信息安全技术在金融数据传输系统中的应用

1、第一章 引 言1.1金融数据安全传输系统的研究背景20世纪末，随着信息时代的到来，计算机技术、网络技术的加速发展以及Internet的普及，给现代人的生活方式和经济生活带来了新的生机和活力，给各种经济活动提供了更加广泛的活动空间和便利手段，同时也给传统金融机构的经营模式、服务方式带来了极大的冲击1。继1995年全球第一家网上银行在美国诞生以来，网络金融逐渐被人们认识并应用起来。中国的网络金融建设和网上金融服务从90年代中后期开始并相继发展，网络金融的发展同时也对国内网络金融数据传输和安全技术提出了更高的要求。现代信息安全传输领域的安全机制虽然己经在数学上、技术上经过了有效性、可靠性的证明，并逐

2、渐形成国际行业的标准，但是由于在网络金融中资金流通采用虚拟模式进行，相对于实体交易，通过网络进行交易的金融数据安全性更令人关注。国内使用的金融数据传输系统一般采用“网上传输，落地处理”方式，即网上服务不与后台业务处理系统实时相联，由业务操作人员将网上传来的交易信息通过手工或其他方式输入到后台业务处理系统2。这样虽然可以减少网络风险，但与国外网上金融服务相比，时效差，手段相对落后。另外，现有的数据传输系统在数据传输过程中往往只进行简单的加密处理，或采用通讯双方约定文件加密方式。一方面由于它们无法达到足够的加密强度而得不到金融界的信任；另一方面传输各方标准不统一，当存在多个金融机构进行多对多的数据

3、传输时，整个数据传输系统变得极为复杂。对研究新的数据传输系统更为迫切的是，本系统主要需求对象的某金融业务中，数据交换原来使用的通讯方式绝大多数采用拔号FTP方式，通讯费用很高，通讯效率低下，由于数据操作采用手工操作传送方式，工作量大，差错率高，极为不便。目前越来越多的“高级金融服务”要求“网络金融”解决方案供应商有深厚的信息安全理论基础，并且对金融网络系统有广泛了解，在保障“网络金融”业务的安全性的同时，同时达到优良的系统性能和并行处理能力。本文在对有关网络金融业务充分分析的基础上，尝试使用国际上比较前沿的数据传输机制和安全技术，综合设计出一个高效安全的金融数据传输系统，以满足金融业的要求，并

4、推动网络金融业务的顺利发展。1.2金融数据安全传输系统的现状和不足在金融数据传输领域，国家着力发展金融数据传输专用网络，提供金融机构数据传输的统一平台，但这还远远不能满足各个金融机构的实际需求。随着中国金融逐步迈向网络金融时代，金融业务的不断变化和发展，新的金融业务要求中国软件行业能不断推出更能满足业务需求的软件产品。现在已经有不少公司声称自己可以提供“网络金融”的相关软件产品，然而厂家的产品在系统运行效率和处理能力上有很大的不同，这对于系统的长期稳定运营是至关重要的。综合分析国内不同的“网络金融”解决方案的构架与内容，不难看出它们中的相似之处：系统都可以分成安全平台、金融业务平台两大部分。其

5、中安全平台是保证金融业务实现的前提条件，也正是在这一部分，供应商的技术水平不尽相同，导致了“网上银行”的安全性和系统性能差别较大。产生这种产品性能差异的关键在于安全算法，其中最重要的算法是RSA非对称密钥算法。它能提供较好的安全性能，但RSA算法的数学特性使得其所需计算量巨大，对CPU的性能有很高的要求，因此成为影响一些金融数据传输系统性能的根本原因。对于需要有大批量数据进行并行处理的金融系统，也不能选择该算法来实现系统的数据传输安全性，而大大忽视对金融系统性能的要求。另一种情况则相反，现在多数的大型企业内部都建有数据传输系统，而且也能对数据进行高速传输，但这往往只出现在对数据无需高强度的机密

6、性传输的情况下，因为对于这种只需在企业内部使用的数据传输系统虽然也对传输的数据进行一定的加密处理，其对密钥的常规管理方式还是不能实现数据传输的高度安全性和完整性。对于一个拥有时间和高速计算能力的黑客来说，这种数据传输系统将是轻而易举就能被攻破的。因此，本文的金融数据安全传输系统尝试在运用PKI安全体系的基础上，主要使用最新的硬件加密方式有效完成PKI加密计算和密钥管理，组成金融数据安全传输系统中的独立安全子系统，它同时又可以被系统以接口直接调用，从而保证金融数据传输的安全、可靠和高效。本系统的成功应用案例使我国的网络金融安全数据传输的解决方案出现了一个新局面。1.3本文主要内容PKI (Pub

7、lic Key Infrastructure)技术是一种基于公开密钥理论的技术，它提供了一种框架，用户可以在这个框架下实施基于非对称加密的安全服务，创建鉴定和认证过程所需的身份和相关信任，管理基于公/私密钥的加密，从而提供一个比以前基于对称加密的安全基础设施强得多的解决方案。PKI的核心是确定信息网络空间中各种行为主体的唯一性、真实性和合法性，解决信息网络空间中的信任问题，现在，世界各国都在研究开发自己的PKI产品，我国作为一个网络大国，发展和应用PKI技术是很有必要的。本文在这样一个背景下，通过深入研究相关的数据加密标准和数据传输协议的基础上，希望开发一个能提供金融数据安全传输系统(SDEP

