网银安全认证的问题及对策.docxVIP

网银安全认证的问题及对策 自20世纪90年代以来，网络在世界范围内得到了广泛的发展。为了在网络经济环境中取得竞争优势,我国银行业加快了金融创新的步伐,纷纷推出网上银行服务。截止2002年,我国已有20多家银行的200多个分支机构拥有网址和主页,其中开展实质性网上银行业务的分支机构达60多家,网上银行客户超过40万户。随着银行业信息化建设的深层发展,信息安全问题日益成为现代金融风险防范的重要内容,尤其是基于开放网络下的网上银行的出现使网上身份认证成为网银业务必须面对的问题。近年来,以非对称加密技术为基础、以安全认证机制为核心的公开密钥基础设施(PKI,Public Key Infrastructure)开始受到业界青睐和特别关注,该技术在虚拟环境下的第三方信任问题上提出了成功的解决方案,能够较好地保证数据的保密性、完整性、可用性和不可否认性,是当前能为各方所接受的成熟安全技术。 目前,我国开展实质性网上金融服务的网上银行几乎都采用了安全认证技术。但由于PKI/CA技术在网上银行应用的时间还比较短,包括PKI厂商、银行自身、证书用户、政府监管部门在内的各方对安全认证技术该如何应用和管理都还属于探索阶段。现状是我国网上银行安全认证建设在认证体系规划、认证技术标准统一、认证机构管理、相关法律制定等诸多问题上还远不完善。其中,较为突出的且正在为各方所关注的一个问题是:我国存在的多家网银认证机构之间相互分割,缺少互通机制,无法实现跨行认证和跨行交易。本文将围绕网银认证机构互通这一主题,就我国网上银行的安全认证体系架构问题做一初步探讨。 一、 公开密钥基础设施的信任模型 一个能对所有潜在和现实的用户有充分了解并为所有用户签发可接受证书的单一的认证机构,在真实世界里显然是不存在的。更可能的现实模型是:多个认证机构独立地运行和操作,为不同的用户团体服务。为了解决不同认证机构之间的信任问题,公开密钥基础设施引入信任模型,通过桥接、交叉认证等方式使得认证机构之间能够有效地进行单向或双向的证明。目前,具有代表性的信任模型有以下几种: 1. 普通层次结构 层次信任模型的结构呈现树状。下图表示的是一般层次结构: 在层次结构中,所有实体都信任唯一的根CA。在这个结构中,不管终端实体确定哪一个认证机构作为根认证机构,在任何一对终端实体之间建立一条认证路径都是很容易的,该结构的优点在于扩展性很好。一般层次结构的一种变化形式是严格层次结构,其不同之处在于该结构中认证机构不向它的上一级认证机构颁发证书,如图2所示。 严格层次结构的优点在于对每个终端用户只存在唯一的认证路径(即从根节点到认证节点),如果这种结构所支持的组织在实际上就是这种结构,认证路径所代表的信任含义就很容易理解和检查。这种结构的缺点在于所有的认证路径都必须包括根认证机构。一旦根认证机构密钥失窃,有可能导致整个信任体制的崩溃。 2. 织结构模型的构建 在网状模型中,任何CA都可以对其他的CA发证,所以这种结构非常适合动态变化的组织结构(图3)。但在这个模型中,路径的构建比层次模型复杂得多,很长的跨越多个节点的非层次的信任路径会被认为是不可信的。网状模型的优点是它遵循自底向上的原则,不需要依赖高层的根CA。终端用户可以保持原有的非集中的状态来加入分布式的PKI。 3. 钥体系结构内的孤岛 层次结构的一个主要问题在于该结构中的参与者通常难以接受一个无所不包的认证机构在所有规定用途中可以被信任。但如果不加以连接,公开密钥体系结构则容易变成孤岛。混合型信任模型可以较好地解决这个问题,其基本原理是使各个层次结构的根认证机构相互颁发证书从而连接起来(图4)。 该模型实际上是层次模型和网状模型的混合体,存在多个根CA,每一个层次结构都在根级有一个单一的交叉证书通向另一个认证路径,容易构建简单的单一认证路径,其缺点在于:在域间进行扩展时,每加入一个域,则域间交叉认证的个数就会以平方数量级增长,不利于大规模扩展。 4. 桥ca信任路径 混合模型对小规模的层次模型间的交叉认证比较实用,但规模一大,根间的交叉认证就会变得相当庞大,考虑到这种局限性,就产生了桥式结构。 桥CA模型实现了一个集中的交叉认证中心,它的目的是提供交叉证书,而不是作为证书路径的根。对于各个异构的“根”节点来说,桥CA是它们的同级,而不是上级。当一个用户与桥CA建立了交叉证书,那么,它就获得了与那些已被桥CA交叉认证的用户进行信任路径构建的能力。 在桥CA模型中,域间可以确定一条唯一的信任路径(图5),桥CA是在大量组织中扩展PKI的一种重要方法。但是桥CA信任模型需要有一个大家都信任的第三方来充当桥,并且管理所有的策略映射,在实施中往往存在很大的困难。 5. 基于美国、加拿大两国政府pki体系的实践 在这种模型中,一套可信任的根的公钥被提供给客户