格爾網(wǎng)上銀行安全方案

1、精品資料推薦KOALSoftware安全白皮書格爾網(wǎng)上銀行安全方案版本：2.0日期：1999/12/21上海格爾軟件有限公司格爾網(wǎng)上銀行安全方案目錄1概述12 網(wǎng)上銀行安全需求分析22.1 網(wǎng)上銀行的業(yè)務(wù)安全分析22.1.1 公共信息發(fā)布22.1.2 網(wǎng)上帳戶查詢62.1.3 網(wǎng)上支付和轉(zhuǎn)賬93 格爾網(wǎng)上銀行解決方案123.1 高加密位數(shù)SSL代理121.1.1 SSL介紹121.1.2 SSL工作流程121.1.3 SSL代理的工作原理141.1.4 SSL代理的特性163.2 格爾PKI加密模塊173.2.1 加密模塊173.2.2 格爾PKI加密模塊173.3 格爾證書認證系統(tǒng)203.3

2、.1 證書認證系統(tǒng)203.3.2 工作流程214格爾網(wǎng)上銀行解決方案特性分析24附25參考站點25名詞術(shù)語25單鑰密碼體制和公鑰密碼體制25數(shù)字簽名和數(shù)字信封26數(shù)字證書27II精品資料推薦1 概述從第一家網(wǎng)絡(luò)銀行(InternetBank)SecurityFirstNetworkBank(SFNB)1995年10月在網(wǎng)絡(luò)上開業(yè)至今四年多。開業(yè)后的短短幾個月，即有近千萬人次上網(wǎng)瀏覽，給金融界帶來極大震撼。于是更有若干銀行立即緊跟其后在網(wǎng)絡(luò)上開設(shè)銀行，隨即此風潮逐漸蔓延全世界，網(wǎng)絡(luò)銀行走進了人們的生活。由于Internet無所不在，客戶只要擁有帳號和密碼便能在世界各地與Internet聯(lián)網(wǎng)，處理

3、個人交易。這不僅方便客戶，銀行本身也可因此加強與客戶的親和性。隨著金融環(huán)境競爭加劇，銀行不得不重新審視自身的服務(wù)方式。在我國，已經(jīng)有許多商業(yè)銀行紛紛推出了網(wǎng)上銀行服務(wù)。網(wǎng)上銀行系統(tǒng)在蘊藏著無限商機的同時，也帶來了風險，對于開設(shè)網(wǎng)上銀行服務(wù)的提供者來說，當務(wù)之急就是要解決安全問題。為此，上海格爾軟件公司在本文中介紹了一種網(wǎng)上銀行系統(tǒng)安全方案。在本文中所指的網(wǎng)上銀行，包括了個人銀行和企業(yè)銀行兩個概念，個人銀行是指通過網(wǎng)絡(luò)為個人銀行業(yè)務(wù)提供服務(wù)，企業(yè)銀行則是指通過網(wǎng)絡(luò)為企業(yè)用戶提供服務(wù)。兩者相比，個人銀行業(yè)務(wù)應(yīng)該具有較簡便的操作界面，而企業(yè)銀行更注重整個環(huán)節(jié)的安全性。從廣義來講，安全的概念可以包括數(shù)

4、據(jù)安全，系統(tǒng)安全和信息安全三個方面，數(shù)據(jù)安全是指通過采用系統(tǒng)備份，磁盤鏡像等安全手段以防止數(shù)據(jù)丟失；系統(tǒng)安全是指通過系統(tǒng)加固，邊界防御，入侵檢測等手段以防止黑客攻擊系統(tǒng)破壞數(shù)據(jù)；而信息安全則主要是指通過加密技術(shù)防止信息和數(shù)據(jù)在公開網(wǎng)絡(luò)傳輸上被竊聽、篡改和頂替。信息安全包括四個功能：數(shù)據(jù)保密，身份認證，數(shù)據(jù)完整性和防止抵賴。本文并沒有涉及到有關(guān)數(shù)據(jù)安全方面的概念，對系統(tǒng)安全作了一定的介紹，而對信息安全技術(shù)的實施則作了比較詳細的方案設(shè)計。本方案是基于上海格爾軟件公司電子商務(wù)部開發(fā)的以下三個安全軟件產(chǎn)品：PKI加密模塊，SSL代理和EnterpriseCA。這三個產(chǎn)品為解決網(wǎng)上銀行系統(tǒng)中數(shù)據(jù)加密，身

5、份認證，數(shù)據(jù)完整性和防止抵賴等信息安全問題提供了完整的解決方案。2 網(wǎng)上銀行安全需求分析2.1 網(wǎng)上銀行的業(yè)務(wù)安全分析從功能劃分，網(wǎng)上銀行的業(yè)務(wù)可分為三類：2.1.1 公共信息發(fā)布公共信息發(fā)布用于介紹網(wǎng)上銀行的業(yè)務(wù)范圍流程，金融公共信息等。這類業(yè)務(wù)由于面向公眾發(fā)布，不需要保證信息只能被特定團體或個人訪問，需要的是保護信息不會被非法篡改。目前在Internet上比較多的黑客事件都是篡改公共Web站點的內(nèi)容，制造虛假信息或涂改頁面。如美國NASA和國防部站點被“黑”事件就是這類事件。對于銀行來說，公共金融信息雖然是公開的，但是如果被篡改某些敏感數(shù)據(jù)，如銀行利率等，很可能會造成不必要的麻煩，對銀行的

6、名譽也會造成不利的影響。因此，對這些內(nèi)容的保護也是不能夠忽視的。Web站點內(nèi)容被黑客篡改，是這些黑客通過主動攻擊實現(xiàn)的。例如，黑客通過密碼字典猜測信息系統(tǒng)的特權(quán)口令，在獲得特權(quán)口令之后，登錄進入系統(tǒng)，篡改發(fā)布內(nèi)容，制造不良影響。對于這種情況，我們可以通過改進系統(tǒng)配置、增加防火墻防護、配置入侵檢測模塊和完善安全管理策略來實現(xiàn)安全保護，避免站點被非法篡改。完善安全管理策略黑客一般是通過分析網(wǎng)絡(luò)管理上的漏洞以達到其攻擊目的。很難定義怎樣的系統(tǒng)管理才是完善的，因為完善的系統(tǒng)管理是各方面的總和，例如對路由器以及其他主機定期更改密碼，采用不規(guī)則密碼，關(guān)閉不必要的服務(wù)，關(guān)閉防火墻任何不使用的端口等。對于一個

7、Unix系統(tǒng)，安全管理主要可分為四個方面：1. 防止未授權(quán)存取權(quán)限控制是系統(tǒng)安全的基本問題，即防止未被授權(quán)的用戶進入系統(tǒng)。良好的用戶意識，良好的口令管理（由系統(tǒng)管理員和用戶雙方配合），登錄活動記錄和報告，用戶和網(wǎng)絡(luò)活動的周期檢查是防止未授權(quán)存取的關(guān)鍵。2. 防止泄密數(shù)據(jù)保密也是系統(tǒng)安全的一個重要問題。防止已授權(quán)或未授權(quán)的用戶相互存取對方的重要信息，經(jīng)常性的文件系統(tǒng)查帳，su登錄和報告以及良好的用戶保密意識都是防止泄密的手段。3. 防止用戶濫用系統(tǒng)資源一個系統(tǒng)不應(yīng)被一個有意試圖使用過多資源的用戶損害，因為在高負載的情況下系統(tǒng)的安全性能往往會降低。例如黑客通過占用整個磁盤空間來防止日志生成，不幸的