8、)，建立一个有实际使用价值的金融网络安全环境，为我国网络金融的安全应用和顺利发展提供一个基础软件系统。本文对数据交换系统中的数据加密过程作了分解，并对各通信协议作了详尽分析，TCP（Transmission Control Protocol）协议和SSL（Secure Socket Layer）是目前Internet应用最普遍的网络通信协议和安全通讯协议，SSL使用数字证书进行相互认证和交换会话密钥，在TCP通信基础上为上层建立了一个安全通道，对建立在TCP通信协议上的通信数据使用对称加密算法进行加密，从而保障数据传输过程中低层通信的安全性。SSL加密的强度在金融数据交换中还不够，比较容易破译

9、。并由于SSL不对应用层的消息进行数字签名，因此不能提供数据交换的不可否认性，这是SSL在金融数据交换系统中的最大不足。PKI作为一种新的安全技术，由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等共同组成，PKI作为安全技术框架在本系统中使用。本系统同时使用了加密机/卡和USBKEY进行硬件加密，加密机/卡在服务器端作为底层接收客户端建立SSL安全通道的SSL认证处理模块。USBKEY在客户端作为用户证书存储介质，并使用一个SSL通信库建立到服务器的SSL安全通道。本文通过对SDEP安全机制实现原理的详细分析，尝试在使用PKI框架的基础下，进一步使用了硬件加密的方式

10、，将USBKEY和加密机/卡作为硬件加密方式通过接口和系统相连，并对接口作了设计分析，从而使硬件加密方式成为整个安全系统实现数据安全传输的重要组成。1.4本文篇章结构全文共分五章，首先说明数据安全传输系统研究背景，指出目前技术机制的现状和不足，然后介绍了本系统的金融业务需求，接着进行SDEP架构分析设计，其中重点介绍安全子系统的架构设计。文章具体结构安排如下：第一章引言部分说明数据安全传输系统研究背景，指出目前金融数据传输系统的现状和不足，引出课题研究的意义，并说明本文主要内容；针对本文所用到一些技术方法，第二章介绍信息通信平台的相关技术，其中包括安全加密技术、通信协议、PKI安全体系、硬件加

11、密方式；为了提高金融数据安全传输系统的性能和安全性，第三章对开放式基金的业务流程以及主要参与人做了详尽分析，对系统数据传输逻辑和处理流程以及安全子系统等关键部分进行了进一步的分析；本文工作的重点是SDEP系统包括其中的SDEP安全子系统设计，因此在第四章重点介绍了基于PKI的SDEP系统架构设计、安全子系统结构设计以及SDEP硬件加密设计和相关的接口设计；最后第五章对本文工作进行了总结，分析了本系统与同类数据传输系统的不同并指出未来的工作展望。第二章金融数据传输系统技术基础2.1安全技术概述随着信息技术的发展，计算机技术及其通信网络地不断普及，计算机通信网络在不断改变人们的工作、生活方式，使信

12、息的获取、传递、处理和利用更加高效、迅速。随着科学技术不断发展，网络已经成为人们生活的一个组成部分，在各行各业迅速的应用。但是在另一个方面，随之而来的网络数据安全问题也越来越突出，在网络安全领域，攻击随时可能发生，系统随时可能崩溃，用户的数据可能被窃取、篡改等。如网站、银行、电子商务网站遭受黑客攻击；用户身份被盗用，信用卡等被盗用；网络通信数据被窃听等。因此，保证信息系统的安全和用户数据的机密性是IT信息系统必需考虑的问题，特别是在涉及到经济利益的金融业IT信息系统中，要求特别高。计算机网络安全针对不同的应用情况，其安全的要求也不同，一般包括对使用IT信息系统的人员的身份认证、数据本身的存储安

13、全、数据在网络传输过程中的安全6。2.2信息安全四要素在诸多信息安全的属性中，机密性、真实性、完整性、不可否认性是四个基本属性,实际上就是信息安全的四个核心属性，可以反映出信息安全的基本概貌。这是四个方面的含义如下：1、机密性即在网络上传递的信息是绝对保密的。确保数据只能为与预期的接收者使用或读出，而不能为其他的任何实体使用或读出，即，防止除指定接收方之外的任何第三方都不能截获数据并得到其内容。机密性通常与诸如SSL或DES等数据加密机制相关，其目的是保护在网络（例如互联网）上传输的数据不被他人得到。对于机密性保护机制的强度有两个关键要素。第一个是加密密钥的长度。通常，密钥越长，加密就越强壮。

14、第二个是加密周期，或密钥修改的频度。这个周期可以是基于固定值或基于会话协商的值。2、真实性真实性反映了信息与信息系统的行为不被伪造、篡改、冒充。如在电子数据传输过程中，交换数据的双方是通过网络联系的，信息可能被修改、删除、插入，真实性难以保证。因此，要求能够对传输中的数据信息真实性进行鉴别。3、完整性即通过网络传递的信息是完整的，在传输过程中间没有被非法修改。数据的完整性包括，数据的内容是否完备、数据传送的次序是否一致以及是否重复等。完整性能够可靠地确保数据在从源到目的地传送的过程中没有被修改。数据的完整性一般使用信息摘要安全技术来保证数据没有被修改或增减。4、不可抵赖性即发送信息的一方在发送

