freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)上銀行安全解決方案(編輯修改稿)

2025-06-11 03:16 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 全解決方案8? 公積金賬戶查詢? 交易明細(xì)查詢? 定期到期查詢? 消費(fèi)積分查詢網(wǎng)上賬戶查詢的安全需求比公共信息發(fā)布要更高,因此網(wǎng)上賬戶對(duì)系統(tǒng)安全也有同樣的需求,而且,除此之外,網(wǎng)上賬戶查詢的還需要解決用戶的私有信息(口令,賬戶數(shù)據(jù))在 Inter 這個(gè)公開(kāi)網(wǎng)絡(luò)上傳輸?shù)陌踩珕?wèn)題。而這些屬于信息安全范疇。網(wǎng)上賬戶查詢的信息安全功能應(yīng)包括兩個(gè)方面:身份認(rèn)證和數(shù)據(jù)保密。 身份驗(yàn)證傳統(tǒng)銀行業(yè)務(wù)的身份驗(yàn)證方案主要是通過(guò)口令或 PIN 來(lái)實(shí)現(xiàn)的,它具有以下兩個(gè)特點(diǎn):1. PIN 一般為 48 個(gè)數(shù)字,范圍比較窄。2. 銀行主機(jī)記錄用戶輸錯(cuò) PIN 的次數(shù),一旦超過(guò)一定數(shù)量,就自動(dòng)關(guān)閉該賬戶的服務(wù)功能。在網(wǎng)上銀行業(yè)務(wù)中,僅通過(guò)這樣的方式來(lái)進(jìn)行身份驗(yàn)證,存在很大的不足:,所以口令明文傳輸容易被截獲。,口令猜 測(cè)是黑客使用最多的攻 擊手段,即使使用蠻力攻擊法,攻破 8 位的數(shù)字口令也只需很短的時(shí)間。,很難對(duì)錯(cuò)誤 PIN 輸入進(jìn)行限制。網(wǎng) 絡(luò)的信道故障或者人 為的惡意行為都很容易使輸錯(cuò)口令次數(shù)達(dá)到限制。 錯(cuò)誤次數(shù)限制會(huì) 給合法的用戶帶來(lái)了很大的不便。因此,傳統(tǒng)的口令驗(yàn)證難以成為網(wǎng)上銀行業(yè)務(wù)的唯一身份認(rèn)證技術(shù)。在網(wǎng)絡(luò)應(yīng)用中,目前采用較多的方法是動(dòng)態(tài)口令(例如 Kerberos),令牌卡和數(shù)字證書(shū)認(rèn)證技術(shù)。這些技術(shù)配合口令機(jī)制,就稱為雙因子身份認(rèn)證技術(shù)。SSL 協(xié)議是采用最為廣泛的數(shù)字證書(shū)身份認(rèn)證技術(shù)。它不但可以解決身份認(rèn)證,也解決了數(shù)據(jù)保密問(wèn)題,所以目前大部分網(wǎng)上應(yīng)用,包括網(wǎng)上銀行都采用 SSL 技術(shù)來(lái)實(shí)現(xiàn)身份認(rèn)證。網(wǎng)上銀行安全解決方案9簡(jiǎn)單地說(shuō),SSL 就是在傳輸數(shù)據(jù)前,服務(wù)器和客戶雙方通過(guò)數(shù)字證書(shū)進(jìn)行“握手”,驗(yàn)證對(duì)方的數(shù)字證書(shū)是否合法,并且約定一個(gè)臨時(shí)的會(huì)話密鑰,對(duì)接下來(lái)要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。SSL 不支持客戶證書(shū),客戶可以通過(guò)驗(yàn)證服務(wù)器的證書(shū)來(lái)判斷服務(wù)器的合法性,服務(wù)器則無(wú)法驗(yàn)證客戶的證書(shū),通常服務(wù)器仍然通過(guò)口令驗(yàn)證客戶的身份,由于口令在傳輸時(shí)已經(jīng)被加密,所以安全性有了很大的提高。SSL 對(duì) 進(jìn)行了擴(kuò)展,支持客戶證書(shū),這時(shí)服務(wù)器就可以驗(yàn)證客戶的證書(shū),只有那些擁有合法證書(shū)的用戶才能繼續(xù)保持與服務(wù)器的連接,如果配合口令驗(yàn)證,就成為雙因子身份認(rèn)證。采用數(shù)字證書(shū)的安全體現(xiàn)在私鑰的安全,只要私鑰不被竊取,數(shù)字證書(shū)就是安全的,而通過(guò)蠻力攻擊法攻破私鑰的可能性是不存在的。下表是數(shù)字證書(shū)同傳統(tǒng)口令模式的身份驗(yàn)證在性能上的比較:口令方式 數(shù)字證書(shū)方式用戶登錄時(shí)口令在公開(kāi)網(wǎng)絡(luò)上傳輸,有可能泄密私鑰由用戶保存,只需公布其公鑰。