專利名稱:網(wǎng)銀大道及其架構(gòu)門的方法
技術(shù)領(lǐng)域:
本方案涉及到通過互聯(lián)網(wǎng)絡(luò)完成銀行業(yè)務(wù)的信息交互存在的不安全�,涉及到網(wǎng)銀應(yīng)用PC作為終端�,產(chǎn)生了一種PC架構(gòu)開放特征在網(wǎng)銀用戶系統(tǒng)平臺應(yīng)用中成為缺陷而引起的基礎(chǔ)安全漏洞,涉及到“截止到本方案提出為止��,國際上為確保網(wǎng)絡(luò)銀行的交互安全所采用的最高安全級別架構(gòu)——數(shù)字簽名��、CA認證��、用戶認證介質(zhì)已采用微型固件系統(tǒng)(USB Key�����、IC卡等)、用戶的數(shù)字簽名已在微系統(tǒng)中進行”的不安全性�,特別涉及到現(xiàn)有最高安全等級架構(gòu)的基礎(chǔ)漏洞產(chǎn)生的被攻擊與侵入的危害����。
見圖1~13��。
背景技術(shù):
現(xiàn)行的網(wǎng)上銀行,是將業(yè)務(wù)與互聯(lián)網(wǎng)結(jié)合,通過互聯(lián)網(wǎng)實施業(yè)務(wù)信息交互����。
互聯(lián)網(wǎng)通信平臺是以PC為用戶端點��、局(行)端服務(wù)器為節(jié)點的信息系統(tǒng)�����,其自身最不成熟的技術(shù)領(lǐng)域是安全���,這一點是網(wǎng)銀存在的最為嚴重的問題��。銀行拓展業(yè)務(wù)�,安全性是三大原則(安全性、贏利性�����、流動性)之首�,對于網(wǎng)銀的興衰成敗有著舉足輕重的意義。
一.現(xiàn)有的網(wǎng)銀安全架構(gòu)分析現(xiàn)有的網(wǎng)銀����,使用“安全系統(tǒng)策略”的理論工具,安全域可劃分為三大區(qū)域��。
外部區(qū)域網(wǎng)銀的用戶���,安裝網(wǎng)銀客戶端���,通過internet訪問網(wǎng)銀�;安全區(qū)域1網(wǎng)銀訪問子網(wǎng),主要提供客戶的web訪問和證書認證�;安全區(qū)域2網(wǎng)銀業(yè)務(wù)系統(tǒng),主要進行網(wǎng)銀的業(yè)務(wù)處理����?��!?這種分析與設(shè)計網(wǎng)銀安全系統(tǒng)的理論工具,只是建立了網(wǎng)銀業(yè)務(wù)架構(gòu)將系統(tǒng)的安全目標����,確定為保證系統(tǒng)業(yè)務(wù)秩序,劃分為二個工作階段���。
第一階段��,稱為系統(tǒng)業(yè)務(wù)階段���,實現(xiàn)業(yè)務(wù)功能系統(tǒng)的完備。
第二階段����,稱為保障架構(gòu)階段,結(jié)合了設(shè)計者對于系統(tǒng)功能理解的安全域劃分�,采用安全策略確保系統(tǒng)業(yè)務(wù)秩序,實現(xiàn)防護了破壞該秩序的架構(gòu)作用�。
使用現(xiàn)有的理論工具,網(wǎng)銀安全能夠達到《計算機信息系統(tǒng)安全保護等級劃分準則GB17859-1999》的第四級結(jié)構(gòu)化保護級�。
結(jié)構(gòu)化保護級���,實現(xiàn)了業(yè)務(wù)架構(gòu)的完備,對于基礎(chǔ)架構(gòu)安全漏洞是無效的�。經(jīng)網(wǎng)銀大盜的攻防實踐檢驗,證明“安全系統(tǒng)策略”存在弊端�,其先前認為安全的“SSL+ID+口令”體制已被攻破,侵入網(wǎng)銀�����,盜取了帳戶金���。該理論認為“SSL+CA認證”是安全的�,實際上也將被網(wǎng)銀旁道攻破(見后)��。為此�,作者發(fā)明了“基礎(chǔ)架構(gòu)安全”的理論工具(簡稱架構(gòu)安全理論、安全架構(gòu)理論)���。將分析與設(shè)計安全功能的系統(tǒng)理論工具����,分離為確保業(yè)務(wù)秩序安全與確?���;A(chǔ)架構(gòu)安全二部分,分別實現(xiàn)保障架構(gòu)與安全架構(gòu)��。以下采用“基礎(chǔ)架構(gòu)安全”的理論工具�,進行解釋、分析與設(shè)計���。
