概述
数据安全性
计算机与通信的紧密结合,促进了金融电子化的飞速发展,使货币和资金交换的形式发生了巨大变化,以纸面形式表现的货币,票据转化为电子形式的货币和金融报文,传统的银行业务迫切要求电子数据处理。电子货币、银行卡、自动货柜员、电子销售终端的广泛普及和使用,既方便了广大客户,又大大提高了银行的效益和盈利水平。
但是,同世界其他国家一样,我国金融电子化也面临着新形式所带来的种种安全问题。金融计算机系统网络时刻受到内部和外部攻击的威胁,计算机犯罪不断增加。因此必须加强金融计算机信息系统的安全,才能使金融电子化稳步发展。从项目实施的角度来看,完整的安全措施应包括管理制度和技术实施两大方面,技术上可分为:网络安全性、主机安全性、操作安全性和报文安全性。
1.网络安全性
网络安全措施是为了防御来自于网络,特别是暴露于银行机放外的广域网的外部攻击威胁。包括:
(1)防止对交换中心与会员行之间交易网络的非法进入;
(2)防止来自广域网的用户对各节点机的非法进入;
(3)防止来自局域网的用户对各节点机的非法进入。
2.主机安全性
主机安全侧重于从系统平台的运行操作管理上防止内部作案,主要是在操作系统和数据库一级采取措施,防止越权访问、窃取数据,并对系统的访问(尤其是非法访问)进行审计跟踪。 3.操作安全性
操作安全性是侧重于从应用系统操作运行管理方面等方面采取措施,防止内部作案。
4.交易报文的安全性
报文安全措施是为了防止非法截取网上(特别是广域网上)的交易报文,从中窃取银行及其客户的商业机密变更报文的关键字段或伪造报文。
5.安全管理制度
仅有技术方面的安全手段是不够的,还必须配合一套完整的安全管理制度,才能构成一个全面、完整
的安全体系,确保全系统的安全性和对非安全性事件的有效追踪、处理。
7.1.2 金融网络对数据安全的要求
金融电子化使传统的储蓄所手工存取业务转变为全城甚至是全国通存通兑,票据交换转变为自动清算和电子资金转帐,因此在技术上保障客户和数据的真实和准确,防止冒名顶替和篡改,加强审计就成为金融计算机安全首要的技术目标。
1.身份鉴别
身份鉴别是安全防护的第一步,任何用户在进入计算机网或进入计算机系统之前,必须首先向网络或向计算机给出能表明自己身份的鉴别标志,经鉴别核实后方被允许使用计算机。
2.数据完整性鉴别
在银行业务中数据的防篡改是十分重要的要求,常用的技术是提取数据中若干重要元素进行某种运算得出校验码,通过对校验码的验证来鉴别数据的完整性。
3.数字签名和防否认
数字签名是为了确认收发双方确为真实的收发方而不是他人冒充,同时确认报文内容确
无篡改。
4.存取控制
在主机中数据安全主要取决于操作系统存取控制的能力。主机存取控制是计算机安全的基础。存取控制可分为两类:
(1)自主存取控制,即创建数据文件的用户自主决定其他用户对该数据的存取权限。
(2)强制存取控制,即一个数据文件能被哪些用户存取,不是由该数据的创始者而是由一个安全管理员统一控制设定。
5.可审计性
审计对银行的安全管理十分重要,审计是发现犯罪和侦察取证的重要手段之一。计算机应有审计记录,对每一次交易以及与安全有关的事件应进行记录,并且不能由客户修改。
银行卡系统面向交易的数据安全
随着银行卡业务电子化水平的日益提高和业务范围的不断扩大,整个银行卡系统的安全就变得尤为重
要。因为银行卡系统的安全关系到银行和持卡人的利益,能否得到应有的安全保障,所以在提高电子化水平的同时,整个系统的安全程度也要随之加强。
