恒生銀證轉帳系統(tǒng)安全解決方案.doc

恒生銀證轉帳系統(tǒng)數(shù)據(jù)加密及系統(tǒng)安全解決方案銀證轉帳系統(tǒng)在近一年來異軍突起，迅速在全國范圍內大面積地推廣應用， 并且獲得眾多的銀行、券商和廣大股民的熱烈擁護和支持。但是，由于銀證轉帳系統(tǒng)是通過廣域網(wǎng)來進行互連的，因此，如何防范來自廣域網(wǎng)上的惡意攻擊便成為銀證轉帳系統(tǒng)的頭等大事，也是銀行、券商在開展銀證轉帳業(yè)務時最為擔心和憂慮之事。正是在此種形勢下，恒生公司投入了大量的研發(fā)力量，歷時兩個月，推出了恒生銀證轉帳系統(tǒng)標準版，為各家銀行、券商提供了一整套的系統(tǒng)安全解決方案。一、系統(tǒng)特點恒生銀證轉帳系統(tǒng)在系統(tǒng)安全方面，采取了一系列加密措施和實行一整套的密鑰管理體系，其特點如下：1 采用了目前國際上標準的DES加密算法，DES算法自誕生以來，便得到了廣泛應用，成為數(shù)據(jù)加密的工業(yè)標準，并被美國國家標準學會和美國銀行協(xié)會用來保護通信系統(tǒng)的現(xiàn)金和證券傳送。2. 依據(jù)密碼學上三級加密體系原理，對密鑰實行分級、分散管理，提高系統(tǒng)的抗攻擊能力。由于 DES算法是一種公開加密算法，也就是說，除非在得到密鑰的情況下，攻擊者是無法破譯密文的，因而，竊得密鑰便成為攻擊者的必經(jīng)之途。由于恒生銀證轉帳系統(tǒng)對密鑰實行分級、分散管理，即使攻擊者在竊得某些密鑰的情況下仍無法對系統(tǒng)構成傷害，無法實現(xiàn)攻擊的目的，從而大大提高了系統(tǒng)的抗攻擊能力。3. 對交易數(shù)據(jù)包進行MAC校驗，防止攻擊者上送虛假數(shù)據(jù)包對系統(tǒng)造成破壞，提高了系統(tǒng)的抗攻擊能力，保證銀證雙方資金安全。4. 對整個交易數(shù)據(jù)包進行加密，實現(xiàn)了交易11數(shù)據(jù)的完全密封。攻擊者的第一步往往是從偵聽網(wǎng)上數(shù)據(jù)開始的，在對大量數(shù)據(jù)分析后，進而實行攻擊，由于恒生銀證轉帳系統(tǒng)對數(shù)據(jù)包進行加密，從根本上杜絕了攻擊者分析通訊數(shù)據(jù)的可能性，保護系統(tǒng)免遭攻擊，不給攻擊者可乘之機。5. 層層防范，在一筆轉帳交易的過程中，信息交換的每一步均進行PIN加密和MAC校驗。二、 系統(tǒng)安全分析按攻擊者作案手段，可把攻擊者分為登錄型攻擊者和監(jiān)聽型攻擊者。登錄型攻擊者作案形式：作案分子在竊得被攻擊計算機上一定用戶的口令后，用telnet, ftp, rlogin等一類遠程登錄軟件進入這臺計算機系統(tǒng)，進而進行破壞行為。監(jiān)聽型攻擊者作案形式：作案分子通過某些專用設備接入廣域網(wǎng)，長期監(jiān)聽網(wǎng)絡數(shù)據(jù)，在掌握大量數(shù)據(jù)后，偽造交易數(shù)據(jù)包，上送被攻擊計算機，從而達到作案目的。此類攻擊者水平很高，其作案手段也極其隱蔽，而且案件發(fā)生后，基本上無從追查作案分子，所幸的是，目前國內尚無此類案件發(fā)生。一） 對登錄型攻擊者的防范恒生銀證轉帳系統(tǒng)由銀行端前置機、證券端前置機通過廣域網(wǎng)相連，構成銀行網(wǎng)絡、證券網(wǎng)絡的前置網(wǎng)，其中，證券端前置機以DOS為操作系統(tǒng)，銀行端前置機以UNIX為操作系統(tǒng)。由于DOS是一種單進程系統(tǒng)，攻擊者是無法登錄證券端前置機的，這無形中對證券網(wǎng)絡起到了保護作用；而銀行端前置機由于是UNIX系統(tǒng)，而且若一家銀行與多家證券相連，其IP地址必為多家券商所知，因此必須采取措施防止攻擊者登錄系統(tǒng)。要防止攻擊者登錄系統(tǒng)，可采取的措施：1 采取嚴密的管理制度，嚴防用戶的口令的丟失，攻擊者必定想方設法得到用戶口令，以便進入系統(tǒng)，進行破壞，因此用戶口令是防止攻擊者登錄的第一道防線。但由于現(xiàn)在INTERNET網(wǎng)上有許多破解用戶口令的程序，僅靠管理人員保管好用戶口令是不夠的。2 關閉UNIX上用于遠程登錄的服務端口，由于攻擊者登錄遠程系統(tǒng)，必須借助于UNIX機上的服務端口才能登錄遠程系統(tǒng)，關閉了此類端口，就斷絕了攻擊者登錄的來源。