【正文】 配置　仔細(xì)研究最新的系統(tǒng)維護(hù)文檔，完善系統(tǒng)各方面的安全配置，降低安全風(fēng)險(xiǎn)。關(guān)閉所有不必要的文件共享。口令策略　制定完善的口令策略，限制口令的最小長(zhǎng)度和最長(zhǎng)有效期，檢查口令的質(zhì)量。這些網(wǎng)段由兩個(gè)網(wǎng)關(guān)連為一體。通過(guò)這種隔離進(jìn)一步增強(qiáng)了系統(tǒng)的安全保證。最簡(jiǎn)單的防火墻是雙主機(jī)系統(tǒng)（具有兩個(gè)網(wǎng)絡(luò)連接的系統(tǒng)） 。它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò)。最好的例子是先連接到防火墻，然后從該處再連接到另一個(gè)系統(tǒng)。 在網(wǎng)上銀行系統(tǒng)中，由于 Web 服務(wù)器需要連接到 Inter，因此，我們建議在 Web 服務(wù)器和 Inter 之間架設(shè)一個(gè) IP 過(guò)濾防火墻。入侵攻擊的特點(diǎn)是在一個(gè)攻擊源同時(shí)發(fā)出密集攻擊數(shù)據(jù)。這種攻擊模式是能夠被檢測(cè)到的。而這些屬于信息安全范疇。在網(wǎng)上銀行業(yè)務(wù)中，僅通過(guò)這樣的方式來(lái)進(jìn)行身份驗(yàn)證，存在很大的不足：1． 由于網(wǎng)上銀行業(yè)務(wù)的通信信道是公開(kāi)網(wǎng)絡(luò)，所以口令明文傳輸容易被截獲。錯(cuò)誤次數(shù)限制會(huì)給合法的用戶(hù)帶來(lái)了很大的不便。SSL 協(xié)議是采用最為廣泛的數(shù)字證書(shū)身份認(rèn)證技術(shù)。SSL 不支持客戶(hù)證書(shū)，客戶(hù)可以通過(guò)驗(yàn)證服務(wù)器的證書(shū)來(lái)判斷服務(wù)器的合法性，服務(wù)器則無(wú)法驗(yàn)證客戶(hù)的證書(shū)，通常服務(wù)8 / 31器仍然通過(guò)口令驗(yàn)證客戶(hù)的身份，由于口令在傳輸時(shí)已經(jīng)被加密，所以安全性有了很大的提高。私鑰永遠(yuǎn)不會(huì)在公開(kāi)網(wǎng)絡(luò)上傳輸，而且從公鑰無(wú)法推導(dǎo)出私鑰口令一旦泄密，所有安全機(jī)制即失效 用戶(hù)私鑰可以存放在 IC 卡中并有口令保護(hù)，安全性更高服務(wù)器需要維護(hù)龐大的用戶(hù)口令列表并負(fù)責(zé)口令保存的安全服務(wù)器使用數(shù)字證書(shū)驗(yàn)證用戶(hù)身份，不保存用戶(hù)的私鑰，所以用戶(hù)私鑰不可能在服務(wù)器端泄露與傳統(tǒng)方法一致，易于理解 技術(shù)較新，普通用戶(hù)理解略有難度對(duì)于企業(yè)銀行，由于數(shù)據(jù)安全性要求較高，所以應(yīng)該采用數(shù)字證書(shū)身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。企業(yè)用戶(hù)的身份驗(yàn)證過(guò)程和 CA 不可分割。對(duì)于個(gè)人用戶(hù)，考慮到使用的方便性更為重要，可以采用 方式對(duì)口令加密進(jìn)行身份驗(yàn)證，因此用戶(hù)不需要申請(qǐng)證書(shū)，只需要記住口令就行。