银行卡系统的安全包括计算机设备安全和电子数据安全两个方面。计算机的硬件设备一般价值昂贵,一旦损坏而不能及时恢复,不仅造成设备上的经济损失,而且可能导致银行卡业务瘫痪,影响到银行的信誉,产生不良社会影响。另一方面,银行卡系统中的电子数据与资金往来有直接的关系,数据发生错误或被人非法修改,都可能导致各种难以设想的后果。银行卡系统中的电子数据安全包括:数据的保密性、信息的完整性、持卡人身份验证以及交易的不可否认性等,实现方式都是通过某种方式的加密运算得到一串被加密的数据,来保证数据的安全。
1.数据的加密
使用加密器对需要在广域网上传输的数据进行加密,防止此数据在传输过程中被人非法浏览。
2.数据的验证
使用加密器对网络传输的数据的完整性进行验证,对需要传输的数据生成验证码,然后比较验证码的一致性来确认所传输数据的完整性,防止数据在传输过程中被人更改。
3.身份的验证
加密器通常采用标准的DES算法,密钥相同,则对同一被验证数据(清晰数据)进行DES运算后所得的响应数据(加密数据)是相同的,因此可以通过验证数据和响应数据来判定加密运算中使用的密钥,进而确定持有此密钥的人的身份,以防止交易的欺诈行为。 使用硬件加密设备的必要性和重要性
数据密码化运算便是实现上述安全目标的基本手段,密码化运算通过复杂的运算把清晰的数据和密钥转化成一组被加密的数据,令非授权人无法查出其真实内容。
目前所使用的加密方式有两种,即软件加密和硬件加密。软件加密是通过在主机上运行加密软件来实现加密功能;硬件加密是通过独立于主机系统之外的硬件加密设备实现,凡涉及加密运算的功能都由硬件加密设备来处理。两种方式相比,软件加密要占用主机的资源,运算速度较慢。而最大的区别在安全性方面,软件加密是很多重要的数据(如用来做密码运算的密钥,或顾客的个人密码)都会在某时间以明文形式出现在计算机的内存或磁盘中,而对计算机数据安全有一定研究的不法分子便有机会把这些资料读取、修改或删除,破坏系统的安全性。
国际信用卡组织对数据保密方法及硬件加密设备有严格的标准,规定数据在信用卡网络内的保密必须采用硬件加密设备,所有重要的数据均需在硬件加密设备的内部作运算,以保证重要数据不会泄露。硬件加密设备本身也必须有严格的物理安全保障,如机身的体积、重
量、防爆机壳以及防刺探电路等,一旦加密设备被人为打开或破坏时,机内重要资料(本地主密钥LMK)会自动销毁,而不留任何痕迹。
硬件加密器所使用的加密算法
数据加密的原理是通过加密算法对明文数据进行加密产生密文数据,加密的过程由密钥控制,而解密是加密的逆过程。加密通常采用公开算法不公开密钥的方式,常用的算法主要有对称密钥加密算法和非对称密钥加密算法两种。
对称密钥加密算法是用同一个密钥对数据进行加密和解密,其具有运算速度快加密效率高的优点,通常应用于数据的加密。保证密钥的安全和一致就成为加密工作中非常重要的环节,典型算法是DES数据加密标准算法。
非对称密钥加密算法是采用一对不同的加密密钥和解密密钥,必须配对使用,通常加密密钥是公开的(又称公开密钥),而解密密钥是保密的(又称秘密密钥),其优点是安全性较好密钥管理方便,但不足之处是加密速度较慢。典型算法是RSA公开密钥算法。
无论是对称密钥算法还是非密钥对称算法,都遵循如下加密和解密过程:
加密过程如图7—1所示。
明文数据
↓
加密算法
密钥
加密数据
解密过程如图所示。
加密数据
明文数据
加密设备的密钥管理
