网银行安全解决方案.pdf
《网银行安全解决方案.pdf》由会员分享,可在线阅读,更多相关《网银行安全解决方案.pdf(8页珍藏版)》请在冰点文库上搜索。
信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商1网银安全解决方案网银安全解决方案白皮书白皮书北京信安世纪信息安全技术有限公司北京信安世纪信息安全技术有限公司BeijingINFOSECTechnologiesCo.,Ltd2002年年6月月信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商2注意注意本白皮书中的内容是信安世纪公司某某行业解决方案说明书。
本材料的相关权力归信安世纪公司所有。
白皮书中的任何部分未经本公司许可,不得转印、影印或复印及。
2002北京信安世纪信息安全技术有限公司Allrightsreserved.网银安全解决方案网银安全解决方案白皮书白皮书本资料将定期更新,如欲获取最新相关信息,请访问信安世纪网站,http:
/,您的意见和建议请发送至:
北京信安世纪信息安全技术有限公司北京市西城区南礼士路二条甲1号月坛理想大厦6层电话:
86-10-6802551686-10-68025546传真:
86-10-68025519邮箱:
北京4532信箱邮编:
100045网址:
http:
/电子信箱:
信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商3目目录录前言.4第一章行业安全需求分析.4第二章产品概述.5NetCert认证中心系统.5NetSafe安全代理服务器.5NetSign数字签名系统.5第三章网上银行解决方案.5总体结构.5涉及产品.6应用描述.6方案特色.7良好的开放性.7良好的易用性.7对Web应用透明.7运行稳定.7用户受益.7安全性.7易用性.7稳定性.7可维护性.8附录一.8信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商4前前言言国内自上个世纪末开始建立网上银行系统,为企业和个人客户提供Internet网上银行服务。
信安世纪公司与众多银行合作,承担了其中的安全系统部分建设。
随着网上银行业务在最近几年中的迅速发展以及企业客户的成长,对网上银行安全系统提出了更高的要求,网上银行的安全系统需要得到进一步的发展,不断满足客户的需求。
同时,随着技术的发展和产品的进步,信安世纪公司愿意和各银行一起,使网上银行为客户提供更加标准化、性能和稳定性更高、功能更加强大的信息安全产品服务。
本着上述目的,信安世纪同开发了信安世纪的新一代信息安全产品,对银行网上银行安全系统提出了新的网银安全解决方案,希望能够为中国的网银事业添砖加瓦。
第第一一章章行行业业安安全全需需求求分分析析当前对网上银行的功能需求主要包括在以下几个方面:
1身份认证身份认证:
在Internet上,通过某种途径,认证用户的真实身份,同时防止黑客非法冒充其他用户身份。
2安全传输安全传输:
用户与银行间的通讯内容必须是保密的,不可能被窃取、仿冒的。
3数字签名数字签名:
用户与银行间通讯必须可以保存具有抗抵赖性的数字签名,用以确认。
企业或者个人用户需要在Internet上进行:
查帐查帐转帐转帐审核审核支付支付代理交费代理交费等业务。
必须完成:
认证用户的身份认证用户的身份保障传输内容安全保障传输内容安全交易具备法律效力交易具备法律效力这些安全保障,用来支撑业务的开展。
由于这些业务都是在用户的直接操作下完成,可以采用B/S架构,客户端使用浏览器操作,服务器端采用标准安全服务器,用户使用简单,银行易于维护。
信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商5第第二二章章产产品品概概述述NetCert认证中心系统认证中心系统NetCert认证中心系统是一种用于认证网络用户身份的软件系统,它使用非对称密码体制和数字签名等密码技术建立,用于确保电子交易安全、顺利地进行。
信安世纪信息安全技术有限公司提供的证书认证系统NetCert是一个基于PKI的功能强大、安全可靠的证书中心系统,能够满足政府机关证书认证中心建设的功能需求。
NetSafe安全代理服务器安全代理服务器NetSafe安全代理服务器是用于服务器端的建立安全通信信道的软件,通过数字证书实现用户与服务器之间的通信与交易安全,满足用户对于信息传输的安全性及身份认证的需要。
NetSafe具有广泛的应用领域,可以应用于电子政务及其门户网站的WEB服务器,也可以为特定应用提供安全保障。
从而为用户构建一个基于WEB的安全交易环境,解决用户对于信息的认证性、秘密性、完整性、不可否认性以及授权、安全审计等方面的要求。
NetSign数字签名系统数字签名系统关键性的数字信息,例如数字化的交易,需要有可靠的技术来保证信息的完整性和不可否认性,即信息不能被篡改,同时发出者也不能对自己的行为进行抵赖。
这种安全保障对于电子政务应用是必不可少的。
