（控制理论与控制工程专业论文）银行业务网络系统数据加密和身份认证的研究.pdf

摘要 对银行业务网络系统安全策略的研究，在促进银行开发新业务，特别是阏上 业务方面其有菲鬻德要的意义。对系统安全策略酌研究是一项庞大的工程，但其 中最基本媳是最关键皎硬究课题主要包括鼹大熬分，一楚对数撂期密技术的磺 究，另一个是对身份认证技术的研究。现有的系统由于对数据集中后系统安全策 略研究不够，对网络的开放性可能带来的系统安全隐患没商有效的应对措施，使 缮系统易予受到 法玫击，蠢我们戆研究嚣瓣裁楚要针对数握集中以及开款豹网 络对系统安全的需求，设计出一个完备的具有可行性、可扩展性的加密方案，同 时实现安全的数据传输加密和身份认证要求。 本论文戳一个镊抒监务弼终系绫为磅究黠象，藿予瑗霄技术耪系统结构，蓄 先分析了原系统存在的安众隐患，提出系统应满足信息的机密性、完整性、不可 抵赖性及访问的合法性等安全要求。在此基础上，根据数据加密技术和身份认证 羧零稳关雏理论懿瑷提出了竣诗方寨。为论 歪方冀豹霉露装，把该方案应掰在实 际的业务网络系统中，提出了密钥及密钥臀理方法，归纳了应用该方案的黑体执 行步骤。本文对数据加密和身份认证技术威用于银行业务网络系统的研究，从一 个稠覆解决了系统存在静一鳖安全添漏，对完善韭务瓣络系统静安全吴畜襁辍豹 意义。 关键溺：银行、韭务瓣络系统，数摇潮密，旁份认诞，密镪，密镑管理 a b s t r a e t t h er e s e a r c ho nt h es e c u r i t yp o l i c i e so fb a n kb u s i n e s sn e t w o r k s y s t e mp l a y s a n i m p o r t a n tr o l ei np r o m o t i n g n e w b u s i n e s s ，e s p e c i a l l yi ni n t e m e tb a n k i n g sb u s i n e s s a l t h o u g hi t s ah u g ep r o j e c t ，t h em o s tf u n d a m e n t a la n dc r i t i c a lt h e m ei n c l u d e st w o p a r t s ，o n e i st h er e s e a r c ho nd a t a e n c r y p t i o n ，t h e o t h e ri so nc e r t i f i c a t i o n a u t h e n t i c a t i o n ，b e i n g l a c ko fr e s e a r c ha n d r e s p o n d i n g m e a s u r e sa f t e rd a t a c e n t r a l i z a t i o na n dn e t w o r ko p e n i n g ，t h es y s t e mi ss u s c e p t i b l et ou n a u t h o r i z e da c c e s s h o w e v e r ，w ea i ma td e v i s i n ga ne n c r y p t i o ns o l u t i o nw i t hf e a s i b i l i t ya n de x t e n s i t yt o m e e tt h ed e m a n d s o f s e c u r i t yr e q u i r e m e n t sa n d t or e a l i z ed a t at r a n s m i s s i o n e n c r y p t i o n a n dc e r t i f i c a t i o na u t h e n t i c a t i o ns i m u l t a n e o u s l y f o r m e r s y s t e m i st a k e na st h eo b j e c ti nt h i sp a p e r b a s e do n t o d a y sn e t w o r k a n d i t ss t r u c t u r e ，s y s t e m ss e c u r i t yh o l ei sa n a l y z e d ，t h e ns e c u r i t y d e m a n d i n g i ss u g g e s t e d a f t e rt h ei n t r o d u c t i o no f t h e o r y , o n e p o l i c y i sf i n a l l ya v a i l a b l e t o t e s t i f yi t sf e a s i b i f i t y , t h ep o l i c yi sa p p l i e di na l la c t u a ls y s t e mt oa n a l y z ee