網上銀行應用安全解決方案

一、方案背景

銀行業是一個特殊的行業，在國民經濟和社會生活中扮演著重要的角色。銀行的業務數據多是和儲戶的賬戶有關的敏感數據，如儲戶的賬戶號碼、賬戶密碼、賬戶中的存款金額等，         而互聯網是一個開放的公共網絡，在這樣一個開放的網絡上拓展銀行的傳統業務，安全性是銀行要考慮的首要因素，網上銀行系統對安全性有著特殊的要求，         需要采用各種先進的安全技術手段予以保障。

二、需求分析

網上銀行安全系統應以PKI體系為基本框架，通過與第三方CA中心的連接使網上銀行系統能夠實現：

（1）網絡釣魚: 利用與銀行網站相似的域名和界面，騙取用戶登陸，獲取用戶賬戶及密碼信息，進行非法操作。

（2）密碼保護：攻擊者有可能通過記錄鍵盤、屏幕錄像、瀏覽器嵌入惡意代碼等手段盜取用戶的賬號和密碼。

（3）身份認證與授權：對用戶、銀行雙方身份進行認證，以保證交易雙方身份的正確性。

（4）數據傳輸、存儲的完整性：保證網上銀行所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易。

（5）數據傳輸、存儲的機密性：保證網上銀行所涉及的大量保密信息在公開網絡的傳輸過程中不被竊取。

（6）操作的不可否認性：在網上銀行交易完成后，保證交易的任何一方無法否認已發生的交易。

三、方案簡介

    在銀行的網銀系統服務器部署SSL全球服務器證書、密碼安全輸入控件、。并提供電子憑證管理系統、電子簽章系統，與網銀應用服務器對接。

（1）SSL全球服務器證書：為用戶客戶端與網銀系統間建立安全通信隧道，保障數據傳輸的安全。

（2）密碼安全輸入控件：為用戶密碼提供從鍵盤驅動一直到服務器接收整個路徑的安全保護，大大提升用戶使用網上服務的信心，降低了網上銀行系統運營風險。

（3）Web信息安全系統：為網銀系統提供基于證書的身份認證、數字簽名以及加解密等功能。

（4）電子簽章系統：將電子簽名圖形化、圖章化，為用戶提供更符合中國人習慣的電子簽名方式。

（4）電子憑證管理系統：提供網上銀行簽名后的相關電子單證的保存、管理、展現等服務，提高銀行工作人員辦公效率、推進銀行業務發展。

四、方案特點

（1）客戶端與銀行服務器之間實現雙向認證，提高交易的安全性。

（2）使用簡單，信息的簽名和加密傳輸對客戶來說是透明的。

（3）雙重密鑰對機制，即雙證書機制，支持數字簽名的不可否認性。

（4）具有高強度的加密機制（對稱128位，非對稱1024位），數據傳輸保密性強。