15、动作完成后不能否认其行为，也就是人们常说的“白纸黑字”，“防抵赖”。在无纸化的电子数据交换方式下，要在交换信息的传输过程中为参与交换的实体提供可靠的标识。不可抵赖性能够可靠地确定接受到的数据与发送的数据的一致，并且确保发送该数据的实体与其所宣称的身份一致。信息安全的四要素之间的关系如图2-1。数据的机密性是整个数据安全体系的基础，数据的真实性和完整性能保证数据交换的双方传送是正确的数据，不可抵赖性用来验证各方的身份，完成性和身份认证经常密切相关，而机密性优势使用公共密钥来实现，这样有助于对数据发送方的进行身份验证。信息安全的四要素是以“机密性”为基础、相互关联、缺一不可的一个整体7。图2-1

16、信息安全四要素之间的关系2.3数据安全机制一个完整的信息安全体系，其是对信息处理的不同阶段、对不同的数据采用各种相应的安全技术手段而组成一个安全有机体8。从目前安全技术及其相应措施来看，主要由访问控制、监控和扫描、检测、安全审计、病毒防护、安全协议、攻击防护以及加密认证与密钥管理手段组成，它们组成信息安全技术的体系结构，如图2.2。图2-2 信息安全技术的体系结构本系统主要专注于在“加密技术层”、“安全认证层”和“安全协议层”结合本系统的实际应用提供相应的安全解决方案。2.4数据加密技术2.4.1加密技术概述互联网给人们带来很多方便，同时也给商家带来无限商机，然而在互联网上进行文件传输、电子邮

17、件商务往来过程中又存在许多不安全因素，这种不安全性是互联网存在基础TCP/IP协议所固有的，包括其他一些基于TCP/IP的服务。为了能解决这一矛盾，我们主要使用对数据加密和基于加密技术的数字签名。通过数据加密技术，可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。在数据加密系统中，密钥控制了数据的加密和解密过程，一个加密系统的全部安全性是基于密钥的，而不是基于算法，所以加密系统的密钥管理是一个非常重要的问题。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到

18、保护数据不被非法人窃取、阅读的目的9。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。任何一个加密系统至少包括下面四个组成部分：1、加密的报文，也称明文； 2、加密后的报文，也称密文；3、加密解密设备或算法；4、加密解密的密钥。数据加解密的实现及其过程如图2.3。图2-3 加密-解密实现组成结构图2.4.2加密算法分类加密技术是电子数据交换过程中的主要安全措施，数据交换双方可根据需要在信息交换的阶段使用。目前，加密技术通常分为两大类：“对称式”和“非对称式”。1、对称加密/对称密钥加密/专用密钥加密 对称式加密就是加密和解密使用同一个密钥，即，加密方和解密方使用相同的密钥对数据进行

19、加解密的操作，实现数据的保护。在使用对称加密算法加密数据时需要对密钥进行特殊的保管，以防泄露。对称加密的过程如图2-4。图2-4 对称加密过程现在一般通用的对称加密算法有DES、3DES、RC2、RC4、AES、SSF-33 等。对称加密处理简单，计算量少，加密解密速度快，但是其密钥管理困难。一般适合对大数据量进行加解密。2、非对称加密/公开密钥加密 非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必须配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则只能由持有人一人知道。这样就很好地保证了密钥的安全性，因为使用对称式

20、的加密方法在网络上传输加密文件，不管用什么方法把密钥告诉对方，都有可能被窃听到。而非对称式的加密方法有两个密钥，其中的“公钥”是可以公开的，收件人解密时则使用自己的私钥。非对称加密的过程图2-5。图2-5 非对称加密过程RSA(Rivest， Shamir Adleman)算法是著名的非对称加密算法。它有如下的优点：（1）解决密钥管理问题，在其特有的密钥发放体制中，即使用户数大幅度增加，密钥也不会向外扩散。（2）由于密钥已事先分配，不需要在通信过程中传输密钥，安全性大大提高。（3）具有很高的加密强度。但是RSA存在的主要问题是算法的运算速度较慢。因此，在实际的应用中通常不采用这一算法对信息量大

21、的信息进行加密。 2.5安全通信协议在网络的各层中存在许多协议，它们定义通过网络进行通信的规则，接收方和发送方同层的协议必须一致，否则一方将无法识别另一方发出的信息，以这种规则规定双方完成信息在计算机之间的传送。随着网络的普及，TCP通信协议成为目前最常用的网络通信协议。但是，由于TCP通信协议不能保证网络通信数据的安全，SSL通信又被逐步应用起来。2.5.1TCP通信协议TCP（Transmission Control Protocol）协议是Internet最基本的协议，广泛用于不同网络的互联。TCP作为IP的上层协议支持端节点之间通信，提供面向连接的流式通信形态的应用程序。TCP/IP参