8、是很多商業(yè)UNIX不能很好地限制用戶對資源的使用。因此系統(tǒng)管理員必須通過一些系統(tǒng)命令如PS命令，記帳程序df和du周期地檢查系統(tǒng).查出過多占用CUP的進程和大量占用磁盤的文件。同時安裝某些監(jiān)控軟件也是有效的手段之一。4. 維護系統(tǒng)的完整性大多數(shù)情況下，維護系統(tǒng)完整是系統(tǒng)管理員的責任，例如：周期地備份文件系統(tǒng)，系統(tǒng)崩潰后運行磁盤掃描檢查，修復文件系統(tǒng)，檢測用戶是否正在使用可能導致系統(tǒng)崩潰的軟件。良好的安全管理策略對系統(tǒng)的安全水平起著至關(guān)重要的作用。因此系統(tǒng)管理員可以將以下幾個方面作為維護的重點：系統(tǒng)配置仔細研究最新的系統(tǒng)維護文檔，完善系統(tǒng)各方面的安全配置，降低安全風險。同時，周期性的維護系統(tǒng)，包

9、括備份和安裝補丁程序、訂閱安全電子新聞。系統(tǒng)隔離將內(nèi)網(wǎng)和外網(wǎng)進行隔離，確保銀行業(yè)務(wù)前置機、業(yè)務(wù)主機和數(shù)據(jù)庫服務(wù)器只處于內(nèi)網(wǎng)中，內(nèi)網(wǎng)和外網(wǎng)通過防火墻相連。切斷共享Web服務(wù)器上的系統(tǒng)配置盡可能地保證安全。關(guān)閉所有不必要的文件共享。停止所有與業(yè)務(wù)無關(guān)的服務(wù)器進程，如Telnet、SMTP和FTP等服務(wù)器守護進程。日志記錄打開日志記錄功能，保存系統(tǒng)的訪問日志記錄，對其進行分析，可以有助于發(fā)現(xiàn)有問題的訪問情況。如有必要，使用專門的入侵檢測模塊。口令策略制定完善的口令策略，限制口令的最小長度和最長有效期，檢查口令的質(zhì)量。專人專權(quán)由專人負責系統(tǒng)安全和系統(tǒng)維護，減少不必要的用戶管理權(quán)限，嚴格控制非系統(tǒng)管理員

10、的權(quán)限和系統(tǒng)管理員的數(shù)量。以下是一個簡化的虛擬網(wǎng)上銀行網(wǎng)絡(luò)結(jié)構(gòu)圖：銀行業(yè)翦主機 遨據(jù)庫銀行肉都網(wǎng)苜理員工作站InLr met非軍事區(qū)Int trnttInternet圖1網(wǎng)上銀行網(wǎng)絡(luò)結(jié)構(gòu)圖從圖中可以看到整個網(wǎng)絡(luò)體系分為：Internet,非軍事區(qū)（DMZ）,Intranet以及銀行內(nèi)部網(wǎng)四部分。其安全等級從前往后逐次遞增。這些網(wǎng)段由兩個網(wǎng)關(guān)連為一體。首先防火墻將Internet和Intranet以及非軍事區(qū)分離。非軍事區(qū)是所有用戶可以訪問的區(qū)域，而Intranet則只有特定用戶才能訪問，通過對防火墻的合理配置可以避免內(nèi)部服務(wù)器被攻擊，可以采用多級防火墻配置（如在非軍事區(qū)和Internet之間用

11、防火墻隔離）以提供更強的網(wǎng)絡(luò)安全保護。Intranet與網(wǎng)上內(nèi)部網(wǎng)絡(luò)由前置機相連，為了保證銀行業(yè)務(wù)主機的運行安全，網(wǎng)上銀行系統(tǒng)不直接連接業(yè)務(wù)主機，而是由特定的前置機來代理其請求，前置機只響應(yīng)特定服務(wù)請求，然后將請求轉(zhuǎn)換為特定消息格式發(fā)送給業(yè)務(wù)主機，收到應(yīng)答后再將數(shù)據(jù)返回給請求者。通過這種隔離進一步增強了系統(tǒng)的安全保證。增加防火墻防護在網(wǎng)絡(luò)系統(tǒng)中，防火墻是一種裝置，可使內(nèi)部網(wǎng)絡(luò)不受公共部分（整個Internet）的影響。它能同時連接受到保護的網(wǎng)絡(luò)和Internet兩端，但受到保護的網(wǎng)絡(luò)無法直接接到Internet，Internet也無法直接接到受到保護的網(wǎng)絡(luò)。如果要從受到保護的網(wǎng)絡(luò)內(nèi)部接到Int

12、ernet，首先需要連接到防火墻，然后從防火墻接入Internet。最簡單的防火墻是雙主機系統(tǒng)（具有兩個網(wǎng)絡(luò)連接的系統(tǒng)）。防火墻有兩種：1. IP過濾防火墻IP過濾防火墻在數(shù)據(jù)包一層工作。它依據(jù)起點、終點、端口號和每一數(shù)據(jù)包中所含的數(shù)據(jù)包種類信息控制數(shù)據(jù)包的流動。這種防火墻非常安全。它阻擋別人進入內(nèi)部網(wǎng)絡(luò)。過濾防火墻是絕對性的過濾系統(tǒng)。即使要讓外界的一些人進入防火墻之內(nèi)，也無法讓每一個人進入服務(wù)器。2. 代理服務(wù)器代理服務(wù)器允許通過防火墻間接進入Internet。最好的例子是先連接到防火墻，然后從該處再連接到另一個系統(tǒng)。在有代理服務(wù)器的系統(tǒng)中，這項工作是完全自動的。利用客戶端軟件連接代理服務(wù)器

13、后，代理服務(wù)器啟動它的客戶端軟件（代理），然后傳回數(shù)據(jù)。只要配置正確，代理服務(wù)器就絕對安全，它阻擋任何人進入內(nèi)部網(wǎng)絡(luò)，因為沒有直接的IP通路。在網(wǎng)上銀行系統(tǒng)中，由于Web服務(wù)器需要連接到Internet，因此，我們建議在Web服務(wù)器和Internet之間架設(shè)一個IP過濾防火墻。配置入侵檢測模塊除了防火墻之外，配置入侵檢測模塊也是一個重要的安全措施。例如，對于銀行帳戶和密碼，入侵者可能嘗試枚舉攻擊，由于密碼長度有限且均為數(shù)字，密碼空間比較小。如果入侵者知道帳戶號碼，很容易通過枚舉攻擊猜測出帳戶密碼。入侵攻擊的特點是在一個攻擊源同時發(fā)出密集攻擊數(shù)據(jù)。自然，這些攻擊數(shù)據(jù)對于查詢系統(tǒng)來說，可能是合法的

