网上银行应用安全解决方案

一、方案背景

银行业是一个特殊的行业，在国民经济和社会生活中扮演着重要的角色。银行的业务数据多是和储户的账户有关的敏感数据，如储户的账户号码、账户密码、账户中的存款金额等，         而互联网是一个开放的公共网络，在这样一个开放的网络上拓展银行的传统业务，安全性是银行要考虑的首要因素，网上银行系统对安全性有着特殊的要求，         需要采用各种先进的安全技术手段予以保障。

二、需求分析

网上银行安全系统应以PKI体系为基本框架，通过与第三方CA中心的连接使网上银行系统能够实现：

（1）网络钓鱼: 利用与银行网站相似的域名和界面，骗取用户登陆，获取用户账户及密码信息，进行非法操作。

（2）密码保护：攻击者有可能通过记录键盘、屏幕录像、浏览器嵌入恶意代码等手段盗取用户的账号和密码。

（3）身份认证与授权：对用户、银行双方身份进行认证，以保证交易双方身份的正确性。

（4）数据传输、存储的完整性：保证网上银行所传输的交易信息不被中途篡改及通过重复发送进行虚假交易。

（5）数据传输、存储的机密性：保证网上银行所涉及的大量保密信息在公开网络的传输过程中不被窃取。

（6）操作的不可否认性：在网上银行交易完成后，保证交易的任何一方无法否认已发生的交易。

三、方案简介

    在银行的网银系统服务器部署SSL全球服务器证书、密码安全输入控件、。并提供电子凭证管理系统、电子签章系统，与网银应用服务器对接。

（1）SSL全球服务器证书：为用户客户端与网银系统间建立安全通信隧道，保障数据传输的安全。

（2）密码安全输入控件：为用户密码提供从键盘驱动一直到服务器接收整个路径的安全保护，大大提升用户使用网上服务的信心，降低了网上银行系统运营风险。

（3）Web信息安全系统：为网银系统提供基于证书的身份认证、数字签名以及加解密等功能。

（4）电子签章系统：将电子签名图形化、图章化，为用户提供更符合中国人习惯的电子签名方式。

（4）电子凭证管理系统：提供网上银行签名后的相关电子单证的保存、管理、展现等服务，提高银行工作人员办公效率、推进银行业务发展。

四、方案特点

（1）客户端与银行服务器之间实现双向认证，提高交易的安全性。

（2）使用简单，信息的签名和加密传输对客户来说是透明的。

（3）双重密钥对机制，即双证书机制，支持数字签名的不可否认性。

（4）具有高强度的加密机制（对称128位，非对称1024位），数据传输保密性强。