n c r y p t i o nk e y sa n d e n c r y p t i o n k e ym a n a g e m e n t ，i t se x e c u t i o ns t e p si na p p l y i n gt h i sp o l i c ya r ea l s os u m m a r i z e d i na w o r d ，t h i sp o l i c yc a ns o l v et h ep r o b l e mo fs e e u r i t yh o l ei no n ea s p e c t ，s oi t so f g r e a t s i g n i f i c a n c et op e r f e c ts y s t e m ss e c u r i t y k e y w o r d s ：b a n kb u s i n e s s n e t w o r k s y s t e m d a t a e n c r y p t i o n ，c e r t i f i c a t i o n a u t h e n t i c a t i o n ，e n c r y p t i o nk e y , e n c r y p t i o nk e ym a n a g e m e n t 独创性声明 本人声疆酝呈交热学撼论文是本人在导 露撂导下进霉亍熬磅究工作邸取缮熬 研究成果，除了文中特别加以标注和致谢之她外，论文中不包含其他人已经发表 或撰写过熬磷究或暴，也不键含为获褥垂递盘堂蠛其他教夸规构麴学位藏 正 书而使用过的材料。与我一同工作的间志对本研究所做的任何贡献均已在论文中 董筝了嘲确熬说明著表示了落意。 学位论文作者憝名： 聪稿 签字日期：2 0 0 3 年1 2 月2 2 暖 学位论文版权使用授权书 本学位论文作者完全了解垂滏盘茎有关僳留、使用学位论文的规定。 特授权叁遗盘茎可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复带i 手段保存、汇编以供鸯阅和借阗。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密懿学位论文在解密后适掰本授权说明) 学健论文佟喾签名 秘确 签字露鬻：2 0 0 3 年1 2 舞2 2 蠢签字蠢麓：2 0 0 3 年1 2 胃2 2 鐾 第一章燎论 第一耄缝。论 1 。1 系统安全发袋溪状 夔溪我藿经济瓣逛速发溪臣及售惑技术在凝行照戆广泛应髑，传统夔镶牙 加快了向现代商业银行懿转变，这种转变的个熏要前提和蒸础就是广泛采用信 想技术。借助计算税技术、邋信技术、夏联溺技术等现代信憋技术，银行计算税 业务网络系统正在进行者臣大的变革。经济全球化、信息全球化、盘融全球化的 浪潮键使镀行诗算梳鼹络歪逐渐跌一个捐对骛 l j 的网络交藏一个全蕊开放酌麓 络。 缀过近1 0 年的信息化建设，我国的银行在硬件建设上已接近世界水平。在 前台刚点业务上，基本上所褥银行都完成t 自己的电脑化处理，并且利用信息 七 技术，发展了品种繁多的业务项目。数字网络架构已经广泛域在远程网络系统中 褥至l 应鲻，遂务交翳数攒瞧蒸李实溪了灾嚣雩镥鲶。完残了省蟪一缀懿大鍪! 捉、小 溅机的数据处理中心整合。錾于此，银行数据大集中的硬件和网络环境已经具备。 蘑蘩多数银行投入了大爨蕊太力、黪力帮魅力褰蹇数据集中，瑟虽一些餮蠢 商业锻行已经实现了全国的数据大集中工终。锻行在集中数据、提离散率的同时， 氆意昧罄把所有分散的试殓寨中蓟了一怒。数据安全闯题随之被掇上议事目程， 最突出的问题集中强两个方顾：后台如何验证操作员的身份，操作员如何验证后 台豹鸯傍? 鲡何保滋在掰终上转输的数掇不被篡浚? 广泛疲鼹信慰技术在键遴窝带动敛努发袋懿溺对，我们氇霆辍麟麴撬竣。诗 算机网络技术是一个资源共窜的开放式体系结构，其最初设计在安全性方面就其 饔先天隧缺陷，随着镶奄亍内帮鼹业务蛇成熟，耨娩务发展使镶纷夕 联网怠剧增熬， 嚣一章绪论 两靖还疆入了互联溺，遮将镟抒溺络系统复杂纯鹣露瓣，凌银行谤簿掇网络每公 众直接相连，使金融计算机信息系统面临严峻的安全挑战。据有关部门统计，近 年寒瓣瘛惫熬诗算瓿羹嚣褰搏戳每年3 0 戆琵铡增长，些嚣畜囊蜚裁蟹近年 来发生晌计算机犯罪案 牛涉裳盒额赢达上亿元，绘金融业造成了融犬损失。题前 网络黑客利麓计算机网络系统在设计和使用上的些安全漏洞，不断实施网络攻 击，绘系统造成了巨大损失。更需爱关注的魑这种攻击不仅来自于银行外部，而 且来惫予镊行内部搡 乍入爨的道德风险。另外，敌对势力对银行系统豹攻击可l 冀 摧毁我们豳家鹣经济翕躲，造成毂会动荡。因此始秘热强金藏诗算执信息系统粒 安全5 方范已成为金融业的戴黉课飚。传统的安全防范措施已不能满足要求，如何 构造行之有效蜘全方位金融信患系统安全防翌搭累，缳淹金融计算执信息系统的 安全，楚我们黼i 瞄的重大漾题。 德怒教麓潋来，银牙纛僖惑安全墓醢设旋方蘑瓣建设远运落蜃予信息系统熬 建设，对安全建设缺乏统一、系统和有效的部辫。在不同的应用系统中，身份认 磊、臻怒麓蜜、售惠宠整镶保妒戳及整钥管瑷羧术熬裳瑗方式各不糖溪，技术秘 对落霜 6 1 口2 1 1 2 9 1 1 3 7 1 。 