22、考模型是一个抽象的分层模型，它和开放系统互联参考模型（OSI）基本对应，某些层是一致的。TCP/IP及其协议分层模型如图2-6。图2-6 TCP/IP及相应协议的分层模型TCP相当于OSI传输层所提供的服务，具有修正错误、顺序控制、流控制阻塞控制等功能。因此通信程序对通信时的错误或阻塞等低层的通信情况无需再过多考虑。IP处于OSI网络层，规定Internet网关之间、网关和主机之间的通信协议，它决定应该传送的网关的路由、实际通信的最大传送单位和把IP的数据报进行分割重组等。TCP通信协议为我们提供基于端到端数据包交换、快速传输数据的数据流通信服务模型，具有可靠数据传输、错误控制和数据丢失控制机

23、制，同时设计简单，接口清晰，可扩展性强10,11。2.5.2SSL通信协议SSL（Secure Socket Layer）是目前因特网应用最普遍的安全通讯协议，新的SSL协议又命名为TLS（Transport Layer Security）。SSL位于应用层和TCP层之间，建立用户与服务器之间的加密通信，确保信息传递的安全性。对建立在TCP通信协议上的通信数据使用对称加密算法进行加密，并使用数字证书进行相互认证和交换会话密钥，从而保障数据传输过程中低层通信的安全性。SSL基本组成部分如图2-7。SSL在客户和服务器之间建立一条加密通道，确保所传输的数据不被非法窃取，SSL安全加密机制功能是依靠

24、使用数字证书来实现的。任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立TCP连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务端就建立了一个唯一的安全通道。SSL/TLSCertificatesTCP Sockets图2-7 SSL通信协议的组成 SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过3个元素来完成：1、握手协议这个协议用

25、于协调产生客户机和服务器之间会话的加密参数，实现客户机和服务器之间的身份认证。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。SSL协议通信的握手步骤如下：（1）SSL客户机连接至SSL服务器，并要求服务器验证它自身的身份；（2）服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，和某个证书颁发机构CA。通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性。（3）服务器发出一个请求，对客户端的证书进行验证。（4）协商用于加密的消息加密算法和用于完整性检查的哈希函数。由客户端提供它支持

26、的所有算法列表，然后由服务器选择最强大的加密算法。（5）客户机和服务器通过以下步骤生成会话密钥： 客户机生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，送到服务器上。 服务器用更加随机的数据（客户机的密钥可用时使用客户机密钥，否则以明文方式发送数据）响应。 使用哈希函数从随机数据中生成密钥。2、记录协议这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块，对数据进行压缩，同时产生一个消息认证代码MAC，加密后传输。接受方接受数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。3、警告协议这个协议用于警告在什么时候发生了错误或两个主机之间的会话在什么时

27、候终止。SSL通信在TCP通信基础上为上层建立了一个安全通道，保证数据传输过程的安全，并且类似TCP简单易用。SSL的缺陷是只能保证传输过程的安全，无法知道在传输过程中是否受到窃听，黑客仍可以破译SSL的加密数据，破坏和盗窃通信数据。SSL通信过程的加密密钥一般为40位或128位，这种加密的强度在一般使用电子商务的电子数据交换中还不够，比较容易破译。同时由于SSL不对应用层的消息进行数字签名，无法提供数据交换的不可否认性，这是SSL在电子商务应用中的最大不足12。2.6公钥基础设施PKI PKI（Public-Key-Infrastructure）是一种新的安全技术，它由公开密钥密码技术、数字

28、证书、证书发放权威机构CA(Certificate Authority)和关于公开密钥的安全策略等基本成分共同组成。2.6.1PKI安全体系概述PKI是利用公钥技术实现数据传输安全的一种体系，它遵循标准的利用公钥加密技术提供一套安全基础平台的技术和规范为网络通信提供安全服务，是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。使用基于公钥技术系统的用户建立安全通信信任机制的基础是网上进行的任何需要安全服务的通信都是建立在公钥的基础之上，而与公钥成对的私钥只掌握在他们与之通信的另一方。这个信任的基础通过使用公钥证书实现，公钥证书将用户

29、的身份与他所持有的公钥相结合，在结合之前先由一个可信任的权威机构CA来证实用户的身份，然后由其对公钥证书进行数字签名，以证明证书的有效性。PKI由CA在公钥加密技术基础上对证书的产生、管理、存档、发放以及作废进行管理，包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序，以及为PKI体系中的各成员提供全部的安全服务，如实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等13。PKI技术采用数字证书管理公钥，通过第三方的可信任机构认证中心CA，把用户的公钥和用户的其他标识信息(如名称、e- mail

30、、身份证号等)捆绑在一起，在网络上验证用户的身份。2.6.2PKI的功能和服务PKI提供的主要功能及其服务有：实体鉴别、数据的保密性、数据的真实性和完整性、不可否认性、证书审批发放、密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询和支持交叉认证等，其提供的服务示意图如图2-8。图2-8 PKI安全体系功能组成图2.6.3数字证书介绍为保证网络通信中数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施，还必须建立一种信任及信任验证机制，即参加数据交换的各方必须有一个能被验证的标识，这就是数字证书。数字证书是各实体(商业应用中的持卡人/个人、商户/企业、网关/银行等)在网

