1、 信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 1 网银安全解决方案网银安全解决方案 白皮书 白皮书 北京信安世纪信息安全技术有限公司 北京信安世纪信息安全技术有限公司 Beijing INFOSEC Technologies Co.,Ltd 2002 年 年 6 月 月 信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 2 注意 注意 本白皮书中的内容是信安世纪公司某某行业解决方案说明书。本材料的相关权力归信安世纪公司所有。白皮书中的任何部分未经本公司许可,不得转印、影印或复印及。2002
2、 北京信安世纪信息安全技术有限公司 All rights reserved.网银安全解决方案网银安全解决方案 白皮书 白皮书 本资料将定期更新,如欲获取最新相关信息,请访问信安世纪网站,http:/,您的意见和建议请发送至:北京信安世纪信息安全技术有限公司 北京市西城区南礼士路二条甲1号月坛理想大厦6层 电话:86-10-68025516 86-10-68025546 传真:86-10-68025519 邮箱:北京4532信箱 邮编:100045 网址:http:/ 电子信箱: 信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 3目目 录录 前
3、 言.4 第一章 行业安全需求分析.4 第二章 产品概述.5 NetCert 认证中心系统.5 NetSafe 安全代理服务器.5 NetSign 数字签名系统.5 第三章 网上银行解决方案.5 总体结构.5 涉及产品.6 应用描述.6 方案特色.7 良好的开放性.7 良好的易用性.7 对 Web 应用透明.7 运行稳定.7 用户受益.7 安全性.7 易用性.7 稳定性.7 可维护性.8 附录一.8 信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 4 前前 言言 国内自上个世纪末开始建立网上银行系统,为企业和个人客户提供 Internet 网
4、上银行服务。信安世纪公司与众多银行合作,承担了其中的安全系统部分建设。随着网上银行业务在最近几年中的迅速发展以及企业客户的成长,对网上银行安全系统提出了更高的要求,网上银行的安全系统需要得到进一步的发展,不断满足客户的需求。同时,随着技术的发展和产品的进步,信安世纪公司愿意和各银行一起,使网上银行为客户提供更加标准化、性能和稳定性更高、功能更加强大的信息安全产品服务。本着上述目的,信安世纪同开发了信安世纪的新一代信息安全产品,对银行网上银行安全系统提出了新的网银安全解决方案,希望能够为中国的网银事业添砖加瓦。第第一一章章 行行业业安安全全需需求求分分析析 当前对网上银行的功能需求主要包括在以下
5、几个方面:1 身份认证身份认证:在 Internet 上,通过某种途径,认证用户的真实身份,同时防止黑客非法冒充其他用户身份。2 安全传输安全传输:用户与银行间的通讯内容必须是保密的,不可能被窃取、仿冒的。3 数字签名数字签名:用户与银行间通讯必须可以保存具有抗抵赖性的数字签名,用以确认。企业或者个人用户需要在 Internet 上进行:查帐查帐 转帐转帐 审核审核 支付支付 代理交费代理交费 等业务。必须完成:认证用户的身份认证用户的身份 保障传输内容安全保障传输内容安全 交易具备法律效力交易具备法律效力 这些安全保障,用来支撑业务的开展。由于这些业务都是在用户的直接操作下完成,可以采用 B
6、/S 架构,客户端使用浏览器操作,服务器端采用标准安全服务器,用户使用简单,银行易于维护。信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 5第第二二章章 产产品品概概述述 NetCert 认证中心系统认证中心系统 NetCert 认证中心系统是一种用于认证网络用户身份的软件系统,它使用非对称密码体制和数字签名等密码技术建立,用于确保电子交易安全、顺利地进行。信安世纪信息安全技术有限公司提供的证书认证系统NetCert是一个基于PKI的功能强大、安全可靠的证书中心系统,能够满足政府机关证书认证中心建设的功能需求。NetSafe 安全代理服务器安
7、全代理服务器 NetSafe 安全代理服务器是用于服务器端的建立安全通信信道的软件,通过数字证书实现用户与服务器之间的通信与交易安全,满足用户对于信息传输的安全性及身份认证的需要。NetSafe 具有广泛的应用领域,可以应用于电子政务及其门户网站的 WEB 服务器,也可以为特定应用提供安全保障。从而为用户构建一个基于 WEB 的安全交易环境,解决用户对于信息的认证性、秘密性、完整性、不可否认性以及授权、安全审计等方面的要求。NetSign 数字签名系统数字签名系统 关键性的数字信息,例如数字化的交易,需要有可靠的技术来保证信息的完整性和不可否认性,即信息不能被篡改,同时发出者也不能对自己的行为
