电子商务安全第9章

1、第第9章章 在线电子银行系统和证券交易系统的安全在线电子银行系统和证券交易系统的安全9.1 在线电子银行系统的体系结构和安全需求在线电子银行系统的体系结构和安全需求9.1.1 在线电子银行系统的体系结构在线电子银行系统的体系结构 用户 银行浏览器web 服务器 applet 代码stand-alone应用程序客户端stand-alone应用程序服务器端applet解释器 图9.1 基于internet的电子银行系统构架 当用户有一台可以上网的电脑时，他通过浏览器和银行的服务器进行通信，而所使用的标准通信协议通常是超文本传输协议（http协议）。用户除了使用浏览器与银行系统建立通信的方法之外，还

2、可以采用专用的客户/服务器应用程序来建立用户与银行之间的通信联系。 9.1.1 在线电子银行系统的体系结构在线电子银行系统的体系结构wap 浏览器wap网关银行服务器 用户 银行 图9.2 基无线应用协议的在线电子银行系统基本构架当用户拥有一部支持wap的移动电话时，他就可以通过无线网络与银行系统建立连接。wap本质上是无线领域的tcp/ip协议。为了实现从无线域连接到因特网上，需要一个wap代理或网关进行wap协议和因特网协议间的转换。例如，wap代理需要对通过无线连接传输的压缩数据进行编码/译码。9.1.1 在线电子银行系统的体系结构在线电子银行系统的体系结构9.1.2 在线电子银行系统的

3、安全需求在线电子银行系统的安全需求 机密性：系统应该保证只有经过授权的实体间才能进行信息交流。 实体鉴别：在发送敏感信息前，用户应该能确信和他们进行通信的是真实的银行；同样，银行也应该在处理事务之前确认用户的身份。 数据鉴别：所谓数据鉴别就是数据来源鉴别和数据完整性鉴别，它使得人们能够检测出是否有非授权实体对数据进行插入、删除、替换和重传（重放）等操作。 不可抵赖性：它能够确保已经执行提交或者其他操作的实体不能事后否认其行为。【例9.1】 一个典型的实现在线电子银行安全需求的基于因特网的系统结构如图9.3所示。9.1.2 在线电子银行系统的安全需求在线电子银行系统的安全需求 图9.3 在线安全

4、电子银行系统结构 9.1.2 在线电子银行系统的安全需求在线电子银行系统的安全需求智能卡用于客户的身份认证以实现对不同用户进行交易的录入和审核；进出银行内部计算机网络系统的信息/数据流都要经过放火墙、过滤路由器的内容过滤和检测；web服务器接受客户的交易请求，并进行密码检验和会话合法性检查等工作；认证服务器可以在系统级和应用程序级应用ca证书实现客户认证和事务认证；安全交易服务器负责安全地进行交易操作，包括客户账号和密码确认、支付确认等 ；而安全监控服务器则实施对所有操作（网页访问、数据库访问等）进行周期性的安全检查并报警。在线电子银行系统采取相关的安全措施可以防止出现某些风险以及由此引起的代

5、价。在系统的安全性与所付出的（潜在）代价之间应该得到适当的平衡。对于电子银行系统，应该尽量减小客户端所需的额外的代价。用户应该能够在标准的基础设施和已有的软件下执行电子银行的事务。这样才会使得电子银行服务更有吸引力，但不幸的是这样又会使得电子银行服务的安全性降低。事实上，安全电子银行系统应当尽量用较小的安全代价（费用）来抵御尽可能多的风险，同时又最大限度地提高系统的易用性。9.1.2 在线电子银行系统的安全需求在线电子银行系统的安全需求安全电子银行系统应当提供什么样的服务呢？ 为了与客户交互，银行需要提供一个接口界面服务器。这个界面适用于atm、www和wap等各种应用环境。 银行应可以检验客

6、户的请求和应答鉴别，这由鉴别服务完成。 保证金融业务的有效性，这通过事务服务完成。这个服务也为银行主机提供一个易用的界面。 银行主机处理这些事务和保存使用纪录。这个功能构成反映了当前所有电子银行系统中的服务。9.1.2 在线电子银行系统的安全需求在线电子银行系统的安全需求9.2 在线电子银行系统的通信安全和客户认证在线电子银行系统的通信安全和客户认证9.2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全基于internet和wap的电子银行系统中用户和银行安全通信的解决方案，目前采用的通信协议一般是 ssl/tls/wtls协议。其中ssl（安全套接层）协议是由netscape公司研

