PKICA体系在银证通业务的应用研究由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“银证通业务”。
PKI/CA体系在银证通业务的应用研究
在解决网络安全问题方案中,最成熟的解决方案是建立在公开密钥技术之上的PKI/CA技术体系。本文在讨论PKI的签名加密技术基本原理的基础上,将PKI/CA应用于网上银证通业务的交易数据互换,通过数字证书进行加密和签名,有效保证了实时网上交易数据的机密性、完整性和不可否认性。
网上银行是借助互联网技术向客户提供金融信息服务和交易服务的新型银行业务应用模式。一般来说,网上银行分为个人网上银行和企业网上银行两种应用模式,开通的服务包括网上证券、网上保险、网上汇市、网上贷款、网上黄金、跨国理财、缴费和银行卡服务等一系列服务。然而,在Internet上开通虚拟银行服务的关键是解决安全问题。目前,采用的PKI/CA体系保证了网上银行服务安全。
随着客户对证券交易便利性和快捷性需求的日益增加,网上证券交易已成为大势所趋。因此许多证券公司与银行合作,将资源高效整合,合理分配,实现优势互补。本文针对网上证券业务的安全问题,将PKI/CA安全体系用于网上银行和证券公司之间进行的银证通业务,对证券业务中的敏感交易数据,通过数字证书进行签名和加密,并在实现交易资金实时划转
1的同时,有效地保障网上证券交易数据传输的机密性、完整性和不可否认性。
公钥基础设施(PKI)是利用公钥密码理论和技术建立的提供安全服务的基础设施。PKI的简单定义是指一系列基础服务,这些服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用。PKI以公钥加密技术为基本技术手段来实现安全性,它将公钥密码和对称密码结合起来,希望从技术上解决身份认证、信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。
PKI最基本的元素是数字证书,所有的操作都是通过证书来实现的。一个完整的PKI/CA体系包括签署数字证书的认证中心CA(Certificate Authority),登记和批正证书签署的登记机构RA(Registration Authority),数字证书库CR(Certificate Repository),密钥备份及恢复系统,证书作废系统,应用接口等基本构成部分。其中,认证中心CA和数字证书是PKI/CA体系的核心。CA是数字证书的申请及签发机关,它是PKI/CA的核心执行机构,主要是标识和验证证书的身份,保证了交易的安全性;数字证书是一个经CA数字签名的、包含证书申请人信息及公开密钥的电子文件,可以保证信息在传输过程中不被除发送方和接收方以外的其他人窃取和篡改。
基于PKI的数字签名技术类似于现实中的签名或印章,保证了传输数据的真实性、完整性和不可否认性。其签名和验证过程如下(假设签名方是A,验证方是B):
(1)A用对称密钥密码算法将文件加密生成密文;使用单向散列函数得到待签名文件的散列值1;使用用公钥算法的私钥将此散列值转换成数字签名,同时用B的公钥加密对称密钥算法中的密钥;
(2)A将密文、数字签名、加密密钥和时间戳放置到数字信封,发送给B;
(3)B使用公钥算法,用B的私钥解密A发送的加密文件的对称密钥;再用A的公钥解密A发送的数字签名得到文件的散列值1;
(4)B用获得的对称密钥解密文件,并使用相同的单向散列函数生成散列值2,若该值与A发送的散列值1相等,则签名得到验证。
该签名方法可在很大的可信PKI域中进行相互认证(或交叉认证),扩展了隶属于不同CA的实体间的认证范围。
网上证券业务的主要风险来源于数据安全和系统本身的可靠性,因此网上交易系统的安全必须包括:网络系统安全、交易数据传输安全、应用系统的实时监控等。但交易数据的安