8、进行抵赖。这种安全保障对于电子政务应用是必不可少的。NetSign 为客户提供了基于 Web 浏览器和 Web 服务器的数字签名解决方案,实现了对Web 页面中的指定内容和文件进行数字签名和验证。信安世纪的 NetSign 由客户端的浏览器控件(NetSign/Client)和一系列服务器端的 API 组件(NetSign/Server)构成,满足不同 Web应用系统的用户对于信息的完整性和不可否认性的需要。第第三三章章 网网上上银银行行解解决决方方案案 总体结构总体结构 信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 6图一:基本网银系统安
9、全方案结构图图一:基本网银系统安全方案结构图 涉及产品涉及产品 NetCert NetSafe NetSign 应用描述应用描述 整个方案可以分成以下三大部分:1.CA 证书发放系统证书发放系统 该部分系统包括 NetCert CA(用于签发用户的证书),NetCert RA(用于实现证书的管理过程),LDAP 服务器(用于发布用户的证书),这些证书主要应用于下文中提到的 NetSafe和 NetSign。CA 系统由信安世纪的 NetCert CA 产品建立实现。Web服务器数据NetSafeNetCert CAServerCA AdminLDAPInternet用户用户NetSignNet
10、Cert RAServer内部网络用户信息数据管理员柜面终端 信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 72.安全传输平台安全传输平台 实现用户与银行之间的 SSL 认证与加密功能和数字签名功能。涉及的产品包括信安世纪的 NetSafe 和 NetSign。通过 NetSafe 和 NetSign 的应用,能够在网银系统与网银用户之间建立安全的传输通道,从而实现信息的安全传输。方案特色方案特色 良好的开放性良好的开放性 用户可以通过浏览器与 NetSafe 建立标准的 HTTP/SSL/TLS 安全连接,能够支持其他多种应用。CA 证书
11、符合 X509v3 国际标准,RA 支持 PKCS10 证书请求标准,可以方便的支持其他应用的证书申请与证书使用。良好的易用性良好的易用性 用户无须下载客户端软件,可以使用浏览器直接访问,简单易用。避免了客户端软件带来的各种网络代理和配置问题,用户只要会上网就可以使用本系统。对于内部系统中的 RA 管理员与柜台业务员也只需要浏览器就可以方便使用。对对Web应用透明应用透明 NetSafe 对 Web 应用完全透明,并且可以传递用户身份信息。应用 NetSafe 只需设置简单的主页配置,而不需要改动原有 Web 应用的核心内容与运作方式。运行稳定运行稳定 产品基于全新的内核和线程技术实现,系统效
12、率、并发性能和稳定性更高;用户受益用户受益 安全性 安全性 1、通过双向 HTTPS 协议认证客户端与服务端,通讯双方的身份得到认证,通讯内容的私密性得到保障。2、通过签名与验证签名,交易的完整性、不可否认性得到保障。易用性 易用性 基于 B/S 的网银服务架构,客户端使用浏览器操作,服务器端采用标准安全服务器,用户使用简单,只要会上网就可以接受网银服务。稳定性 稳定性 信安世纪信息安全技术有限公司 信安世纪业内领先的信息安全专业厂商信安世纪业内领先的信息安全专业厂商 8NetSafe、CA 增强的稳定性模块,可以使程序运行更稳定,确保用户的高强度应用。可维护性 可维护性 基于 Web 的服务
13、带来高可维护性,没有客户端版本问题,系统升级也只在服务端升级,将银行工作量最大限度的降低了。附附录录一一 Certificate Authority,即认证中心,是一个可信的签发公钥证书的机构,在本系统中,特指按照 ITU-T X.509V3 国际标准建立的认证框架系统。RA Registration Authority,即注册中心,是 CA 认证中心的重要组成部分。RA 负责制定 CA 的证书管理体系和流程,通常与具体应用的业务流程相联系,是最终客户和 CA 系统交流的纽带。PKI Pubic Key Infrastructure,是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全
14、基础平台的技术和规范。用户可利用 PKI 平台提供的服务进行安全通信 LDAP Lightweight Access Directory Protocal轻型目录访问协议,基于X.500标准协议,用户可通过标准的 LDAP 协议查询自己或其他人的证书和下载黑名单信息。CRL Certification Revoke List 证书作废表,在 X.509V3 中定义的已经作废的证书列表,通常包含证书序列号、证书持有者、证书签发者、作废日期和原因等内容。SSL Secure Socket Layer 安全套接层协议,主要是使用公开密钥体制和 X.509 数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用 Web Server 方式 CA 服务器 信安世纪公司的新产品 NetCert 中的一部分,是运行在 UNIX 操作系统之上的CA 服务器。CA Admin 信安世纪公司的新产品 NetCert 中的一部分,是运行在简体中文 Windiows 操作系统之上的 CA 系统管理员界面。
