LINKS
 

 

[回首页]

金融加密终端实现方案

魏和文

目前国内的金融网络系统多采用广域网,除信息存储和处理外,信息尚需传输,网络实 体防护较为薄弱,利用传输线路或远程终端易于作案,给银行和客户造成损失。针对目前银 行系统末端主要采用终端这一特点,福建实达终端设备有限公司技术人员根据计算机安全理 论,提出STAR金融加密终端实现方案,来保证银行金融系统的安全。STAR系列加密终端自19 96年底提出后,立即引起国内几家银行的关注,并引进试用,经过一年多的完善,目前产品 已进入成熟期,可投入实际应用。

计算机系统的安全性是指不是因人为疏漏和蓄谋作案而使信息泄密、篡改或破坏。它的 中心目标是反篡改和反破坏。计算机系统的安全性可以从四个方面加以控制:存取控制、隔 离控制、加密控制、信息流向控制。其核心为:授权理论和密码学。所以STAR金融加密终端 从计算机安全技术的四个方面对普通终端加以改进、完善系统的安全性。

在现有的金融系统中,终端作为金融主机的主要外设,它本身还带有:密码小键盘、磁 卡读写器、IC卡读写器和串行打印机等外设:密码键盘主要作为银行内部操作人员和客户的 身份和合法性验证:保护信息占有权和操作的合法性;磁卡读写器和IC卡读写器中具有密码 键盘的部分功能,主要作为操作员的身份及权限的确认,以及对磁卡或IC卡上客户信息的存 取;串行打印机主要用来打印凭证,所以金融加密终端的安全性主要考虑以下几个方面:终 端和主机之间数据流的安全、操作员或客户的密码安全、终端及外设的自身安全等。 一、存取控制实现

存取控制原理就是授权理论,授权系统模型由状态和状态转换表述。状态由三元组

Q=(S,O,A)定义,式中

1. S=(S1,……,Sm)为主体集合。授权系统内主体为主动实体。

2. O=(O1,……Om)为客体集合。授权系统内客体为被动并受保护的实体。若主体也当 作客体,则SO。

3. A=(aij)为存取权矩阵。A内元素aij为存取权集合R=(rl,……,rk)的子集,是主体 Si对客体Oj的存取权。

在金融系统中,主体为银行分支机构的主管、操作员、客户、终端等,客体为银行主机 、银行业务程序、数据库等。对银行分支机构的主管、操作员、客户的授权,主要通过密码 来进行,对终端主要通过主机对终端身份识别到的信息进行确认。因此,存取控制的关键在 于:对密码的管理和终端识别信息的确认。

对密码的管理有以下几条原则:

1.密码在传输线不能以明文形式来传输。

2.密码最好以不可见的介质来存(例如,磁卡或IC卡)。

3.终端回应给主机的信息不应该每次都固定不变。

4.密码的授权和对终端的应答信息的初始化的管理要比较严格。

因此,密码的管理和安全很大部分取决于金融系统,对于加密终端,它主要关心的是:

·关键密钥数据以密文形式传送给主机。

·主机对加密终端的身份识别。

第二点很重要,可以防止不法之徒利用银行外的终端设备,侵入银行系统,并可有效及 时查出犯罪活动。其实现为:

对每台使用的终端进行编号,在系统中不允许同一编号的终端在使用,也不允许未在系 统中编号的终端在系统中使用,一经发现马上报警,对终端编号的操作只允许银行分支机构 的主管来进行。

终端回应给主机的信息应以密文形式传送,最好每次应答后,终端身份检验正确后,应 把终端密码改掉,这样,一旦有其他的人盗取终端编号和加密密码后,用其他终端作完非法 操作后,银行中合法的终端上信息和主机的信息不对应,下次开机,主机马上报警,这样就 能及时发现有他人作案。

二、隔离控制实现

隔离控制主要为保护常规的信息,例如密码、存储密码的介质,主机终端等硬件设备。 对于加密终端而言,终端和其外设间信息的隔离,主要通过其外设本身也有安全控制机制, 例如,密码键盘,磁卡读写器和IC卡读写器,本身通过终端传送给主机的信息;因为终端和 其外设都是银行内部自身管理,其必要性可视情况而定。

三、加密控制的实现

加密控制原理基于对手从截获足量信息中不能求出唯一密码解,因此在加密终端和主机 之间采用国际标准的ANST X3.92 DES加密算法,来保证信息加密的可靠性。 四、信息流向控制实现

许多信息泄漏问题并非授权系统失控,而是缺乏信息流向策略所致,后者涉及信息传递 而非授权的转让。为保证信息流向的安全,把客户划分在不同密级并对主体设置相应许可证 。即在银行系统中,对主机和终端间的信息划分安全级,对一般信息不进行加密,对关键的 信息进行加密,这样可减少主机和终端因对数据加密资源的消耗,又能保证信息的安全。

为实现信息流的加密控制,加密终端给主机提供一系列的加密控制命令和整页传输加密 控制命令。

整页传输作业是将屏幕设定为数个保护栏位与非保护栏位,使用者在此作业状态下只能 将资料键入非保护栏位内(不传递主机)。光标的移动及各种清除屏幕指令也只能在非保护栏 内执行而不影响所有保护栏位的资料,资料仅在下达传递指令后才将整页的数据传送给主机 。终端根据主机设定的状态,将整页数据以加密或不加密形式传递给主机。
■

(实达,2000-11-03)