WAP手机银行安全体系的分析与应用
/01 手机银行
安全体系的分析与应用
交通银行郑州分行 翟好
解放军信息
大学国家数字交换系统工程技术研究中心 贺惠萍 裘鸿林
另外,!%&676 不支持身份鉴别和抗抵赖,无法识别 一、问
的提出
用户身份,更不支持数字签名。当然,为了改进上述不
足,%&678 增加了 5(%& 5<31*19 2<,,无线应 ’:’!!;!; 伴随着我国手机用户数的不断攀升和互联网的飞用 协 议 识 别 模 块 ) 和 #$+*1 =+912 %&5 #*+0+9 /..(!;速发展,人们对手机等移动终端与互联网进行资源共享
(#$/+*1 加密 %&5 函数库),但这仍不足以形成一个 !;.&)%、智能手机等 的要求越来越迫切。手机银行是利用
有效的安全体系。 移动通信终端,通过 %&(*+, %,*01*23 &+2124 ’’--../!!
相对于有线通信,无线通信更容易受到攻击者的攻 /2,,无线应用
)来办理银行业务的方式。!%& 定义
击。加之手机银行通信的特殊性(即跨越无线和有线网 了一个分层的、可扩展的体系结构,为无线设备与 531+4 ’
络),如何采取安全措施保证无线网络上数据传输的安 3’1 互联提供了全面的解决
。
全,实现安全的无缝连接,保证手机到银行端到端的安 目前,大多数 !%& 网关和手机等终端支持的仍然
全,是开发基于 %& 方式的手机银行必须首先考虑的 !是 !%&676 或 !%&678,其协议结构无法支持端到端的
加密服务,当服务端要求 $$# 加密时,由于 %&676 中 ! 问题。
的 #$(*+,-- +03-2+1 #09+ $+*19,无线传输层 "’’".’’/:!!
安全协议)和 $$# 协议栈不相互匹配,因此 !%& 网关需
要将 #$ 加密过的数据解密,再转换成 $$# 协议数据 "!
流,这样 ,在 网 关 上 就 会 出 现 明 文 ,从 而 出 现 安 全 漏 洞 二、解决方案(如图 6)。
.2方案介绍
建立一个完善的手机银行安全体系>必须实现保密
性、完整性、真实性和不否认性。为了克服 %&67? 协议 !
"#$ $$# !上不足,交通银行采用了 &@(5 *+,-- &:(,*/ @9 534 !!’’’移动终端 %& 网关 服务器 ’(!! A+0-1+/1:+’,无线公开密钥体制)技术结合 5; 来实现手 !$$# #$ "!
机银行的方案。该方案具有如下特点。
图 01 通信结构 ./
(%)信息加密传输 4)* ("()
在手机到 "&’ 网关的通信中,传输层通过
的 "()* 协议基于 **) 协议,用来保证信息在无线传
* 进行加密,应用层运用证书来进行 +*&、* 算 "(),-输层的安全,能够保证信息数据的完整性、保密性、校验
法加解密。 以及拒绝服务保护。
(.)数据的完整性检验 -.系统体系结构
利用 +*& 算法中的 /012、$,3 算法进行数字摘要 与 C# 系统类似,C# 系统(如图 %所示 )大致由 ’"’以校验其信息的完整性。 以下几个部分组成。
(4)抗否认性
利 用 +*& 和 56789 689< =7>606 中 的 $)*:;;"’
*7?@AB9 函数进行数字签名。 (
基于 C# 和 ()*,我们定义了三种不同的通信 "’"
安全模式,以分别适应不同的安全和业务需求:! 验证
服务器方式的 ()* :=011%。 验证客户端和服务器 ""
端 =7A@ 9证书的 =011。 验证客户端并使用 :()*:.#"
$)*56789 的 17?@(B9 进行签名。 "
:=011!、:=011% 及 :=011. 是 定 义 在 "()* 标 准 中 的
安全需求。其中 ()* :=011% 方式要求客户验证银行端 "
身份,而客户可以是匿名访问的;:=011. 则是银行和客
户需要相互认证对方。 .01 安全简介 */ )移动终端 (!(!)"’C# 移动终端是具有 & 浏览功能的移动设备,它包 "’"’C# 并不是一个全 新 的 ’C# 标 准 , 它 是 传 统 的 含 "#$ 卡。"#$ 卡的目的是将安全功能从手机转移到 ’C# 技术应用于无线环境的优化扩展。"’C# 采用了优 抗篡改的设备中,它可以是智能卡或者 *#$ 卡。"#$ 卡 化的 椭圆曲线加密和压缩的 DE3FG 数字证书,它同 -:: 有自己的处理器,可以在卡上的芯片中实现高强度的
