WAP手机银行安全体系的分析与应用

WAP手机银行安全体系的分析与应用 /01 手机银行 安全体系的分析与应用 交通银行郑州分行 翟好 解放军信息大学国家数字交换系统工程技术研究中心 贺惠萍 裘鸿林 另外，!%&676 不支持身份鉴别和抗抵赖，无法识别 一、问的提出 用户身份，更不支持数字签名。当然，为了改进上述不 足，%&678 增加了 5(%& 5<31*19 2<,，无线应 ’:’!!;!; 伴随着我国手机用户数的不断攀升和互联网的飞用 协 议 识 别 模 块 ) 和 #$+*1 =+912 %&5 #*+0+9 /..(!;速发展，人们对手机等移动终端与互联网进行资源共享 (#$/+*1 加密 %&5 函数库)，但这仍不足以形成一个 !;.&)%、智能手机等 的要求越来越迫切。手机银行是利用 有效的安全体系。 移动通信终端，通过 %&(*+, %,*01*23 &+2124 ’’--../!! 相对于有线通信，无线通信更容易受到攻击者的攻 /2,，无线应用)来办理银行业务的方式。!%& 定义 击。加之手机银行通信的特殊性(即跨越无线和有线网 了一个分层的、可扩展的体系结构，为无线设备与 531+4 ’ 络)，如何采取安全措施保证无线网络上数据传输的安 3’1 互联提供了全面的解决。 全，实现安全的无缝连接，保证手机到银行端到端的安 目前，大多数 !%& 网关和手机等终端支持的仍然 全，是开发基于 %& 方式的手机银行必须首先考虑的 !是 !%&676 或 !%&678，其协议结构无法支持端到端的 加密服务，当服务端要求 $$# 加密时，由于 %&676 中 ! 问题。 的 #$(*+,-- +03-2+1 #09+ $+*19，无线传输层 "’’".’’/:!! 安全协议)和 $$# 协议栈不相互匹配，因此 !%& 网关需 要将 #$ 加密过的数据解密，再转换成 $$# 协议数据 "! 流，这样 ，在 网 关 上 就 会 出 现 明 文 ，从 而 出 现 安 全 漏 洞 二、解决方案(如图 6)。 .2方案介绍 建立一个完善的手机银行安全体系>必须实现保密 性、完整性、真实性和不否认性。为了克服 %&67? 协议 ! "#$ $$# !上不足，交通银行采用了 &@(5 *+,-- &:(,*/ @9 534 !!’’’移动终端 %& 网关 服务器 ’(!! A+0-1+/1:+’，无线公开密钥体制)技术结合 5; 来实现手 !$$# #$ "! 机银行的方案。该方案具有如下特点。 图 01 通信结构 ./ (%)信息加密传输 4)* ("() 在手机到 "&’ 网关的通信中，传输层通过的 "()* 协议基于 **) 协议，用来保证信息在无线传 * 进行加密，应用层运用证书来进行 +*&、* 算 "(),-输层的安全，能够保证信息数据的完整性、保密性、校验 法加解密。 以及拒绝服务保护。 (.)数据的完整性检验 -.系统体系结构 利用 +*& 算法中的 /012、$,3 算法进行数字摘要 与 C# 系统类似，C# 系统(如图 %所示 )大致由 ’"’以校验其信息的完整性。 以下几个部分组成。 (4)抗否认性 利 用 +*& 和 56789 689< &# =7>606 中 的 $)*:;;"’ *7?@AB9 函数进行数字签名。 ( 基于 C# 和 ()*，我们定义了三种不同的通信 "’" 安全模式，以分别适应不同的安全和业务需求:! 验证 服务器方式的 ()* :=011%。 验证客户端和服务器 "" 端 =7A@ 9证书的 =011。 验证客户端并使用 :()*:.#" $)*56789 的 17?@(B9 进行签名。 " :=011!、:=011% 及 :=011. 是 定 义 在 "()* 标 准 中 的 安全需求。其中 ()* :=011% 方式要求客户验证银行端 " 身份，而客户可以是匿名访问的;:=011. 则是银行和客 户需要相互认证对方。 .01 安全简介 */ )移动终端 (!(!)"’C# 移动终端是具有 & 浏览功能的移动设备，它包 "’"’C# 并不是一个全 新 的 ’C# 标 准 ， 它 是 传 统 的 含 "#$ 卡。"#$ 卡的目的是将安全功能从手机转移到 ’C# 技术应用于无线环境的优化扩展。"’