14、查詢參數(shù)，它的特點是在同一個攻擊源同時發(fā)出大批量查詢請求。普通情況下，一個用戶連接后不會非常頻繁的查詢數(shù)據(jù)（每分鐘最多不超過5次查詢），而且查詢的帳戶號碼也有限（每分鐘最多不超過10個帳戶）。相反，入侵者為了猜測密碼，會大批量、長時間、從同一地點發(fā)出攻擊信息。這種攻擊模式是能夠被檢測到的。檢測到異常情況之后，檢測模塊能夠自動予以記錄和預(yù)警。自動預(yù)警甚至可以通過尋呼機通知系統(tǒng)管理員。2.1.2網(wǎng)上帳戶查詢網(wǎng)上賬戶查詢是指網(wǎng)上銀行通過Internet進行帳戶實時查詢功能，企業(yè)銀行的查詢功能包括：余額查詢交易歷史查詢匯款查詢公司對公賬戶查詢個人銀行的查詢功能包括：公積金賬戶查詢交易明細查詢定期到期查

15、詢消費積分查詢網(wǎng)上賬戶查詢的安全需求比公共信息發(fā)布要更高，因此網(wǎng)上賬戶對系統(tǒng)安全也有同樣的需求，而且，除此之外，網(wǎng)上賬戶查詢的還需要解決用戶的私有信息（口令，賬戶數(shù)據(jù)）在Internet這個公開網(wǎng)絡(luò)上傳輸?shù)陌踩珕栴}。而這些屬于信息安全范疇。網(wǎng)上賬戶查詢的信息安全功能應(yīng)包括兩個方面：身份認證和數(shù)據(jù)保密。7精品資料推薦身份驗證傳統(tǒng)銀行業(yè)務(wù)的身份驗證方案主要是通過口令或PIN來實現(xiàn)的，它具有以下兩個特點：1 PIN一般為4-8個數(shù)字，范圍比較窄。2 銀行主機記錄用戶輸錯PIN的次數(shù)，一旦超過一定數(shù)量，就自動關(guān)閉該賬戶的服務(wù)功能。在網(wǎng)上銀行業(yè)務(wù)中，僅通過這樣的方式來進行身份驗證，存在很大的不足：1 由

16、于網(wǎng)上銀行業(yè)務(wù)的通信信道是公開網(wǎng)絡(luò)，所以口令明文傳輸容易被截獲。2 在網(wǎng)絡(luò)上，口令猜測是黑客使用最多的攻擊手段，即使使用蠻力攻擊法，攻破8位的數(shù)字口令也只需很短的時間。3 在網(wǎng)上提供服務(wù)，很難對錯誤PIN輸入進行限制。網(wǎng)絡(luò)的信道故障或者人為的惡意行為都很容易使輸錯口令次數(shù)達到限制。錯誤次數(shù)限制會給合法的用戶帶來了很大的不便。因此，傳統(tǒng)的口令驗證難以成為網(wǎng)上銀行業(yè)務(wù)的唯一身份認證技術(shù)。在網(wǎng)絡(luò)應(yīng)用中，目前采用較多的方法是動態(tài)口令（例如Kerberos），令牌卡和數(shù)字證書認證技術(shù)。這些技術(shù)配合口令機制，就稱為雙因子身份認證技術(shù)。SSL協(xié)議是采用最為廣泛的數(shù)字證書身份認證技術(shù)。它不但可以解決身份認證，

17、也解決了數(shù)據(jù)保密問題，所以目前大部分網(wǎng)上應(yīng)用，包括網(wǎng)上銀行都采用SSL技術(shù)來實現(xiàn)身份認證。關(guān)于SSL技術(shù)的具體介紹參見本文第三章。簡單地說，SSL就是在傳輸數(shù)據(jù)前，服務(wù)器和客戶雙方通過數(shù)字證書進行“握手”，驗證對方的數(shù)字證書是否合法，并且約定一個臨時的會話密鑰，對接下來要傳輸?shù)臄?shù)據(jù)進行加密。SSLV2.0不支持客戶證書，客戶可以通過驗證服務(wù)器的證書來判斷服務(wù)器的合法性，服務(wù)器則無法驗證客戶的證書，通常服務(wù)器仍然通過口令驗證客戶的身份，由于口令在傳輸時已經(jīng)被加密，所以安全性有了很大的提高。SSLV3.0對V2.0進行了擴展，支持客戶證書，這時服務(wù)器就可以驗證客戶的證書，只有那些擁有合法證書的用戶

18、才能繼續(xù)保持與服務(wù)器的連接，如果配合口令驗證，就成為雙因子身份認證。采用數(shù)字證書的安全體現(xiàn)在私鑰的安全，只要私鑰不被竊取，數(shù)字證書就是安全的，而通過蠻力攻擊法攻破私鑰的可能性是不存在的下表是數(shù)字證書同傳統(tǒng)口令模式的身份驗證在性能上的比較:口令方式數(shù)字證書方式用戶登錄時口令在公開網(wǎng)絡(luò)上傳輸，有可能泄密私鑰由用戶保存，只需公布其公鑰。私鑰永遠/、會在公開網(wǎng)絡(luò)上傳輸，而且從公鑰無法推導出私鑰口令一旦泄密，所有安全機制即失效用戶私鑰可以存放在IC卡中并有口令保護，安全性更局服務(wù)器需要維護龐大的用戶口令列表并負責口令保存的安全服務(wù)器使用數(shù)字證書驗證用戶身份，不保存用戶的私鑰，所以用戶私鑰/、可能在服務(wù)器

19、端泄露與傳統(tǒng)方法一致，易于理解技術(shù)較新，普通用戶理解略有難度對于企業(yè)銀行，由于數(shù)據(jù)安全性要求較高，所以應(yīng)該采用數(shù)字證書身份認證加上口令認證的雙因子身份認證技術(shù)。每個企業(yè)用戶應(yīng)該申請一張數(shù)字證書，當企業(yè)用戶上網(wǎng)進行賬戶查詢時，通過SSL建立安全連接。網(wǎng)上銀行系統(tǒng)首先驗證該用戶的數(shù)字證書是否為合法證書。然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機，由銀行業(yè)務(wù)主機對口令再次進行認證。企業(yè)用戶的身份驗證過程和CA不可分割。當服務(wù)器通過SSL獲得用戶證書后，服務(wù)器應(yīng)用程序還要到CA服務(wù)器檢索該證書是否在廢止證書列表之中。圖2顯示了企業(yè)用戶身份驗證的完整過程。圖2是網(wǎng)上銀行企業(yè)用戶的口令驗證方式。對于個人用戶

20、，考慮到使用的方便性更為重要，可以采用SSLv2.0方式對口令加密進行身份驗證，因此用戶不需要申請證書，只需要記住口令就行。數(shù)據(jù)加密Web應(yīng)用數(shù)據(jù)加密的方案除了SSL以外，并沒有太多可供選擇的方案。除了采用數(shù)字證書身份認證方案以外，SSL的另一個優(yōu)點是在建立握手以后，對客戶和服務(wù)器之間的所有數(shù)據(jù)均采用對稱算法進行加密，對稱算法的加密效率比較高，所以對性能不會造成很大的影響。另外SSL采用了會話密鑰的機制，每次握手時約定一個會話密鑰，會話結(jié)束，密鑰立刻失效，最大程度上保證了數(shù)據(jù)的保密性。由于采用了SSL技術(shù)，Web應(yīng)用的開發(fā)也大為簡化，Web服務(wù)器應(yīng)用程序可以把與查詢狀態(tài)有關(guān)的信息都保存在Coo