“基礎(chǔ)架構(gòu)安全”的理論工具�����,劃分為三個工作階段�����。
第一階段��,安全架構(gòu)描述階段首先將業(yè)務(wù)功能的基礎(chǔ)構(gòu)件�,按照安全作用重新定義各自的安全功能���,得出業(yè)務(wù)與安全雙功能的基礎(chǔ)構(gòu)件�����。其物理組成與業(yè)務(wù)邏輯不變�����,按照安全作用重新架構(gòu)為業(yè)務(wù)與安全雙功能的架構(gòu)��,綜合考察雙功能的基礎(chǔ)構(gòu)件�,業(yè)務(wù)核心為內(nèi)核,傳輸系統(tǒng)為環(huán)繞內(nèi)核的第一中間開放帶�,終端(用戶PC系統(tǒng)、攻擊者PC系統(tǒng)���、包括模擬其行為的其它局端)為環(huán)繞第一中間開放帶的第二中間開放帶�����,使用者(用戶與攻擊者)為外圍包圍終端的開放空間���。
考察基礎(chǔ)構(gòu)件中的安全功能的部分,內(nèi)核����,第一中間開放帶,第二中間開放帶���,外圍開放空間�����,形成安全架構(gòu)����。攻擊與侵入的路徑����,是“外圍開放空間→第二中間開放帶→第一中間開放帶→內(nèi)核”。
第二階段��,稱為架構(gòu)“塊”“條”階段�,安全架構(gòu)由基礎(chǔ)構(gòu)件物理組成,基礎(chǔ)構(gòu)件可再劃分為塊與條的邏輯作用�����。實現(xiàn)安全構(gòu)件功能系統(tǒng)的完備����。
第三階段,稱為架構(gòu)優(yōu)化階段��,結(jié)合了更多對于系統(tǒng)功能與架構(gòu)的優(yōu)化理論,采用更多創(chuàng)新技術(shù)���,實現(xiàn)基礎(chǔ)架構(gòu)安全的各個領(lǐng)域的優(yōu)化���。
采用該理論工具,重新認識“現(xiàn)有的網(wǎng)銀”※2��,作安全架構(gòu)分析如下���。
可將網(wǎng)銀業(yè)務(wù)功能架構(gòu)劃分為四大區(qū)域分布系統(tǒng)(也稱業(yè)務(wù)功能基礎(chǔ)構(gòu)件四大部分����、四大業(yè)務(wù)功能構(gòu)件)���,主機��,傳輸�����,終端����,使用者。其主機系統(tǒng)與網(wǎng)銀相關(guān)部分可以再細分為三個子系統(tǒng)行端網(wǎng)銀系統(tǒng)����、前置系統(tǒng)與帳務(wù)系統(tǒng)��。
1.安全架構(gòu)雙功能的架構(gòu)�,主機系統(tǒng)為內(nèi)核,傳輸系統(tǒng)為第一中間開放帶���,終端為第二中間開放帶����,使用者為外圍開放空間����。見圖1。
考察其中的安全架構(gòu)���,見圖2���。
2.塊安全架構(gòu)以塊安全為分析手段,可以更清晰的了解四大區(qū)域系統(tǒng)基礎(chǔ)安全,更容易理解其技術(shù)作用與原理��。見圖3�。
針對第三方介入的攻擊,采取的塊安全措施描述如下(1)在保護主機系統(tǒng)上設(shè)立六重(六加一重)防線◆設(shè)立防火墻����,隔離相關(guān)網(wǎng)絡(luò)。
◆高安全級的Web應(yīng)用服務(wù)器◆24小時實時安全監(jiān)控◆遠程數(shù)據(jù)鏡像災(zāi)備系統(tǒng)◆“SSL加密與交易數(shù)據(jù)數(shù)字簽名”的防護站◆訪問控制◆網(wǎng)銀落地(國內(nèi)銀行采用)�����。
(2)保護傳輸系統(tǒng)設(shè)立二重防線◆會話加密◆數(shù)字簽名(3)保護用戶PC系統(tǒng)上設(shè)立二重防線◆安全程序采用微軟的安全控件�、軟件防火墻與殺毒軟件保證PC運行的安全。