7、究制定的安全协议。internet网络工程技术小组ietf在制定tls（传输层安全）协议时采用了ssl协议。wap论坛采用tls建立了wtls（无线传输层安全）协议。 ssl/tls/wtls协议在客户和银行之间提供一条安全通道。这意味着在客户和银行两端间可以秘密地传输数据（数据的机密性）并且可以检测出数据是否被篡改（数据完整性）；以及对银行和客户进行鉴别。ssl/tls/wtls协议的优点之一是能够它们可以在不同的通信协议中使用，而不严格要求是http协议。由于ssl/tls/wtls协议只提供安全通道，所以它们不能实现不可抵赖性。电子银行系统应该在安全通道之上实现不可抵赖的安全机制。 9.

8、2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全 客户和银行间的连接分为握手和数据传输两个阶段。握手的目的有三方面：第一，客户和银行对所采用的加密算法达成一致；第二，生成密钥；最后，双方相互鉴别。一旦握手过程完成，数据传输就可以开始。这时数据被分成若干段并按数据段序列的方式传输。为了保证数据的完整性，需要计算消息鉴别代码（mac）并将其加入到数据分段中，然后将数据段与mac一起加密。9.2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全wap论坛已经改进tls协议使之适用于带宽、存储和处理能力有限的无线设备环境。一方面，wtls协议默认使用椭圆曲线密码算法（它适用于存储和

9、处理能力有限的环境）；另一方面，wtls协议工作于数据报头而不是工作在基于连接的通信层之上；最后，wtls协议定义自己的（带宽有限的）证书格式并且继续支持普通的x.509证书。9.2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全电子银行系统的单机应用程序能提供必要的安全性和银行服务。有时单机应用程序仅用作代理运行在用户的本地机器上，在浏览器和银行服务器间增强用户与银行的通信安全性。如果用户拥有真实的浏览器或者单机应用程序的副本，那么他可以仅仅信任电子银行应用程序界面的内容和它执行的正确性。若使用的是java小应用程序，则用户应当用银行的私钥进行数字签名，以便在执行此小应用程序之前进

10、行校验。用户必须确认他们何时与银行进行安全会话。9.2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证所谓实体鉴别是指与银行进行会话初期的客户鉴别；而所谓事务鉴别则是指客户对会话过程中的各个事务进行鉴别。通过鉴别机制，事务鉴别可以提供单个事务的不可抵赖性，而实体鉴别则不能提供事务的不可抵赖性。常见的实现实体鉴别与事务鉴别的方法有：（1） 固定口令口令可以是pin码或者基于字符的口令。在实际应用中，通常将口令和服务计数组合起来以增加猜测口令的难度。用户在输入口令时只需提供部分数字的子集，这样即使攻击者偷看到了某次输入也难以

11、获得真正的口令。9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证 （2）动态口令银行采取发布一次性口令给用户的方法实现客户认证, 这些口令只能使用一次，因此可以提供更高的安全性。银行也采用“scratch list number”的方法进行实体认证，并采用“事务号(transaction number)”方法进行事务鉴别。有些电子银行系统则组合使用固定口令和动态口令：固定口令用于实体认证，动态口令用于事务鉴别。此外，也可以通过在客户端安装特殊软件来产生一系列关联的一次性口令来代替发布一组独立口令的方法进行认证。9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证【例

12、9.2】动态口令卡did及其应用。动态口令卡did是实现用户身份认证的一种技术，它允许经过授权的合法用户通过动态口令卡从银行总行内部计算机网络系统的电脑终端上登录、或者从各个分支行以及营业网点的电脑终端通过专线的方式登录，经过认证服务器认证后，便可以进入网络银行系统执行有关的操作。另外，远程用户也可以使用动态口令卡通过一般的电话网络登录到银行网络系统的拨号访问服务器，然后由认证服务器进行用户身份认证，并进行相应的操作。 9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证 （3）询问/应答询问/应答机制的思想是：用户通过论证秘密信息（即不是仅仅发送秘密信息给银行，而是通过使用秘密信