NetSign为客户提供了基于Web浏览器和Web服务器的数字签名解决方案,实现了对Web页面中的指定内容和文件进行数字签名和验证。
信安世纪的NetSign由客户端的浏览器控件(NetSign/Client)和一系列服务器端的API组件(NetSign/Server)构成,满足不同Web应用系统的用户对于信息的完整性和不可否认性的需要。
第第三三章章网网上上银银行行解解决决方方案案总体结构总体结构信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商6图一:
基本网银系统安全方案结构图图一:
基本网银系统安全方案结构图涉及产品涉及产品NetCertNetSafeNetSign应用描述应用描述整个方案可以分成以下三大部分:
1.CA证书发放系统证书发放系统该部分系统包括NetCertCA(用于签发用户的证书),NetCertRA(用于实现证书的管理过程),LDAP服务器(用于发布用户的证书),这些证书主要应用于下文中提到的NetSafe和NetSign。
CA系统由信安世纪的NetCertCA产品建立实现。
Web服务器数据NetSafeNetCertCAServerCAAdminLDAPInternet用户用户NetSignNetCertRAServer内部网络用户信息数据管理员柜面终端信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商72.安全传输平台安全传输平台实现用户与银行之间的SSL认证与加密功能和数字签名功能。
涉及的产品包括信安世纪的NetSafe和NetSign。
通过NetSafe和NetSign的应用,能够在网银系统与网银用户之间建立安全的传输通道,从而实现信息的安全传输。
方案特色方案特色良好的开放性良好的开放性用户可以通过浏览器与NetSafe建立标准的HTTP/SSL/TLS安全连接,能够支持其他多种应用。
CA证书符合X509v3国际标准,RA支持PKCS10证书请求标准,可以方便的支持其他应用的证书申请与证书使用。
良好的易用性良好的易用性用户无须下载客户端软件,可以使用浏览器直接访问,简单易用。
避免了客户端软件带来的各种网络代理和配置问题,用户只要会上网就可以使用本系统。
对于内部系统中的RA管理员与柜台业务员也只需要浏览器就可以方便使用。
对对Web应用透明应用透明NetSafe对Web应用完全透明,并且可以传递用户身份信息。
应用NetSafe只需设置简单的主页配置,而不需要改动原有Web应用的核心内容与运作方式。
运行稳定运行稳定产品基于全新的内核和线程技术实现,系统效率、并发性能和稳定性更高;用户受益用户受益安全性安全性1、通过双向HTTPS协议认证客户端与服务端,通讯双方的身份得到认证,通讯内容的私密性得到保障。
2、通过签名与验证签名,交易的完整性、不可否认性得到保障。
易用性易用性基于B/S的网银服务架构,客户端使用浏览器操作,服务器端采用标准安全服务器,用户使用简单,只要会上网就可以接受网银服务。
稳定性稳定性信安世纪信息安全技术有限公司信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商8NetSafe、CA增强的稳定性模块,可以使程序运行更稳定,确保用户的高强度应用。
可维护性可维护性基于Web的服务带来高可维护性,没有客户端版本问题,系统升级也只在服务端升级,将银行工作量最大限度的降低了。
附附录录一一CertificateAuthority,即认证中心,是一个可信的签发公钥证书的机构,在本系统中,特指按照ITU-TX.509V3国际标准建立的认证框架系统。
RARegistrationAuthority,即注册中心,是CA认证中心的重要组成部分。
RA负责制定CA的证书管理体系和流程,通常与具体应用的业务流程相联系,是最终客户和CA系统交流的纽带。
PKIPubicKeyInfrastructure,是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
用户可利用PKI平台提供的服务进行安全通信LDAPLightweightAccessDirectoryProtocal轻型目录访问协议,基于X.500标准协议,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。
CRLCertificationRevokeList证书作废表,在X.509V3中定义的已经作废的证书列表,通常包含证书序列号、证书持有者、证书签发者、作废日期和原因等内容。
SSLSecureSocketLayer安全套接层协议,主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式CA服务器信安世纪公司的新产品NetCert中的一部分,是运行在UNIX操作系统之上的CA服务器。
CAAdmin信安世纪公司的新产品NetCert中的一部分,是运行在简体中文Windiows操作系统之上的CA系统管理员界面。
升级会员 