|
|
| 1. 前言 |
我國各家商業(yè)銀行經(jīng)過多年的努力,業(yè)務處理電子化系統(tǒng)已被廣泛使用�����,并在全行范圍內(nèi)實現(xiàn)了電子化。但是���,由于各商業(yè)銀行之間的競爭�����,特別是在中國加入
WTO后金融業(yè)的開放�����,金融�����、證券����、保險的混業(yè)經(jīng)營等的挑戰(zhàn),促使銀行服務業(yè)向以客戶為中心的理念發(fā)展�。這種趨勢,一方面體現(xiàn)在銀行不斷推出各種面向客戶
的新業(yè)務���,如網(wǎng)上/手機銀行����,貸記卡���,各種中間業(yè)務等等;另一方面體現(xiàn)在銀行決策向科學化發(fā)展���,如客戶群分析���,效益/成本分析,風險防范等����。所有這些新需
求,都需要有大集中式銀行綜合業(yè)務處理系統(tǒng)強有力的支持�。為此,各家商業(yè)銀行的業(yè)務應用已經(jīng)實現(xiàn)或正在實現(xiàn)大集中式處理�����。數(shù)據(jù)大集中處理促使銀行電子化成
本下降,有利于新技術的使用和推廣����,有利于數(shù)據(jù)的分析和挖掘,有利于經(jīng)營管理��。而在商業(yè)銀行的大集中式業(yè)務處理系統(tǒng)中��,在自助設備(ATM��、POS����、多媒
體終端等)與區(qū)域數(shù)據(jù)中心主機之間設置有綜合前置系統(tǒng),該系統(tǒng)承擔連接銀行各種設備和外系統(tǒng)(渠道服務:銀聯(lián)����、電信、稅務等)的設備及交易數(shù)據(jù)的轉(zhuǎn)接�����,它
是銀行數(shù)據(jù)交換的樞紐�,也是銀行安全保障的核心部分。這樣一來,銀行應用數(shù)據(jù)的安全性就變得尤為重要��,這也是各商業(yè)銀行最為關心的問題���。因為銀行系統(tǒng)的安
全關系到銀行自身和客戶的利益能否得到應有的安全保障�,所以在提高金融電子化水平的同時���,金融體系的安全程度也要隨之加強��。為此����,提出本‘商業(yè)銀行綜合前
置數(shù)據(jù)的安全解決方案‘��,請專家和領導提出寶貴意見��。
1.1
金融網(wǎng)絡對數(shù)據(jù)安全的基本要求
● 數(shù)據(jù)的保密性
對一些敏感或重要的數(shù)據(jù)(如客戶PIN)利用密碼技術進行加密處理,在整個交易過程中PIN不能以明文方式出現(xiàn)�,以防止它被未受權者獲得�����。
● 數(shù)據(jù)完整性
在金融業(yè)務處理過程中必須防止數(shù)據(jù)被意外或人為的修改�����。常用的技術是對數(shù)據(jù)進行某種運行得出校驗碼(MAC),通過對校驗碼的驗證來簽別數(shù)據(jù)的完整性。
● 身份認證
任何用戶在進入計算機網(wǎng)絡或計算機系統(tǒng)之前,必須首先向網(wǎng)絡或計算機給出能表明自己身份的鑒別標志,經(jīng)鑒別核實后方被允許使用計算機�。
● 發(fā)送方對發(fā)送數(shù)據(jù)的不可否認性
采用一個數(shù)字簽名,可以有效的防止發(fā)送方被他人冒充,同時接收方可確認報文內(nèi)容確無篡改,發(fā)送方對其所發(fā)信息也不可否認。
● 可審計性
審計對金融的安全管理十分重要��,審計是發(fā)現(xiàn)犯罪和偵查取證的重要手段之一��。
1.2
使用硬件加密設備的必要性
目前所使用的加密方式有兩種��,即軟件加密和硬件加密���。使用軟件加密成本低廉但是存在以下不足:
