行業安全 行業安全 密碼産品 密碼産品
密碼産品

金融領域密碼應用解決方案

實際應用案例

金融領域密碼應用方式較多,比較普遍的幾種例如:在某銀行業務系統中實現身份認證、終端機具認證、傳輸通道加密、應用報文加密、存儲加密、簽名驗簽和密鑰管理等功能。這些方案将商用密碼技術和國産密碼算法融合在整個金融業務系統中,保護用戶數據的安全性、完整性、保密性,并符合相關行業的監管要求,是金融領域密碼應用的普遍方式。

 

需求分析(業務痛點)

1.   無卡渠道,如移動支付場景帶給用戶方便快捷的使用體驗的同時,也帶來了安全風險隐患。如:身份認證僅依靠用戶名密碼,個人敏感信息明文傳遞被截取濫用。

2.   有卡渠道,如傳統IC卡交易中同樣需要對用戶PIN碼、個人敏感信息等進行保護,防止被中間人截取盜用。

3.   系統需要進行國密算法改造,國際算法不能滿足行業監管要求。

4.   金融領域應用在數據加密、身份認證的算法強度不足,不能滿足國家和行業監管的合規性要求。

5.   傳輸過程中敏感數據被中間人攻擊截獲,或者運維人員越權訪問。

6.   敏感數據在存儲落盤後數據洩漏、流失,或運維人員越權訪問。

7.   系統中存在大量的密碼算法,算法密鑰散亂難以維護的問題。

8.   終端機具運維外包給廠商維護,無法阻止非法機具連入系統。

 

解決方案(框架及描述)

                                               1.png

圖 應用架構圖

1.   在無卡渠道中,方案提供強身份認證機制,配合服務端的金融數據密碼機,全面對支付用戶的敏感信息進行防護。

2.   在有卡渠道中,終端機具配合服務端的金融數據密碼機,完成用戶敏感信息的保護。

3.   系統中采用的密碼模塊、控件、硬件密碼設備、硬件密碼機等,同時支持國密國際算法,整體系統完成國密改造并符合行業監管要求。

4.   在進行數據傳輸時,采用TLS協議完成雙方身份驗證和通訊通道加密的工作。

5.   在數據落盤時,調用金融數據密碼機使用對稱加密算法完成大批量數據的加密工作,保證在數據落盤後敏感數據以密文形式保存。

6.   在企業系統中增加統一的密鑰管理服務,對系統内所有重要的密鑰進行統一管理。

7.   設備管理系統為每台合法的終端機具頒發身份密鑰,系統調用金融數據密碼機完成終端機具的入網驗證,可有效防止假冒設備連入網絡。

 

應用效果(解決了哪些問題)

1.   解決系統中敏感數據容易洩漏的問題。

2.   解決數據落盤時敏感數據随存儲設備的更換而造成的洩漏問題。

3.   解決數據傳輸通路中,數據被中間人竊取和攻擊的問題。

4.   解決系統中的各類密鑰無法有效管理問題。

5.   解決系統中終端機具的身份驗證問題。

 

配置清單(需要使用哪些産品)

産品名稱

産品型号

功能

企業級密鑰管理系統

SYT1401

提供系統中密鑰的生命周期管理、版本管理、權限管理等統一密鑰管理功能。

服務器密碼機

SJJ1507

為CA系統提供密鑰生成、密鑰管理、簽名驗證運算支持。

簽名驗證服務器

SRJ1303

提供密鑰生成、密鑰管理、簽名驗證運算支持。

金融數據密碼機

SJJ1528/SJJ1310

提供密鑰生成、密鑰管理、密碼運算服務功能。

安全認證網關

SRJ1001

認證加密、訪問控制、SSL卸載加速等功能。

注:具體軟硬件産品數量和配置需要根據實際業務性能、部署要求和高可用要求來确定。

 

适用場景(可以推廣應用到哪些場景)

1.傳統磁條卡系統

網銀的借記卡和貸記卡都是在傳統磁條卡系統中使用,随着銀行芯片卡改造的逐步完成,隻有磁條卡的銀行卡已經很少見到,替代的是芯片磁條複合卡。雖然卡片形式有所變化,安全性也有很大提高。但系統的整體架構沒有更多改變。仍需要密碼機在系統中完成用戶敏感數據加密、報文完整性驗證等工作。本方案仍然适合傳統磁條卡系統的應用場景,在未來卡系統中繼續發揮作用。

 

2.金融網銀系統

網銀系統使持卡用戶能在家裡安全方便完成網上金融交易,包括查詢、轉賬、電子商務的交易支持等。網銀系統中需要提供的密碼安全服務包括摘要計算、簽名驗簽、PIN轉換等。随着第三方支付公司(如微信、支付寶)的不斷發展,網銀系統也根據需要進行了不斷地重組變化,以适應銀行日新月異的業務需求。本方案中提供的密碼服務能力仍然适用于新版本網銀的各類應用。

 

3.銀企直連系統

随着企業金融業務的不斷發展,銀行對企業業務的支持也不斷加深。在企業金融業務中,企業身份的鑒别,通訊數據的保護都是密碼服務需要解決的安全問題。本方案适用于現有銀企直連架構,可解決企業連接銀行的各類數據安全問題。


Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP備08012318号  技術支持博樂虎科技