21、kie中，而不必擔心Cookie的安全問題1 . SSL服務(wù)器代理驗證用戶證書 本身的合法性CA服務(wù)器用戶2。證書提交CA服務(wù)器，檢驗是否已經(jīng)作廢圖2企業(yè)用戶身份驗證示意圖2.1.3網(wǎng)上支付和轉(zhuǎn)賬網(wǎng)上支付和轉(zhuǎn)賬在查詢的基礎(chǔ)上進一步給用戶提供了方便，用戶可以在網(wǎng)上進行支付、轉(zhuǎn)賬從而達到交易的目的，就目前而言，國內(nèi)很多網(wǎng)上銀行系統(tǒng)已經(jīng)開通了如下支付和轉(zhuǎn)賬業(yè)務(wù)：定期賬戶轉(zhuǎn)活期活期賬戶轉(zhuǎn)定期活期賬戶轉(zhuǎn)活期信用卡賬戶轉(zhuǎn)信用卡賬戶公用事業(yè)費代繳企業(yè)轉(zhuǎn)賬證券資金賬戶轉(zhuǎn)賬特約商戶網(wǎng)上支付和查詢相比，支付和帳戶轉(zhuǎn)帳的安全需求更高，除了必須具備查詢所需要的安全性之外，還需要應(yīng)該提供數(shù)據(jù)完整性和不可否認性。數(shù)據(jù)完整

22、性所謂數(shù)據(jù)完整性就是指用戶在支付指令和轉(zhuǎn)賬指令中所填寫的數(shù)據(jù)必須保持完整，不能在公開網(wǎng)絡(luò)上被其他用戶無意或惡意地修改。SSL由于對整個數(shù)據(jù)鏈路進行了加密，所以在一定程度上能夠保證完整性，但是公開網(wǎng)絡(luò)上的數(shù)據(jù)加密對完整性的保護只是局部的，一旦數(shù)據(jù)被解密后依然存在著被更改的可能。所以正確的方案應(yīng)該采用數(shù)字簽名機制，由用戶使用自己的數(shù)字證書對支付指令或轉(zhuǎn)賬指令進行簽名，同時簽名數(shù)據(jù)被永久保存，只有這樣才能真正避免數(shù)據(jù)完整性被破壞，簽名是對用戶私鑰對數(shù)據(jù)摘要（又稱指紋）的加密，數(shù)據(jù)發(fā)生變化時，數(shù)據(jù)摘要也必定發(fā)生變化。如果將原先的數(shù)字簽名解密，就很容易發(fā)現(xiàn)兩段數(shù)據(jù)摘要不符。不可否認性不可否認性是指指令發(fā)

23、出者不能在事后否認曾經(jīng)發(fā)出該指令。這對于規(guī)范業(yè)務(wù)，避免法律糾紛起著很大的作用。傳統(tǒng)地，不可否認性是通過手工簽名完成的，在網(wǎng)上銀行，不可否認性是由數(shù)字簽名機制實現(xiàn)的。由于私鑰很難攻擊，其他人（包括銀行）不可能得到私有密鑰。所以用私鑰對交易指令的摘要簽名后，就保證了該用戶確實是發(fā)出了該指令。將簽名數(shù)據(jù)作為業(yè)務(wù)數(shù)據(jù)的憑證，在業(yè)務(wù)成功后就開始保障不可否認性。不可否認性可以保證每個帳戶用戶的轉(zhuǎn)帳過程具有法律效力。另外，對于企業(yè)級的帳戶。對于個人銀行業(yè)務(wù)來說，轉(zhuǎn)賬金額比較小，風險相對較低，所以在雙方都認可的情況下，沒有數(shù)字簽名的支付和轉(zhuǎn)賬的指令也是可以接受的。但是對于企業(yè)用戶和進行證券轉(zhuǎn)賬的個人用戶來說，

24、轉(zhuǎn)賬金額大，風險大，指令必須附帶簽名數(shù)據(jù)，在簽名數(shù)據(jù)驗證通過以后才能真正進行支付或轉(zhuǎn)賬。有四種方案可以實現(xiàn)用戶簽名：1專用客戶端軟件：例如電子錢包，這類軟件通常是一個瀏覽器的插件（PlugIn），在用戶填好支付指令或轉(zhuǎn)賬指令并發(fā)送給服務(wù)器以后，服務(wù)器用某種協(xié)議規(guī)范化該指令，并作為喚醒消息的參數(shù)返回給用戶，這時插件被激活，用戶的指令在插件程序中再次被顯示，此時用戶可以對這段指令進行數(shù)字簽名。許多SET應(yīng)用的實現(xiàn)采用了這種方案，這種方案的主要缺點是效率比較低，同一段數(shù)據(jù)需要被來回傳送兩次。另外不同的應(yīng)用可能需要開發(fā)不同的插件，對用戶和系統(tǒng)開發(fā)者來說都增加了額外的負擔。2表單簽名技術(shù)：Netscap

25、e公司發(fā)明的一種技術(shù)，在其瀏覽器中已經(jīng)支持，通過調(diào)用Java腳本實現(xiàn)對表單域內(nèi)容的簽名，這種方案雖然沒有方案1的缺點，但是其實現(xiàn)與瀏覽器相關(guān)。而且簽名數(shù)據(jù)形式比較固定，不利于開發(fā)新的應(yīng)用，所以很少采用。3 Java方式：這種方式是采用客戶端腳本的一類方式，用戶在填好支付指令或轉(zhuǎn)賬指令時，點擊“發(fā)送”按鈕，瀏覽器腳本或Applet開始運行，調(diào)用系統(tǒng)的加密模塊對表單中的數(shù)據(jù)進行簽名，并把簽名結(jié)果一起發(fā)送給服務(wù)器應(yīng)用程序。這種方案克服了第一種方案的缺點，但是需要瀏覽器支持對應(yīng)的腳本語言。因為Java具有較大的代表性，所以稱為Java方式。另外用戶必須安裝具有COM接口的加密模塊。4 XMLSigna

26、ture方式：這時目前最有希望的一種技術(shù)，IETF組織正在準備將這項技術(shù)確立為標準。它通過在網(wǎng)頁中嵌入一段XML，瀏覽器或其他客戶端程序在處理XML時自動將數(shù)據(jù)簽名。由于XML在保存和傳輸數(shù)據(jù)標準化方面的優(yōu)越性，這項技術(shù)正在成為微軟和SUN公司競爭的焦點。從以上方案比較可以看出，方案3和方案4與前兩種相比，機制靈活，應(yīng)用開發(fā)方便，具有較大的優(yōu)勢。因此上海格爾軟件公司的加密模塊和SSL代理產(chǎn)品對這兩種用戶簽名方式提供了支持。3格爾網(wǎng)上銀行解決方案3.1 高加密位數(shù)SSL代理3.1.1 SSL介紹SSL是一種在Web服務(wù)協(xié)議（HTTP）和TCP/IP之間提供數(shù)據(jù)連接安全性的協(xié)議。這種安全性協(xié)議被稱

