恒生銀證轉(zhuǎn)帳系統(tǒng)數(shù)據(jù)加密及系統(tǒng)安全解決方案銀證轉(zhuǎn)帳系統(tǒng)在近一年來(lái)異軍突起，迅速在全國(guó)范圍內(nèi)大面積地推廣應(yīng)用， 并且獲得眾多的銀行、券商和廣大股民的熱烈擁護(hù)和支持。但是，由于銀證轉(zhuǎn)帳系統(tǒng)是通過(guò)廣域網(wǎng)來(lái)進(jìn)行互連的，因此，如何防范來(lái)自廣域網(wǎng)上的惡意攻擊便成為銀證轉(zhuǎn)帳系統(tǒng)的頭等大事，也是銀行、券商在開(kāi)展銀證轉(zhuǎn)帳業(yè)務(wù)時(shí)最為擔(dān)心和憂慮之事。正是在此種形勢(shì)下，恒生公司投入了大量的研發(fā)力量，歷時(shí)兩個(gè)月，推出了恒生銀證轉(zhuǎn)帳系統(tǒng)標(biāo)準(zhǔn)版，為各家銀行、券商提供了一整套的系統(tǒng)安全解決方案。一、系統(tǒng)特點(diǎn)恒生銀證轉(zhuǎn)帳系統(tǒng)在系統(tǒng)安全方面，采取了一系列加密措施和實(shí)行一整套的密鑰管理體系，其特點(diǎn)如下：1 采用了目前國(guó)際上標(biāo)準(zhǔn)的DES加密算法，DES算法自誕生以來(lái)，便得到了廣泛應(yīng)用，成為數(shù)據(jù)加密的工業(yè)標(biāo)準(zhǔn)，并被美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)和美國(guó)銀行協(xié)會(huì)用來(lái)保護(hù)通信系統(tǒng)的現(xiàn)金和證券傳送。2. 依據(jù)密碼學(xué)上三級(jí)加密體系原理，對(duì)密鑰實(shí)行分級(jí)、分散管理，提高系統(tǒng)的抗攻擊能力。由于 DES算法是一種公開(kāi)加密算法，也就是說(shuō)，除非在得到密鑰的情況下，攻擊者是無(wú)法破譯密文的，因而，竊得密鑰便成為攻擊者的必經(jīng)之途。由于恒生銀證轉(zhuǎn)帳系統(tǒng)對(duì)密鑰實(shí)行分級(jí)、分散管理，即使攻擊者在竊得某些密鑰的情況下仍無(wú)法對(duì)系統(tǒng)構(gòu)成傷害，無(wú)法實(shí)現(xiàn)攻擊的目的，從而大大提高了系統(tǒng)的抗攻擊能力。3. 對(duì)交易數(shù)據(jù)包進(jìn)行MAC校驗(yàn)，防止攻擊者上送虛假數(shù)據(jù)包對(duì)系統(tǒng)造成破壞，提高了系統(tǒng)的抗攻擊能力，保證銀證雙方資金安全。4. 對(duì)整個(gè)交易數(shù)據(jù)包進(jìn)行加密，實(shí)現(xiàn)了交易11數(shù)據(jù)的完全密封。攻擊者的第一步往往是從偵聽(tīng)網(wǎng)上數(shù)據(jù)開(kāi)始的，在對(duì)大量數(shù)據(jù)分析后，進(jìn)而實(shí)行攻擊，由于恒生銀證轉(zhuǎn)帳系統(tǒng)對(duì)數(shù)據(jù)包進(jìn)行加密，從根本上杜絕了攻擊者分析通訊數(shù)據(jù)的可能性，保護(hù)系統(tǒng)免遭攻擊，不給攻擊者可乘之機(jī)。5. 層層防范，在一筆轉(zhuǎn)帳交易的過(guò)程中，信息交換的每一步均進(jìn)行PIN加密和MAC校驗(yàn)。二、 系統(tǒng)安全分析按攻擊者作案手段，可把攻擊者分為登錄型攻擊者和監(jiān)聽(tīng)型攻擊者。登錄型攻擊者作案形式：作案分子在竊得被攻擊計(jì)算機(jī)上一定用戶的口令后，用telnet, ftp, rlogin等一類遠(yuǎn)程登錄軟件進(jìn)入這臺(tái)計(jì)算機(jī)系統(tǒng)，進(jìn)而進(jìn)行破壞行為。