31、络上信息交流及商务交易活动中的身份证明。数字证书将身份绑定到一对可以用来加密和签名数字信息的电子密钥，从而验证一个人使用给定密钥的权利，防止有人利用假密钥冒充其他用户。数字证书从某种意义上就相当于身份证，用来在数据交换过程中标识自己，与加密一起提供一个更加完整的解决方案，确保数据交换中各方的身份。数字证书可存放于计算机硬盘、智能卡、USBKEY等安全设备中，将实体的公开密钥同实体本身联系在一起14,15,16。数字证书由认证中心CA发放，并使用 CA 的私钥签名，一个标准的数字证书必须符合X.509国际标准，它包含以下一些内容：1、证书的版本信息；2、证书的序列号，每个证书均有一个唯一的证书序

32、列号；3、证书所使用的签名算法；4、证书的发行机构名称，命名规则一般采用X.500格式；5、证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；6、证书所有人的名称，命名规则一般采用X.500格式；7、证书所有人的公开密钥；8、证书发行者对证书的签名。2.6.4CA及其证书管理数字证书认证中心CA是整个数据传输、电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构根认证中心（根CA）。在PKI体系中，C

33、A是构成整个PKI安全体系的关键部分。认证中心CA，是电子商务体系中的核心环节，是电子交易中信赖的基础。它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使参与数据交换的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。数字证书认证解决了网上交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任关系，即建立安全认证体系CA、选择安全标准（如SET、SSL）、采用高强度的加解密技术。其中安全认证体系的建立是关键，它决定了网上交易和结算能否安全进行 17。2.7硬件加密方式在金融

34、数据传输系统中，其安全性成为系统设计的重要目标，由于加密软件在运行过程中密钥需载入计算机的内存，总是有办法跟踪其密钥，安全性让用户质疑，因此本系统除了使用软件加密，还加入一系列硬件产品为SDEP系统提供加密服务，一般使用到的是专用的加密卡或加密机。按功能主要分成客户端的硬件加密和服务器的硬件加密两类。加密卡一般指计算机上的接口卡，完成PKI有关密码运算，如对计算机的文件系统进行加密，控制对网络资源的安全存取、访问，作为用户身份识别的钥匙，对网络中传递的信息进行加密保护，也对用户的电子邮件进行数字签名及完整性校验。通信网加密机处于终端与主机或者主机与主机之间的线路两端，它可以防止对网络的攻击。加

35、密机一般设定一个操作员和2-5个密钥管理员，系统为操作员和每个管理员生成随机数作为他们的口令，并保存在IC卡中。在日常情况下，操作员负责加密机的启动。当需要生成一些重要的密钥时，或者更改操作员口令时，需要有半数以上的密钥管理员在场才能进行。密钥管理在安全方案中占极其重要的地位。加密机中采用严格的密钥管理措施，保证安全方案在密钥管理这个环节上的安全性。加密机采用多种机制保证存放的密钥的安全性，机内存放密钥绝不会以明文形式出现在磁盘及内存中，即使加密机受到攻击，也能保证密钥的安全。加密机对密钥和操作员、管理员口令的管理通过密钥管理菜单进行，用户可以通过密钥管理菜单修改操作员和管理员口令卡，也可以生

36、成密钥和备份加密机。密钥管理员可以自行修改自己的口令卡，其他操作需要检查半数以上的管理员口令卡。为防止加密机意外的损坏造成损失，加密机支持双机热备份，如果一台加密机损坏，另一台可以正常工作，不影响前台正常业务。还可以把加密机内部的密钥等信息用管理员口令加密后存放在文件或者IC卡中，在加密机损坏时可以恢复加密机内部信息。另外加密机还可以备份到加密卡中或加密机中。第三章金融数据传输系统分析3.1 金融数据传输系统需求分析为了充分利用上证所、中国证券登记结算有限责任公司、证券公司的网络资源优势，利用上证所高效、安全、便捷、统一的交易系统，为资本市场搭建起融资新平台，2005年8月，上证基金通业务正式

37、启动。“上证基金通”即上海证券交易所开放式基金销售系统，为开放式基金的认购、申购、赎回等相关业务提供高效、自动、一体化的技术支持。“上证基金通”系统通过网络将上证所、中国证券登记结算有限责任公司、证券公司的基金业务连为一体，然而随着基金市场的不断发展，基金市场参与人往来业务数据的不断壮大，数据传输问题也越来越突出，如何及早提高数据交换体系的效率，加强数据交换安全性，对基金公司而言显得十分重要。本文将要研究的数据安全传输系统SDEP是一套应用于基金市场各类参与人间，实现通讯双向对等多对多的统一、高效、安全的专用数据交换平台。该系统以上海证券通信公司为中转通讯中心，构建于基金市场各类参与人间（双向