◆“SSL加密與交易數(shù)據(jù)數(shù)字簽名”的防護站(4)保護用戶(用戶持有的認證介質(zhì))上設(shè)立四重防線◆認證介質(zhì)物理管制認證介質(zhì)可物理脫離�,由用戶管制。
◆設(shè)定認證介質(zhì)PIN用戶任意設(shè)定密碼(PIN)制度(如IC卡內(nèi)置PIN����,證明用戶身份)。
◆認證介質(zhì)PIN訪問控制登錄用戶認證介質(zhì)���,采用PIN登錄制度�。如果不能夠提供PIN��,則不能夠獲得訪問用戶認證介質(zhì)的權(quán)限。
◆認證介質(zhì)物理雙隔離目前�����,最高安全級別的產(chǎn)品���,是將私鑰與數(shù)字證書等安全核心軟件的核心運行過程(“數(shù)字簽名”)也一同放置在微型固件中��,保證安全核心數(shù)據(jù)與運行雙隔離����,不出現(xiàn)在PC內(nèi)存����。
3.條安全架構(gòu)依據(jù)塊安全措施支持條安全的技術(shù)原理���,網(wǎng)銀應(yīng)用層數(shù)據(jù)流程的結(jié)構(gòu)為基礎(chǔ)����,嵌入安全條���,其認證介質(zhì)為現(xiàn)有的最高安全級別雙隔離級�����,設(shè)計的網(wǎng)銀應(yīng)用層數(shù)據(jù)流程條架構(gòu)�,見圖4。
針對利用用戶系統(tǒng)對帳戶金的攻擊�����,采取的條安全措施描述如下◆安全條為PKI技術(shù)會話加密采用SSL協(xié)議族����,數(shù)字簽名采用SET協(xié)議族。
◆CA認證簡化SET后保留的核心部分�����。亦稱PKI CA體系���,或Non-SET CA體系�����。
CA認證業(yè)�����,無論銀行自建CA還是公信力第三方建CA�����,都采用向各種細分市場滲透�����、不同種類的用戶頒發(fā)不同種類的數(shù)字證書的市場策略在推進網(wǎng)銀安全性時�����,保留了SET采用的對客戶認證的“數(shù)字證書��、數(shù)字簽名�����、數(shù)字信封���、數(shù)字時間戳”等核心技術(shù),暫時隱去了對商家身份的認證��,這對于需要安全支付貨幣的網(wǎng)銀來講���,是采用了最為高深的技術(shù)原理與最為復(fù)雜的技術(shù)方案來確保安全�。以行業(yè)的可信賴性及權(quán)威性支持網(wǎng)銀業(yè)務(wù)的應(yīng)用及其它安全管理業(yè)務(wù)的應(yīng)用。
二.現(xiàn)有的網(wǎng)銀安全架構(gòu)漏洞及其分析2004年4月13日�、2004年6月2日、2004年6月8日江民科技反病毒中心截獲并公布的網(wǎng)銀大盜共計有三個版本網(wǎng)銀大盜1(Trojan/PSW.HidWebmon)����,網(wǎng)銀大盜2(Trojan/KeyLog.Dingxa),網(wǎng)銀大盜3(TrojanSpy.Elelist)※3�。
網(wǎng)銀大盜侵入狀況“2004年4月,網(wǎng)銀大盜1的四個制造和傳播者已竊取了4.8萬元現(xiàn)金��?���!薄?“長沙市雨花區(qū)法院開庭審理我國首例利用木馬病毒盜竊網(wǎng)絡(luò)銀行資金案。檢察機關(guān)指控��,被告人在2003年12月至2004年2月初���,通過發(fā)送電子郵件等方式�����,利用植入的木馬病毒竊取受害人劉某�、黃某、陳某等人的招商銀行和民生銀行的帳戶及密碼�,先后從中支取2萬余元,還將5萬余元轉(zhuǎn)入郵政儲蓄所劉某���、趙某的帳戶���。今年3月1日,兩人通過同樣手段竊取了1萬元����。”※4由于中國的網(wǎng)銀安全技術(shù)水準緊跟國際一流���,因此��,以上提供的個案����,對于全球網(wǎng)銀的漏洞分析����,作用是相同的���。分析如下�。