軟件的運行要占用主機資源��,并且軟件的處理速度較慢���;軟件運作時很多重要的資料(如用來做密碼運算的密鑰,或 顧客的PIN)都會在某時
間清晰的出現(xiàn)于計算機的記憶或磁盤上����,而對計算機數(shù)據(jù)安全有一定研究的不法分子便有機會把這些資料讀取、修改或刪除�,破壞系統(tǒng)的安全性。
軟件不能提供一種有效的機制保護密鑰的存儲安全�。而密鑰一旦被人盜取��,則客戶密碼PIN也就無安全可言�。
而國際銀行卡組織(VISA����、萬事達)以及我國的銀聯(lián)組織均作出了在金融系統(tǒng)中必須使用硬件加密設備的規(guī)定。并且根據(jù)我國有關法規(guī)����,不能使用進口涉密產(chǎn)品。
本文的的目的就是介紹如何使用硬件加密設備來完善商業(yè)銀行綜合業(yè)務系統(tǒng)的數(shù)據(jù)安全問題����。 |
| |
2. 需求分析
2.1
現(xiàn)有系統(tǒng)狀況 |
|
|
在一個分行轄內(nèi),本行的ATM����、POS、多媒體查詢終端等自助業(yè)務終端均聯(lián)結到本行的綜合業(yè)務前置機上��,綜合業(yè)務前置機連到區(qū)域中心的業(yè)務主機上�����。對于開通外卡收單的分行�����,
綜合業(yè)務前置機還需要與銀聯(lián)中心�����、外卡中心及外系統(tǒng)中心(渠道服務)連接��。
綜合業(yè)務前置機使用軟件加密模塊來完成對數(shù)據(jù)的加密保護���,部分終端設備沒有提供硬件加密模塊也是用軟件來完成對數(shù)據(jù)的保護�。 |
| |
| 2.2 安全需求 |
綜合業(yè)務前置機的軟件加密模塊必須使用硬件加密機代替����,所有密碼運算都在加密機內(nèi)完成,客戶PIN不能在加密機外出現(xiàn)��。
ATM�、POS等自助設備也需要相應的硬件設備來完成加密運算和密鑰的保護工作。需要建立一套完善的密鑰管理體系來規(guī)范密鑰的產(chǎn)生��、分發(fā)����、使用���、保存等的安全。 |
| |
| 3. 密鑰體系介紹 |
硬件加密機要有一套完善的密鑰管理方案����,這包括密鑰的產(chǎn)生、分配��、貯存�、轉(zhuǎn)換、分工和分層���。北京弘遠公司所代理的總參56所硬件加密機采用國際標準
(ISO8732�、ANSIX9.17)���,對密鑰進行三層密鑰管理模式����,令成員行和交換中心處理密鑰的工作更為安全和方便����。
以分工來說�,不同的信息需使用不同的密鑰加密���,例如交換中心與銀行互聯(lián)的區(qū)域PIN密鑰(ZPK,又稱PIK)便與生成信息認證的Zone
Authentication Key
(ZAK又稱MAK)不同�,這樣的好處是當其中一密鑰的安全出現(xiàn)問題時,并不會影響其他信息的安全性�����。而密鑰的分層則有利于密鑰的更新和傳送�����,同時保證了密鑰的安全性����。 |
3.1
硬件加密機密鑰結構
下圖以SJL06加密機為例,介紹硬件加密機的三層密鑰結構: |
|
|
密鑰的層次結構
第一層����,MK為加密機主密鑰,
有三個成分組成,它是采用雙倍標準的DES密鑰(長達112位)���,它是存放在HSM機內(nèi)的����,真正實現(xiàn)三重數(shù)據(jù)加密技術。它的作用是將所有在本地存放的其它
密鑰和加密數(shù)據(jù)進行加密��。由于本地存放的其它密鑰和加密數(shù)據(jù)��,都是在MK加密之下���。因此����,MK是最重要的密鑰�。
