DID动态口令卡在银行安全网络系统中的应用.docVIP

DID动态口令卡在银行安全网络系统中的应用 ---------------------------------------------------------------------------------------------------------------------- 编辑:王鹏 来源：门禁 关键字： DID安全网络一、银行网络安全建设的意义 　　银行金融网络系统是以总行为中心，覆盖各个支行和多个营业网点的网络系统。从金融系统的特殊性来看，银行网络系统对的安全性有着很高的要求，如果对网络的安全问题考虑不周，将可能直接影响整个网络的正常运行，造成网络泄密、延误，同时，可能影响到社会的稳定，甚至危害金融秩序。因此，有必要对网络的安全进行全方位、多角度的设计。 二、网络安全需求分析 　　出于银行金融系统特殊职能的要求，以及客户终端登录和电话委托交易的需求，银行安全系统网络必须在严格受控的模式下运行，这就提出网络安全性的需求：将任何对安全系统网络构成威胁的因素和行为拒于合法访问网络资源之外，并同时保证终端远程登录的实时性和准确性。现有金融系统的网络中普遍存在着如下安全问题： 　　1)由于在终端登录以及信息传输等操作的过程中使用的是静态口令字，很容易被非法分子窃取口令字； 　　2)在链路层，由于采用公用信道（DDN、X.25），使得传输信道本身存在安全隐患。非法入侵者可以通过搭线，侦听等方式，很容易地窃取到网络中的信息； 　　3)目前被广泛采用的开放性的网络互联协议——TCP/IP协议，使非法入侵者很容易进行协议的分析、篡改和假冒。 　　以上是银行系统网络中存在的较为突出的几个安全问题。实际上，网络所面临的安全问题远远不止以上三种，因此，有必要对现有网络安全进行全方面的考虑和设计，加入必要的技术手段，消除以上的安全隐患。为了解决网络的安全保密性问题，最有效和可靠的办法是采用口令保护措施。本方案就此有针对性的提出了采用本公司开发研制的SDK－01身份认证系统，对银行的静态口令登录系统进行改造，解决了静态口令字容易泄密的安全隐患。 　　三、动态身份认证技术 　　身份认证技术发展到今天已经成为网络信息系统中比不可少的一部分，扮演着网络系统看门人的角色。强有力的身份认证技术能够在网络和信息资源周围构筑一个安全屏障，确保只有授权用户才能进入。但目前各网络系统对用户身份认证的核心是静态的用户口令，这种机制虽然能够为系统提供一定的安全保护，但也存在如下缺陷：（1）为了便于记忆，大多数网络用户选择常用词作口令，因此很容易被猜到；（2）一个口令多次使用，容易造成泄露和被黑客或心怀叵测的人猜测到；（3）黑客可从网上截获口令；（4）口令自动破译工具使猜测口令的时间大大缩短，甚至克服了口令加密的问题。 　　动态身份认证技术即利用动态身份认证技术实现对网络用户的身份鉴别，动态身份认证系统由DID动态口令卡提供随机的、每分钟一变的一次性口令，确保只有授权用户才能访问网络资源，而非授权用户通过非法途径所取得的口令字无效。 　　SDK－01认证系统是由中科院DCS中心和福建凯特信息安全技术有限公司在国家密码管理委员会办公室的指导下联合研制成功的基于DID（动态口令）技术的身份认证系统。它提供强有力的身份认证服务，达到保护客户的网络和信息资源安全的目的。SDK－01认证系统完全兼容目前认证服务器的国际标准RADIUS（远程拨号用户身份认证服务）协议，可以容易地集成到客户现有的计算机主机和各种类型的网络计算机系统中，包括公共交换网、局域网、广域网、Internet和Intranet，从而最大程度地避免对现有系统的重复开发。 　　SDK－01认证系统由认证服务器、后备服务器、管理工作站、DID卡、认证服务接口函数（API）组成。 　　四、银行安全方案介绍 　　1.安全方案的设计思路 　　银行安全网络需求的主要方面如下： 　　＊客户终端登录：要求充分利用银行网络系统中的各个终端，根据相应权限来允许授权用户进行登录访问金融网络资源和进行相关业务操作，并采用安全措施屏蔽非法登录。 　　＊电话委托交易：利用银行网络PSTN网以及普通城乡电话网进行远程委托交易。为防止非法搭线侦听，在身份认证过程中需用动态口令来取代一成不变的静态口令。 　　基于以上需求，我们安全方案的设计思路可以概括为：对授权用户的动态身份认证。 　　访问金融网络资源和进行相关业务操作是银行网络系统的基本功能之一，为了确保只有合法的授权用户才能访问网络资源和进行业务操作，我们对客户终端登录及电话委托交易网络集成了SDK－01动态口令身份认证系统。该系统包括一个安全网关（防火墙）、DID认证服务器、管理工作站和分发给网络用户的DID卡。它运用具有世界领先水平的DID身份认证技术对用户进行身份认证和鉴别，