工行网上银行系统安全解决方案.doc

工行网上银行安全系统解决方案 1．方案概述 通过使用“数字证书+动态密码+终端度量”的认证技术保证身份认证安全性。数字证书动态密码卡承载数字证书、私钥和动态密码产生等，既可用于PC机网银系统的身份认证，也可用于手机网银系统的身份认证。终端度量引擎能够判断交易业务是否运行在注册的终端设备上。在终端上运行输入防篡改插件和安全交互程序能有效阻止攻击者对输入的修改重传，输入防篡改插件中运行安全算法和随机数字键盘算法保障输入是一个伪序列，在数字证书动态密码卡 中有相应算法来恢复出真实输入值。 用户输入关键业务信息（如交易额、接收方账号、接收方姓名等），在客户端加密处理后安全地（使用SSL）传给服务器，服务器解密业务数据，此时并不直接进行业务处理，而是暂时缓存服务器端，同时服务器使用安全短信或安全邮件将关键业务信息安全地传给客户端相应设备，客户端通过手机或邮件确认本次交易信息，并将确认信息通过短信或邮件传给服务器端，服务器收到客户端的正确确认信息后，开始进行关键业务信息后续处理，如果为否定确认，服务器就拒绝本次交易。 本方案从保证客户端安全性、用户身份安全性、交易业务数据安全性和整体系统安全性的角度来保证网络银行的安全性，从而为银行提供技术保障。本方案可以根据银行具体需求分步实施，逐级提高安全性，从而使银行能灵活实施方案中的内容。 2．体系架构 2.1使用PC登陆网银系统的架构 服务器侧 身份认证服务器 认证用户身份，使用数字证书和动态密码对用户进行身份认证。同时运行终端设备度量引擎系统，对终端进行可信性评估。 交易确认短信服务器 用于确认用户的交易信息的准确性。可以兼作带外身份认证用。 交易确认安全邮件服务器：用于确认用户的交易信息的准确性，向用户发送交易信息，接收用户对交易信息的确认结果，并解析交易确认结果。（注:交易确认短信服务器和交易确认安全邮件服务器选择其一使用）。可以兼作带外身份认证用。 网银站点服务器 提供用户登陆网银和业务操作界面，流程转发等。 业务处理服务器 处理用户的业务请求。 终端设备度量引擎 终端设备度量引擎包括：终端度量信息收集模块、度量信息注册模块、度量信息生成模块、度量信息校验模块、行为分析判断模块、交互应答模块等。按照终端信息收集策略，终端度量信息收集模块主动收集和注册的度量信息相关的终端度量信息，如网卡信息、操作系统信息、浏览器信息、IP地址所在的地理位置、机器名称、访问者行为信息等；根据具体安全策略，度量信息注册模块选择网卡信息、操作系统信息、浏览器信息、IP地址所在的地理位置、机器名称、访问者行为信息等中某些项的度量值（如完整性值）作为注册信息。对于探测到的终端静态信息度量处理（完整性运算）后，和事先注册的终端静态信息进行匹配处理后作出判断，这个相当于对访问者和使用的终端进行绑定，这个绑定并不唯一，可以根据使用环境的变换进行灵活增加和变更，但进行变更前必须通过一般身份认证。对于访问者行为信息的收集和分析，可以作为可选项，对于行为的判断使用行为分析算法才能给出结果。由于是身份认证侧主动收集终端度量信息，对于一个攻击者，无法阻止身份认证侧对终端的度量信息收集，所以通过终端度量认证，能阻止重传攻击、中间人攻击、连接劫持攻击。 客户侧 数字证书动态密码卡：存放数字证书、私钥、产生动态密码，动态密码的显示程序在PC机上运行，用于显示动态密码。可以通过转接线直接插在PC机上使用。 阻止输入修改安全插件：当用户点击准备转账时，激发产生一次Salt（Salt可以是一个OTP值，可以考虑用基于HMAC算法产生，操作复杂，但安全性高。或使用卡的当前时戳作为Salt，操作较为简单，但安全性低），本次产生的Salt作为输入的初始序列，输入值按照算法规则（根据每次CC值动态变换插入位置）插入到Salt中，来获得一个伪输入结果。卡内有相应的输入恢复程序，来获得真实的输入值。这个插件阻止了对输入值的拦截后，修改重传。 插件每次启动会产生一个随机数字键盘，以便于用户输入业务数据，并且随机数字键盘的输入值不是真实的数据，移动存储智能卡中有相应算法来恢复出真实输入业务值。 安全交互程序：从安全输入窗口接收输入值，并传送给移动存储智能卡。这个程序作完整性保护，无法修改。 PC：用户登陆网银系统的终端，同时用于显示动态密码。 手机：接收和发送交易确认信息 2.2使用手机登陆网银系统的架构 数字证书动态密码卡直接插在手机上使用，存放数字证书、私钥、产生动态密码。动态密码的显示程序在手机上运行，用于显示动态密码。 服务器侧 身份认证服务器：认证用户身份，使用数字证书和动态密码对用户进行身份认证，验证签名。同时运行终端设备度量引擎系统，对终端进行可信性评估。 交易确认短信服务器：用于确认用户的交易信息的准确性，向用户发送交易信息