第二層,BMK通常稱為密鑰加密密鑰或密鑰交換密鑰(Key-encrypting key或Key Exchange
Key)���。它的作用是加密在通訊線路上需要傳遞的工作密鑰�。從而實現(xiàn)工作密鑰的自動分配��。在本地或共享網(wǎng)絡中�����。不同的兩個通訊網(wǎng)點使用不同的密鑰加密密
鑰����,從而實現(xiàn)密鑰的分工管理���,它在本地存放時�,處于本地M的加密之下或直接保存在硬件加密機中。
第三層�,通常稱為工作密鑰或數(shù)據(jù)加密密鑰。包括PIK����、MAK、TMK(包括TPK��、TAK)等密鑰��,它的作用是加密各種不同的數(shù)據(jù)�����。從而實現(xiàn)數(shù)據(jù)的保密�,信息的認證,以及數(shù)字簽名的功能�����,這些數(shù)據(jù)密鑰在本地存放時,處于BMK的加密之下或直接保存在硬件加密機中�。
3.2
加密機密鑰分類
下面介紹一下加密機中最主要的幾種密鑰:
1、加密機主密鑰(MK)
加密機主密鑰(Master
Key -
MK)是存入在HSM機內(nèi)的由三個成分合成的一對最上層密鑰�。在HSM機器以外的地方不會以明文形式存放,它采用雙倍標準DES密鑰(長達112位)實現(xiàn)三重數(shù)據(jù)加密�����。
HSM投入運行時����,必須先產(chǎn)生和裝載MK。由于DES算法依靠某一個密鑰進行加密��,同時所有密鑰和數(shù)據(jù)都經(jīng)由MK進行加密��,所以MK必須通過一種安全的方法生成和維護����。
MK的產(chǎn)生需要銀行三位主要的管理人員參與產(chǎn)生,在SJL06主機加密模塊中采用MK(加密機主密鑰)對BMK進行加密保護��;
MK由三個成分(32位十六進制數(shù))組成�,由加密機使用單位通過行政手段分派專人管理和維護,一般由2~3人采用"背對背"形式進行輸入��;
MK以密文形式存儲在加密機黑匣子中,且永遠不以明文形式出現(xiàn)���。
2��、銀行主密鑰(BMK)
銀行主密鑰(BMK)��,是加密密鑰用的密鑰,適用于共享網(wǎng)絡中��,它可以在共享網(wǎng)絡中兩個(或多個)通訊網(wǎng)點之間以部分形式進行人工分配且保持雙方的對
稱性�����,共享網(wǎng)絡中任何兩個通訊網(wǎng)點之間均共用不同的BMK����。BMK用于加密底層需要傳送的數(shù)據(jù)密鑰,這樣遠地密鑰就能自動進行交換(無須人工干預)����。該密
鑰可以長期不更改,通常二年更新一次��。本地存儲時�����,BMK是通過MK進行加密的或以索引方式存儲在加密機中。
3�、區(qū)域PIN密鑰(PIK)
區(qū)域PIN密鑰PIK是一個數(shù)據(jù)加密密鑰,適用于共享網(wǎng)絡�,它通過BMK加密在兩個(或多個)通訊網(wǎng)點之間進行自動分配,PIK用于加密兩個通訊網(wǎng)點
之間需傳輸?shù)腜IN����,這樣就實現(xiàn)了PIN的保密。PIK需要經(jīng)常性地定期更改����,在本地存儲時,它是通過BMK進行加密的�。PIK需要經(jīng)常性地定期更改,通
常每天更換一次��。
4���、區(qū)域MAC密鑰(MAK)
區(qū)域MAC密鑰MAK是一個數(shù)據(jù)加密密鑰��,適用于共享網(wǎng)絡����,它通過BMK加密在兩個(或多個)通訊網(wǎng)點之間進行自動分配。用于兩個通訊網(wǎng)點之間傳送信息時���,生成和校驗一個信息認證代碼(Message
Authentication