監(jiān)聽(tīng)型攻擊者作案形式：作案分子通過(guò)某些專用設(shè)備接入廣域網(wǎng)，長(zhǎng)期監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，在掌握大量數(shù)據(jù)后，偽造交易數(shù)據(jù)包，上送被攻擊計(jì)算機(jī)，從而達(dá)到作案目的。此類攻擊者水平很高，其作案手段也極其隱蔽，而且案件發(fā)生后，基本上無(wú)從追查作案分子，所幸的是，目前國(guó)內(nèi)尚無(wú)此類案件發(fā)生。一） 對(duì)登錄型攻擊者的防范恒生銀證轉(zhuǎn)帳系統(tǒng)由銀行端前置機(jī)、證券端前置機(jī)通過(guò)廣域網(wǎng)相連，構(gòu)成銀行網(wǎng)絡(luò)、證券網(wǎng)絡(luò)的前置網(wǎng)，其中，證券端前置機(jī)以DOS為操作系統(tǒng)，銀行端前置機(jī)以UNIX為操作系統(tǒng)。由于DOS是一種單進(jìn)程系統(tǒng)，攻擊者是無(wú)法登錄證券端前置機(jī)的，這無(wú)形中對(duì)證券網(wǎng)絡(luò)起到了保護(hù)作用；而銀行端前置機(jī)由于是UNIX系統(tǒng)，而且若一家銀行與多家證券相連，其IP地址必為多家券商所知，因此必須采取措施防止攻擊者登錄系統(tǒng)。要防止攻擊者登錄系統(tǒng)，可采取的措施：1 采取嚴(yán)密的管理制度，嚴(yán)防用戶的口令的丟失，攻擊者必定想方設(shè)法得到用戶口令，以便進(jìn)入系統(tǒng)，進(jìn)行破壞，因此用戶口令是防止攻擊者登錄的第一道防線。但由于現(xiàn)在INTERNET網(wǎng)上有許多破解用戶口令的程序，僅靠管理人員保管好用戶口令是不夠的。2 關(guān)閉UNIX上用于遠(yuǎn)程登錄的服務(wù)端口，由于攻擊者登錄遠(yuǎn)程系統(tǒng)，必須借助于UNIX機(jī)上的服務(wù)端口才能登錄遠(yuǎn)程系統(tǒng)，關(guān)閉了此類端口，就斷絕了攻擊者登錄的來(lái)源。但是銀行由于某些業(yè)務(wù)上的需要，某些端口是不能關(guān)閉的，因此此方法也有其局限性。3 購(gòu)買路由器，通過(guò)路由器上的設(shè)置，過(guò)濾數(shù)據(jù)包，達(dá)到防止攻擊者登錄的企圖，有條件的還可以考慮購(gòu)買防火墻產(chǎn)品。二） 對(duì)監(jiān)聽(tīng)型攻擊者的防范雖然，目前國(guó)內(nèi)尚無(wú)監(jiān)聽(tīng)型攻擊者的案例，但是，應(yīng)該注意到由于INTERNET的蓬勃發(fā)展，國(guó)內(nèi)利用計(jì)算機(jī)犯罪的水平越來(lái)越高，我們不能不對(duì)此類攻擊者進(jìn)行防范，由于此類攻擊者的作案手段是偽造虛假交易數(shù)據(jù)包，因此，依靠管理用戶口令，關(guān)閉服務(wù)端口，或通過(guò)路由器、防火墻產(chǎn)品過(guò)濾數(shù)據(jù)包，都不能對(duì)其進(jìn)行有效防范。但從另一個(gè)方面來(lái)看，對(duì)此類攻擊者能否進(jìn)行有效防范，是檢驗(yàn)一套軟件產(chǎn)品是否安全可靠的重要標(biāo)準(zhǔn)。對(duì)監(jiān)聽(tīng)型攻擊者進(jìn)行防范主要采取兩種手段：對(duì)交易數(shù)據(jù)全部加密，防止攻擊者監(jiān)聽(tīng)；運(yùn)用某項(xiàng)技術(shù)來(lái)判別交易數(shù)據(jù)包的真?zhèn)巍：闵y證轉(zhuǎn)帳系統(tǒng)正是在這兩個(gè)方面對(duì)攻擊者進(jìn)行防范的：1 對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密，實(shí)現(xiàn)了交易數(shù)據(jù)的完全密封，防止攻擊者偵聽(tīng)網(wǎng)上數(shù)據(jù)包，不給攻擊者分析數(shù)據(jù)的機(jī)會(huì)。