由于采用了 SSL 技術(shù)，Web 應(yīng)用的開(kāi)發(fā)也大為簡(jiǎn)化，Web 服務(wù)器應(yīng)用程序可以把與查詢(xún)狀態(tài)有關(guān)的信息都保存在 Cookie 中，而不必?fù)?dān)心 Cookie 的安全問(wèn)題。數(shù)據(jù)完整性所謂數(shù)據(jù)完整性就是指用戶(hù)在支付指令和轉(zhuǎn)賬指令中所填寫(xiě)的數(shù)據(jù)必須保持完整，不能在公開(kāi)網(wǎng)絡(luò)上被其他用戶(hù)無(wú)意或惡意地修改。不可否認(rèn)性不可否認(rèn)性是指指令發(fā)出者不能在事后否認(rèn)曾經(jīng)發(fā)出該指令。所以用私11 / 31鑰對(duì)交易指令的摘要簽名后，就保證了該用戶(hù)確實(shí)是發(fā)出了該指令。對(duì)于個(gè)人銀行業(yè)務(wù)來(lái)說(shuō)，轉(zhuǎn)賬金額比較小，風(fēng)險(xiǎn)相對(duì)較低，所以在雙方都認(rèn)可的情況下，沒(méi)有數(shù)字簽名的支付和轉(zhuǎn)賬的指令也是可以接受的。另外不同的應(yīng)用可能需要開(kāi)發(fā)不同的插件，對(duì)用戶(hù)和系統(tǒng)開(kāi)發(fā)者來(lái)說(shuō)都增加了額外的負(fù)擔(dān)。這種方案克服了第一種方案的缺點(diǎn)，但是需要瀏覽器支持對(duì)應(yīng)的腳本語(yǔ)言。它通過(guò)在網(wǎng)頁(yè)中嵌入一段 XML，瀏覽器或其12 / 31他客戶(hù)端程序在處理 XML 時(shí)自動(dòng)將數(shù)據(jù)簽名。3 格爾網(wǎng)上銀行解決方案 SSL 代理　SSL 介紹SSL 是一種在 Web 服務(wù)協(xié)議 (HTTP) 和 TCP/IP 之間提供數(shù)據(jù)連接安全性的協(xié)議。信號(hào)交換機(jī)制協(xié)調(diào)客戶(hù)和服務(wù)器使用的安全性級(jí)別，并履行連接的身份驗(yàn)證。服務(wù)器證書(shū)用來(lái)在 Inter 上標(biāo)識(shí)一臺(tái)服務(wù)器的身份，服務(wù)器證書(shū)是 Web 服務(wù)器 SSL 安全功能的基礎(chǔ)。綜合使用客戶(hù)證書(shū)標(biāo)13 / 31識(shí)和 SSL，能夠?qū)崿F(xiàn)身份認(rèn)證功能和防止信息篡改。服務(wù)器和 Web 瀏覽器都使用會(huì)話(huà)密鑰加密和解密傳輸?shù)男畔?。Web 服務(wù)器使用本質(zhì)上相同的加密方法來(lái)維護(hù)與用戶(hù)的通訊鏈接的安全。這種加密方法盡管安全，但有先天不足：在創(chuàng)建安全鏈接過(guò)程期間，會(huì)話(huà)密鑰的副本可能會(huì)在不安全的網(wǎng)絡(luò)上傳輸。使用了兩個(gè)附加密鑰：私人和公共密鑰。 ） ? 用戶(hù)的 Web 瀏覽器和服務(wù)器參與商議交換，以確定用于安全通訊的加密度。 ? Web 服務(wù)器和瀏覽器都用會(huì)話(huà)密鑰加密和解密傳輸?shù)臄?shù)據(jù)。這意味著 Web 服務(wù)器和用戶(hù)瀏覽器都必須具有兼容的會(huì)話(huà)密鑰加密和解密能力。但是，使用瀏覽器缺省的 SSL 功能，存在著許多缺點(diǎn)：1． 由于國(guó)內(nèi)瀏覽器受到美國(guó)出口限制，加密位數(shù)無(wú)法達(dá)到 128 位。3． 