Code)���,從而達到信息認證的目的。MAK需要經(jīng)常性地定期更改���,通常每天更換一次����。
5����、終端PIN密鑰(TPK)
終端PIN密鑰是一個數(shù)據(jù)加密用的密鑰��,適用于局域網(wǎng)絡中���,它是在局域網(wǎng)內(nèi)通過TMK加密����,由終端數(shù)據(jù)受理者自動分配到終端且保持通訊雙方之間的對稱
性�。TPK用于加密在局域網(wǎng)內(nèi)終端和終端數(shù)據(jù)受理者之間傳送的PIN���。TPK在本地存儲在加密機中通過索引的方式調(diào)用。TPK需要經(jīng)常性地定期更換��,通常
每天更換一次���。
6����、終端認證密鑰(TAK)
終端認證密鑰是一個數(shù)據(jù)加密用的密鑰�����,適用于局域網(wǎng)內(nèi)�。它在局域網(wǎng)內(nèi)
通過TMK加密由終端數(shù)據(jù)受理者自動分配到終端或通過BMK加密由終端數(shù)據(jù)受理者自動分配到交換中心。TAK用于局域網(wǎng)內(nèi)終端與終端數(shù)據(jù)受理者之間傳送信
息時�,生成和校驗一個信息認證代碼(Message Authentication
Code),從而達到信息認證的目的����。TAK需要經(jīng)常性地更換,通常每天更換一次���,TAK在本地存儲在加密機中通過索引的方式調(diào)用����。
7、PIN
校驗密鑰(PVK)
PIN
校驗密鑰是一個數(shù)據(jù)加密密鑰��,用于生成和校驗PIN校驗數(shù)據(jù)�����,同時校驗一個PIN的可靠性��。傳送時PVK通過TMK或ZMK加密���;存放本地時��,它通過MK加密。
8��、卡校驗密鑰(CVK)
卡校驗密鑰(CVK)類似于PIN校驗密鑰����,僅僅是用卡的信息取代了PIN。 |
| |
| 4. 解決方案 |
本方案采用SJL06T和SJL06S加密機為國有商業(yè)銀行的綜合前置系統(tǒng)的數(shù)據(jù)安全問題提供一基于應用層解決途徑�。
4.1
設備部署
ATM/CDM和自助終端的數(shù)據(jù)安全網(wǎng)絡連接,如下: |
|
|
綜合業(yè)務前置機與數(shù)據(jù)加密機(SJL06)連接����,將所有對交易的加密�����、解密工作在加密機內(nèi)部完成�����。對綜合業(yè)務前置機來說����,送到加密機一個綜合業(yè)務前置機
和終端設備共有的密鑰(TPK)加密的PIN加密機返回一個用前置機和中心共有的密鑰(PIK)加密機的PIN�,而PIN明文不可能出現(xiàn)在加密機以外。為
了保證系統(tǒng)的可靠運行���,每臺前置機應連接兩臺加密機�,它們之間互為熱備份�����。
在業(yè)務終端��,POS使用其本身的加密模塊;ATM��、多媒體終端等自助設備使用SJL06S加密機�����。SJL06S保護本地的密鑰并完成客戶PIN的加密等運算工作��。其價格是客戶可接受的���,低廉的���。
在數(shù)據(jù)中心主機和前置機,使用SJL06T加密機���,將所有對交易的加密�����、解密工作在加密機內(nèi)部完成。
4.2
密鑰的分配:
密鑰分配的目的首先是使主機之間分別共享相同的傳輸密鑰(BMK)�����,以便工作密鑰的安全傳輸����。然后便后可定時生成工作密鑰進行加密下傳����,從而保證通訊的雙方具有相同的工作密鑰��。下圖以ATM���、綜合業(yè)務前置機和中心業(yè)務主機間密鑰的分配為例: |
|
|
密
