面向企业银行领域安全防护的研究和应用

摘要

近年来,随着金融市场竞争的加剧,国内商业银行纷纷推出自己的企业银行系统,来适应业务发展和满足企业客户的需求。但是,由于网络的透明传输和操作员口令保护的脆弱性等因为,相应产生了数据传输过程与数据资源合法使用的安全问题,这使企业银行系统存在很大安全隐患。因此,如何解决这些问题,保障银企双方的合法利益,是银企双方必须面对的课题。
　　 本文在研究各种数据加密技术、公钥基础设施(PKI)和IPSec等理论的基础上,根据企业银行系统现在的运行状况,为企业银行系统在系统安全方面增加新的实施方案。本文重点研究以下两点内容,一是为企业银行系统建立以USBKEY为数字证书存储介质的身份认证系统。USBKEY身份认证系统采用支持公开密钥体系,在USBKEY内能快速完成RSA算法的签名、认证、加密、解密运算,防止了传统在客户机中完成运算时算法易破解的弊端,能够较好解决由于密码泄露导致的系统安全问题,实现了操作员登录业务系统时的安全认证控制；二是为企业银行系统设计和实现远程安全网络接入系统S-RAS(Security Remote Access System)。S-RAS系统在网络层采用IPSec标准对数据报加密、利用IPSec封装技术组建VPN,该系统是VPN实现用户安全远程信息交换与共享的延伸与扩展,使分散的移动用户也能够安全访问企业内网。S-RAS系统分为中心端与远程用户端两部分,远程终端(单点拨号终端和局域网终端)通过广域网安全接入异地的受中心端网络密码机保护的企业局域网。它一方面能够防止非法用户攻击侵入受保护的局域网,另一方面能够确保用户数据在网络中传输时不被别人窃取,实现信息的安全交换与共享。
　　 随后,本文为企业银行系统设计了网络安全防护系统。最后按照此设计方案和上述主要理论实现了PKI数字证书加IPSec网络层加密的企业银行网络安全防护系统。该系统的网络加密技术通过国家主管部门的安全性审查和技术鉴定,密码算法符合国家规定。该系统已在农行江西省分行企业银行系统试点成功,得到了银企双方的肯定,其成果达到国内行业领先水平。

目录

文摘

英文文摘

第1章 引言

1.1 课题的来源及其意义

1.2 课题所在领域发展历程和发展趋势

1.3 已有的相关研究

1.4 本文的主要研究内容

第2章 网络系统安全的理论基础

2.1 密码学原理

2.1.1 对称密码学

2.1.2 公钥密码学

2.1.3 当今流行的密码算法

2.1.4 数字签名(Digital Signatue)

2.2 公开基础设施(PKI)

2.2.1 PKI定义和内容

2.2.2 PKI提供的服务

2.2.3 数字证书

2.3 VPN和IPSEC技术

2.3.1 VPN技术

2.3.2 基于VPN技术远程网络接入的隐患

2.3.3 IPSec概述

2.3.4 IPSec提供的服务

第3章 PKI身份认证系统和远程安全网络接入系统设计原理

3.1 原企业银行系统概述

3.1.1 原系统的总体结构

3.1.2 系统业务功能概述

3.1.3 原系统安全防护功能分析

3.1.4 原系统存在的安全风险

3.2 PKI身份认证系统的设计

3.2.1 设计目标

3.2.2 设计原则

3.2.3 CA系统设计

3.2.4 RA系统设计

3.3 远程安全网络接入系统的技术基础

3.3.1 密码模块的安全特性

3.3.2 密码模块的关键技术

3.3.3 密码模块的密钥安全

3.4 远程安全网络接入系统的设计原理

3.4.1 S-RAS系统结构

3.4.2 密钥管理中心的设计原理

3.4.3 IP加密机的设计原理

3.4.4 远程客户端系统的设计原理

第4章 PKI身份认证系统和S-RAS系统的实现

4.1 新系统的网络结构

4.2 PKI身份认证系统的实现

4.2.1 客户端接入系统身份认证模块功能实现

4.2.2 客户端服务平台系统证书接入模块功能实现

4.3 S-RAS系统的实现

4.3.1 网络安全中心的建设

4.3.2 客户端系统的功能实现

第5章 结论和展望

5.1 结论

5.2 进一步工作的方向

致谢

参考文献