38、实现多对多），实现销售代理人注册登记人基金公司清算银行托管银行之间的交易、清算、估值以及资金结算等等各类数据的交换功能，在基金市场各参与人间搭建的一个高效、快捷、经济、安全、专用的电子数据交换平台。这一专用数据交换平台的构建，为提高基金市场业务运作效率，及未来业务模式改革和业务发展奠定极好的基础。3.2 目前开放式基金业务流程分析 开放式基金是中国证券市场的一次伟大尝试，它和封闭性基金最大区别是开放式基金的发行规模无上限，有一定的发行期限，发行者可以赎回，价格确定。因此通过开放式基金能筹集到的资金可以大大超过封闭式基金，而且开放式基金有追加、赎回，投资组合更复杂精细。在开放式基金业务的理想模式

39、中，交易所和登记公司建立统一的技术平台,所有基金份额在登记公司集中进行注册、登记、托管,各销售渠道(证券公司、银行、基金管理公司等)都是交易所的会员和登记公司的结算参与人,投资者可以通过这些渠道进行认购、申购、赎回或者竞价交易。因此，在开放式基金业务中，将存在销售机构、托管清算银行（可能还存在资金交收银行）、基金TA中心和基金管理总部。在上述开放式基金参与者中将存在下列三种业务流程，开放式基金业务各参与人以及他们之间的业务流程见表3-1。表3-1 参与开放式基金业务流程的角色及其业务数据往来基金市场参与人及其数据流向业务数据内容代销机构 基金TA基金帐户增加、资料变更、销户、挂失等申请数据；基

40、金认购、申购、赎回以及非交易过户、转托管等申请数据基金TA 代销机构客户资料确认数据、销售确认数据、基金信息数据、认购清算数据汇总、交割数据汇总、分红数据等基金TA 托管银行基金信息数据、清算数据汇总、交割数据汇总、分红数据；其它交易汇总及对账数据1、申请数据流程每个基金开放日收市后，各代理销售机构将当日基金帐户增加、资料变更、销户、挂失等数据，基金认购、申购、赎回请求数据以及非交易过户、转托管等申请数据，按照规定格式生成各种数据文件，通过文件服务工具FTP传送至指定基金TA注册登记中心。 2、回报数据流程每个基金开放日的T+1日，基金管理公司指定注册登记中心将清算后确认回报数据（客户资料确认

41、数据、销售确认数据、基金信息数据、认购清算数据汇总、交割数据汇总、分红数据等），并按照规定格式生成各种回报数据文件，通过文件服务存放在各销售机构的服务目录，等待各代理销售机构下载。3、与托管银行交互数据流程每个基金开放日的T+1日，基金管理公司指定注册登记中心将清算后确认回报数据（客户资料确认数据、销售确认数据、基金信息数据、认购清算数据汇总、交割数据汇总、分红数据等），进行数据汇总，清算、对帐，并按照规定格式生成各种交易汇总数据、对账数据，通过FTP文件服务传送至各基金托管银行。托管清算银行将基金估值核算结果、资金划转对账数据等通过FTP文件服务传送到各基金管理公司和基金注册登记中心。分析如

42、图3-1所示。 直/代销机构中心1柜台代销系统文件服务 基金TA中心基金托管银行1基金托管银行n汇总和分拣数据库直/代销机构中心n文件服务图3-1 开放式基金业务流程分析3.3 与原有证券数据传输的比较为使本系统在开放式基金的各基金机构中得到更好的使用，有必要和原有证券行业中数据传输特点进行分析比较，以期使后面数据传输系统的设计达到事半功倍的效果。与原有证券数据传输的比较如下：1、销售机构操作面向多机构对基金销售机构来说，一个基金销售机构将同时代理销售不同基金公司的多个产品，每天需要向总部发送和接收多个产品数据文件，而且发送和接收的对象各不相同，存放的目录也各不相同。2、基金TA中心操作面向多

43、机构对基金TA来说，每个基金TA机构每天要与各基金销售机构、托管清算银行进行大量的数据交换，每天需要发送和接收大量数据文件，而且发送和接收的对象各不相同，存放的目录也各不相同。3、各机构接口规范不统一由于各基金公司的数据接口规范不统一，数据文件存放的目录结构和文件名称都有复杂的格式规范，如果通过手工方式，使用普通的FTP工具或者EMAIL工具传送，很容易发生文件和目录弄错，错发漏发的情况，影响业务的正常进行。4、文件压缩加密方式各异甚至不加密文件的加密/压缩方式大多采用发送端对文件打包加密压缩后再传输的方式，接收端再对文件进行手工解压，解密，各机构加解密与压缩解压方式各异，进一步增大了处理的工

44、作量和出错的几率。这种文件级静态加密的方式安全性也没有保障，无法实现通讯数据包级的动态加密；另外有相当多的机构目前仍采用不加密明文传输的方式，安全性更低。5、拔号操作繁琐，费用高昂文件传输发起方，如基金销售机构，每天早上和下午都要对各个基金TA服务中心进行一连串的电话一一进行拔号，既不能保证一次拔通，时断时续，操作繁琐，而且还会发生个别机构忘记退出长时间占线而其它机构无法拔进的情况；同时拔号通讯费用高昂又造成费用进一步增加。3.4 数据安全传输的系统功能分析在以上金融数据安全传输系统需求分析和原有基金数据传输特点比较的基础上，SDEP将具备更为完善的系统功能，实现客户双向接收/发送数据文件，自