C# 采用了优 抗篡改的设备中，它可以是智能卡或者 *#$ 卡。"#$ 卡 化的 椭圆曲线加密和压缩的 DE3FG 数字证书，它同 -:: 有自己的处理器，可以在卡上的芯片中实现高强度的 +*&、* 等加解密算法和 012 功能。由于有较大的内 ,-/ 据库硬件环境的一致。数据备份的最终目的是保障数据库系统的顺利运 行，因此优秀的数据安全方案不但能够备份数据库的关 *.使用数据卸载工具 /0"12&34 键数据，并且在数据库出现故障甚至损坏时，还能够迅 @A?>%5& 命令是以 // 码格式将数据写到文件或 :(,’ 速地恢复数据库系统。从发现故障到完全恢复数据库系 备份介质上，它是 /=D%5EF: 数据库备份的一种工具命令。 统，理想的备份方案耗时不应超过半个工作日。因此，必 用户必须具有 GH( 访问权限或使用 /=D%5EF: 用户登录 须制定完整的数据恢复计划，明确详细的灾难恢复措 才能卸出数据库。在卸出数据库的过程中，@A?:>%5& 进程 以独占方式“?:C7IBFJ? E%@?”封锁数据库，备份期间其他 施，在数据灾难发生之后迅速恢复数据。 用户不能对数据库进行查询、修改及插入操作。@A?:>%5& *.灾难恢复演习 卸出的文件包括数据库模式文件和数据文件，一些出错 无论何种数据安全方案，其最终目的都是灾难发生 信息和警告将写到 @A?:>%5&1%I& 文件中。用 @A?:>%5& 备份 后能够在企业可以接受的时间内快速恢复数据，保证数 的数据必须用 @AFE>%5& 命令恢复。 据库系统的正常运行。这就需要企业数据库在正常运行 .使用 &%5%’&6 命令进行数据备份 -/时进行灾难恢复演习，只有这样才能保证数据备份切实 %==7%6@ 命令以磁盘页为单位，使用二进制形式卸 I可行。实际备份的数据能否在灾难后及时恢复，有待于 出数据，备份效率比 @A?>%5& 高。用户必须具有 GH 访 :(在实践中加以证实，所以恢复演习必不可少。 问权限才能执行 %==7%6@ 命令，%==7%6@ 能把整个数据 II一套有效的 /=D%5EF: 数据库安全策略，主要以灾难 库或表卸载到磁带或磁盘上。%=I=7%6@ 备份的数据必须 备份及恢复方案为核心。因此，我们必须认真制定周密 用 %==7%6@ 命令进行恢复，因为它是以磁盘页大小为单 I的灾难备份和恢复方案，并严格按照方案执行，才能确 元来存储二进制数据，在卸出和装入数据时，它们的页 保 /=D%5EF: 数据库的安全，从而保证企业关键数据的安 尺寸必须相同。 全。 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! (上接第 页) !" %5&67 到证书数据库中查找用户证书，验证用户身份。 - (!)应用服务器 应用服务器向用户提供内容服务#并与银行后台进 三、结束语行通信交易。 下面我们以一个交易为例，来说明该体系结构的交 8229 年，相关组织推出了新一代 (-812 协议。该 )易流程:!用户输入卡号和密码登录手机银行系统，通 协 议 相 对 )(-91: 有 了 较 大 的 改 动 ， 其 中 传 输 层 的 过内置在手机中的 $%%& *+ 证书，在手机和网关 ’( ),*+, 安全性标准被已用于安全的端对端数据传输的因 )间建立 *+ 连接，在连接过程中鉴别 *+ 证书的合 ),),特网标准 *+ 所取代。812 协议支持 0*<+ 以及 ,)(-;法性。由 / 入口及 + 协议来鉴别银行服务器中的 -.,,"标准的 、/ 协议，对 + 91 完全向后兼容。更为 **--<:;)01!23 证书的合法性。#由 -/ 入口将请求发送给 (， .’重要的是，由于采用了标准的 协议，所以可以不 ;**-生成用户证书并存放在证书数据库中，然后将证书 ’( 再需要 网关，即手机端可以与服务器端实现直接 (-)的 4$+ 发送给手机端(当然 ’( 也可以发送整个证书)。 的 ;**- 通信。这样，通信的速度得到了极大的提高，同 在手机端与银行端建立信任连接后，用户就可以通 过获得的证书或证书 +，进行交易并对交易数字签名 4$ 时由于不需要协议转换，也就不存在所谓的安全漏洞， 实现了真正的端到端安全。