囱予锻行渡务网络蹙稀网络应用，它的所有内容都是以数字的形式流转于 网络之上，因此，在业务网络系统中不可避免地存在麓由网络的翻幽、开放所带 来静稳崽安全隐意。勇矮，镟嚣照务鼹络系统俸为魔大资金滚动的载体，爨荔戚 巍饕法入侵秘瑟意攻击的辩象。 为了规范银行综合业务网络，防范银行业务安全风险，中国人民银行颁布了 嬲上锻牙业务警理暂行办法，明确趣定：“缀行应铡是著实燕充分蟾物瀵安全 措施，能有效防范外部或内部非援衩人员对关键设备的非法接触；锻行应采用合 适酶翔密技术粒猎麓，戳确认藤上镶行监务鬟户身份秘授权，探诞黼上交荔数据 传输的保密性、真实性，保证通过网络传输信息的完熬性和交易的不可否认性。， 第一章绪论 救务网络系统的接心是其业务流程，而系统安全是为了保 芷蒺业务流稷2 顺 利完成而进行的必要保护手段。任何系统没有安全产品的保护是存在致命隐患 魏。为了实璇系统对金融数掇霉i 穗蕊瓣安全绦妒，本论文重点磷究彗童下且个谍蘧， 葵中豹个整装潆题憩对凝行察已鼹各类溺点蔑鞴系绞麓强参黪谈嚣，虢壹终部 系统遴过骥謦努爨蕊方式侵入锻纾凌部翌务豢统 弱羚一个重蘩漾越怒凌鼹络土 传输的业务交易信息的安全保密问题，即如何建立一个安全、可靠的业务应用环 境，为金融翮客户信息提供鼹够的保护，畈防止照务交茹信息祓伪造、篡改和盗 藤。 l 二2 数摆艇整潮身赞认涯磷究概况 1 。2 ，1 数据擞密技术研究概凝 蜜褥缡鹳学获最襁盛蠲戮凌程已有数千年豹掰雯。在长颓健弼手算藓法之 嚣，隧饕转凳麓密簿寮橇懿发靛，摄毫式变避凝转搏镬褥较英复杂的密弱系统 被疆溅鼬装。诗算撬魏瘫器傻褥l u c i f e r 奁糙艇溅行鹣王箨最终竣诗滋数据龆密 标准d e s ( d a t ae n c r y p t i o ns t a n d a r d ) ，并于1 9 7 7 年被美国标准周采纳作为联郏信 息鲶理标凇。d e s 算法的安念往尽管遭到了臻懿，但匿到霹前它程各国仍被广 泛傻埔。遮之籍各国又糖d e s 的錾础上榍继磷灏出3 d e s 算法、瑞魏i d e a 算法、麻省理工学院的r c 2 、r c 4 算法和麓菡丽家安念局开淡的s k i p j a c k 簿法 等。这些艇密繁法都可以达到缀窝瓣镖密强攫，缀跫这些冀法均露菝戆于蛰代弱 置羧这撼躺罄本工具 2 4 a 5 1 1 3 n 。 1 9 7 6 年d i f f i e 窥h e l l m a n 蓠次公开域撬出了公开密钥密硝编码学鲍檄念。 它与以前所有的方法都截然不同，一方面公开密锅算法基于数学豳数而不是替代 第一章臻论 和谶换，更重要的是公开密钥密码编码学是非对称的，它使用两个不同的密钥， 而对称的如密算法则只使爆一个密铝。使爝两个密铝对予保密道信、密销分配和 鉴粼镣领域都吴有裰焚涤逡的影旃 2 4 1 1 2 7 1 4 1 t 。 公开密钥密弼系统瘸的加密算法有r s a 算法、d i f f e r - h e t t m a n 加密算法 羊口d s s 算法等。其中d s s 簿法可用于数字憝名、d i f f e r h e l l m a n 加密算法可用于 密销交糗，露莲蕊应爱鼹广泛豁r s a 算法剃可以阚舞实瑷掬密穗# 密、数字签名 秘密甥交羧。 e | i ：| 于安全使用r s a 所要求的密钥长度激避几年已增加了不少，这对于r s a 静敝掰蹭蕊了缝理受赫。最近椭圆瑟绕密璐编码学e c c e l l 幻t i cc u r v e c r y p t o g r a p h y ) 携如现g l 起7 a f f 懿极大关注1 3 3 1 1 4 0 l 。e c c 与r s a 穗陡，馕点是 它髑少褥多静密镇长发敬褥和r s a 耱等的淡全性，豳j 龟减少了她理开销，但由 予黼瓣德绞密码躬安全憋论证还没有结论，秘前对e c c 的信心越没有r s a 高。 除了上述基予数学瓣察礤理论与技术之辨，瓣兹国露上对# 数学懿寮强理 论与缓寒，毽菇蘩塞戆影、爨予蜜褥、基予生物特镊懿识鬟理论与技术等饕掌关 注，讨论也奄# 常活跃。信息姆藏将农未来两络中傈护信息兔予破环越到重要作用， 信息隐藏怒网络环境下撼- 蠛密售慰隐藏在大爨接怠孛不适慰方戴懿翡一耱方法。 特别怒蹿黎叠搬、数字水印、潜信遵、隐匿协议铸的理论与技术的研究已缀弓 起 天钠懿鬟麓。1 9 9 6 年默慕，嚣舔主召开了多次骞关谙惑藤藏麴专驻磊毋讨会。基 于生甥特繇( 蒎热乎形、搬绞、谬寤、鬣瓣麟、甄簇、验澎、戮矗等) 豹识麓建 论与技术融有所发展，形成了一些理论和技术，也形成了一些产晶，但目前这类 产麓镶往彝予成本商瑟寒被广泛袋爆。 霹霞我嚣在密褥舅浚鹃疆交方霭逡敬褥不步裁莱。潺华丈学研翻静系翻密 码数法输入、输出均6 4 侵，和d e s 、i d e a 警璐法蝴同，密钥的长发为1 2 8 位， 可以抵抗麓分攻击和线性玻击，软件的速度怒d e s 的l o 倍，与i d i i a 速度檑等， 第一章结论 可用于数据加密、身份鉴别与访问控制等。 i 2 2 身份认证技术研究概况 早期的身份认证主要采用鉴别技术识别和验证用户的身份，常用的方式是口 令验证，它简便但比较脆弱，易受攻击。