27、為安全套接字層SecuritySocketLayer（SSL），它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器身份驗證和消息完整性驗證。SSL被視為Internet上Web瀏覽器和服務(wù)器的安全標準。SSL提供了用于啟動TCP/IP安全連接的“信號交換”機制。信號交換機制協(xié)調(diào)客戶和服務(wù)器使用的安全性級別，并履行連接的身份驗證。此后，SSL的作用是加密和解密要使用的應(yīng)用程序協(xié)議的字節(jié)流（例如HTTP數(shù)據(jù)包）。這意味著HTTP請求和HTTP響應(yīng)中的所有信息將完全被加密，包括客戶請求的URL地址，表單提交內(nèi)容（例如信用卡號）、HTTP訪問身份驗證信息以及從服務(wù)器返回到客戶的所有信息。SSL協(xié)議保證了在Int

28、ernet上交換信息雙方的信息安全性和可靠性。服務(wù)器證書用來在Internet上標識一臺服務(wù)器的身份，服務(wù)器證書是Web服務(wù)器SSL安全功能的基礎(chǔ)。來自第三方身份認證機構(gòu)的服務(wù)器證書提供用戶驗證Web站點的方法。利用SSL，Web服務(wù)器還可以通過檢查客戶證書的內(nèi)容來驗證用戶。典型的客戶證書包含用戶和證書發(fā)行機構(gòu)的詳細標識信息。綜合使用客戶證書標識和SSL，能夠?qū)崿F(xiàn)身份認證功能和防止信息篡改。3.1.2 SSL工作流程利用SSL,服務(wù)器和用戶Web瀏覽器首先參與處理交換-需要證書和密鑰對-以決定安全通訊需要的加密等級。此交換要求Web服務(wù)器和用戶瀏覽器都具有兼容的加密和解密能力。交換的最后結(jié)果是

29、創(chuàng)建（通常由Web瀏覽器）會話密鑰。服務(wù)器和Web瀏覽器都使用會話密鑰加密和解密傳輸?shù)男畔ⅰ４藭捗荑€的加密度，或強度，用位來表示。構(gòu)成會話密鑰的位數(shù)越大或越長，加密和安全的等級就越高。Web服務(wù)器的會話密鑰一般為40位長，但實際上可以更長。Web服務(wù)器使用本質(zhì)上相同的加密方法來維護與用戶的通訊鏈接的安全。建立安全鏈接后，Web服務(wù)器和用戶Web瀏覽器都使用指定的會話密鑰來加密和解密信息。例如，當經(jīng)認證的用戶企圖從要求安全通道的Web站點下載文件時，Web服務(wù)器使用會話密鑰加密此文件和相關(guān)的HTTP標題。接收到加密文件后，Web瀏覽器將使用相同會話密鑰的副本還原此文件。這種加密方法盡管安全，但

30、有先天不足：在創(chuàng)建安全鏈接過程期間，會話密鑰的副本可能會在不安全的網(wǎng)絡(luò)上傳輸。這意味著要危害鏈接的計算機破壞者只需要截取和偷竊此會話密鑰就可以了。要防止這種可能性，Web服務(wù)器可使用其他加密方法。Web服務(wù)器的安全套接字層(SSL)安全功能使用了一種稱為公共密鑰的加密技術(shù)來屏蔽此密鑰以防在傳輸期間被截取。使用了兩個附加密鑰：私人和公共密鑰。公共密鑰加密的工作方式如下：用戶Web瀏覽器建立與Web服務(wù)器的安全(HTTPS)通訊鏈接。Web服務(wù)器向用戶發(fā)送服務(wù)器證書和公共密鑰。(此證書使用戶能夠確認服務(wù)器的真實性和Web內(nèi)容的完整性。)用戶的Web瀏覽器和服務(wù)器參與商議交換，以確定用于安全通訊的加

31、密度。Web瀏覽器生成會話密鑰，再用服務(wù)器的公共密鑰加密它。然后瀏覽器把加密的會話密鑰發(fā)送給Web服務(wù)器。服務(wù)器用私人密鑰解密會話密鑰，并建立安全通道。Web服務(wù)器和瀏覽器都用會話密鑰加密和解密傳輸?shù)臄?shù)據(jù)。會話密鑰的復雜度，或強度，是和組成會話密鑰文件的二進制位數(shù)成正比的。這意味著會話密鑰的位數(shù)越大，安全度就越大，解密就越困難。用戶要建立與Web服務(wù)器的安全通訊通道時，用戶瀏覽器必須確認能用于該通道安全通訊的最高級加密或最高會話密鑰強度。這意味著Web服務(wù)器和用戶瀏覽器都必須具有兼容的會話密鑰加密和解密能力。例如，如果將服務(wù)器配置為要求最小128位加密強度的會話密鑰，則若要使連接安全，用戶必須

32、使Web瀏覽器有能力處理具有128位會話密鑰的信息。目前，在國內(nèi)使用的瀏覽器主要是微軟公司開發(fā)的InternetExplore和網(wǎng)景公司開發(fā)的Navigator或Communicator。這兩種瀏覽器都具備SSL連接的功能。但是，使用瀏覽器缺省的SSL功能，存在著許多缺點：1 由于國內(nèi)瀏覽器受到美國出口限制，加密位數(shù)無法達到128位。雖然美國國會已經(jīng)批準了56位密碼產(chǎn)品出口，但是簡體中文版的瀏覽器還是仍然只支持40位加密強度。而40位加密強度遠達不到在電子商務(wù)中應(yīng)用的安全需求。2 InternetExploreSSL模塊的加密部分實際上是由操作系統(tǒng)加密內(nèi)核CSP提供的，而Navigator和C

33、ommunicator瀏覽器的加密模塊采用的是網(wǎng)景公司開發(fā)的PKCS11模塊，這兩個模塊之間不能夠交換私鑰，所以用戶申請證書時用的是何種瀏覽器，以后就必須使用這個瀏覽器，這給用戶帶來了不便。3 由于CSP和PKCS11的接口不同，所以要兼顧兩個瀏覽器的用戶，應(yīng)用系統(tǒng)必須開發(fā)兩套網(wǎng)頁，增加了應(yīng)用系統(tǒng)的開發(fā)工作量。4 缺省的CSP和PKCS11模塊都不能支持IC卡，給用戶保存和管理密鑰增加了難度，也降低了安全性能。5 客戶的證書和私鑰保存在CSP或PKCS11模塊中，給用戶簽名和其他電子商務(wù)應(yīng)用擴展帶來了很大的不便。以SET應(yīng)用為例，目前大部分SET系統(tǒng)的客戶端電子錢包都是采用自己開發(fā)的加密模塊，

34、也就是說，用戶必須再申請一張SET數(shù)字證書，不同的應(yīng)用采用自己的加密模塊，給用戶造成了極大的不便。所以國內(nèi)采用比較多的就是SSL代理的做法，SSL代理通過截獲HTTPS請求響應(yīng)對，在客戶請求受保護的URL時建立SSL連接。SSL代理產(chǎn)品完全符合SSL標準，因此和瀏覽器，Web服務(wù)器內(nèi)置的SSL功能都能完全兼容。1.1.3 SSL代理的工作原理SSL代理分為兩個部分：代理客戶端和代理服務(wù)器。代理客戶端運行在用戶的PC機上，與瀏覽器同在一臺機器上，代理客戶端通過修改瀏覽器的代理設(shè)置，從而捕獲瀏覽器發(fā)出的安全連接。當用戶需要用瀏覽器的SSL與服務(wù)器（代理服務(wù)器或WebServer本身）進行連接時，該

