(一)应用背景
银行信息安全是信息安全的重要组成部分,密码作为保障信息安全的核心技术,在银行业信息系统得到广泛应用,发挥着重要作用。
伴随着电子商务的高速发展,银行业务从传统的柜面系统ATM机、POS机等服务渠道拓展到网上银行、手机银行等各种新形式。不管是传统的离线交易基于柜台业务和ATM机和POS机,还是以互联网等开放式网络环境为主的网上银行交易,都涉及敏感信息。银行机构要保护系统不受网络黑客入侵,防止敏感信息泄露、业务损失或服务中断;保护用户在网络上输入的敏感信息不被盗用,输入的交易资料不被篡改。
因此,银行业务中的密码应用需求主要包括:
(1)正确鉴别用户个人身份及权限。验证用户身份的真实性和合法性,防止非法用户假冒身份进行交易。
(2)保证交易数据的真实性和完整性。防止非法用户对数据进行篡改和删除,防止传送过程中数据丢失。
(3)保证交易数据的机密性。通过对敏感数据加密来保护系统数据交换安全,防止除接收方之外的第三方窃取数据。
(4)确保消息的不可否认性,即防止发送者事后否认。
(5)拥有完整的密钥管理系统以确保用户使用密钥的完整生命周期安全性。
(二)密码应用架构
1.银行业典型信息系统密码应用
银行业信息系统包括客户服务渠道(无卡渠道和有卡渠道)
银行核心业务系统、银行业中心节点关键系统等,银行业典型信息系统密码应用。
(1)身份认证:使用认证类密码产品实现对客户身份、服务器身份等的认证。
(2)终端机具认证:使用密码技术对银行终端设备等进行认证。
(3)传输通道加密:使用加密技术建立安全通道,实现银行业务系统间重要敏感信息的加密传输。
(4)应用报文加密:使用密码技术实现终端与银行系统之间的信息和银行业务、系统和非银行第三方连接系统间消息银行系统和银行中心节点的密钥系统之间的加密传输。
(5)存储加密:使用密码技术实现用户密码,用户隐私信息和存储在系统中的重要事务等的加密保护。
(6)签名验签:发送方使用密码技术对关键数据进行数字签名,接收验证签名,确认数据的完整性,标识为真,并保证行为不可否认。
(7)密钥管理:根据安全策略,对银行信息系统所采用的各种密钥进行全生命周期的安全管理。
线下交易过程中,商用密码发挥的主要作用为
(1)确保事务主密钥加载和传输的安全性。
(2)提高C卡申请人的各类密钥和敏感信息在发卡过程中的安全性、安全性存储在核心系统数据库中,并在各种业务系统中使用安全性。
(3)确保在网络传输和验证过程中PIN不会以明文形式出现。
(4)保证工作密钥在应用系统交易中始终不以明文形式出现。
3.在线支付密码应用架构
互联网、手机支付等在线支付方式已成为当前支付的主要方在线支付交易过程中,商用密码发挥的主要作用为:
(1)通过用户与后台系统的双向身份认证,保证交易双方身份的真实性。
(2)确保金融交易过程中的PN始终存在密文,密码无法预测,监控和被盗。
(3)确保金融交易过程中数据的完整性。
(4)保证发送者和接收者的交易行为的不可否认性。
网上银行交易过程中,商用密码发挥的主要作用为
(1) 通过双向身份认证,保证用户与网银系统身份的真实性。
(2)保证PN在金融交易过程中始终以密文方式存在。
(3)保证信息的机密性和完整性。
(4)保证数据的完整性。
(5)保证发送者和接收者的交易行为的不可否认性。