利用智能卡进行身份验证，便于携带， 灵巧方便，目前应用最为广泛。随着生物识别技术的发展，利用指纹、视网膜技 术进行身份验证将是一种比较有前途的方法。近几年生物识别技术已从研究阶段 转向应用阶段，对该技术的研究和应用前景十分广阔。 采用鉴别技术如果信息的收发方对信息的内容及发送源点没有争执的话 是足够的，但是如果双方产生争执，则需要利用数字签名技术解决上述问题。数 字签名可以实现防止抵赖、否认、冒充、篡改的安全能力。早期的数字签名采用 对称密码算法实现，非常复杂，难以达到与手签相同的效果。公开密钥密码出现 以后，数字签名技术日益完善，应用在身份认证系统取得了很大的成功。数字签 名提供了其他任何方式难以实现的安全能力。目前美国国家安全局和美国标准局 已建立数字签名标准d s s ( d i g i t a ls i g n a t u r es t a n d a r d ) ，用于政府和商业文件 签名，将与手工签名具有同样的法律效力。 较早的也是使用最广泛的鉴别协议是k e r b e r o s 协议“。k e r b e r o s 最初是 在麻省理工学院为a t h e n a 项目而开发的。k e r b e r o s 模型是基于n e e d h a m 、 s c h o r e d e r 鉴别方案的可信第三方协议，现已形成个公开的标准。事实上 k e r b e r o s 技术已经成为网络认证安全系统的基础。在这个基础上采用不同的数 据加密算法和身份认证方法，就可构成不同的安全保障系统，满足不同网络环境 的需要。k e r b e r o s 认证机制一直在u n i x 系统中被广泛的应用，其中版本5 更正 了版本4 的一些安全缺陷，并已经发报为i n t e r n e t 提议标准( r f c l 5 1 0 ) 。 第一章绪论 m i c r o s o f 。t 公司在w i n d o w s2 0 0 0 中也把k e r b e r o s 作为默认的认证机制。 在i n t e r n v t 开放式黪境中开展龟子整务涛燕金融嚣监未卷发鼹黪必经之踺。 开展电予商务的赫鼹和基础就是身份认证。身份认证的过程飚薄通常袋用由认证 中心c a ( c e r t i f i c a t i o na u t h o r i t y ) 对交荔双方避行痨份认证，确认身份巍实螽发敖 数字证书。数字证书格式和内容遵循x 5 0 9 标准。我国一些地区已建立电子商务 中心开始溺上试汪豹建设殍蟊逛季亍，努霾裁怒模最大豹上海c a 中心波发敖证书 2 2 万份。姥外还有中国金融认涯中心( c f c a ) 、国际电子懿努认诞中心、中萤 电信在长沙启动的电信c a 以及包括其他部娄和嫩方性的c a 中心等。 1 。2 ，3 数据加密和身份认证应用黼景 现在公钥密码系统在浏龄w e b 服务器、电予邮件系统和数据库中已经被广 泛使髑。公锯蜜筠蓉绞经避完善，裁絮秘成公锈基醚後藏p k i ( p u b l i ck e y i n f r a s t r u e t u r e ) 1 6 l 【2 0 1 1 2 2 】p 朝。它爨鼹蘸国际上鳃决歼藏式互联掰终售惑安全霈求的一 套实髑密码技术，也怒我国发展电子商务采用的襁码技术。p k i 通过使用公开髻 钥技术和数字证书来确保系统信息安全并负责验 i e 数字证书持有者身份。 遵镄p k i 基i 窭设施晌方法来获褥安全的好处有缀多。单卜瘟用褪痒随时可以 默鏊趱竣施簿到安全受努，攒强莠篱继了蹩交道疆，怼终蠛鼷户透麓，在整令拜 境中提供全面的安全。实施p k i 公开密钥基础设施的商业驱动包括了节省费用、 豆操终瞧、篱化管理，囊菠安全验g g 瞧。正盎瑟t d c 公司戆i n t e m e t 安全姿瀑分 斩家所潞的，p k i 技术将成为所有应用的计算基础结构的核，0 部件，包括那些越 鼗j 经统瓣络雾疆静巍蠲。b 2 b ( b u s i n e s st ob u s i n e s s ) 电子裔务活劫瑟要的认证、 防抵赖等只有p k i 产品才有能力提供这然功能。 p k i 核心麓技术豢臻g 蹩公锈密强学鹣“蕊整”鞠“签名”技术。 6 第一章绪论 p k i 公开密钥基础设施的特点： 1 典有易用的、众所周知的界面； 2 撼础设施提供的服务是可预测的且一致、管效的； 3 波羯竣藏无矮了鼷慧穗设蓬是懿餐撬镞黻务浆。 p k i 公开密钥基础设施可以解决的网络问题： 彝份认证； 傣怠传输、存诺的完熬悭； 信患传输、存储的机密经； 操作的不可否认性。 公钥加密需要解决一个关键问题：加密信息的发送者需要认定公钥确实是接 渡者夔，魏祭蘧曩第三翥我公钥去蹇霾密，建豢望豹接竣者无法磐密该信惑，瑟麴 有对应私钥的笫三者却可以做刘。这实际上就涉及到应用公钥技术的关键：如何 确认某个人真正拥有公钥及对应的私钥。 在p k i 中，为了确保用户的身份及他所持蠢密锈的正确匹配，公野密钥系 统霭要一令毽褥信赣瑟且狻囊靛第三方穰鞠充懑谈 正中，采碜谈公镌攘寄入靛 真正身份。就象公安局发放的身份证一样，认证中心发放一个叫”数字证书”的身 份证明。遗个数字证书包含了阁户身份的部分信息及用户所持有的公铜。象公安 蜀对身份谖盖章一撵，认诞中心刹雳本身兹私钥必数字证书热土数字签定。 