PKI CA体系在银证通业务的应用研究.doc

PKI/CA体系在银证通业务的应用研究 文档由酒店达达搜/Hotel.aspx?city=2801000000 分享 摘要:在解决网络安全问题方案中，最成熟的解决方案是建立在公开密钥技术之上的PKI/CA技术体系。本文在讨论PKI的签名加密技术基本原理的基础上，将PKI/CA应用于网上银证通业务的交易数据互换，通过数字证书进行加密和签名，有效保证了实时网上交易数据的机密性、完整性和不可否认性。 关键字:银证通，数字证书，公钥加密，PKI/CA Study of the PKI/CA Structure Applying to Bank Securities SwiftRemit Abstract: Among the schemes of sloving the network security ,the most maturest one is the PKI/CA structure,which is based on Public-Key technology. On discussing the theory of the PKI/CA’s signature encrypt technology ,the article applies PKI/CA to the datas exchange affair of Bank Securities SwiftRemit.With the digital certicication’s encrypting and signature, PKI/CA ensures the confidentiality,integrity and undenility of the exchanged datas at network effectivly. Keyword:Bank Securities SwiftRemit,Digital Certification, Public-key encryping, PKI/CA 1 引言 网上银行是借助互联网技术向客户提供金融信息服务和交易服务的新型银行业务应用模式。一般来说，网上银行分为个人网上银行和企业网上银行两种应用模式，开通的服务包括网上证券、网上保险、网上汇市、网上贷款、网上黄金、跨国理财、缴费和银行卡服务等一系列服务。然而，在Internet上开通虚拟银行服务的关键是解决安全问题。目前，采用的PKI/CA体系保证了网上银行服务安全。 随着客户对证券交易便利性和快捷性需求的日益增加，网上证券交易已成为大势所趋。因此许多证券公司与银行合作，将资源高效整合，合理分配，实现优势互补。本文针对网上证券业务的安全问题，将PKI/CA安全体系用于网上银行和证券公司之间进行的银证通业务，对证券业务中的敏感交易数据，通过数字证书进行签名和加密，并在实现交易资金实时划转的同时，有效地保障网上证券交易数据传输的机密性、完整性和不可否认性。 2 公钥基础设施PKI 2.1 PKI/CA体系 图1 PKI系统的认证设计 3.2 网上证券交易签名加密的实现方案 网上证券服务中，目前银行推出用储蓄存折(或银行卡)直接同指定证券公司的交易系统进行资金的互划和股票的买卖，因此方案的实施需要网上银行系统和指定证券公司的交易系统相互协作，共同完成。 本方案中,银行网点为客户办理储蓄存折(或银行卡)作为客户的资金帐户，同时为客户开通网上银行服务。指定证券公司的交易系统采用目前成熟的J2EE构驾作为交易平台，安全、便捷地支持折(或卡)的网上证券交易,其网上交易系统主要包括网上交易业务处理系统和支付网关。 网银客户登录网上银行，选择“网上证券”服务,在证券交易时间内开始进行股票买卖交易。在网银客户端和指定证券公司的网上交易系统双向认证后，客户端采用基于PKI的数字签名技术将实时证券交易数据签名加密，传送到证券的网上交易业务系统进行交易数据的验证。然后,证券公司将划款指令由支付网关传送到银行,通过银行的金融虚拟专用网(VPN)将相应款项从客户的银行帐户划转到指定证券公司的帐户。 网上证券交易数据的签名加密和验证过程如图2所示： (其中：网上银行客户端为发送方，指定证券公司的证券业务交易系统为接收方) 方案的安全性分析 本方案将PKI/CA技术运用于网银的网上证券交易业务，采用了安全认证服务器证书，实现了双向认证,以确保网上银行客户端和证券交易业务系统的真实性和唯一性，防止了伪造攻击；利用对称密码技术将证券交易数据加密，然后使用公钥算法将对称密码密钥加密再传送的数字签名技术，实现交易数据的机密性，防止了对交易数据的截取和篡改攻击,保证了交易双方的不可抵赖性。其次，由网上银行客户端自己产生临时对称密钥，不重复使用，最大程度降低了密钥的