45、动接收文件，发送文件，并支持客户端多点传输功能，实现程序友好界面，操作简便。并且系统需要采用高度加密的通讯方式，和配套的证书管理。基于基金市场的特色和要求，SDEP提供统一、高效、安全的数据传输方式，便捷的文件管理，使不同机构/不同部门之间进行远程文件数据安全、准确地交互，使基金公司、注册登记人TA与代销机构、托管清算银行之间实现可靠的数据文件交换服务。同时，以基金TA为中心，或以销售机构、托管银行为中心，SDEP为个参与者提供双向多对多的通讯，满足以一个基金TA对应多个销售机构或多个托管银行，同时一个销售机构或托管银行又对应多个基金TA的双向多对多的通讯需求。3.4.1数据安全传输系统的实现

46、目标1、高安全性，高准确度提供高强度的安全规范，采用与PROP2000系统同等的高度安全的硬件加密、身份验证和加密传输方式，采用国家密码委批准的高强度的加密算法，确保数据的安全性。所有数据交换都进行了数据加解密、数据压缩、数据校验等处理，确保数据的准确性。2、通讯高效率，高稳定性采用容错机制，系统具有高可用性；支持自动重连和断点续传功能；中心通讯服务器可以根据客户端的数量及连接频率，进行灵活配置，实现自动负载均衡；业务和通讯分层处理，增加了通讯的稳定性和业务功能的扩展性；系统充分考虑了各种瓶颈，使网络各个环节保持通畅。3、界面友好，操作方便提供友好的文件传输和数据管理界面，能够手工或者自动进行

47、上传下载操作，大大提高了工作效率；可通过拔号、互联网或专线方式等多种网络联接方式；操作界面友好，参数设置灵活；各功能模块内容丰富、实用，图示直观；4、配置灵活，扩展性强设计上采用三层C/S结构，在应用服务器上进行对工作流的定义，每次使用时才发布到客户端，易于维护管理；用户及其操作权限受到严格的分层管制，但不失灵活性；采用通用COM组件开发，各个模块相对独立性强，用户可以根据业务的需要进行系统的选用和组装，拆分、升级、维护和定制极为方便，易于系统升级和扩展。5、开放通用接口，业务系统不落地对接系统为外部业务系统提供了规范化的通用API接口，用户可按照通用接口的规范开发相应的程序使之与自己的业务系

48、统直接连接起来，实现不落地数据传输，取代文件交换方式，并进一步提高数据传输效率和数据安全性。3.4.2 SDEP系统数据传输逻辑SDEP系统最根本的作用是传输应用系统的各种业务数据，而应用系统和交换系统之间是相互独立的，异地的应用系统之间、异地的交换系统之间也是相互独立的，但为了完成传输任务它们之间又需要进行信息传递，本节将重点描述它们之间是如何有机的联系起来的，业务数据是如何在它们之间进行传输的。从交换的逻辑上我们将异地应用系统之间的数据交换划分成三个层次，即应用层（包括各种应用系统）、交换层（交换系统）和通讯层（网络）。应用层（各个应用系统）之间、应用层与交换层之间通过应用层接口格式进行相

49、关信息的传递。应用层接口格式中最重要的信息包括数据类型、发送目的地、发送优先级等，其中数据类型是接收方判断如何处理该数据的主要依据；发送目的地和发送优先级则传递给交换层，由交换系统根据其内容进行传输和控制。交换层与交换层之间通过交换层接口格式进行相关信息的传递。交换层接口格式中的信息包括两部分，一部分是从应用层接口格式中继承而来的，如最终目的地等；另一部分则是根据发送过程中的实际情况填写的，如交换系统识别码（为接收方交换系统判断其身份而准备）、数据发送时间、本次发送的目的地等，这些信息在数据文件被转发时也需要重新填写，以便下一站交换系统识别。在源应用系统向交换系统提交数据交换请求时，在需要交换

50、的数据之外附加一个应用层接口格式的信息包头。交换系统根据应用层接口格式的内容对数据的目的地进行分析后，在上述数据包之上再附加一个交换层接口格式信息包头。当数据在交换系统之间传递时，交换层接口格式信息包头的内容被不断修改，直到到达最终目的地的交换系统。目的地交换系统拆除交换层接口格式信息包头后，将包括应用层接口格式信息包头的数据包交给目的地应用系统，从而完成数据交换的全过程。目的地应用系统再根据应用层接口格式的内容对原始的业务数据进行相应的处理。3.4.3 SDEP安全子系统需求分析综合安全风险分析，以及相关的安全技术，本系统由于是应用在金融业的数据传输业务中的，其对数据的安全要求特别高，因此给

51、出以下的安全功能要求：1、访问控制采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问。2、采用安全加密设备采用加密设备应用加密、认证技术防范信息在网络传输过程中被非法窃取，而造成信息的泄露，并通过认证技术保证数据的完整性、真实性、可靠性。3、CA 证书认证构建CA认证中心，来保证加密密钥、用户数字证书管理的安全。本系统在底层通信的安全设计是使用SSL安全通道和业务应用数据加密验证安全机制，从而保证数据通信过程中数据是安全的，在SDEP中心端服务器等第三方，即使获得通信数据，也无法解密业务数据。3.5 金融数据传输系统的文件服务系统本系统的文件服务系统是以三层结