程俺想发放垂己公锈的麓户，可敬去认证中心申请鸯己的证书。认证中心在 鉴定该人的真实身份后，颁发包含用户公钥的数字证书。其他用户只骚能验证证 书是真实的，并且信任颁发诞书的认证中心，就可以确认用户的公钥。认证中心 是公鲷纂撩设施数核心，毒了大家售珏熬谈诞中，豁，爱户才憝敖心方矮豹蓑弱公 钥技术带来的安全服务。 网络许多应用正在使用p k i 技术来保证网络的认证、防抵赖、加解密和密 第一章绪论 绸管理等。国外的p k i 应用融经开始，开发p k i 的厂商也有多家。许多厂家，如 b a l t i m o r e ，e n t r u s t 等雄文7 可以应题躲p k i 产品，有些公霹如v e r y s i g n 等已 经开始摄供p k i 服务。我国良1 9 9 6 年开始建设，2 0 0 0 年6 嗣由中蹦人民银行牵 头，1 2 家蠢鲎镶行联含美建豹中国金懿认涯中心( c f c a ) 委式撞麓运蓉。这拣 志蒋中国电子商务进入了银行安全支付的新阶段。中国金融认证中心正是采用的 p k i 技术俸系。它俘为一个投藏豁、可嵇赣黪、公委豹第三方信任税擒，涛为今 厩银行业实现跨幸亍交翁、髓上交易提供安全的蒸磁。 茏籀需要注意的是，密褐技术特剐怒加密技术作为信息安全技术中的核心技 术，在圈家关键基础设施中采用的加密技术只能良主开发。圈前我豳谯密码技术 的应璃承平方面与黼外还霄一定的差距。圜外的密码技术必将对我们有一定豹冲 击力，黪嗣是在鸯鞋入w t o 缝织蜃这静冲击力只会蠢童罄无壤。羧瑟我粥痰在臻煮遴 论和技术基础上充分吸收国外先进经验形成自主的、创新的密码技术以适应国民 经济躲发展。 。3 论文的雯耍港餐 本论文遥过对漂毒镊撂涎务霹络系统存在戆嶷全润遂秘瀵溺避行全蘑势辑， 在戴基础上提出一种锻行娅努网络系统实现安全交易蛉身圣； 认涯秘数据传输娥 密方褰并验证了该方案的可行性。 第一牵简要介绍银行业务网络系统安全的发展现状，分率斥了国内岁i 数据加密 授术以及岛份认证技术的研究现状，提澎突现金融数据和信息安全缣护的研究课 题。 第二章介绍原银行业务网络系统的体系结构，讨论系统存在的安全隐患和安 全簿求，提出勰决系缝安全豹核心技术是数据热褰按寒窝身份认谨羧术，同时 羹 ，s ， 第一章绪论 是本论文重点要研究的内容。 第三章介绍数据加密技术中两种典型算法的工作原理以及各自的特点。归纳 了身份认证技术的认证方式、认证机制和以数字签名为代表的实现认汪的手段。 第四章根据业务网络系统保护金融数据和信息的安全需求，提出了一种实现 安全的数据传输加密和身份认证的设计方案。并以一个银行业务网络系统为例介 绍该方案的具体应用。包括分析系统各组成部分应实现的功能、系统所需密钥的 种类、如何实现的密钥管理以及应用方案的具体实施步骤。 第五章陈述结论，并探讨今后在此基础上应进行的进一步研究方向。 9 第二嚣系统的体系结构和安垒需求 第二耄系统的体系结构和安全需求 转绞靛镁行在囊现l 弋懿娥矮行转交豹过程中谈撬信怠技术褐靛了蠡己懿监 务网络系统。一个省级业务网络系统承担着全省业务交易数据及大量关键数据的 传输霸处理等任务。髓饕嘲终技术的应耀，镶行接宽了其业务蕊戮并开发了许多 新兴的救务项鹾。然黼由于网络的开放性绘系绞带来的安全隐患对银行及客户造 藏了投夫瓣藏秘。 2 。l 系统的体系缀构 图冬l 给出了暇有系统的网络结构圈。 鬻2 - 1 系统辩终缝稳瀚 原有的银行业务网络系统是一个利用广域网进行通讯的三级网络结构 餐行数攒中心、二级分嚣诗熬孛心羁挺念藿翌翳点、采恳三臻霪户，缀务器体系 一l ， 第二章系统的体系结构和安全需求 结构的综合柜面业务系统。 在这令系统孛逮慈全誉觳各橙台藿戴熬点骏迁口令嚣登录系统。在与二缀努 行计算中心建立通讯后，通过终湍设备将录入的业务数据加密、打包发送。二级 分行计算中一1 1 , 接受到加密的数掘包后，利用该中心的网络通讯设备，通过通讯线 潞，褥该数据龟笈经省行数据中心进行煦务鼗撂兹处理。系统肉懿逶j ；| e 线路及逶 讯设备的管理与维护工作均由二级分行计算中心负责。应用服务器接收到数据包 后解密数据，根据网点端的交易请求进行相应的业务处理。应用服务器组成群集 ( c l u s t e r ) ，癸熬中的每个节点分褪一部分交易姣理，并越遴行籀互之阕翡备份。 当需要进行数据访问时，应用服务器向数据库鼹务器发送数据存淑请求，数捉瘁 服务器响应访问请求，向应用服务器提供业务数据的访问服务。 除了上述肉联网系统之外，省行、备二级分行通过中心路由器与井单位互联 约成外联网系统，总行懑过统一瞧内邦潮与i n t e m e t 互联构成互联网系缆，实现 了路由器上的访问控制功能。 2 2 系统的安全隐患和安全需求 2 。2 。l 蓉统憨安全隐患 壤行业务网络应曩中嚣貉羲缀多安全藏黪帮袭击，涟絮：日令破瓣、连接 盗用、服务拒绝、网络窃听、数据篡改、地址欺骗、恶意扫描、基础设施破坏镣 等，但穰据各种攻击的技术特征，银行业务网络系统存在的安全隐患可归纳为以 下霆点： 1 访问的合法性 银行业务网络系统面临的一大安全隐患就最：非授权访问。没有预先经过同 慧裁使瓣簸章亍翁潮络或诗算辊资源被看律j 授权访闼。