2 采用信息授權(quán)碼技術(shù)，在數(shù)據(jù)包添加MAC字段，用于判別交易數(shù)據(jù)包的真?zhèn)危岣呦到y(tǒng)的抗攻擊能力。三、 系統(tǒng)安全體系由于恒生銀證轉(zhuǎn)帳系統(tǒng)采用了DES加密算法，DES算法是一種公開(kāi)加密算法，其安全性完全依賴于密鑰的保密性，從另一個(gè)角度上講，攻擊者在未竊得密鑰的情況下，便無(wú)法實(shí)施對(duì)系統(tǒng)的攻擊。因此，無(wú)論是登錄型攻擊者還是監(jiān)聽(tīng)型攻擊者，竊得密鑰是他們的必經(jīng)之途，這就是說(shuō)：密鑰的安全與否決定了系統(tǒng)的安全與否。恒生銀證轉(zhuǎn)帳系統(tǒng)依據(jù)密碼學(xué)三級(jí)密鑰體系原理，對(duì)系統(tǒng)密鑰實(shí)行分級(jí)、分散管理。“分級(jí)”指將密鑰分為傳輸密鑰、交換密鑰、主密鑰三個(gè)層次，“分散”指PKG密鑰、PIN密鑰、MAC密鑰、交換密鑰各自對(duì)應(yīng)自己的主密鑰，某一主密鑰的丟失，不會(huì)影響其它密鑰。保護(hù)交換密 鑰系統(tǒng)密鑰體系圖如下：用于交換傳輸 密 鑰用于客戶個(gè)人密碼加密主密鑰2主密鑰3主密鑰4PKG密鑰PIN密鑰MAC密鑰交換密鑰主密鑰1用于加密整個(gè)數(shù)據(jù)包，防止監(jiān)聽(tīng)用于MAC校驗(yàn)，判別交易包的真?zhèn)伪Ｗo(hù)MAC密 鑰保護(hù)PIN密 鑰保護(hù)PKG密 鑰系統(tǒng)密鑰如下：1 PKG密鑰：用于對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密的密鑰。2 PIN密鑰：用于對(duì)數(shù)據(jù)包中客戶個(gè)人密碼進(jìn)行加密的密鑰。3 MAC密鑰：MAC算法是一種將數(shù)據(jù)校驗(yàn)算法和DES算法相融合的非公開(kāi)算法， 主要用于判斷收到數(shù)據(jù)包的真?zhèn)危苑乐构粽邩?gòu)造虛假交易包傳送 給銀證雙方從而達(dá)到作案目的。MAC密鑰是計(jì)算MAC值時(shí)所用到的密鑰。4 傳輸密鑰：用PKG密鑰、PIN密鑰、MAC密鑰進(jìn)行加密的操作對(duì)象都是交易數(shù)據(jù)包，屬于三級(jí)加密體系的第一級(jí)，因此統(tǒng)稱為傳輸密鑰。5 交換密鑰：在傳輸密鑰中PIN密鑰和MAC密鑰是兩個(gè)動(dòng)態(tài)變化的密鑰，在每天開(kāi)始交易前，銀行收到證券的簽到交易請(qǐng)求時(shí)，隨機(jī)產(chǎn)生新的PIN密鑰和MAC密鑰，傳送給證券作為當(dāng)天的雙方密鑰進(jìn)行通訊。這兩個(gè)密鑰值是不能在網(wǎng)上明文傳送的，對(duì)這兩個(gè)密鑰進(jìn)行加密的密鑰稱為交換密鑰，它屬于三級(jí)加密體系的第二級(jí)。6 主密鑰：傳輸密鑰、交換密鑰都需要存儲(chǔ)起來(lái)，它們的存儲(chǔ)形式也不能用明文保存，必須進(jìn)行加密，將傳輸密鑰、交換密鑰加密存儲(chǔ)時(shí)所用到的密鑰稱為主密鑰，主密鑰也稱為存儲(chǔ)密鑰，它屬于三級(jí)加密體系的第三級(jí)。（恒生銀證轉(zhuǎn)帳系統(tǒng)為避免攻擊者一旦竊得主密鑰即可獲得所有密鑰的情況發(fā)生，對(duì)主密鑰實(shí)行分散管理，即PKG密鑰、PIN密鑰、MAC密鑰、交換密鑰均有各自的主密鑰）在上述密鑰體系中，PIN密鑰、MAC密鑰由系統(tǒng)每天動(dòng)態(tài)變化，其生命期僅為一天，不再需要人為管理。PKG密鑰由于是用于加密通訊數(shù)據(jù)包，因此PKG密鑰的生命周期較短，在經(jīng)過(guò)一段時(shí)間運(yùn)行后，需對(duì)其進(jìn)行更換。交換密鑰由于