52、构实现的，包括中心管理端、中心通讯机和远程客户端，如图3-2所示。通讯服务器远程客户端远程客户端中心管理端图3-2 文件服务系统的三层结构设计1、中心管理端在中心管理端实现总部管理、收集和下发各下属分部的数据文件，向客户端发送公告信息。每个客户端在总部具有一个私有邮箱，邮箱内可建立目录，以分类存放各种数据文件。总部具有公共邮箱，存放公共文件，所有客户端都可以下载。在中心管理端还可以对用户权限和系统参数进行设置和管理。2、中心通讯机中心通讯机建立客户端连接与处理业务请求的通讯平台，一方面将客户端与业务系统隔离开，另一方面在中心通讯机通过各种机制实现客户端的连接和数据加密传输。如在中心通讯机控制客

53、户端的数量及连接频率，实现整个系统的自动负载均衡；当客户端出现业务请求时，系统在中心通讯机处自动加载业务模块并处理相应的客户端业务请求；以及为客户端联接线程管理，实现自动重连和断点续传功能。3、远程客户端在远程客户端主要实现下属分部管理、上传、下载数据文件，管理远程和本地文件（包括新建目录、更改文件名和删除文件等）以及接受、查阅和管理总部公告信息，在系统允许的条件下，远程客户端还可以对客户端用户的权限进行管理和对系统进行维护配置。第四章金融数据安全传输系统设计本章详细介绍分析了金融数据安全传输的系统设计过程。金融数据安全传输系统的设计原则 根据前一章节对金融数据安全传输系统的详细分析，可以制定

54、出以下三方面SDEP系统的设计原则：1、模块化安全技术应用到金融数据传输系统，是作为一个比较独立的子系统来应用的，安全模块的修改、变动对数据传输系统尽量少改甚至不修改。那么就要求安全之系统设计成一个单独的模块，做到结构合理、接口清晰、层次清晰、设计风格统一。2、性能效率高从数据安全传输系统本身的要求出发，要考虑到数据传输的特点，对大数据量和长时间的数据传输的要求，以及数据加解密算法的性能，可根据其不同的特点选择不同的加解密算法进行处理。3、易扩展性设计时应充分考虑系统的可扩充性，尽量将系统抽象化、参数化，使系统尽可能地应付各种安全变化，便于加入各种新的安全需求。并且对于各种处理单元做到接口化，

55、从而易于扩展。4.1金融数据安全传输系统架构在开放式基金的业务流程中，存在着销售机构、托管清算银行、基金TA中心和基金管理总部几个主要参与者，根据他们的角色特点和相互关系，将他们在SDEP系统架构中的所处位置描述如图4-1所示。SDEP系统的中心服务器端主要部署数据交换中心通信服务器，以及CA证书认证中心部分。CA证书中心主要是负责用户证书的申请、注销和黑名单管理等工作。图4-1 SDEP网络部署结构图4.1.1系统的逻辑结构数据安全传输系统是一个统一中心传输、可分级部署，其逻辑关系如图4-2。图4-2 数据安全传输系统分级逻辑结构图从管理的角度看，交换系统将为各类纵向的应用系统（同一个业务系

56、统跨地区）之间、为各类横向应用系统（同一个地区跨业务系统）之间、为不同应用系统（跨地区跨部门）之间的数据交换提供统一和集中的数据交换服务。从技术的角度看，SDEP系统将为各类应用系统提供跨网络、跨操作系统和跨数据库的异构系统之间的透明的数据交换，并且大大简化各个应用系统之间互访的难度。所有的应用都和交换中心相连，任何一个应用数据请求通过这个交换中心传递到相应的目的应用，任何一个消息可以在交换中心按照要求转换成所需的数据结构，再传输给目的地的应用系统。SDEP中心端通过安全设备加密机/卡实现底层的SSL通信认证和数据的加密签名等，SDEP用户数据库用来存放用户注册信息及资源权限等配置。而CA子系

57、统主要是负责用户证书在线申请、用户身份认证、证书注销管理等。各接入的数据传输节点，可作为一个单独的传输终端-SDEP专用数据传输或者是通过SDEP的集成接口的第三方应用系统接入，作为一个数据传输节点；或者，通过SDEP的中心通信服务器的分级功能，接入SDEP中心点，其作为一个分子机构的二级节点，而此二级节点可如同中心端一样可接数据传输终端，从而达到数据分级分中心的传输体系结构。4.1.2SDEP系统内部结构框架SDEP系统框架结构如图4-3。图4-3 数据传输系统内部框架结构SDEP数据安全传输系统介于系统平台（操作系统层、网络层）和业务应用之间，从部署的位置上它分为中心部分和结点部分。其中SDEP系统中心部分包括应用系统接口、路由选址、交换服务、消息传输、交换管理层、安全中间件等七部分。而SDEP系统结点部分只包含交换服务、消息传递、安全接口、交换管理、应用系统接口等五个部分。1、交换管理层交换管理层根据系统统一的数据传输规范，实现异构系统之间的数据传输，此外，系统除了提供数据传输的基本功能外在其中心部分还提供传输日志查询及分析、系统运行监控、系统配置参数维护等交换管理