隨著網(wǎng)上銀行業(yè)務(wù)的迅速發(fā)展，對(duì)網(wǎng)上銀行系統(tǒng)使用的數(shù)據(jù)傳輸加密方式的要求也越來(lái)越高。那么接下來(lái)我就給大家講一講網(wǎng)上銀行系統(tǒng)數(shù)據(jù)文件加密的方法。

一、網(wǎng)上銀行系統(tǒng)數(shù)據(jù)文件加密方式

目前銀行系統(tǒng)的數(shù)據(jù)文件加密方式主要分為對(duì)稱密鑰加密方式（即私鑰加密方式）跟非對(duì)稱密鑰加密方式（即公鑰加密方式）兩種。

對(duì)稱密鑰加密方式目前最具代表性的是前美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)DES加密算法，它使用長(zhǎng)度為56比特的密鑰加密長(zhǎng)度為64比特的明文，獲得長(zhǎng)度為64比特的密文。在使用過(guò)程中，可以將明文按64比特大小的塊進(jìn)行分組，然后將密鑰和明文采用分組和置換的方式達(dá)到混亂與擴(kuò)散效果，形成明文對(duì)應(yīng)的密文。DES加密算法的主要優(yōu)點(diǎn)是加、解密速度快，算法易實(shí)現(xiàn)，不容易被破解。缺點(diǎn)是密鑰分發(fā)問(wèn)題難以解決。目前DES加密算法在銀行內(nèi)部各應(yīng)用系統(tǒng)之間應(yīng)用廣泛，主要通過(guò)硬件加密機(jī)實(shí)現(xiàn)密鑰分發(fā)和管理。但是在網(wǎng)上銀行系統(tǒng)中，由于交易發(fā)起方為網(wǎng)銀客戶，如何將密鑰安全便捷地分發(fā)給網(wǎng)銀客戶是對(duì)稱密鑰加密方式面臨的難題，因此其在網(wǎng)上銀行系統(tǒng)中的應(yīng)用也受到限制。

動(dòng)態(tài)口令加密方式（又稱一次一密加密方式），此加密方式利用散列函數(shù)產(chǎn)生一次性口令，該口令一次有效，破解難度較高。動(dòng)態(tài)口令的產(chǎn)生因子一般都采用雙運(yùn)算因
子，其一為用戶的私有密鑰，它標(biāo)識(shí)用戶的身份，其二為變動(dòng)因子，利用它的不斷變化產(chǎn)生不斷變動(dòng)的動(dòng)態(tài)口令。在網(wǎng)上銀行系統(tǒng)使用時(shí)，可以用預(yù)先設(shè)定的用戶私有密
鑰和隨機(jī)的變動(dòng)因子產(chǎn)生多個(gè)動(dòng)態(tài)口令，并采用有效的方式保存下來(lái)，制作成動(dòng)態(tài)口令卡。網(wǎng)銀客戶開(kāi)通網(wǎng)上銀行業(yè)務(wù)時(shí)領(lǐng)取動(dòng)態(tài)口令卡，使用時(shí)根據(jù)網(wǎng)銀系統(tǒng)的提示輸入動(dòng)態(tài)口令卡中存儲(chǔ)的用戶私有密鑰和變動(dòng)因子（比如坐標(biāo)等），并將其提交到網(wǎng)銀系統(tǒng)。網(wǎng)銀系統(tǒng)根據(jù)上送的用戶私有密鑰和變動(dòng)因子重新計(jì)算生成口令，網(wǎng)銀系統(tǒng)通過(guò)比較新生成的口令與系統(tǒng)中保存的口令來(lái)校驗(yàn)用戶的合法性。目前工商銀行、建設(shè)銀行等的“刮刮卡”即是動(dòng)態(tài)口令加密方式的典型應(yīng)用。

非對(duì)稱密鑰加密方式目前在銀行系統(tǒng)中應(yīng)用最廣泛的為RSA加密算法，它是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。它的安全依賴于大素?cái)?shù)的因式分解問(wèn)題，印從一個(gè)密鑰和密文推斷出明文的難度等同于分解兩個(gè)大素?cái)?shù)的乘積。它使用不同的密鑰進(jìn)行加密和解密，兩個(gè)密鑰，分別稱為“公鑰”和“私鑰”，采取配對(duì)使用。公鑰對(duì)外發(fā)布，放到數(shù)字證書(shū)中或USBKey中，私鑰由銀行方保存，解密時(shí)使用。RSA加密算法的主要優(yōu)點(diǎn)是密鑰分發(fā)簡(jiǎn)單，算法安全強(qiáng)度高，不易被破解，缺點(diǎn)是加密速度慢，不能用于大數(shù)據(jù)量數(shù)據(jù)文件加密。由于RSA加密算法密鑰分發(fā)簡(jiǎn)單，算法安全強(qiáng)度高，其在網(wǎng)上銀行系統(tǒng)的應(yīng)用非常廣泛。目前各商業(yè)銀行使用的數(shù)字證書(shū)或USBKey就是采用了此種數(shù)據(jù)文件加密方式。