密钥是密码运算中的重要因素。在金融网络的安全体系中,密钥管理是核心问题,是安全体系中系统设计技术实现和运行组织上最复杂的环节。密钥管理贯穿于密钥的整个生命期,包括密钥体系设计及其用途分工,密钥的产生、存储、更新、传输、同步、销毁等环节。密钥管理的中心是保证密钥的安全和加解密过程中使用密钥的一致性。密钥分为密钥加密密钥(又称主密钥)和数据密钥(又称工作密钥)。密钥加密密钥是为保证数据密钥在传输和存储中的安全而对其进行加密的密钥,数据密钥是对所要传输的数据进行加密的密钥。一个安全的加密系统必须有一套完善的密钥管理,包括密钥的产生、存储、翻译、分工和分层,加密设备采用国际标准的密钥管理(ISO8723,ANSIX9。17)使银行和交换中心处理密钥的工作更为安全和方便。以分工来说,不同的信息需要使用不同的密钥加密,例如交换中心与银行互联的区域密钥(ZPK)与作为验证码的密钥(ZAK)不同,这样的有优点是当其中一个密钥的安全出现问题时并不会影响其他信息的安全性。而密钥的分层则有利于密钥的更新和传送。加密设备存储众多不同的密钥所采用的方法是用本地主密钥对加密设备产生的若干对不同的密钥加密后,由主机存储,需要使用该密钥时才把它输入加密设备里并以本地主密钥解密后作进一步工作。
HSM密钥管理方式
1. HSM密钥管理方法
HSM是雷卡公司所生产的主机加密设备(HOST SECURITY MODULE)的缩写。HSM 密钥管理方法如图7—3所示:
第一层
本地主密钥
密钥加密密钥
第三层
数据加密密钥
图7—3
第一层,LMK为本地主密钥,是采用双倍标准的DES密钥(长达112位),存放在加密设备内,在加密设备以外的地方不会以明文形式存放。它的作用是将所有在本地存放的其他密钥和加密数据进行加密,以实现三重数据加密技术。不同对的LMK用于加密不同的数据或密钥,需要保密的数据被LMK加密后存放于主机数据库中,如ZMK TMK PVK等。由于本地存放的其他密钥和加密数据,都是在LMK加密之下。因此,LMK是最重要的密钥。
第二层,通常称为密钥加密密钥或传输密钥(KEY—ENCRYPTING KEY),包括TMK ZMK等密钥。它的作用是加密在通讯线路上需要传递的数据密钥,从而实现数据密钥的自动分配。在本地或共享网络中,不同的两个通讯网点使用不同的密钥加密密钥,从而实现密钥的分工管理,它在本地存放时,处于本地LMK的加密之下。
TMK必须在主机和终端(ATM或POS)上都装有。TMK在终端(ATM或POS)上的安装是通过人工方法下装的,通常一到两年换一次。TMK的作用是把终端和主机之间的数据密钥(DATD KEYING)或工作密钥(WORKING KEY)加密后在通讯线上传送,如TPK,TAK等。ZMK必须在两个主机上都装有。ZMK在两台主机上的安装是由人工以若干组相同的数据来产生的,以保证双方ZMK的一致性。通常采用两组数据合成的方法,两组数据分别由互联的双方提供,ZMK的作用是把数据密钥(DATA KEY)或(WORKING KEY)工作密钥加密后在两台主机之间的通讯线上传递,如ZPK、ZAK等。
第三层,通常称为数据加密密钥或工作密钥,包括TPK、TAK、ZPK、ZAK PVK CVK 等密钥。它们的作用是加密各种不同的数据,从而实现数据的保密信息的验证以及数字签名的功能,这些数据密钥在本地存放时,也处于本地LMK的加密之下。TPK可每天定时由加密设备产生,并由TMK加密后传送给终端(ATM或POS)。在终端(ATM或POS)上解密后,即可进行工作。ZPK 可定时由加密设备产生,并由ZMK加密后传输给另一台主机的加密设备。数据密钥(如TPK、TAK、ZPK、ZAK等)是每天参与加密各种数据在通讯线上传送的密钥,建议数据密钥(DATA KEY)每天更换一次。
1.密钥的种类
下面分别介绍几种密钥:
(1)LOCAL MASTRE KEY (LMK)本地主密钥
本地主密钥是存储在加密设备内的50对LMK的集合,在设备以外的地方不会以明文形式存放,采用双倍标准DES密钥(长达112位)实现三重数据加密。除LMK以外的所有密钥和个人密码存放在本地主机时都必须经过LMK进行加密。