鑰分配:BMK是通訊雙方各有一個人出一個密鑰成分在加密機上以背靠背的方式直接輸入加密機���,加密機內(nèi)部將BMK生成。BMK明文不可能在加密機以外出
現(xiàn)����。工作密鑰(如PIK)是由通訊一方在加密機內(nèi)部隨機產(chǎn)生,并用相應BMK加密輸出加密機被傳送到通訊的另一方���。在通訊的雙方�����,工作密鑰也僅僅能在加密
機內(nèi)部解密使用�,其明文不可能在加密機以外出現(xiàn)。
密鑰分段有效原則:每個密鑰僅在某一區(qū)域內(nèi)存在并有效��,不同區(qū)域間的密鑰之間沒有任何關系��。這樣可以保證不會因某個區(qū)域的密鑰的泄露而影響其它區(qū)域間傳輸?shù)臄?shù)據(jù)的安全���。
密鑰更換原則:加密技術并非是永遠不可破解��,通過密鑰的更換可以有效提高系統(tǒng)的安全性��。
MK���、BMK更換原則:
● 每年一次定時更換;
● 當掌管密鑰成分的人離開本工作崗位�;
● 在發(fā)現(xiàn)密鑰已經(jīng)泄密或正在受到攻擊。
工作密鑰更換原則:
● 每天至少更換一次���;
● 系統(tǒng)啟動時更換新密鑰��;
● 當交易筆數(shù)超過一定量(如1000筆)時��;
● 交易多次MAC失效�����;
● 其它原因人工干預更換����。
4.3
業(yè)務數(shù)據(jù)安全傳輸 |
|
|
數(shù)據(jù)安全傳輸是要保證傳輸數(shù)據(jù)的保密性及完整性�。用工作密鑰對重要的傳輸數(shù)據(jù)進行加密,對所有傳輸數(shù)據(jù)(全部或部分)作MAC運算���。上圖是一交易處理流程例圖���,其說明如下:
ATM將PIN明文和BMK1加密下PIK1送入SJL06S加密機;
SJL06S將PIK1加密下的PIN返回ATM�;
ATM調(diào)用SJL06S完成MAC的產(chǎn)生(發(fā)送BMK加密下的MAK和MAC數(shù)據(jù)到加密機,以下相同)后將交易報文發(fā)送綜合業(yè)務前置機���;
綜合業(yè)務前置機首先調(diào)用SJL06T完成交易MAC校驗��,然后將ATM送到的PIN密文����,BMK1加密下PIK1
和BMK2加密下PIK2以及PIK1加密下的PIN送入SJL06T加密機�;
SJL06T加密機將客戶PIN在加密機內(nèi)部轉(zhuǎn)換成用PIK2加密保護返回綜合業(yè)務前置機,如果需要加密機還將完成PIN
BLOCK的轉(zhuǎn)換�����;
綜合業(yè)務前置機調(diào)用SJL06T完成MAC的產(chǎn)生后,將新的交易報文發(fā)送區(qū)域中心業(yè)務主機�����;
區(qū)域中心主機首先調(diào)用本地加密機完成交易MAC校驗���,然后將綜合業(yè)務前置機送到的PIN密文�����,BMK2加密下PIK2以及本地存放的PIN密文等信息本地加密機���;
區(qū)域中心的加密機在其內(nèi)部將業(yè)務終端上送的PIN和本地數(shù)據(jù)庫中存放的PIN進行比較(也可能是其它校驗方式)完成PIN的校驗,并將校驗結果返回區(qū)域中心主機�。
業(yè)務的返回過程與此相似本文不在說明; |
| |
| 5.
軟加密系統(tǒng)改造方案 |
目前在銀行運行的系統(tǒng)中�����,數(shù)據(jù)加密采用仍采用軟件包實現(xiàn)�,各種密鑰以函數(shù)參數(shù)的形式或數(shù)據(jù)文件的形式提供,安全上存在很大問題����。
如何將現(xiàn)有軟加密體系改造成硬加密體系呢���?
