行业安全 行业安全 密码产品 密码产品
密码产品

金融领域密码应用解决方案

实际应用案例

金融领域密码应用方式较多,比较普遍的几种例如:在某银行业务系统中实现身份认证、终端机具认证、传输通道加密、应用报文加密、存储加密、签名验签和密钥管理等功能。这些方案将商用密码技术和国产密码算法融合在整个金融业务系统中,保护用户数据的安全性、完整性、保密性,并符合相关行业的监管要求,是金融领域密码应用的普遍方式。

 

需求分析(业务痛点)

1.   无卡渠道,如移动支付场景带给用户方便快捷的使用体验的同时,也带来了安全风险隐患。如:身份认证仅依靠用户名密码,个人敏感信息明文传递被截取滥用。

2.   有卡渠道,如传统IC卡交易中同样需要对用户PIN码、个人敏感信息等进行保护,防止被中间人截取盗用。

3.   系统需要进行国密算法改造,国际算法不能满足行业监管要求。

4.   金融领域应用在数据加密、身份认证的算法强度不足,不能满足国家和行业监管的合规性要求。

5.   传输过程中敏感数据被中间人攻击截获,或者运维人员越权访问。

6.   敏感数据在存储落盘后数据泄漏、流失,或运维人员越权访问。

7.   系统中存在大量的密码算法,算法密钥散乱难以维护的问题。

8.   终端机具运维外包给厂商维护,无法阻止非法机具连入系统。

 

解决方案(框架及描述)

                                               1.png

图 应用架构图

1.   在无卡渠道中,方案提供强身份认证机制,配合服务端的金融数据密码机,全面对支付用户的敏感信息进行防护。

2.   在有卡渠道中,终端机具配合服务端的金融数据密码机,完成用户敏感信息的保护。

3.   系统中采用的密码模块、控件、硬件密码设备、硬件密码机等,同时支持国密国际算法,整体系统完成国密改造并符合行业监管要求。

4.   在进行数据传输时,采用TLS协议完成双方身份验证和通讯通道加密的工作。

5.   在数据落盘时,调用金融数据密码机使用对称加密算法完成大批量数据的加密工作,保证在数据落盘后敏感数据以密文形式保存。

6.   在企业系统中增加统一的密钥管理服务,对系统内所有重要的密钥进行统一管理。

7.   设备管理系统为每台合法的终端机具颁发身份密钥,系统调用金融数据密码机完成终端机具的入网验证,可有效防止假冒设备连入网络。

 

应用效果(解决了哪些问题)

1.   解决系统中敏感数据容易泄漏的问题。

2.   解决数据落盘时敏感数据随存储设备的更换而造成的泄漏问题。

3.   解决数据传输通路中,数据被中间人窃取和攻击的问题。

4.   解决系统中的各类密钥无法有效管理问题。

5.   解决系统中终端机具的身份验证问题。

 

配置清单(需要使用哪些产品)

产品名称

产品型号

功能

企业级密钥管理系统

SYT1401

提供系统中密钥的生命周期管理、版本管理、权限管理等统一密钥管理功能。

服务器密码机

SJJ1507

为CA系统提供密钥生成、密钥管理、签名验证运算支持。

签名验证服务器

SRJ1303

提供密钥生成、密钥管理、签名验证运算支持。

金融数据密码机

SJJ1528/SJJ1310

提供密钥生成、密钥管理、密码运算服务功能。

安全认证网关

SRJ1001

认证加密、访问控制、SSL卸载加速等功能。

注:具体软硬件产品数量和配置需要根据实际业务性能、部署要求和高可用要求来确定。

 

适用场景(可以推广应用到哪些场景)

1.传统磁条卡系统

网银的借记卡和贷记卡都是在传统磁条卡系统中使用,随着银行芯片卡改造的逐步完成,只有磁条卡的银行卡已经很少见到,替代的是芯片磁条复合卡。虽然卡片形式有所变化,安全性也有很大提高。但系统的整体架构没有更多改变。仍需要密码机在系统中完成用户敏感数据加密、报文完整性验证等工作。本方案仍然适合传统磁条卡系统的应用场景,在未来卡系统中继续发挥作用。

 

2.金融网银系统

网银系统使持卡用户能在家里安全方便完成网上金融交易,包括查询、转账、电子商务的交易支持等。网银系统中需要提供的密码安全服务包括摘要计算、签名验签、PIN转换等。随着第三方支付公司(如微信、支付宝)的不断发展,网银系统也根据需要进行了不断地重组变化,以适应银行日新月异的业务需求。本方案中提供的密码服务能力仍然适用于新版本网银的各类应用。

 

3.银企直连系统

随着企业金融业务的不断发展,银行对企业业务的支持也不断加深。在企业金融业务中,企业身份的鉴别,通讯数据的保护都是密码服务需要解决的安全问题。本方案适用于现有银企直连架构,可解决企业连接银行的各类数据安全问题。


Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP备08012318号  技术支持博乐虎科技