(tǒng)密鑰產生與保護,個人客戶 密鑰對由客戶端軟件產生 私鑰文件加密存儲,有口令保護 證書文件和私鑰文件保存在磁盤上(硬盤、軟盤、FLASH盤) 企業(yè)客戶 密鑰對由CA服務器產生 證書文件和私鑰文件的存儲介質為IC卡或者USB KEY
12、證書文件和私鑰文件都有PIN值進行保護 我們的系統(tǒng)可以根據銀行所選用的IC卡和USB KEY的型號進行客戶化,遠東RealCert證書認證系統(tǒng)在線證書申請流程,客戶在RealRegistry進行注冊和審核,并獲得授權號 客戶使用RealClient產生密鑰對,將公鑰和授權信息提交給RealServer RealServer校驗授權信息,如果通過校驗,則為客戶公鑰簽發(fā)證書 RealServer將證書存入證書數(shù)據庫和目錄服務器 RealClient從目錄服務器獲得自己的證書副本,遠東RealCert證書認證系統(tǒng)離線證書申請流程,客戶在RealRegistry進行注冊和審核 RA操作員從RealRe
13、gistry向RealServer提交證書申請 RealServer為客戶產生密鑰對,并為客戶公鑰簽發(fā)證書 RealServer將證書副本存入證書數(shù)據庫和目錄服務器 RealRegistry從RealServer獲得客戶私鑰和證書文件,并保存到相應的介質中 客戶從RA操作員那里領取存儲介質,從而獲得自己的證書和私鑰文件,RealCert證書認證系統(tǒng)成功應用案例,公安部第三研究所安全產品檢測中心 中國科學技術大學 核心技術應用于多家商業(yè)銀行,RealTunnel安全代理系統(tǒng),RealTunnel安全代理系統(tǒng),客戶端安全代理RealClient 透明代理代理轉發(fā)HTTP數(shù)據流 按照SSL協(xié)議,完成
14、雙向身份認證和密鑰協(xié)商,建立安全信道,并對數(shù)據流進行加密和解密 客戶證書的遠程管理,包括在線證書申請、更新、廢除等 本地證書和私鑰管理,包括密鑰產生、密鑰加密存儲、以及證書存儲、密鑰和證書的使用等 關鍵業(yè)務的數(shù)字簽名機制,提供抗否認保障 運行于Windows操作系統(tǒng)平臺,RealTunnel安全代理系統(tǒng),安全代理網關RealGateway 透明代理轉發(fā)HTTP數(shù)據流 并發(fā)處理SSL連接請求,完成雙向身份認證和密鑰協(xié)商,建立安全信道,并對數(shù)據流進行加密和解密 驗證并且存儲客戶針對關鍵業(yè)務的數(shù)字簽名 系統(tǒng)日志的審計記錄,RealTunnel安全代理系統(tǒng),關鍵業(yè)務的數(shù)字簽名機制 頁面數(shù)據中內嵌要求簽
15、名的特征字符串 客戶端代理RealClient檢測數(shù)據流中是否存在特征字符串,并且提示客戶使用私鑰進行簽名 安全代理網關驗證客戶的數(shù)字簽名 存儲數(shù)字簽名數(shù)據,并且進行系統(tǒng)日志記錄,交易信息,數(shù)字文摘,數(shù)字簽名,交易信息,數(shù)字簽名,+,密文,SHA-1,RSA (客戶私鑰),對稱密鑰加密,RealTunnel安全代理系統(tǒng)交易流程示意圖(客戶端代理),數(shù)字文摘,交易信息,數(shù)字簽名,+,密文,SHA-1,RSA (客戶公鑰),對稱密鑰解密,原始數(shù)字文摘,是否相同?,提交業(yè)務信息,RealTunnel安全代理系統(tǒng)交易流程示意圖(安全代理網關),RealTunnel安全代理系統(tǒng),特點和優(yōu)勢 安全機制位于
16、傳輸層,提供身份認證、數(shù)據保密、數(shù)據完整性保護等安全服務,對上層應用透明,上層應用可以靈活修改, 采用SKLOIS經過國家檢驗允許使用的高強度高效率分組密碼算法,尤其適用于對安全性有特殊需求的金融行業(yè) 采用完全透明代理技術,用戶操作簡單 內嵌完善的數(shù)字簽名機制,可以提供抗否認保障 網關部分采用線程池等技術,提供優(yōu)秀的并發(fā)處理能力 支持IC卡,USB KEY等多種密鑰管理介質,網上銀行安全系統(tǒng)與其它PKI系統(tǒng)之間的互操作性,良好互操作性的前提 CA認證系統(tǒng)都嚴格遵循相關的國際標準 不同的CA認證系統(tǒng)在安全策略的基礎上,建立起某種信任關系,形成CA體系 CA認證系統(tǒng)向應用軟件開發(fā)商開放相關接口函數(shù),網上銀行安全系統(tǒng)與其它PKI系統(tǒng)之間的互操作性,RealCert系統(tǒng)嚴格遵循相關的國際標準 證書和CRL格式遵循ITU-T X.509標準 證書和消息的編碼遵循PKCS和ASN.1系列標準 向應用軟件開發(fā)商開放相關接口函數(shù) 使用第三方CA簽發(fā)的證書 第三方CA系統(tǒng)遵循國際標準
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 安全生產培訓講師
- 企業(yè)風險管控的基本知識及運作流程
- 企業(yè)安全生產制度清單
- 安全班會感想
- 安全生產教育培訓應堅持統(tǒng)一規(guī)劃
- 水利水電工程建設安全生產管理
- 安全生產法二十一條
- 網絡安全學習路徑
- 安全生產事故重大隱患排查治理臺賬
- 化工企業(yè)怎樣做好安全生產工作
- 2024中國類風濕關節(jié)炎診療指南
- 11294營銷管理-國家開放大學2023年1月至7月期末考試真題及答案(共2套)
- 12-重點幾何模型-手拉手模型-專題訓練
- 2024年河北省張家口市“三支一扶”招聘130人(高頻重點復習提升訓練)共500題附帶答案詳解
- 2023年遂寧市船山區(qū)選調教師考試真題
- CJJT259-2016 城鎮(zhèn)燃氣自動化系統(tǒng)技術規(guī)范
- 合伙人散伙分家協(xié)議書范文
- 園林綠化移樹合同
- 醫(yī)療機構保潔人員培訓
- 企業(yè)員工健康促進計劃的設計與實施
- 助理工程師答辯演示
評論
0/150
提交評論