全性是网上证券交易中最重要的一个环节,其安全性的设计要保证数据传输的保密性、完整性、真实性和不可抵赖性。采用SSL/SET等安全传输机制和基于PKI的安全认证机制,可以有效地满足网上证券交易系统的安全保证。
在网上银行的银证通业务系统中,网银客户将证券公司作为可信机构,并不需要第三方信任机构的参与。因此为了解决保密通信双方在进行通信前协商产生会话密钥的问题,可以为证券公司的网上交易系统建立自己的“认证机构CA”,并生成相应的证书,而每位网银客户在进行银证通交易时,从认证机构CA获取其生成的数字证书,进行双向认证。同时,银证通业务可以采取在TCP层上实现SSL(安全套接层)协议,用于提高应用程序之间的数据安全,达到客户和交易服务器的合法性认证、加密数据以隐藏方式被传送和保护数据完整性的安全目的。
因此,在网上银证通交易中利用PKI进行交易的签名加密,应先完成如下证书申请和签发过程:
(1)用户向CA申请数字证书。申请人首先下载CA根证书,然后在申请证书过程中使用SSL与服务器建立连接,填写个人信息。客户浏览器自动生成密钥对,并将私钥用口令保护后保存在客户端的特定文件中。客户端浏览器同时将公钥和个人信息提交,客户的申请信息存放至RA注册机构。
(2)注册机构审核。注册机构操作员确认客户申请人身份,同时RA系统对操作员进行严格的身份认证后,由操作员审阅RA系统中的客户申请表,并加以批准。
(3)认证系统CA颁发证书。RA向CA传送审批后的客户申请,CA操作员审阅申请信息,如果批准,则由CA系统捆绑客户公钥和其个人信息,产生客户数字证书。
(4)下载获得有效数字证书。CA将生成的客户数字证书输出到目录服务器以提供目录浏览服务,并由注册机构RA提供给客户申请人对应的证书序列号和授权码。申请人到指定的网址下载自己的数字证书,并用保存的私钥进行验证。正确的数字证书一般下载到物理介质USB-Key中保存。
网上证券服务中,目前银行推出用储蓄存折(或银行卡)直接同指定证券公司的交易系统进行资金的互划和股票的买卖,因此方案的实施需要网上银行系统和指定证券公司的交易系统相互协作,共同完成。
本方案中,银行网点为客户办理储蓄存折(或银行卡)作为客户的资金帐户,同时为客户开通网上银行服务。指定证券公司的交易系统采用目前成熟的J2EE构驾作为交易平台,安全、便捷地支持折(或卡)的网上证券交易,其网上交易系统主要包括网上交易业务处理系统和支付网关。
网银客户登录网上银行,选择“网上证券”服务,在证券交易时间内开始进行股票买卖交易。在网银客户端和指定证券公司的网上交易系统双向认证后,客户端采用基于PKI的数字签名技术将实时证券交易数据签名加密,传送到证券的网上交易业务系统进行交易数据的验证。然后,证券公司将划款指令由支付网关传送到银行,通过银行的金融虚拟专用网(VPN)将相应款项从客户的银行帐户划转到指定证券公司的帐户。
本方案将PKI/CA技术运用于网银的网上证券交易业务,采用了安全认证服务器证书,实现了双向认证,以确保网上银行客户端和证券交易业务系统的真实性和唯一性,防止了伪造攻击;利用对称密码技术将证券交易数据加密,然后使用公钥算法将对称密码密钥加密再传送的数字签名技术,实现交易数据的机密性,防止了对交易数据的截取和篡改攻击,保证了交易双方的不可抵赖性。其次,由网上银行客户端自己产生临时对称密钥,不重复使用,最大程度降低了密钥的泄露概率。因此,PKI/CA体系从技术上保证了加密密钥的安全和证券交易数据的真实性、完整性和不可抵赖性。
网上银行服务系统要求很强的安全性,因此需要目前最为成熟的PKI技术的支持,实
现身份认证、数据加密和数字签名,保证网上信息传送和网上结算交易的机密性、真实性、完整性和不可抵赖性。将PKI/CA体系应用于网银的网上证券交易业务,是PKI体系和网上银行应用服务的安全需求又一次的完美结合。