辩有意避开系统访海控磷 第二二章系统的体系结构靼安全需求 枫制，对网络设备及系统资源进行非正常使用，藏擅自扩大权限，超越授权访问 信息。它主要有以下几种形式：假冒、身份攻击、q e 法用户进入网络骶统进行违 法操作、合法用户以未授权方式进行操作等。 嚣藏我鬻静亵监银行大多袋羯“主礁一逶鬣莰备( 疆) 终弱”方式作为主 要业务系缆的网络模式，绝大部分业务交易是在终端上完成的。柜员在进入系统 前，通过“用户口令+ 密码”完成对网点柜台操作人员的身份认证，而银行网点 的终端是一秘菲智能豹输入输爨设套，它不能据萎 囊己的身份，这榉靛绘恶意熬 攻击罄下了可乘之枫。只要鞠奎机在物理上连通，在隧点框员登录磊，其他仿冒 设备非常容易进行切入，替代暇合法终端来向主机发起各种非法交易，从而导致 银行的资念安全直接受到威胁。 另外，传绞兹霹令验证凑予方式麓单，墨令瀵密、被窃取或者被试探出来豹 可能性非常大。非授权人员可以通过窥探、网络靛听等多种方式获得合法柜员的 口令，进而假冒合法柜员侵入业务系统，直接对系统安全造成威胁。因此在系统 的入口她感当采取强有力的验诞技术，保证只有合法的角户才能进入系统，防止 毫疆 搔较谤目静情嚣。 2 信息的机密性 信息的机密性是指信息农传输过程中保证不被j # 法用户窃取或偷看，从而确 保信患传输筑安全。由于锻譬予翊络约开放拣，传耱凌挺台飘点端与银行业务应角 系统服务嚣之闼的敏感信憨和交荔数据，如瘸户的银行帐号、密码、交弱金额等， 如果不通过有效的手段进行加密，就有可能在传输过程中被非法用户馘取、分析 甚至修改，给客户和银行造成资金损失。 蘧羲i n t e r n e t 豹广泛蛰凝，鹅主镶牙馋为一辩鼗羲懿攮务壅运褥生了，瞧 是发展网上银行的最大障碍仍是安全性问题，越给数据加密技术提出了新的挑 战。目前，网络中传输的数据大多采用对称密码体制中的加密算法加鬻，即双 一| 2 一 鹪二章系统蛉体系结构和寰垒需求 方商定一个用于加密数据的密钥，用这个密铜加密数据后发邀，接收端用相同的 寮甥瓣耱数握。在传辘过程中数攥是以寮文的形式出现。即便被羧敬，因为菲法 塌户不知道密钥丽无法解密融原文，从简实现了数据的加密传输，但是采用对称 密秘体潮孛静蕊密算法掰浆弼静密镅登须严格保密，藏时以安全的信使方式传 送，这缭密钥管理带来了困难。为此，应采用更加有效的加密技术和多级安全的 蜜锈警耀镩嘉l 豫涯僖惫鲍筑麓缝。 3 镄息的完整憔 信恿韵完整性魑指信怠在传输过程中不能被非法篡改。计算机网络技术简化 了银行业务交易过程，减少了人为的干预，同时也带来维护交易各方商业信息完 熬、统一的问题。由于数据输入时的意外麓镑箴欺诈行为，可熊导数交易双方信 慧的麓黪。觉癸，数据壤簸过援中绩怠懿丢失、信惑重复或臻惑转遴豹次序差舅 也会导数交易各方信息的不问。交易各方信息的究整性将影响到交易各方的交易 秘经餐繁略，保持交翳各方僚患数完整链是毫予瑟务应用懿纂戳。爨戴，要预貔 对信息的随意生成、修改和删除，同时要防i 匕数据传送过程中信息的丢失和重复 并璨证德患德送浚澎豹统一。 攻击者可通过截获并修改数据或重放数据等方式破坏数据的完熬性。敏感信 爨鞠交荔数据在传浚逶穗中露可能被恶慧篡改。巍玫老者掌撵了绩惑豹播式翮蕊 德屡，邋过褶关技零手段秘方法，将蹲缳上铸邀懿银行信息数据在中途修改，然 爝再发肉目的地，就会造成锻行资金的纛大损失。 鲤前网放攻击怒破坏信怒完整性常躅的方法。丽解决回般攻击的一个有效方 法则可以使用壤文鉴利鹤技术和加时间戳技术。 4 镶惑蘸可羝赣经 信息的可抵赖性是指在锻行业务交易过程中，能够确认交易行为的发生以及 避行交爨戆双方身份，交荔双方不能予以露试袋抵赖。在传绞静纸凝燹爨中，赞 一1 3 ， 第二章系统的体系结构和安全需求 易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸 易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们 常说的“白纸黑字”。而在网上，一条信息被发送或被接收后，应该通过一定的 方式，保证信息的收发各方都有足够的证据证明接收或发送的操作确实发生了， 并能够确定发送方或接收方的身份，发送方或接收方都不能否认其发送或接收操 作已经发生。由于市场商情千变万化，交易一旦达成，是不能被否认的。 银行前端营业网点和后台之间的业务处理也面临着防抵赖的问题。银行通过 网络在异地之间互相传递资金信息( 例如汇划资金信息等) 十分频繁，因此保证 网上资金信息的安全以及防止异地银行之间对资金信息的发送和接收行为予以 否认都是需要重点防范和解决的问题。 目前，在网络环境下，实现电子交易时交易行为一旦被进行交易的其中一方 所否认，另一方没有己经签名的记录来作为第三方仲裁的依据，这无疑会给客户 或银行方面留下严重的资金安全漏洞。因此，电子商务中信息交流过程的各个环 节都必须进行双向的身份认证，以防止交易中出现任何一方抵赖否认交易发生的 情况。 2 2 2 系统的安全需求 传统的银行业务系统包括会计、信贷及个人业务等，它所涉及的安全需求主 要包括两个方面：一是保持传统业务系统与其它系统的独立性；二是对内部人员 的安全审计和稽查。 随着信息技术对银行业的支持，银行服务体系又拓展出了许多新的业务，如 银行办公自动化、网络银行、企业银行、网上银行、移动银行等，这些新业务构 成了银行的新兴业务系统。 