被其攻擊的網(wǎng)銀,嵌入交互的安全條的技術(shù)對策是SSL協(xié)議族的作用是可以建立保密的傳輸通道�����,這樣用戶系統(tǒng)與web server之間傳輸?shù)南⒈闶恰鞍踩摹?����?;凇斑@種安全”,用戶向用戶系統(tǒng)提交的“帳號和密碼”���,通過SSL通道傳達銀行接受并審驗��,形成支配帳戶金的身份認證制度��。
網(wǎng)銀大盜族采用的技術(shù)原理是一個游歷狀漏洞塊的Key記錄程序�,當它檢測到用戶在網(wǎng)上銀行網(wǎng)頁上進行支付或轉(zhuǎn)帳等操作時�,就會記錄當前的鍵盤輸入,然后發(fā)送到病毒作者指定的服務(wù)器上���?��!?進一步分析網(wǎng)銀大盜族���,攻擊SSL協(xié)議族的技術(shù)方針是在用戶系統(tǒng)將“帳號和密碼”被加密前將其取走,SSL協(xié)議族就形同虛設(shè)�����。
作條不安全性分析不是條本身的SSL不安全���,是用戶PC系統(tǒng)塊不安全導(dǎo)致的條不安全��。見圖5�����。
作用戶PC系統(tǒng)塊不安全性分析網(wǎng)銀應(yīng)用PC作為終端�����,產(chǎn)生了基礎(chǔ)架構(gòu)性的安全漏洞�����,該漏洞產(chǎn)生的模式是一種PC架構(gòu)開放特征在網(wǎng)銀用戶系統(tǒng)平臺應(yīng)用中成為缺陷而引起的基礎(chǔ)安全漏洞(即網(wǎng)銀PC漏洞���、網(wǎng)銀基礎(chǔ)漏洞),具體而言���,是由于PC采用的“馮·諾依曼架構(gòu)”存在固有的開放性�,導(dǎo)致“可以任意的改變軟件��、實現(xiàn)任意的改變執(zhí)行的邏輯����、再實現(xiàn)任意的改變計算結(jié)果”,成為“PC開放漏洞”(即PC漏洞����、基礎(chǔ)漏洞),從PC誕生起存在至今���。見圖6�。
從設(shè)計架構(gòu)的角度看��,選擇開放的終端來架構(gòu)網(wǎng)銀��,是犯了架構(gòu)安全的技術(shù)錯誤。但PC已成為事實標準的用戶系統(tǒng)平臺�,除了這種錯誤的用戶系統(tǒng)平臺可供選擇為架構(gòu)的用戶終端基礎(chǔ)構(gòu)件,沒有其它候選的用戶平臺可供選擇�����,用以替代已占領(lǐng)市場的10億數(shù)量級的PC終端�����。架構(gòu)網(wǎng)銀用戶系統(tǒng)平臺的現(xiàn)實是要么沒適宜的終端可用���,要用的是存在漏洞的PC�。設(shè)計者不得不將網(wǎng)銀架構(gòu)在錯誤的安全架構(gòu)���、被迫接受了錯誤的用戶平臺�����。這種不得已順從市場現(xiàn)狀從而違背網(wǎng)銀架構(gòu)安全技術(shù)原則的錯誤�,導(dǎo)致網(wǎng)銀安全架構(gòu)的固有漏洞(即網(wǎng)銀安全架構(gòu)漏洞��、網(wǎng)銀基礎(chǔ)架構(gòu)安全漏洞�,簡稱網(wǎng)銀架構(gòu)漏洞)���,該漏洞是網(wǎng)銀被攻擊與侵入的一種基礎(chǔ)的有效途徑。見圖7��。
三.現(xiàn)有的網(wǎng)銀安全架構(gòu)漏洞的危害通過攻擊網(wǎng)銀用戶PC系統(tǒng)固有的基礎(chǔ)漏洞可以侵入該用戶的網(wǎng)銀交易進程��,產(chǎn)生的危害是使得用戶網(wǎng)銀的事務(wù)進程的看似不改變與程序進程的暗中任意改變���,破壞交易流程與數(shù)據(jù)走向的秩序,盜竊該用戶的帳戶金����。見圖6、7�����。
網(wǎng)銀大盜族的侵入經(jīng)主流媒體的公開報道��,使得“馮·諾依曼架構(gòu)”的基礎(chǔ)漏洞已公開暴露��。如此龐大的銀行安全漏洞�����,其后果不堪設(shè)想。不但直接危害到國家�、公共和私人的銀行財富,還危害到網(wǎng)銀的發(fā)展����,最終將危害到國家甚至國際的經(jīng)濟運行。