由于 CSP 和 PKCS11 的接口不同，所以要兼顧兩個(gè)瀏覽器的用戶(hù)，應(yīng)用系統(tǒng)必須開(kāi)發(fā)兩套網(wǎng)頁(yè)，增加了應(yīng)用系統(tǒng)的開(kāi)發(fā)工作量。所以國(guó)內(nèi)采用比較多的就是 SSL 代理的做法，SSL 代理通過(guò)截獲 HTTPS請(qǐng)求響應(yīng)對(duì)，在客戶(hù)請(qǐng)求受保護(hù)的 URL 時(shí)建立 SSL 連接。當(dāng)用戶(hù)需要用瀏覽器的 SSL 與服務(wù)器（代理服務(wù)器或 Web Server 本身）進(jìn)行連接時(shí)，該請(qǐng)求被代理服務(wù)器捕獲后，代理客戶(hù)端先與服務(wù)器建立高位數(shù)加密強(qiáng)度（高于 128 位）的握手，再和瀏覽器之間生成低位數(shù)的 SSL 握手，瀏覽器發(fā)出的 請(qǐng)求通過(guò) 40 位 SSL 到達(dá)代理客戶(hù)端，代理客戶(hù)端首先將數(shù)據(jù)解密，然后用與服務(wù)器端之間建立的 128 位SSL 連接加密，發(fā)送給服務(wù)器，類(lèi)似地，服務(wù)器將 響應(yīng)發(fā)送給代理客戶(hù)端，代理客戶(hù)端先將數(shù)據(jù)解密，然后通過(guò)與瀏覽器之間建立的 40 位 SSL 連接將數(shù)據(jù)發(fā)送給瀏覽器。代理服務(wù)器和 web server 之間亦是如此。這一點(diǎn)，無(wú)論是對(duì)于面向國(guó)際的國(guó)內(nèi)web 站點(diǎn)，還是對(duì)于希望能夠與國(guó)外的 web 站點(diǎn)建立 128 位連接的用戶(hù)來(lái)說(shuō)，都是至關(guān)重要的。 SSL 代理的特性上海格爾軟件公司開(kāi)發(fā)的 SSL 代理具有以下特性：1) SSL 代理通過(guò)格爾 PKI 加密模塊提供加密和密鑰管理的能力，因此基于該模塊開(kāi)發(fā)的應(yīng)用系統(tǒng)都可以盡可能地共用同一張用戶(hù)證書(shū)，為用戶(hù)節(jié)約了證書(shū)管理費(fèi)，簡(jiǎn)化了管理復(fù)雜度。4) SSL 代理具有良好的兼容性，支持 Windows 和 Unix 平臺(tái)。7) 即將推出的 SSL 代理客戶(hù)端具備 XML 處理能力，可以實(shí)現(xiàn)用 XML 方式進(jìn)行各種加密，簽名操作。除此之外，格爾 PKI 加密模塊向二次開(kāi)發(fā)提供了接口和 SDK，基于此，網(wǎng)上銀行應(yīng)用系統(tǒng)的開(kāi)發(fā)就不必再考慮加密運(yùn)算和密鑰管理的設(shè)計(jì)了。對(duì)于加密模塊來(lái)說(shuō)，除了加密功能以外，密鑰的管理機(jī)制十分重要，例如18 / 31密鑰是保存在磁盤(pán)文件中，Memory IC 卡還是 IC 卡，是否終生保存在 IC 卡中，密鑰的備份機(jī)制如何等等。格爾 PKI（Public Key Infrastructure）加密模塊是參照 PKCS11 規(guī)范設(shè)計(jì)的加密模塊。除了應(yīng)用在 PKI 系統(tǒng)外，該加密模塊也包括了符合 PBOC 規(guī)范的密鑰分散等 IC 卡加密機(jī)制。Token 以PlugIn 的方式插入到加密模塊中。加密模塊提供了比較好的便攜性能，證書(shū)和密鑰很容易從一臺(tái) PC 的加密模塊移到另一臺(tái)上。一方面，我們可以實(shí)現(xiàn)用戶(hù)私鑰的硬件方式保存，將用戶(hù)的私鑰保存在 IC卡上，并采用有效的手段保護(hù)用戶(hù)的私鑰。? 