私鑰永遠(yuǎn)不會(huì)在公開(kāi)網(wǎng)絡(luò)上傳輸,而且從公鑰無(wú)法推導(dǎo)出私鑰口令一旦泄密,所有安全機(jī)制即失效用戶私鑰可以存放在 USBKEY 中并有口令保護(hù),安全性更高服務(wù)器需要維護(hù)龐大的用戶口令列表并負(fù)責(zé)口令保存的安全服務(wù)器使用數(shù)字證書(shū)驗(yàn)證用戶身份,不保存用戶的私鑰,所以用戶私鑰不可能在服務(wù)器端泄露與傳統(tǒng)方法一致,易于理解 技術(shù)較新,普通用戶理解略有難度對(duì)于企業(yè)銀行,由于數(shù)據(jù)安全性要求較高,所以應(yīng)該采用數(shù)字證書(shū)身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。每個(gè)企業(yè)用戶應(yīng)該申請(qǐng)一張數(shù)字證書(shū),當(dāng)企業(yè)用戶上網(wǎng)進(jìn)行賬戶查詢時(shí),通過(guò) SSL 建立安全連接。網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶的數(shù)字證書(shū)是否為合法證書(shū)。然后將查詢請(qǐng)求和口令一起發(fā)送給業(yè)務(wù)前置機(jī),由銀行業(yè)務(wù)主機(jī)對(duì)口令再次進(jìn)行認(rèn)證。企業(yè)用戶的身份驗(yàn)證過(guò)程和 CA 不可分割。當(dāng)服務(wù)器通過(guò) SSL 獲得用戶證書(shū)后,服務(wù)器應(yīng)用程序還要到 CA 服務(wù)器檢索該證書(shū)是否在廢止證書(shū)列表之中。圖 2 顯示了企業(yè)用戶身份驗(yàn)證的完整過(guò)程。圖 2 是網(wǎng)上銀行企業(yè)用戶的口令驗(yàn)網(wǎng)上銀行安全解決方案10證方式。對(duì)于個(gè)人用戶,考慮到使用的方便性更為重要,可以采用 方式對(duì)口令加密進(jìn)行身份驗(yàn)證,因此用戶不需要申請(qǐng)證書(shū),只需要記住口令就行。 數(shù)據(jù)加密Web 應(yīng)用數(shù)據(jù)加密的方案除了 SSL 以外,并沒(méi)有太多可供選擇的方案。除了采用數(shù)字證書(shū)身份認(rèn)證方案以外,SSL 的另一個(gè)優(yōu)點(diǎn)是在建立握手以后,對(duì)客戶和服務(wù)器之間的所有數(shù)據(jù)均采用對(duì)稱算法進(jìn)行加密,對(duì)稱算法的加密效率比較高,所以對(duì)性能不會(huì)造成很大的影響。另外 SSL 采用了會(huì)話密鑰的機(jī)制,每次握手時(shí)約定一個(gè)會(huì)話密鑰,會(huì)話結(jié)束,密鑰立刻失效,最大程度上保證了數(shù)據(jù)的保密性。由于采用了 SSL 技術(shù),Web 應(yīng)用的開(kāi)發(fā)也大為簡(jiǎn)化,Web 服務(wù)器應(yīng)用程序可以把與查詢狀態(tài)有關(guān)的信息都保存在 Cookie 中,而不必?fù)?dān)心 Cookie 的安全問(wèn)題。圖 2 用戶身份驗(yàn)證示意圖遞交口令的Web 服務(wù)器的用戶的表單的的銀行業(yè)務(wù)主機(jī)的 CA 服務(wù)器的建立 SSL 握手的1.SSL 服務(wù)器代理驗(yàn)證用戶證書(shū)本身的合法性2。證書(shū)提交 CA服務(wù)器,檢驗(yàn)是否已經(jīng)作廢3。銀行業(yè)務(wù)主機(jī)再對(duì)口令進(jìn)行驗(yàn)證網(wǎng)上銀行安全解決方案11 網(wǎng)上支付和轉(zhuǎn)賬網(wǎng)上支付和轉(zhuǎn)賬在查詢的基礎(chǔ)上進(jìn)一步給用戶提供了方便,用戶可以在網(wǎng)上進(jìn)行支付、轉(zhuǎn)賬從而達(dá)到交易的目的,就目前而言,國(guó)內(nèi)很多網(wǎng)上銀行系統(tǒng)已經(jīng)開(kāi)通了如下支付和轉(zhuǎn)賬業(yè)務(wù):? 定期賬戶轉(zhuǎn)活期? 活期賬戶轉(zhuǎn)定期? 活期賬戶轉(zhuǎn)活期? 信用卡賬戶轉(zhuǎn)信用卡賬戶? 公用事業(yè)費(fèi)代繳? 企業(yè)轉(zhuǎn)賬? 