加密设备投入运行时,必须先产生和装载LMK。由于DES算法依靠某一个密钥进行加
密,同时所有密钥和数据都经由LMK进行加密,所以LMK必须通过一种安全的方法生成和维护。LMK
的产生需要银行3位主要的管理人员参与产生,每人输入3组数据(二组16位的十六进制数,一组8位的十进制数)。3个人总共输入9组数据,加密设备利用这9组数据通过一定的运算产生若干对LMK存放在加密设备内的EPROM里供加密使用。加密设备在运行的过程中一旦被打开,这时机内所有LMK就会自动毁坏。加密设备允许LMK改变,通过旧LMK进行加密的密钥和数据解密后,再在新LMK的基础上进行加密。
(1)ZONE MASTER KRY(ZMK)区域主密钥
区域主密钥是加密密钥用的密钥,适用于银行卡网络中,它可以在网络中两个(或多个)通讯网点之间以部分形式进行人工分配且保持双方的对称性,网络中任何两个通讯网点之间均共用不同的ZMK。ZMK用于加密底层需要传送的数据密钥,这样远地密钥就能自动进行交换(无须人工干预)。该密钥可以长期不更改,通常两年更换一次。本地存储时,ZMK是通过LMK进行加密的。
(2)ZONE PIN KEY(ZPK)区域密码密钥
区域密码密钥是一个数据加密密钥,适用于银行卡网络,它通过ZMK加密在两个(或多个)通讯网点之间进行自动分配,ZPK用于加密两个通讯网点之间许需传输的PIN,这样就实现了PIN的保密。ZPK需要经常性地定期更改,在本地存储时,它是通过LMK进行加密的。
(3)TERMINAL MASTER KEY (TMK)终端主密钥
终端主密钥是一个加密密钥用的密钥(或称传输密钥),适用于局域网中。可以人工地或自动地在以前安装过TMK的基础上分配给通讯的双方且保持双方之间的对称性,它用于在局域网内将新产生的TMKS或底层的数据加密用的密钥加密,然后由主机端传输到ATM 或POS或其他相似的终端。TMK可以长期不作改动,通常一到两年更换一次,本地存储时通过一对LMK进行加密。
(4)TERMINAL PIN KEY (TPK)终端密码密钥
终端密码密钥是一个数据加密用的密钥,适用于局域网中,它是在局域网内通过TMK 加密,由终端数据受理者自动分配到终端且保持通讯双方之间的对称性。TPK用于加密在局域网内终端和终端数据受理者之间传送的个人密码。本地存储时是通过一对LMK进行加密的。TPK需要经常性地定期更换,通常每天更换一次。
(5)TERMINAL AUTHENTICATION KEY (TAK)终端确认密钥
终端确认密钥是一个数据加密用的密钥,适用于局域网内。它在局域网内通过TMK加密由终端数据受理者自动分配到终端或通过ZMK加密由终端数据受理者自动分配到交换中心。TAK用于局域网终端与终端数据受理者之间传送信息时,生成和校验一个信息验证代码(MESSAGE AUTHENTICATION CODE),从而达到信息验证的目的。TAK需要经常性地更换通常每天更换一次,本地存储时通过一对LMK进行加密。
(6)PIN VERIFICATION KEY (PVK)密码校验密钥
PIN是个人密码(PERSON IDENTIFICATION NUMBER)的缩写,密码校验密钥是一个数据加密密钥,用于生成PIN,同时校验一个PIN的可靠性。传送时PVK通过TMK或ZMK加密,存放本地时,它通过一对LMK加密。
(7)CARD VERIFICATION KEY (CVK)卡片验证密钥
卡片验证密钥(CVK)类似于密码校验密钥,仅仅是用卡片上的取代了密码。7.3.1 PCSM密钥管理方式
PCSM的密钥管理方法如图7—4所示。