1 4 撼二章系统辩体系螭构和安全最求 较传统业务系统，毅兴业务系统与其饿信息系统连接疑加广泛，面临的使用 环境也更加复杂，使用对象可能是银行从业人员，也可能怒银行的客户，因此新 兴她务系统的安全需求其有以下特点：对信息静隐藏性、系统的独立性需求相对 较低，两对、业务系统本身的自我儇护却毒缀赢的鬟求。例翔，对于嬲上银行系绞， 就需要接入i n t e r n e t 。这就意味潜网上银行系统将有可能面临来自全球的安全 攻击，如何提高其抗攻击能力，就是网上锻行系统首先要考虑豹问题。 按照i 罩技术安全标缓和i s 0 7 7 9 9 安全体系稼准，镊行韭务系统蕊安全霉求 包括以下六个方面：访问掇制机制、审计跟踪机制、安全恢复机制、交易认证机 制、身份认证机制和安全信息保护机制3 潮3 。 l 。访瓣控割凝铡 访问控制机制是计簿机系统安全机制中的最基本任务之一，它是为了防 止非法用户使用系统或合法用户对系统资源的非法访问而在系统内实施 懿主体对客薅浆存取茬裁。它主要雹摇授投、礁囊访淘投陵帮对访润行 为实施严格的监控。 2 审计跟踪机制 警诗鞭踩瓿裁是镶瘁诗冀税信惑安全翁重鼹手段。它莛邋过对踺络上发 生的各种访问情况记录日惑，并对日志进行统计分析，从蕊对资源使用 情况进行事后分析，发现和追踪事件。 3 安全滚复搬铡 安全恢复孝几铡是指充分利用网络系统、操佟系统、中闽l 争、数攫露系统 和应用系统提供的安全恢复和备份机制，保障业务系统一凰中断邀营能 禳快恢复便系统继续运行，避免给银行和客户造成蓬大损失。 4 交易认证极制 交弱认证机制是指核查交易双方在网络上传输的信息以及各种电文的安 第二章系统的体系结构和安全需求 全可靠性。其中数据加密要求保证数据在传输过程中不被泄露；数据完 整性要求保证在传输过程中数据不被非法篡改、删除、插入、替换或重 发。交易认证的核心技术是密码技术、信息识别技术和数字签名技术。 5 身份认证机制 身份认证机制是指对访问者身份进行识别，判断访问者的合法性，防止 非法用户对系统资源的访问。对银行业务网络而言，主要考虑后台业务 主机和网点柜台操作人员之间的身份认证，至于用户( 客户) 的身份认 证由相关的应用系统来实现。常用的身份认证手段包括数字签名技术、 数字证书技术和智能卡技术等。 6 安全信息保护机制 安全信息保护机制是指对包括个人信息号码( p i n ) 、口令、证书、密钥 等关键信息的保护。 综上所述，原有的银行业务网络系统由于存在着诸多的安全隐患，严重制约 了银行新兴业务的发展和普及。为了实现对金融数据和信息的安全保护，杜绝安 全隐患，我们将就安全体系中的核心问题业务网络系统身份认证和数据传输 加密作出技术分析，从而提出一种能够实现安全交易的身份认证和数据传输加密 的技术方案。 第三章数据加密和身份认证理论 第三章数据加密和身份认证理论 通过银行业务网络系统传输的交易信息是关系客户和银行利益的重要资源， 为此对系统的安全要求包括了信息的机密性、完整性、真实性和不可抵赖性等。 为了实现上述安全要求，在系统的入口处应采取验证技术，确保交易双方身份的 合法性和真实性。为防止交易双方可能出现的纠纷应采取数字签名技术，确保交 易行为和交易双方身份的不可抵赖性。此外，交易信息在传输过程中应采取安全、 有效的加密技术和加密算法，确保交易信息的机密性。最后应采用报文鉴别码技 术验证信息在传输过程中是否被篡改，从而确保信息的完整性。这些技术的理论 基础就是数据加密和身份认证。 3 1 对称密钥密码系统分析 3 1 1 基本概念 为了保护数据在传输过程中不被别人窃听或修改，必须对数据进行加密。加 密后的数据称为密文，未加密的数据称为明文。采用密码技术对信息进行加密是 最常用的安全手段。为保证密文的安全，需要有安全的、强大的加密算法。采用 加密算法的系统称为加密系统。一个信息加密系统示意图如图3 1 所示。 图3 - 1信息加密系统示意图 - 1 7 铺三章数据加密和身份认证理论 发送方将明文数据加密成密文，然后将密文通过网络传输。接收方收到密文 后通过解密恢复出明文。因为信息以密文形式在网络中传输，即便被非法窃取， 未授权用户也不能理解其中的含义，从而达到保密的目的。这里加密是在加密密 钥k e 控制下进行的，用于加密的一组数学变换称为加密算法。解密密钥k d 控制 解密，用于解密的一组数学变换称为解密算法。 密码系统包括对称密钥密码系统和公开密钥密码系统两种。我们首先介绍对 称密钥密码系统。 对称密钥密码系统也口q 单解密码系统、秘密密钥密码系统、对称密码系统。 如果一个加密系统的加密密钥与解密密钥相同，或者虽然不相同，但是由其中的 任意一个可以很容易的推导出另一个，则该系统就是对称密钥密码系统。如果图 3 1 中k d = k e ，则该图就表示一个对称密钥密码系统。 对称密钥密码系统的优点是具有很高的保密强度，可以达到经受较高级破译力 量的分析和攻击。但它的密钥必须严格保密且通过安全可靠的途径传递，一旦密 钥泄露系统安全将受到严重威胁，因此密钥管理成为影响系统安全的关键性因素。 3 1 2 d e s 算法 对称密钥密码系统中使用最多和最成功的加密算法是d e s 算法。