35、請求被代理服務(wù)器捕獲后，代理客戶端先與服務(wù)器建立高位數(shù)加密強度（高于128位）的握手，再和瀏覽器之間生成低位數(shù)的SSL握手，瀏覽器發(fā)出的http請求通過40位SSL到達代理客戶端，代理客戶端首先將數(shù)據(jù)解密，然后用與服務(wù)器端之間建立的128位SSL連接加密，發(fā)送給服務(wù)器，類似地，服務(wù)器將http響應(yīng)發(fā)送給代理客戶端，代理客戶端先將數(shù)據(jù)解密，然后通過與瀏覽器之間建立的40位SSL連接將數(shù)據(jù)發(fā)送給瀏覽器。在服務(wù)器端，代理服務(wù)器端則與低位數(shù)的webserver運行在同一臺主機上，代理webserver的高位數(shù)加密連接，其工作過程與代理客戶端十分類似。SSL代理的工作原理見圖3。由于代理客戶端和瀏覽器安

36、裝在同一臺機器上，具有相同的IP地址，所以數(shù)據(jù)僅到達數(shù)據(jù)鏈路層，不可能在任何網(wǎng)絡(luò)上出現(xiàn)，兩者之間即使只有40位的加密強度，也是足夠安全的。代理服務(wù)器和webserver之間亦是如此。SSL代理除了提高了傳輸密鑰的位數(shù)，同時也提高了證書非對稱密鑰的位數(shù)，根據(jù)美國的出口限制，非對稱密鑰位數(shù)不能超過512位。和40位對稱密鑰一樣，攻破512位非對稱密鑰已經(jīng)成為可能。瀏覽器1代理客戶端代理服務(wù)器web服務(wù)器圖3SSL代理工作原理示意圖無論是代理客戶端還是代理服務(wù)器，都只需要代理本機上的對應(yīng)產(chǎn)品，而不是代理兩者之間的連接，因此，在沒有對方的情況下，代理客戶端或代理服務(wù)器均能正常工作，如果瀏覽器具有128

37、位加密強度，則即使沒有代理客戶端，也能與配備代理服務(wù)器的40位web服務(wù)器建立128位的加密強度，同樣地，具有128位加密強度的webserver,在沒有代理服務(wù)器的情況下，也能與128位加密位數(shù)的瀏覽器建立128位連接。這一點，無論是對于面向國際的國內(nèi)web站點，還是對于希望能夠與國外的web站點建立128位連接的用戶來說，都是至關(guān)重要的。對于用戶來說，代理客戶端能夠真正提高瀏覽器建立SSL連接的安全強度，不需要任何配置工作，就象安裝瀏覽器的補丁程序一樣，絲毫感覺不到其對某個網(wǎng)站有特殊的功能或限制。上海格爾軟件公司開發(fā)的SSL代理，通過上海格爾軟件公司開發(fā)的PKCS加密模塊保存和管理個人證書

38、和私有密鑰。用戶可以在同一個應(yīng)用的不同層次使用相同的證書，進一步降低了用戶使用該產(chǎn)品的開銷。1.1.4 SSL代理的特性上海格爾軟件公司開發(fā)的SSL代理具有以下特性：1) SSL代理通過格爾PKI加密模塊提供加密和密鑰管理的能力，因此基于該模塊開發(fā)的應(yīng)用系統(tǒng)都可以盡可能地共用同一張用戶證書，為用戶節(jié)約了證書管理費，簡化了管理復雜度。關(guān)于PKCS加密模塊詳見下一節(jié)。2) KOALPKCS加密模塊是一個專業(yè)化的加密模塊，具有更高的安全強度，使用更方便，支持IC卡保存密鑰，也支持用PK卡代替軟件加密，私鑰終身不離開IC卡，增強其安全性。3) 代理服務(wù)器可對加密算法進行配置，在不同的應(yīng)用提高或降低加密

39、強度。4) SSL代理具有良好的兼容性，支持Windows和Unix平臺。SSL客戶端代理可以和所有符合SSL協(xié)議的SSL服務(wù)器產(chǎn)品兼容，SSL服務(wù)器端也可以和InternetExplore與網(wǎng)景公司的瀏覽器兼容。5) SSL代理采用Cache技術(shù)保存以前客戶服務(wù)器之間的安全連接，從而減少了握手的次數(shù)，在性能上盡可能地降低了影響。6) SSL服務(wù)器代理可以將解析后的證書內(nèi)容添加到用戶Http請求中，不需要應(yīng)用系統(tǒng)自己解碼證書。7) 即將推出的SSL代理客戶端具備XML處理能力，可以實現(xiàn)用XML方式進行各種加密，簽名操作。17精品資料推薦3.2 格爾PKI加密模塊3.2.1 加密模塊加密模塊的主

40、要功能是進行密鑰運算和密鑰管理，大部分密碼產(chǎn)品都是在某個加密模塊的基礎(chǔ)上開發(fā)的，例如微軟公司和網(wǎng)景公司的瀏覽器和Web服務(wù)器都是基于加密模塊開發(fā)的。微軟公司的加密模塊是Windows操作系統(tǒng)內(nèi)置的CSP模塊，網(wǎng)景公司則是自己開發(fā)的PKCS11模塊。類似地，格爾PKI加密模塊是格爾EnterpriseCA和SSL代理產(chǎn)品的基礎(chǔ)，EnterpriseCA和SSL代理產(chǎn)品的加密運算和密鑰管理功能都是由PKI加密模塊提供的。除此之外，格爾PKI加密模塊向二次開發(fā)提供了接口和SDK，基于此，網(wǎng)上銀行應(yīng)用系統(tǒng)的開發(fā)就不必再考慮加密運算和密鑰管理的設(shè)計了。PKI加密模塊不僅支持RSA，3DES，MC5等常用

41、標準加密算法，而且支持由上海格爾軟件公司自行研制的元胞加密算法，該算法是一種流加密算法，用作對稱加密或者計算摘要，具有很高的強度和運算速度。用戶也可以通過PlugIn的方式插入其他算法。這比完全定制Token要方便的多。對于加密模塊來說，除了加密功能以外，密鑰的管理機制十分重要，例如密鑰是保存在磁盤文件中，MemoryIC卡還是IC卡，是否終生保存在IC卡中，密鑰的備份機制如何等等。3.2.2 格爾PKI加密模塊PKCS11是RSA公司提出的基于公鑰體制的加密模塊標準，該標準定義了一個提供保存加密信息和執(zhí)行加解密操作的標準應(yīng)用程序接口（API）（稱為Cryptoki）。加密運算和密鑰管理的功能

42、實際上是由Token完成的。Token是一種邏輯設(shè)備，可以替換或“插拔”，以實現(xiàn)用不同的物理設(shè)備保存密鑰和進行加密運算。格爾PKI（PublicKeyInfrastructure）加密模塊是參照PKCS11規(guī)范設(shè)計的加密模塊。但是對PKCS11規(guī)范作了功能上的擴展，增加了ASN編碼和解碼的功能，以及一些協(xié)議的處理，例如OCSP，IPSec協(xié)議等。其原理可參見圖4。圖4PKI加密模塊示意圖格爾PKI加密模塊為上層應(yīng)用提供了加密、證書管理、密鑰管理和黑名單管理的基本功能，因此是PKI應(yīng)用的基礎(chǔ)。除了應(yīng)用在PKI系統(tǒng)外，該加密模塊也包括了符合PBOC規(guī)范的密鑰分散等IC卡加密機制。以便IC卡網(wǎng)上交易