私有密鑰分塊存放在多個(gè)固定存儲(chǔ)介質(zhì)里。20 / 31保密鑰信息塊和塊長(zhǎng)度被不同的個(gè)人應(yīng)用密鑰加密后，存入一張 IC 卡的不同文件中保存。IC 卡實(shí)現(xiàn)方案如果 IC 卡不具有非對(duì)稱(chēng)運(yùn)算功能（非 PK 卡） ，我們利用它來(lái)保存用戶(hù)的私有密鑰。因此，對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，IC 卡是一個(gè)很好的密鑰保存介質(zhì)。格爾證書(shū)認(rèn)證系統(tǒng)是數(shù)字證書(shū)的簽發(fā)者。Comment [Jun1]: Page: 21 服務(wù)器證書(shū)被用于支持 SSL協(xié)議的Web服務(wù)器上，首先用戶(hù)的服務(wù)器產(chǎn)生一個(gè)證書(shū)簽名請(qǐng)求（CSR）其中包含了服務(wù)器的一個(gè)公鑰，用戶(hù)將該請(qǐng)求發(fā)送到身份認(rèn)證服務(wù)器，身份認(rèn)證經(jīng)過(guò)檢查同意用戶(hù)請(qǐng)求后產(chǎn)生數(shù)字證書(shū)，并發(fā)送給用戶(hù)，用戶(hù)收到數(shù)字證書(shū)后將證書(shū)合并到 Web服務(wù)器的密鑰環(huán)中，成為完整可用的密鑰環(huán)，服務(wù)器數(shù)字證書(shū)申請(qǐng)過(guò)程完成。所發(fā)行的數(shù)字證書(shū)能夠用來(lái)驗(yàn)證客戶(hù)身份和服務(wù)器身份，從而達(dá)到對(duì)某些敏感信息的保護(hù)。與 CA中心相比，網(wǎng)上銀行系統(tǒng)維護(hù)自己的 CA服務(wù)器成本更低，而且實(shí)時(shí)性更好，一般來(lái)說(shuō)，CA 中心不主動(dòng)發(fā)放 CRL（證書(shū)廢止列表） ，應(yīng)用程序必須自己下載并維護(hù) CRL，而且查詢(xún) CRL的方式往往實(shí)時(shí)性比較差，處理 CRL比較好的辦法是通過(guò) OCSP（實(shí)時(shí)證書(shū)狀態(tài)驗(yàn)證協(xié)議）直接向 CA查詢(xún)，但是 CA中心處理 OCSP請(qǐng)求的性能往往較低。隨后發(fā)送給用戶(hù)，用戶(hù)的瀏覽器接受到證書(shū)以后會(huì)在自己的密鑰庫(kù)中對(duì)證書(shū)中的公鑰進(jìn)行匹配，如果找到匹配的私鑰，瀏覽器便將證書(shū)與私鑰合并成完整的密鑰環(huán)，整個(gè)證書(shū)申請(qǐng)過(guò)程完成。用戶(hù)界面包括基本服務(wù)、用戶(hù)信息管理、個(gè)人數(shù)字證書(shū)和服務(wù)器數(shù)字證書(shū)四部分。用戶(hù)申請(qǐng)數(shù)字證書(shū)之前首先必須注冊(cè)，用戶(hù)必須將必要的身份信息提交給身份認(rèn)證服務(wù)器，用戶(hù)提供的信息將作為數(shù)字證書(shū)的一部分被身份認(rèn)證服務(wù)器簽名來(lái)產(chǎn)生用戶(hù)的數(shù)字證書(shū)。具體工作流程是：首先用戶(hù)必須進(jìn)行注冊(cè)，已注冊(cè)用戶(hù)可以直接申請(qǐng)數(shù)字證書(shū)。