證券資金賬戶轉(zhuǎn)賬? 特約商戶網(wǎng)上支付和查詢相比,支付和帳戶轉(zhuǎn)帳的安全需求更高,除了必須具備查詢所需要的安全性之外,還需要應(yīng)該提供數(shù)據(jù)完整性和不可否認(rèn)性。 數(shù)據(jù)完整性所謂數(shù)據(jù)完整性就是指用戶在支付指令和轉(zhuǎn)賬指令中所填寫的數(shù)據(jù)必須保持完整,不能在公開(kāi)網(wǎng)絡(luò)上被其他用戶無(wú)意或惡意地修改。SSL 由于對(duì)整個(gè)數(shù)據(jù)鏈路進(jìn)行了加密,所以在一定程度上能夠保證完整性,但是公開(kāi)網(wǎng)絡(luò)上的數(shù)據(jù)加密對(duì)完整性的保護(hù)只是局部的,一旦數(shù)據(jù)被解密后依然存在著被更改的可能。所以正確的方案應(yīng)該采用數(shù)字簽名機(jī)制,由用戶使用自己的數(shù)字證書(shū)對(duì)支付指令或轉(zhuǎn)賬指令進(jìn)行簽名,同時(shí)簽名數(shù)據(jù)被永久保存,只有這樣才能真正避免數(shù)據(jù)完整性被破壞,簽名是對(duì)用戶私鑰對(duì)數(shù)據(jù)摘要(又稱指紋)的加密,數(shù)據(jù)發(fā)生變化時(shí),數(shù)據(jù)摘要也必定發(fā)生變化。如果將原先的數(shù)字簽名解密,就很容易發(fā)現(xiàn)兩段數(shù)據(jù)摘要不符。 不可否認(rèn)性不可否認(rèn)性是指指令發(fā)出者不能在事后否認(rèn)曾經(jīng)發(fā)出該指令。這對(duì)于規(guī)范業(yè)務(wù),避免法律糾紛起著很大的作用。傳統(tǒng)地,不可否認(rèn)性是通過(guò)手工簽名完成的,在網(wǎng)上銀行,不可否認(rèn)性是由數(shù)字簽名機(jī)制實(shí)現(xiàn)的。網(wǎng)上銀行安全解決方案12由于私鑰很難攻擊,其他人(包括銀行)不可能得到私有密鑰。所以用私鑰對(duì)交易指令的摘要簽名后,就保證了該用戶確實(shí)是發(fā)出了該指令。將簽名數(shù)據(jù)作為業(yè)務(wù)數(shù)據(jù)的憑證,在業(yè)務(wù)成功后就開(kāi)始保障不可否認(rèn)性。不可否認(rèn)性可以保證每個(gè)帳戶用戶的轉(zhuǎn)帳過(guò)程具有法律效力。對(duì)于個(gè)人銀行業(yè)務(wù)來(lái)說(shuō),轉(zhuǎn)賬金額比較小,風(fēng)險(xiǎn)相對(duì)較低,所以在雙方都認(rèn)可的情況下,沒(méi)有數(shù)字簽名的支付和轉(zhuǎn)賬的指令也是可以接受的。但是對(duì)于企業(yè)用戶和進(jìn)行證券轉(zhuǎn)賬的個(gè)人用戶來(lái)說(shuō),轉(zhuǎn)賬金額大,風(fēng)險(xiǎn)大,指令必須附帶簽名數(shù)據(jù),在簽名數(shù)據(jù)驗(yàn)證通過(guò)以后才能真正進(jìn)行支付或轉(zhuǎn)賬。有四種方案可以實(shí)現(xiàn)用戶簽名:1. 專用客戶端軟件:例如電子錢包,這類軟件通常是一個(gè)瀏覽器的插件(PlugIn) ,在用戶填好支付指令或轉(zhuǎn)賬指令并發(fā)送給服務(wù)器以后,服務(wù)器用某種協(xié)議規(guī)范化該指令,并作為喚醒消息的參數(shù)返回給用戶,這時(shí)插件被激活,用戶的指令在插件程序中再次被顯示,此時(shí)用戶可以對(duì)這段指令進(jìn)行數(shù)字簽名。許多 SET 應(yīng)用的實(shí)現(xiàn)采用了這種方案,這種方案的主要缺點(diǎn)是效率比較低,同一段數(shù)據(jù)需要被來(lái)回傳送兩次。另外不同的應(yīng)用可能需要開(kāi)發(fā)不同的插件,對(duì)用戶和系統(tǒng)開(kāi)發(fā)者來(lái)說(shuō)都增加了額外的負(fù)擔(dān)。2. 表單簽名技術(shù):Netscape 公司發(fā)明的一種技術(shù),在其瀏覽器中已經(jīng)支持,通過(guò)調(diào)用 Java 腳本實(shí)現(xiàn)對(duì)表單域內(nèi)容的簽名,這種方案雖然沒(méi)有方案 1 的缺點(diǎn),但是其實(shí)現(xiàn)與瀏覽器相關(guān)。而且簽名
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1