43、系統(tǒng)的開發(fā)。格爾PKI加密模塊的Token是一個多介質(zhì)的Token,它支持用IC卡或磁盤保存密鑰，也支持用帶有非對稱運算能力的IC卡（PK卡）來實現(xiàn)運算。另外用戶可以自己實現(xiàn)Token,例如基于硬件加密機的Token等。Token以PlugIn的方式插入到加密模塊中。格爾加密模塊還提供了COM接口的封裝，應(yīng)用系統(tǒng)的開發(fā)者甚至可以用JavaApplet,ASP,PHP等腳本語言調(diào)用加密功能。在Windows平臺，格爾加密模塊還提供了證書，密鑰和黑名單等對象管理圖形界面工具。格爾加密模塊具有很好的伸縮性，作為客戶端使用時，僅支持少量的功能和部分加密算法，從而縮小程序的大小，便于用戶下載。加密模塊提

44、供了比較好的便攜性能，證書和密鑰很容易從一臺PC的加密模塊移到另一臺上。這對某些應(yīng)用提供了便利。KOALPKI加密模塊支持多用戶權(quán)限控制，即多個用戶可以共用同一個加密模塊，但一個用戶不能存取或利用其他用戶的密鑰進行運算。硬件實現(xiàn)方案由格爾加密模塊來管理用戶的私鑰和證書，執(zhí)行數(shù)據(jù)的簽名，加密和解密操作。一方面，我們可以實現(xiàn)用戶私鑰的硬件方式保存，將用戶的私鑰保存在IC卡上，并采用有效的手段保護用戶的私鑰。另一方面，我們可以實現(xiàn)使用硬件進行加密解密操作。為了保證私有密鑰的安全，存放私有密鑰必須符合以下幾條策略：在任何時刻，私有密鑰都不以明文的形式存放在固定存儲介質(zhì)里。如果RAM里產(chǎn)生了私有密鑰的明

45、文后，用完后立刻銷毀。私有密鑰分塊存放在多個固定存儲介質(zhì)里。對分塊存放的密碼塊最好也要加密，這個加密密鑰不保存在任何存儲介質(zhì)里，只是存在人的腦子里。格爾加密模塊使用智能IC卡技術(shù)來存放用戶的私鑰，存放過程如下：系統(tǒng)產(chǎn)生RSA密鑰對后，用DES密鑰對私有密鑰進行加密后，得到密鑰信息。系統(tǒng)把密鑰信息分為N個密鑰信息塊，每一塊的長度不定，是隨機決定的。保密鑰信息塊和塊長度被不同的個人應(yīng)用密鑰加密后，存入一張IC卡的不同文件中保存。對于硬件加密則采用硬件加密機來實現(xiàn)。硬件加密機就如同一個黑盒子一樣，能夠產(chǎn)生、保存私有密鑰，并且可以加密輸入數(shù)據(jù)流。它的內(nèi)部配置必須高性能的加密處理器以進行RSA加密運算，

46、能支持密鑰長度為1024位、2048位的RSA加密運算以及安全哈什、塊加密等運算，加密的速度能夠滿足應(yīng)用的要求：一次密鑰長度為1024位的RSA加密運算時間不多于200ms。IC卡實現(xiàn)方案如果IC卡不具有非對稱運算功能（非PK卡），我們利用它來保存用戶的私有密鑰。有時候也把用戶的證書放在IC卡里。IC卡具有非常好的安全性，首先，IC卡的COS有著很好的安全性設(shè)計，這種安全性超過了任何一種按ABCD分20精品資料推薦級的操作系統(tǒng)。其次IC卡本身具有一定的攻擊防范能力，存放在IC卡中的數(shù)據(jù)很難通過非常規(guī)的物理方法讀取，數(shù)據(jù)也很難被復制。因此，對于個人用戶來說，IC卡是一個很好的密鑰保存介質(zhì)。PKC

47、S11的實現(xiàn)與密鑰的存放媒質(zhì)無關(guān)，上海格爾公司開發(fā)的PKCS11模塊，在客戶端可以支持用IC卡存放密鑰和證書。這提高了用戶交易環(huán)境的安全等級，用戶可以方便地攜帶自己的私鑰。而不需擔心其他人通過攻擊PC的硬盤來獲取自己的密鑰。3.3 格爾證書認證系統(tǒng)格爾證書認證系統(tǒng)是數(shù)字證書的簽發(fā)者。數(shù)字證書是用于驗證信息傳輸各方身份的有效證明，同時也用于加密數(shù)據(jù)，防止抵賴和篡改。它通過證書驗證和授權(quán)機構(gòu)對證書持有人及其公開密鑰的簽名有效地將兩者相關(guān)聯(lián)。最新的數(shù)字證書標準是X.509v3，證書驗證和授權(quán)機構(gòu)用一個唯一名（DistinguishedName）標識一個用戶，并向其簽發(fā)數(shù)字證書，該證書包含了該用戶的唯

48、一名和公鑰。3.3.1 證書認證系統(tǒng)證書認證系統(tǒng)包括證書認證服務(wù)器、管理員接口、RA接口和用戶接口，提供多種用途數(shù)字證書的發(fā)行功能和管理功能。它可以根據(jù)策略模塊進行自動發(fā)證，也可以手工發(fā)證和管理。所發(fā)行的數(shù)字證書能夠用來驗證客戶身份和服務(wù)器身份，從而達到對某些敏感信息的保護。上海格爾軟件有限公司開發(fā)的企業(yè)證書認證系統(tǒng)是一個基于Internet/Intranet的數(shù)字證書發(fā)行、管理系統(tǒng)。用戶可以通過Internet用瀏覽器來申請和管理自己的數(shù)字證書，系統(tǒng)管理員同樣通過瀏覽器對系統(tǒng)進行管理?？砂l(fā)行的數(shù)字證書包括個人數(shù)字證書和服務(wù)器數(shù)字證書。與CA中心相比，網(wǎng)上銀行系統(tǒng)維護自己的CA服務(wù)器成本更低，

49、而且實時性更好，一般來說，CA中心不主動發(fā)放CRL（證書廢止列表），應(yīng)用程序必須自己下載并維護CRL，而且查詢CRL的方式往往實時性比較差，處理CRL比較好的辦法是通過OCSP（實時證書狀態(tài)驗證協(xié)議）直接向CA查詢，但是CA中心處理OCSP請求的性能往往較低。實際上，大多數(shù)情況下CA中心的方案并不是十分有意義，只有當某個用戶持有某家銀行的證書并且需要查詢另一家銀行的賬戶時才有意義，但目前看來這種情形并不太可能發(fā)生。3.3.2 工作流程個人數(shù)字證書用于Web瀏覽器。用戶的瀏覽器產(chǎn)生密鑰對并將公鑰發(fā)送到身份認證服務(wù)器，身份認證經(jīng)過發(fā)行策略檢查后，同意用戶的請求，對用戶的個人信息以及公鑰進行簽名，產(chǎn)