此外，用戶(hù)還能夠撤消原有的證書(shū)或更新已撤消用戶(hù)注冊(cè) 證書(shū)申請(qǐng)證書(shū)獲得 證書(shū)廢除證書(shū)更新23 / 31或過(guò)期的證書(shū)。發(fā)行也是自動(dòng)發(fā)行的，這樣才能夠滿(mǎn)足大量帳戶(hù)用戶(hù)的自動(dòng)發(fā)行要求。查詢(xún)個(gè)人數(shù)字證書(shū)提供對(duì)其他用戶(hù)的數(shù)字證書(shū)的檢索，用戶(hù)可以查詢(xún)身份認(rèn)證的數(shù)據(jù)庫(kù)，也可以查詢(xún)目錄服務(wù)器。24 / 31圖 6 管理員工作流程示意圖管理員界面是基于瀏覽器的，需要對(duì)連接的用戶(hù)進(jìn)行身份識(shí)別，這一點(diǎn)必須通過(guò) WWW 服務(wù)器的安全機(jī)制來(lái)實(shí)現(xiàn)。個(gè)人數(shù)字證書(shū)管理負(fù)責(zé)對(duì)用戶(hù)的個(gè)人數(shù)字證書(shū)申請(qǐng)進(jìn)行手工確認(rèn)或廢除工作，同時(shí)還能對(duì)一段時(shí)間內(nèi)的用戶(hù)申請(qǐng)進(jìn)行統(tǒng)計(jì)。身份認(rèn)證安裝完畢后必須首先進(jìn)行系統(tǒng)參數(shù)配置和根證書(shū)安裝，只有安裝了根證書(shū)后才能正確安裝身份認(rèn)證證書(shū)，系統(tǒng)參數(shù)配置包括數(shù)據(jù)庫(kù)配置信息，SMTP 服務(wù)器配置信息以及目錄服務(wù)器信息配置等等。管理員可以查看或清除這些日志。26 / 31附錄參考站點(diǎn)? PKCS 系列協(xié)議： ? SSL 協(xié)議? 協(xié)議：名詞術(shù)語(yǔ)單鑰密碼體制和公鑰密碼體制單鑰密碼體制，又稱(chēng)對(duì)稱(chēng)密碼體制：是指加密密鑰和解密密鑰為同一密鑰的密碼體制。但是,在公開(kāi)的計(jì)算機(jī)網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問(wèn)題。這兩個(gè)密鑰之間存在著相互依存關(guān)系：即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。在通過(guò)網(wǎng)絡(luò)傳輸信息時(shí)，公鑰密碼體制體現(xiàn)出了單密鑰加密體制不可替代的優(yōu)越性?？蛻?hù)只需用商戶(hù)的公開(kāi)鑰加密信息，就可以保證將信息安全地傳送給商戶(hù)。因?yàn)楣_(kāi)鑰與秘密鑰之間存在的依存關(guān)系，在用戶(hù)安全保存秘密鑰的前提下，只有用戶(hù)本身才能解密該信息，任何未受用戶(hù)授權(quán)的人包括信息的發(fā)送者都無(wú)法將此信息解密。摘要算法是一類(lèi)符合特殊要求的散列函數(shù)(hash)函數(shù)，這些特殊要求是: ：? 接受的輸入報(bào)文數(shù)據(jù)沒(méi)有長(zhǎng)度限制。 28 / 31? 難以生成兩個(gè)不同的報(bào)文具有相同的摘要。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱(chēng)密碼加密信息體，再利用接收方的公開(kāi)鑰加密對(duì)稱(chēng)密碼，被公開(kāi)鑰加密的對(duì)稱(chēng)密碼稱(chēng)之為數(shù)字信封。證書(shū)格式及證書(shū)內(nèi)容遵循 標(biāo)準(zhǔn)。