二、網(wǎng)上銀行系統(tǒng)數(shù)據(jù)文件加密方式的應(yīng)用

非對(duì)稱密鑰加密方式具有密鑰分發(fā)簡(jiǎn)單，算法安全強(qiáng)度高，不易被破解等諸多優(yōu)點(diǎn)，非常適合網(wǎng)上銀行系統(tǒng)的應(yīng)用，是業(yè)內(nèi)公認(rèn)最安全的數(shù)據(jù)加密方式。但是由于其加
密速度慢，無(wú)法用于大數(shù)據(jù)量數(shù)據(jù)加密。因此，當(dāng)前主流的做法是，網(wǎng)上銀行系統(tǒng)與網(wǎng)銀客戶之間的數(shù)據(jù)加密方式采用非對(duì)稱密鑰加密方式，銀行內(nèi)部各應(yīng)用系統(tǒng)之間數(shù)據(jù)加密方式采用對(duì)稱密鑰加密體系，因此就需要在網(wǎng)上銀行系統(tǒng)做一下非對(duì)稱密鑰加密算法到對(duì)稱密鑰加密算法的轉(zhuǎn)換。

下面就以基于RSA加密算法和DES加密算法的硬件加密機(jī)的應(yīng)用為例，詳細(xì)說(shuō)明網(wǎng)上銀行系統(tǒng)的密鑰管理體系及驗(yàn)密交易流程。

1、網(wǎng)上銀行系統(tǒng)密鑰管理體系

網(wǎng)上銀行系統(tǒng)密鑰管理體系分為兩部分，一部分是對(duì)RSA加密算法的密鑰管理，另一部分是對(duì)DES加密算法的密鑰管理。

RSA加密算法密鑰管理體系分為公鑰和私鑰兩部分，公鑰用于加密數(shù)據(jù)文件，私鑰用于解密數(shù)據(jù)。公私密鑰對(duì)由加密機(jī)產(chǎn)生，其中私鑰保存在加密機(jī)中，公鑰作為參數(shù)輸
出，保存到數(shù)字證書(shū)中或USBKey中?？蛻舻顷懢W(wǎng)上銀行系統(tǒng)時(shí)，用數(shù)字證書(shū)中或USBKey中的公鑰加密各種不同的業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密網(wǎng)上銀行系統(tǒng)用保存的私鑰解密客戶上送的業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)文件的解密。

DES加密算法密鑰管理體系分為三層，分別為加密機(jī)主密鑰(Masterkey簡(jiǎn)稱MK)、銀行主密鑰(BaseMasterkey簡(jiǎn)稱BMK)、工作密鑰(Workkey簡(jiǎn)稱WK，包括信息完整性
密鑰、密碼保護(hù)密鑰、及終端密鑰等)。其中，加密機(jī)主密鑰MK加密保護(hù)本地存儲(chǔ)的銀行主密鑰BMK．銀行主密鑰BMK加密保護(hù)本地存儲(chǔ)的工作密鑰WK和傳輸過(guò)程中的
工作密鑰WK，工作密鑰WK用于加密各種不同的業(yè)務(wù)數(shù)據(jù)文件，從而實(shí)現(xiàn)數(shù)據(jù)文件的保密、信息的完整性驗(yàn)證。

2、網(wǎng)上銀行系統(tǒng)驗(yàn)密交易流程

如圖1所示，網(wǎng)上銀行客戶登錄網(wǎng)銀時(shí)用數(shù)字證書(shū)中或USBKey中的公鑰加密發(fā)起的業(yè)務(wù)數(shù)據(jù)，并將交易數(shù)據(jù)發(fā)送到網(wǎng)銀系統(tǒng)服務(wù)器。網(wǎng)銀系統(tǒng)收到交易請(qǐng)求后，首先調(diào)用加密機(jī)，用公鑰所對(duì)應(yīng)的加密機(jī)中保存的私鑰解密交易請(qǐng)求數(shù)據(jù)，然后用與銀行前置系統(tǒng)約定的對(duì)稱密鑰加密交易請(qǐng)求數(shù)據(jù)，并將交易請(qǐng)求發(fā)送給銀行前置系統(tǒng)。銀行前置系統(tǒng)收到交易請(qǐng)求后，首先用與網(wǎng)銀系統(tǒng)約定的對(duì)稱密鑰解密交易請(qǐng)求數(shù)據(jù)，并用與銀行核心系統(tǒng)約定的對(duì)稱密鑰加密交易請(qǐng)求數(shù)據(jù)，并將請(qǐng)求發(fā)送給銀行核心系統(tǒng)。由核心業(yè)務(wù)系統(tǒng)完成交易數(shù)據(jù)的驗(yàn)證，從而實(shí)現(xiàn)網(wǎng)上銀行系統(tǒng)交易的完整安全校驗(yàn)過(guò)程。

admin

收藏 海報(bào)分享