50、生數(shù)字證書。隨后發(fā)送給用戶，用戶的瀏覽器接受到證書以后會在自己的密鑰庫中對證書中的公鑰進行匹配，如果找到匹配的私鑰，瀏覽器便將證書與私鑰合并成完整的密鑰環(huán)，整個證書申請過程完成。證書申請以后，在私鑰受到攻擊的時候，用戶還需要廢除或更新自己的證書。圖4給出了用戶證書操作的流程。圖5證書申請流程示意圖證書認證系統(tǒng)界面包括用戶界面和管理員界面兩部分。用戶界面包括基本服務(wù)、用戶信息管理、個人數(shù)字證書和服務(wù)器數(shù)字證書四部分。身份認證基本服務(wù)包括根證書下載和身份認證服務(wù)器證書下載。用戶對個人數(shù)字證書和服務(wù)器數(shù)字證書的信任是基于對根證書的信任，所以身份認證服務(wù)器需要提供根證書下載和每種證書類型的身份認證服務(wù)

51、器證書下載功能。用戶信息管理包括用戶注冊和注冊信息修改。用戶申請數(shù)字證書之前首先必須注冊，用戶必須將必要的身份信息提交給身份認證服務(wù)器，用戶提供的信息將作為數(shù)字證書的一部分被身份認證服務(wù)器簽名來產(chǎn)生用戶的數(shù)字證書。如果有必要用戶還可以修改部分注冊信息。用戶信息管理并不是獨立與證書申請之外的過程，事實上，作為證書申請流程的首要條件，用戶信息管理同證書申請是互相融合的。個人證書發(fā)行包括申請個人數(shù)字證書，個人數(shù)字管理以及查詢個人數(shù)字證書等功能。具體工作流程是：首先用戶必須進行注冊，已注冊用戶可以直接申請數(shù)字證書。用戶將提供其姓名，電子郵件地址等信息。當注冊被確認后，會以電子郵件或提示等方式通知用戶，

52、其中包含有該用戶的PIN(PersonalIdentifyNumber)該號碼唯一標識了該用戶，用戶也可以自己查詢，檢查自己當前的狀態(tài)，然后用戶就可以用這個號碼來申請數(shù)字證書。在用戶的申請被接受以后，用戶可以安裝證書。此外，用戶還能夠撤消原有的證書或更新已撤消或過期的證書。對于網(wǎng)上銀行系統(tǒng)，個人數(shù)字證書的使用對用戶來說只需要在第一次使用時進行一些操作。在以后的使用時是隱含的。所以，個人證書的發(fā)行將采用帳戶號碼作為PIN，帳戶密碼作為證書口令，或者由用戶重新選擇自己的證書口令。發(fā)行也是自動發(fā)行的，這樣才能夠滿足大量帳戶用戶的自動發(fā)行要求。個人數(shù)字證書申請將產(chǎn)生用戶的個人數(shù)字證書，身份認證系統(tǒng)收到

53、用戶的證書請求后，可以自動或由管理員手工生成一張用戶個人數(shù)字證書，并將這些信息存放到數(shù)據(jù)庫和目錄服務(wù)器中以備查詢。個人數(shù)字證書管理包括證書下載和安裝、證書廢除和證書更新等服務(wù)。個人數(shù)字證書管理界面維護注冊用戶所有個人數(shù)字證書列表，用戶可以下載和安裝這些數(shù)字證書，也可以廢除某張證書，被廢除的數(shù)字證書將自動寫入證書黑名單，并從目錄服務(wù)器中刪除，用戶還可以對過期或已廢除的證書進行更新。查詢個人數(shù)字證書提供對其他用戶的數(shù)字證書的檢索，用戶可以查詢身份認證的數(shù)據(jù)庫，也可以查詢目錄服務(wù)器。個人數(shù)字證書查詢提供對數(shù)字證書的下載功能，其功能類似于電話號碼黃頁。管理員界面主要包括數(shù)字證書管理、管理員帳號管理、系

54、統(tǒng)配置管理和日志管理四部分組成。如圖6。管理員界面是基于瀏覽器的，需要對連接的用戶進行身份識別，這一點必須通過WWW服務(wù)器的安全機制來實現(xiàn)。對于支持客戶數(shù)字證書的服務(wù)器如NetscapeEnterpriseServer和微軟IIS,身份認證系統(tǒng)通過獲取用戶的個人數(shù)字證書來進行身份驗證，對于不支持客戶數(shù)字證書的服務(wù)器，則通過其自身的用戶口令機制來進行身份驗證。個人數(shù)字證書管理包括個人注冊信息管理和個人數(shù)字證書管理兩部分。個人注冊信息管理可以查詢一段時期內(nèi)的用戶注冊情況，并能夠產(chǎn)生用戶注冊信息報表。個人數(shù)字證書管理負責對用戶的個人數(shù)字證書中請進行手工確認或廢除工作，同時還能對一段時間內(nèi)的用戶申請進

55、行統(tǒng)計。管理員帳號管理包括對管理員用戶的帳號增加，刪除，權(quán)限和口令的設(shè)置。這部分設(shè)置是針對于通過SSL3協(xié)議訪問管理員界面的情況的，系統(tǒng)管理員通過SSL3協(xié)議訪問系統(tǒng)時必須提供個人數(shù)字證書，服務(wù)器驗證其個人數(shù)字證書，同管理員帳號表進行匹配，并賦予其對系統(tǒng)進行配置和管理的權(quán)利，系統(tǒng)管理員通過用戶管理來設(shè)定每個具有管理權(quán)限的用戶的具體權(quán)限等級。系統(tǒng)管理包括對系統(tǒng)參數(shù)的配置和根證書安裝。身份認證安裝完畢后必須首先進行系統(tǒng)參數(shù)配置和根證書安裝，只有安裝了根證書后才能正確安裝身份認證證書，系統(tǒng)參數(shù)配置包括數(shù)據(jù)庫配置信息，SMTP服務(wù)器配置信息以及目錄服務(wù)器信息配置等等。系統(tǒng)報表管理包括對個人信息注冊，個

56、人證書申請和站點證書申請的統(tǒng)計報表以及對系統(tǒng)日志的查詢和清除等功能。系統(tǒng)報表統(tǒng)計了一段時間內(nèi)的用戶注冊，證書申請的情況，對于不同的需求，這部分功能會有所不同，可以根據(jù)身份認證用戶的需求增加或改變某些功能。系統(tǒng)日志記錄了所有有關(guān)的管理員操作，包括發(fā)行證書，撤消證書，系統(tǒng)配置更改等。管理員可以查看或清除這些日志。4格爾網(wǎng)上銀行解決方案特性分析上海格爾軟件公司的優(yōu)勢在于：擁有自主版權(quán)的加密產(chǎn)品源代碼，安全自定義的應(yīng)用程序接口，提供徹底的可定制性和靈活性符合國際標準和國家標準的高強度加密算法模塊以及身份認證系統(tǒng)嵌入式的客戶端安全插件消除了國外瀏覽器存在后門的隱患；并且提供了靈活的應(yīng)用層接口。國際兼容的SSL安全解決方案和IC卡