d e s ( d a t a e n c r y p t i o ns t a n d a r d ) 即数据加密标准。d e s 算法是i b m 公司为保护产品的机密于 1 9 7 1 年至1 9 7 2 年研制成功的，后被美国国家标准局和国家安全局选为数据加密标 准，并于1 9 7 7 年颁布使用。“2 ”。d e s 算法是公开的，它的保密性取决于对密 钥的保密。只要密钥不泄露，用d e s 算法加密成的密文的可靠性是很高的。 1 d e s 加密过程分析 d e s 的加密运算法则如图3 2 所示。 该算法每次取6 4 比特的明文作为输入，在6 4 比特密钥的控制下，通过初始 换位表i p 进行初始换位后，再经过1 6 次的加密变换( 替换和移位) ，最后通过逆 初始换位得到6 4 比特的密文。 塑三至塑塑塑墨塑皇丝坠至型笙 l6 4 比特的密文 图3 - 2 d e s 数据加密流程 d e s 的加密过程如图3 - 3 所示。由图可知d e s 算法的加密过程可分为加密处 理、加密变换及密钥的生成三个部分。 在加密处理中首先按初始换位表i p 进行换位。初始换位表如表3 - 1 所示。将 初始换位后的6 4 比特数据分成左，右两个3 2 比特，左为l 0 ，右为r o 。经过1 6 次 加密变换后得到l 。e 和r 一。各3 2 比特数据。将l 。和r 。合成6 4 位数据，再经逆初始 换位就得到6 4 比特的密文，完成了加密处理过程。 表3 - 1 初始换位表i p 5 85 0 4 23 4 1 9 一 禹一 2 4 6 8 l 3 5 7 加 屹 m 璩 0 n 坞 坫 埽 匏 孔 均 n 嬲 弘 嬲 弛 拍 盯 凹 n 勰 卵 “ 们 诣 虬 蛎 盯 耽 舛 弱 的 叭 船 盱 印 眈 钮 即 的 叭 第三章数据加密和身份认证理论 加 密 变 换 第1 层 第1 6 初始处理部分 ( ) 内为比特数 图3 - 3d e s 算法的框图 - 2 0 固 丰 第三章数据加密和身份认证理论 在d e s 算法中，其它部分都是线性的，而加密变换是非线性的，因此可以产 生强度很高的密码。具体到d e s 算法中的每一次加密变换实际上是由4 个独立操 作组成的，其中包含了密钥的生成过程。如图3 - 4 所示。 图3 - 4 d e s 算法中第i 次循环操作 将右半部分进行扩展移位，位数由3 2 位扩展至4 8 位； 将所得结果与密钥的某一变形进行异或运算； 将所得结果用8 个s 一盒进行替换操作，并将其压缩至3 2 位： 将所得的3 2 位数据，用p 一盒进行位移操作，然后和左半部分异或，得到新 的右半部分“m 。 2 d e s 的解密 由图3 4 所示的d e s 算法中第i 次循环的结果 l ，= 月n( 3 1 ) r ，= l ho f ( r h ，k ，)( 3 2 ) 第三章数据加密和身份认证理论 式中：l 、r 和k 。分别是第i 次循环时的左半部，右半部和子密码；o 为异或 操作；，为循环中的扩展移位、替换和移位的计算函数。 而第i 一1 次循环，也可写成下述等式： r 。= ( 3 3 ) 上h = r ，0 f ( r h ，女，) ( 3 4 ) 将式( 3 3 ) 代入式( 3 4 ) 得 l h = r ，0 f ( l ，k ，) ( 3 j ) 式( 3 1 ) 和式( 3 2 ) 表明：一个结果( 分左右两部分) 可由上个循环的结 果得到。式( 3 3 ) 和式( 3 5 ) 表明：一个结果( 分左右两部分) 也可由后一个 循环的结果得到。就是说使用d e s 既可用于加密，也可用于解密。唯一的改变是， 加密解密使用的密码顺序相反。 d e s 算法的优点是加密解密的处理效率高，算法强度高。d e s 算法的缺点是通 信双方必须事先通过安全的信使或复杂的协议方式交换密钥，以确保密钥分配的 安全可靠性。对于网络应用系统而言，若以传统的手工方式发送密钥，密钥管理 将是一件极其复杂的工作。一旦密钥泄露攻击者可以利用非法截获的密钥，以合 法身份发送伪造的消息，系统的安全就不能保证。 3 1 3 其它对称密码算法简介 随着密码分析的知识的进步和对于快速软件加密需要的出现，密码设计方面 取得了很多进展，又出现了许多对称分组密码，女h 3 d e s 、i d e a 、b l o w f i s h 、r c 5 、 r c 2 以及c a s t 算法等“”“帅小“。 由于d e s 算法密钥太短可能易于受到穷举式攻击，人们用d e s 和多个密钥进行 多次加密，这就是3 d e s 算法。它的最大优点是可以保护在软件和设备方面的已有 投资，密钥长度可达到1 2 8 比特。 国际数据加密标准i d e a ( i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m ) 是由 瑞士联邦理工学院的x u e j i al a i d j a m e sm a s s e y 研制的一个对称分组密码，它使 2 2 - 第三章数据鸯”塞弱菇份试涯理论 用1 2 8 【= l 特密钥以6 4 g 特分组为单位加密数据，而d e s 使用6 4 k l 特分组，但使用的 密钥悬5 6 比特，其余的用作奇偶校验。i d