以下幾個方面需注意:
通常應用程序中的通信處理軟件分析處理"8583"數(shù)據(jù)包���,并按數(shù)據(jù)安全處理要求調(diào)用加密功能��。參見下圖���。其組成主要是加密接口和加密軟件包。 |
|
|
|
改造方案盡量不改動原軟件加密接口��,而僅將加密軟件包更換成硬件加密機驅(qū)動程序��。由供應商和銀行技術人員共同完成驅(qū)動程序和應用程序接口API的改造工
作����。使整個改造工作不會影響牽扯到通信處理或業(yè)務系統(tǒng),不會影響到已經(jīng)上網(wǎng)正常運行的聯(lián)網(wǎng)業(yè)務��。真正做到軟加密體系至硬加密體系的無縫切換�����。
|
| |
| 6. 支持與服務 |
我公司提供完善的產(chǎn)品跟蹤、售前售后服務網(wǎng)絡系統(tǒng)�,幫助用戶盡可能減少投資,在盡可能短的時間內(nèi)��,取得最大的經(jīng)濟效益和社會效益����,并保證這種收益是長久和連續(xù)的?����?倕?6所技術服務中心負責技術總支持��。
6.1 系統(tǒng)分析
基于客戶需求分析原則�����,我公司的售前技術人員將同用戶一起分析和規(guī)劃您的應用��,以最大限度地滿足您對計算機網(wǎng)絡和計算機網(wǎng)絡環(huán)境的各種需求�����。
6.2 全面規(guī)劃
通過了解用戶原有系統(tǒng)的現(xiàn)狀和需求���,并提出對應需求的規(guī)范化描述���,再根據(jù)用戶的地理布局�、用戶設備類型�、網(wǎng)絡服務類型、通訊類型和通信量��、網(wǎng)絡容量和性能����,我公司售前技術人員將同用戶一起全面規(guī)劃系統(tǒng)總體目標��、總體能力���、總體模型(網(wǎng)絡邏輯設計方案)以及投資規(guī)模�。
6.3 設計實施
在系統(tǒng)分析和全面規(guī)劃的基礎上��,公司將派專門項目經(jīng)理人員對設計工作進行實際的設計�����、實施管理工作����。
項目經(jīng)理人員將會幫助您考慮或指出關鍵性問題��,以及這些問題的解決辦法��,確保準確及時地完成項目設計工作���。
項目實施的主要技術服務是設備的安裝、測試和運行及其維護服務���,一般將為用戶提供三年的免費運行維護期服務�����,超過免費維護服務期后�����,公司將為用戶提供不同方式的系統(tǒng)支持的有償服務���。 |
服務級別 服務時間 響應時間 需求程度
特急服務
24小時 7天/周 4--6小時
非常關鍵、緊急
加急服務 國家規(guī)定工作日 6--8小時
緊急
常規(guī)服務 國家規(guī)定工作日 8-12小時
重要但不緊急
計劃服務 國家規(guī)定工作日 一周
重要但可延緩數(shù)日
|
|
服務級別
|
服務時間
|
響應時間
|
需求程度
|
|
特急服務
|
24小時 7天/周
|
4--6小時
|
非常關鍵�����、緊急
|
|
加急服務
|
國家規(guī)定工作日
|
6--8小時
|
緊急
|
|
常規(guī)服務
|
國家規(guī)定工作日
|
8-12小時
|
重要但不緊急
|
|
計劃服務
|
國家規(guī)定工作日
|
一周
|
重要但可延緩數(shù)日
|
|
6.4
技術培訓服務
項目設計實施結束后,公司將基于用戶的具體需求����,系列、規(guī)范地安排全部培訓計劃及教學課程�,我公司將派出資深工程師為用戶教學,并印有專門的資料文本供您參考���。
6.5
用戶響應中心服務
熱線服務電話��,由資深的工程師免費提供軟件、硬件����、網(wǎng)絡的咨詢、規(guī)劃和技術解答服務����。
提供INTERNET網(wǎng)與服務熱線以及其他合作伙伴的響應中心互連,共享信息資源����,為用戶提供最佳的解決方案。
快速支持技術人員隊伍,提供迅速及時的現(xiàn)場或遠程服務���。
6.6
支持服務
密切保持與各類客戶的接觸�,包括業(yè)務聯(lián)系���、資料發(fā)布��、定單管理���、合同履行、客戶培訓安排��。
完善設備檔案�����、系統(tǒng)運行記錄��,保證客戶設備安全�、穩(wěn)定、高效地運行����。
建立與最終客戶、代理商及廠家之間密切合作關系和通暢的運轉(zhuǎn)機制。
北京弘遠新世紀科技有限公司作為專業(yè)的信息安全產(chǎn)品系統(tǒng)集成公司,一直致力于金融界的信息安全發(fā)展工作,并提供"一流的產(chǎn)品����、一流的技術、一流的服務"�,成為金融系統(tǒng)長期友好的合作伙伴。 |