但是銀行由于某些業(yè)務上的需要，某些端口是不能關閉的，因此此方法也有其局限性。3 購買路由器，通過路由器上的設置，過濾數(shù)據(jù)包，達到防止攻擊者登錄的企圖，有條件的還可以考慮購買防火墻產(chǎn)品。二） 對監(jiān)聽型攻擊者的防范雖然，目前國內尚無監(jiān)聽型攻擊者的案例，但是，應該注意到由于INTERNET的蓬勃發(fā)展，國內利用計算機犯罪的水平越來越高，我們不能不對此類攻擊者進行防范，由于此類攻擊者的作案手段是偽造虛假交易數(shù)據(jù)包，因此，依靠管理用戶口令，關閉服務端口，或通過路由器、防火墻產(chǎn)品過濾數(shù)據(jù)包，都不能對其進行有效防范。但從另一個方面來看，對此類攻擊者能否進行有效防范，是檢驗一套軟件產(chǎn)品是否安全可靠的重要標準。對監(jiān)聽型攻擊者進行防范主要采取兩種手段：對交易數(shù)據(jù)全部加密，防止攻擊者監(jiān)聽；運用某項技術來判別交易數(shù)據(jù)包的真?zhèn)?。恒生銀證轉帳系統(tǒng)正是在這兩個方面對攻擊者進行防范的：1 對整個數(shù)據(jù)包進行加密，實現(xiàn)了交易數(shù)據(jù)的完全密封，防止攻擊者偵聽網(wǎng)上數(shù)據(jù)包，不給攻擊者分析數(shù)據(jù)的機會。2 采用信息授權碼技術，在數(shù)據(jù)包添加MAC字段，用于判別交易數(shù)據(jù)包的真?zhèn)危岣呦到y(tǒng)的抗攻擊能力。三、 系統(tǒng)安全體系由于恒生銀證轉帳系統(tǒng)采用了DES加密算法，DES算法是一種公開加密算法，其安全性完全依賴于密鑰的保密性，從另一個角度上講，攻擊者在未竊得密鑰的情況下，便無法實施對系統(tǒng)的攻擊。因此，無論是登錄型攻擊者還是監(jiān)聽型攻擊者，竊得密鑰是他們的必經(jīng)之途，這就是說：密鑰的安全與否決定了系統(tǒng)的安全與否。恒生銀證轉帳系統(tǒng)依據(jù)密碼學三級密鑰體系原理，對系統(tǒng)密鑰實行分級、分散管理?！胺旨墶敝笇⒚荑€分為傳輸密鑰、交換密鑰、主密鑰三個層次，“分散”指PKG密鑰、PIN密鑰、MAC密鑰、交換密鑰各自對應自己的主密鑰，某一主密鑰的丟失，不會影響其它密鑰。保護交換密 鑰系統(tǒng)密鑰體系圖如下：用于交換傳輸 密 鑰用于客戶個人密碼加密主密鑰2主密鑰3主密鑰4PKG密鑰PIN密鑰MAC密鑰交換密鑰主密鑰1用于加密整個數(shù)據(jù)包，防止監(jiān)聽用于MAC校驗，判別交易包的真?zhèn)伪ＷoMAC密 鑰保護PIN密 鑰保護PKG密 鑰系統(tǒng)密鑰如下：1 PKG密鑰：用于對整個數(shù)據(jù)包進行加密的密鑰。2 PIN密鑰：用于對數(shù)據(jù)包中客戶個人密碼進行加密的密鑰。3 MAC密鑰：MAC算法是一種將數(shù)據(jù)校驗算法和DES算法相融合的非公開算法， 主要用于判斷收到數(shù)據(jù)包的真?zhèn)?，以防止攻擊者構造虛假交易包傳?給銀證雙方從而達到作案目的。MAC密鑰是計算MAC值時所用到的密鑰。4 傳輸密鑰：用PKG密鑰、PIN密鑰、MAC密鑰進行加密的操作對象都是交易數(shù)據(jù)包，屬于三級加密體系的第一級，因此統(tǒng)稱為傳輸密鑰。5 交換密鑰：在傳輸密鑰中PIN密鑰和MAC密鑰是兩個動態(tài)變化的密鑰，在每天開始交易前，銀行收到證券的簽到交易請求時，隨機產(chǎn)生新的PIN密鑰和MAC密鑰，傳送給證券作為當天的雙方密鑰進行通訊。這兩個密鑰值是不能在網(wǎng)上明文傳送的，對這兩個密鑰進行加密的密鑰稱為交換密鑰，它屬于三級加密體系的第二級。6 主密鑰：傳輸密鑰、交換密鑰都需要存儲起來，它們的存儲形式也不能用明文保存，必須進行加密，將傳輸密鑰、交換密鑰加密存儲時所用到的密鑰稱為主密鑰，主密鑰也稱為存儲密鑰，它屬于三級加密體系的第三級。（恒生銀證轉帳系統(tǒng)為避免攻擊者一旦竊得主密鑰即可獲得所有密鑰的情況發(fā)生，對主密鑰實行分散管理，即PKG密鑰、PIN密鑰、MAC密鑰、交換密鑰均有各自的主密鑰）在上述密鑰體系中，PIN密鑰、MAC密鑰由系統(tǒng)每天動態(tài)變化，其生命期僅為一天，不再需要人為管理。PKG密鑰由于是用于加密通訊數(shù)據(jù)包，因此PKG密鑰的生命周期較短，在經(jīng)過一段時間運行后，需對其進行更換。交換密鑰由于