13、息对随机的询问作出应答）的方法来向银行证明他的身份。询问/应答机制分为对称和非对称询问/应答机制两种。询问/应答机制通常用硬件标识的方法实现。9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证 （4）ssl/tls/wtls协议 在ssl/tls/wtls协议中，询问/应答机制的数字签名的使用是一个可选项。当设置了客户和银行间的安全通道后，可以使用数字签名的方法来鉴别客户：在握手过程中，客户对前面所有已经交换的握手消息的散列（hash）值进行签名。9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证 （5）数字签名数字签名机制也是进行事务鉴别的一种最安全的方法。在目前

14、的浏览器中，只有netscape开发的浏览器包含了javascript机制以支持数字签名。因此，电子银行系统一般采用自己开发、实现的专用程序或者小应用程序来完成数字签名的功能。9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证（6） 硬件标识硬件标识通常用于实体鉴别，有时也结合mac用于事务鉴别。用于事务鉴别的数字签名密钥可以保存在智能卡里。由于给用户专门发放智能卡的成本较高，所以这种解决方案很少采用。不过，现有的智能卡应用程序可以用作实体鉴别，比如电子钱包或者电子身份证。9.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证9.3 在线电子银行系统的其他安全问题在线电

15、子银行系统的其他安全问题对于在线电子银行系统，在实际应用中还存在着一些其他的安全问题 （1）登录注册在用户实际使用安全电子银行系统之前，需要执行登录注册过程。在注册过程中，用户必须提供初始密码以进行实体鉴别、和银行建立第一轮的安全会话；然后，可以进行常规的安全认证操作。 （2）授权在某些情形下，需要电子银行系统具有授权功能。如果客户鉴别仅仅依赖于固定口令的话，那么授权就意味着共享口令。这就变成了扮演而不是授权。如果客户鉴别提供更高的安全性，那么泄露秘密信息是很困难的。例如，要复制智能卡的秘密信息是不容易的。9.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题（3）支付网关的安全

16、措施一方面，在线电子银行系统使用ssl协议对客户在线支付的整个过程进行加密，并且对客户端进行ca认证。另一方面，在支付网关中设置黑名单账户，对于那些连续多次输入账号和密码错误的付款请求，将其加入黑名单账户中，强行中断交易会话。此外，在客户付款之前，有付款程序对部分交易信息进行hash运算和验证。若验证不通过，则可以认为是攻击信息，系统拒绝该请求的服务。9.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题（4）基于wap协议的网络银行的安全wap网络由wap网关（wap gateway）、wap手机（client）和wap内容服务器（web server）组成。wap内容服务器存

17、储着可供wap手机用户查询、浏览的信息。wap网关负责处理gsm网络与internet网络之间的协议转换。9.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题（5）安全平台现实中不少典型的客户端平台很容易受到攻击，即使智能卡也难以解决。理想情况下，智能卡阅读器应有自己的小键盘和显示屏，这样用户无需经过电脑键盘输入pin码，用户也能在可信的小显示屏上校验重要信息，而不用通过电脑显示器。 9.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题（6） 人为因素 客户端平台的不安全通常是因为使用者没有足够的安全意识。虽然典型的客户端平台存在一些内在的不安全性，但是很多问题

18、都可以避免。一方面，用户应该保管好他们的私有信息，不管是口令、一次性口令序列、硬件标识，或者是用来解锁的pin码。另一方面，用户应当安装病毒扫描软件并及时更新。9.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题应该避免一些容易导致安全故障的操作、行为 。用户也应该将其所收到的证书的“指印”（数字签名）是否与银行提供的官方纸质文件的“指印”（印鉴）一致，同时银行方面也应当向用户提供相关的认证信息，这样一旦发生意外银行和用户双方各负其责、并保护两者各自的合法利益。特别地，电子银行系统的系统管理员必须经常训练和维护好计算机系统的安全，进行必需的监控和及时安装、应用补丁软件以堵塞安全

19、漏洞，等等。 9.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题（7）日志和监控可以采取日志和监控方法来监测在线电子银行系统的安全漏洞。这些监测机制包括从被动的日志记录到主动的监控，比如，如果发生了与用户常规行为不一致的事务，那么监测机制将向电子银行系统发出一个警告。 9.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题9.4 在线网络证券交易系统的安全在线网络证券交易系统的安全网络证券交易系统具有的优点： 系统中所有的交易与服务通过web页面或者有线电话、无线电话呼叫中心自动进行，跨越了时间与空间的界限。 系统按照每个用户的具体需求提供个性化服务，服务方式既可以是主动服务又可以是被动服务。 所有