+*&、* 等加解密算法和 012 功能。由于有较大的内 ,-/
据库硬件环境的一致。数据备份的最终目的是保障数据库系统的顺利运
行,因此优秀的数据安全方案不但能够备份数据库的关 *.使用数据卸载工具 /0"12&34
键数据,并且在数据库出现故障甚至损坏时,还能够迅 @A?>%5& 命令是以 // 码格式将数据写到文件或 :(,’
速地恢复数据库系统。从发现故障到完全恢复数据库系 备份介质上,它是 /=D%5EF: 数据库备份的一种工具命令。 统,理想的备份方案耗时不应超过半个工作日。因此,必 用户必须具有 GH( 访问权限或使用 /=D%5EF: 用户登录
须制定完整的数据恢复计划,明确详细的灾难恢复措 才能卸出数据库。在卸出数据库的过程中,@A?:>%5& 进程
以独占方式“?:C7IBFJ? E%@?”封锁数据库,备份期间其他 施,在数据灾难发生之后迅速恢复数据。 用户不能对数据库进行查询、修改及插入操作。@A?:>%5& *.灾难恢复演习
卸出的文件包括数据库模式文件和数据文件,一些出错 无论何种数据安全方案,其最终目的都是灾难发生 信息和警告将写到 @A?:>%5&1%I& 文件中。用 @A?:>%5& 备份 后能够在企业可以接受的时间内快速恢复数据,保证数 的数据必须用 @AFE>%5& 命令恢复。 据库系统的正常运行。这就需要企业数据库在正常运行
.使用 &%5%’&6 命令进行数据备份 -/时进行灾难恢复演习,只有这样才能保证数据备份切实
%==7%6@ 命令以磁盘页为单位,使用二进制形式卸 I可行。实际备份的数据能否在灾难后及时恢复,有待于 出数据,备份效率比 @A?>%5& 高。用户必须具有 GH 访 :(在实践中加以证实,所以恢复演习必不可少。 问权限才能执行 %==7%6@ 命令,%==7%6@ 能把整个数据 II一套有效的 /=D%5EF: 数据库安全策略,主要以灾难 库或表卸载到磁带或磁盘上。%=I=7%6@ 备份的数据必须 备份及恢复方案为核心。因此,我们必须认真制定周密 用 %==7%6@ 命令进行恢复,因为它是以磁盘页大小为单 I的灾难备份和恢复方案,并严格按照方案执行,才能确 元来存储二进制数据,在卸出和装入数据时,它们的页 保 /=D%5EF: 数据库的安全,从而保证企业关键数据的安 尺寸必须相同。
全。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
(上接第 页) !" %5&67 到证书数据库中查找用户证书,验证用户身份。 -
(!)应用服务器
应用服务器向用户提供内容服务#并与银行后台进 三、结束语行通信交易。
下面我们以一个交易为例,来说明该体系结构的交 8229 年,相关组织推出了新一代 (-812 协议。该 )易流程:!用户输入卡号和密码登录手机银行系统,通 协 议 相 对 )(-91: 有 了 较 大 的 改 动 , 其 中 传 输 层 的 过内置在手机中的 $%%& *+ 证书,在手机和网关 ’( ),*+, 安全性标准被已用于安全的端对端数据传输的因 )间建立 *+ 连接,在连接过程中鉴别 *+ 证书的合 ),),特网标准 *+ 所取代。812 协议支持 0*<+ 以及 ,)(-;法性。由 / 入口及 + 协议来鉴别银行服务器中的 -.,,"标准的 、/ 协议,对 + 91 完全向后兼容。更为 **--<:;)01!23 证书的合法性。#由 -/ 入口将请求发送给 (, .’重要的是,由于采用了标准的 协议,所以可以不 ;**-生成用户证书并存放在证书数据库中,然后将证书 ’( 再需要 网关,即手机端可以与服务器端实现直接 (-)的 4$+ 发送给手机端(当然 ’( 也可以发送整个证书)。 的 ;**- 通信。这样,通信的速度得到了极大的提高,同 在手机端与银行端建立信任连接后,用户就可以通
过获得的证书或证书 +,进行交易并对交易数字签名 4$
时由于不需要协议转换,也就不存在所谓的安全漏洞,
实现了真正的端到端安全。