|
1、网上交易安全概述 随着Internet应用的高速扩张,建立在Internet之上的网上银行、网上证券交易、网上医疗、网上购物、电子报关、电子报税等网络服务业务蓬勃发展。例如:证券网上交易已经成为国内外证券委托交易发展方向。据报导,日本与韩国证券网上交易客户已占总客户的50%,美国已占总客户的40%,我国2000年网上交易客户只占总客户的5%,预计今年将达到20%。据麦肯锡咨询公司的预测,到2010年几乎所有的证券投资者都会通过网络进行交易。又如:网上银行业务,网络正成为银行间竞争的基本要素之一一、 国外的网上银行发展相当迅猛,根据Online Banking Report的资料,到1999年12月5日,美国共有512家提供在线交易服务的网上银行。在欧洲,包括德意志银行、巴克莱银行、国民威斯敏斯特银行等巨头在内的各知名银行纷纷推出网上银行服务,到1999年年底,欧洲已有超过2000家金融机构开办了网上银行业务。此外,在美国及欧洲,还有一些不具任何传统商业银行背景的小型公司,也在Internet上推出了没有银行传统营业柜台的所谓虚拟银行,如CompuBank、SFNB、TeleBank等。我国从1998年开始,随着电子商务环境的改善,对网上银行、网上支付产生了迫切要求,银行的电子化服务日益普及,已由早期的自动柜员机服务发展到电话银行服务、手机银行服务和网上银行服务。其中,招商银行和中国银行是我国网上银行的先行者。招商银行已建立了有企业银行、个人银行、网上证券、网上商城、网上支付组成的较为完善的网络银行体系。 建立在Internet之上的网上交易系统实行TCP/IP和浏览器/服务器技术体制,客户的服务是通过Web服务器提供的。为实现安全、快捷、方便、廉价的网上交易,必须解决Web的安全问题。这是因为通常的Web服务器易受内外部的各种安全威胁,客户信息的完整性、保密性、交易的不可抵赖性和客户身份的确定性得不到保障,例如客户的身份能被假冒,客户的交易数据能被篡改,客户的服务请求遭到拒绝等。如何提供安全、可靠、及时、准确的网上交易服务是必须解决的技术问题。 在证券网上交易的安全方面,国内证券网上交易系统通常采用方法是在TCP层上实现安全套接层SSL(Secure Sock Layer)协议。其实现技术是在客户端安装 SSL数据安全代理(简称“安全代理”),以Web通讯代理(Web Proxy)的形式,为浏览器提供高强度(128位以上)的数据加密能力。安全代理与Web浏览器安装在同一台计算机上。当浏览器要与远端Web服务器建立安全连接时,它向安全代理发出请求,由安全代理负责与远端Web服务器建立连接。连接建立后,浏览器与服务器之间的数据传输是经过安全代理转发完成的。浏览器与安全代理之间的数据传输是用浏览器本身支持的40位的弱加密算法加密的,而安全代理与远端Web服务器之间的数据传输则是用高强度的数据加密算法加密的。 安全代理是32位Windows应用程序,可运行在Microsoft Windows95/98/NT/2000操作系统下,完全兼容IE、Netscape等浏览器。 当前,国内券商在实现安全套接层SSL协议时,采用了两种技术体制:第一种方式为双向证书方式,即在客户端和服务器端实行双向证书认证。第二种方式为单向证书+通信密码方式。这种方式在客户端无证书认证,仅在服务器端进行证书认证。为保证在第二种方式下股民网上交易的正常、安全进行,证券网上交易信息系统为股民设置了两套密码:证券公司为股民接入证券网上交易系统设置的“通信密码”和证券营业部的交易服务器为股民资金存取设置的“交易密码”。股民必须保管好自己的通信密码和交易密码,必要时应经常更换这两套密码。因为,若“通信密码”被他人盗取,意味着为“黑客”打开了进入交易系统的第一道安全大门;若“交易密码” 被他人盗取,意味着自己存在证券营业部的资金安全和交易安全无法保证。这两种技术体制的安全性及使用方便性比较见表1。 表1 SSL单向证书与双向证书安全性与使用方便性比较  上表可见:双向证书方式的身份确定性好于单向证书方式。但是,客户证书介质易损坏、易丢失,补发证书手续烦琐,证书使用麻烦,不能在像“网吧”这样的无光驱、无软盘的地方上网交易等。考虑到网上股民无时空限制性和文化程度的参差不齐,在一定安全的前提下,使用是否便利、简单成为重要的限制条件。所以,单向证书方式是证券网上交易安全的重要方式。 网上银行分为两种模式:一种是银行业务完全依赖于Internet的全新的电子银行,如美国安全第一网络银行SFNB(Security First Network Bank)。另一种则是在现有商业银行基础上,把Internet应用到银行服务业务中,开设新的电子服务窗口,即传统业务外挂电子银行系统。我国的网上银行业务即属于这一种。 网络银行使用的安全技术包括身份认证与授权技术、防火墙技术、加密与密钥管理技术、数字签名技术、安全审计技术等。在网络银行信息系统中常用SSL或SET协议。SET(安全电子交易规范)是由VISA组织和万事达组织共同制订的一个标准,是电子商务事实上的标准规范。SET安全性高,但其复杂程度高。SSL能提供较高的安全性,实现容易,现正运行的大多数网上银行均采用SSL协议来实现安全传输。 在采用SSL作为主要安全机制时,需要使用CA证书。CA证书的申请、制作、发放、注销等一系列的管理工作,由CA中心负责。为了实现对服务器和客户端的双向认证目的,需要银行网上交易服务器和访问该服务器的用户同时申请同一CA中心的CA证书,安装在交易服务器和用户的浏览器中。这样,当用户上网访问银行的交易服务器时,用户端接收到交易服务器的CA证书并送到CA中心验证,判断所访问服务器的真实性,同时还要提交自己的CA证书,向服务器表明自己是合法身份。同时,建立加密安全信道。 2、安密信网上交易安全系统组成及功能 SSL单向证书方式的最大优点是客户不需要证书,使用简单、方便。它的最大缺点是安全性差。它的安全缺陷来源于它的两套密码。由于这两套密码都是常规的静态密码,易猜测、易破解、易窃取,存在较大的安全隐患。能否在“安全”与“方便”之间找到平衡点,做到即安全,又方便,这是银行、券商、股民和安全产品供应商都关注的事。 为适应网上交易信息安全的需要,网泰金安信息技术公司自主研发了《安密信网上交易安全系统》。《安密信网上交易安全系统》由两个部分组成:基于时间同步的动态密码强身份认证系统(《安驿信动态密码认证系统》)和基于SSL协议的客户信息加密系统。该系统的技术体制是用安驿信动态密码强身份认证系统取代接入网上交易系统的静态密码身份认证系统;用安驿信动态密码强身份认证系统来取代交易服务器的静态密码身份认证系统,保证交易者身份的确定性;用安全套接层SSL协议单向证书提供的安全机制,特别是SSL提供的超强加密信道,保证交易信息传输的安全性。安密信证券网上交易安全系统组成见图1、图2示。  安密信证券网上委托交易安全系统的主要功能是: 1、通信密码一次一密、动态可变、不可预测; 2、交易密码一次一密、动态可变、不可预测; 3、客户信息传输强加密算法(128位); |
| 相关热词搜索 |
博士教育【点击次数排列】更多>>