四.已有的信息技術(shù)安全措施的無效已有的PC信息技術(shù)安全措施����,區(qū)分為硬件、軟件或兩種件組成的系統(tǒng)�����。硬件都是包含有該開放性�、建立在其基礎(chǔ)之上的,并且漏洞可以設(shè)定存在于PC界面系統(tǒng)與安全措施軟件之間的真實數(shù)據(jù)處理軟件中��,使得該安全漏洞無法解決��,稱為解決PC漏洞措施無效���。
從PC誕生起存在至今的PC漏洞以及解決措施無效��,使得網(wǎng)銀的基礎(chǔ)架構(gòu)產(chǎn)生了安全漏洞��。國際上的銀行業(yè)與網(wǎng)銀技術(shù)界針對這種網(wǎng)銀架構(gòu)漏洞不得不采取的解決措施�����,是利用防攻雙方技術(shù)等級的不對稱性作為抵抗攻擊的唯一壁壘不斷采用更為高深的技術(shù)原理與更為復(fù)雜的技術(shù)方案��。這只是治標之技���,非治本之策。
目前采用的CA認證���,已經(jīng)是當今最為高深的技術(shù)原理與最為復(fù)雜的技術(shù)方案����。網(wǎng)銀大盜族的侵入表明研究者通過對于銀行業(yè)務(wù)�����、網(wǎng)銀業(yè)務(wù)��、互聯(lián)網(wǎng)與信息安全技術(shù)�����、PC平臺、PKI��、SSL深入研究�����,歸納綜合出網(wǎng)銀安全架構(gòu)的不完備——安全基礎(chǔ)架構(gòu)存在PC漏洞�,已侵入網(wǎng)銀,竊取帳戶金�。更進一步深入研究透SET,使用網(wǎng)銀旁道再次侵入網(wǎng)銀�����,只是費以時日�����。稱為解決網(wǎng)銀架構(gòu)漏洞措施無效��。
通過網(wǎng)銀架構(gòu)漏洞����,針對最高安全級別架構(gòu)的CA認證的攻擊,侵入網(wǎng)銀�,篡改核心數(shù)據(jù)���,實現(xiàn)盜竊該用戶的帳戶金,稱為網(wǎng)銀旁道�����。
網(wǎng)銀旁道的技術(shù)實施方針是帳號(甚至于額度)被數(shù)字簽名前變更��,數(shù)字簽名與CA認證就形同虛設(shè)���。
網(wǎng)銀旁道的技術(shù)原理是利用馮·諾依曼架構(gòu)的開放性,在用戶PC上�,植入一個中間件程序。
當用戶向用戶PC系統(tǒng)鍵入網(wǎng)銀數(shù)據(jù)(鍵入流程)�����,在界面與操作間�����,中間件程序?qū)斍暗逆I盤輸入送顯示����,將目標帳戶與支付額度篡改成網(wǎng)銀旁道數(shù)據(jù)送核心數(shù)字認證運行過程(數(shù)字簽名���、數(shù)字信封、數(shù)字時間戳)���。
網(wǎng)銀向用戶PC系統(tǒng)發(fā)送數(shù)據(jù)(回復(fù)流程)��,鍵入流程中原送顯示的數(shù)據(jù)回復(fù)流程再送顯示��,替代回復(fù)中流程顯示的來自網(wǎng)銀的數(shù)據(jù)(已被盜改成網(wǎng)銀旁道輸入的數(shù)據(jù))�����。
見圖8發(fā)明內(nèi)容一.所要解決的技術(shù)問題目前采用的CA認證��,已是當今最為高深的技術(shù)原理與最為復(fù)雜的技術(shù)方案����。如果不采取治本之策�,網(wǎng)銀已無治標之技了當“攻擊SET協(xié)議族的技術(shù)個案”成功后,在殺毒公司沒有查找到病毒技術(shù)特征時��,要么網(wǎng)銀資金不安全�����,要么網(wǎng)銀關(guān)閉。當“攻擊SET協(xié)議族的技術(shù)方案”初次成功后��,網(wǎng)銀資金安全將永遠受“變種攻擊SET協(xié)議族的技術(shù)方案”的威脅���。
必須實現(xiàn)治本之策��,解決從PC誕生起存在至今的基礎(chǔ)漏洞對于網(wǎng)銀安全架構(gòu)的危害用戶PC系統(tǒng)“可以任意的改變軟件���、實現(xiàn)任意的改變執(zhí)行的邏輯、再實現(xiàn)任意的改變計算結(jié)果”�����,可以侵入網(wǎng)銀該用戶的交易進程���,破壞交易流程與數(shù)據(jù)走向的秩序,盜竊用戶的帳戶金����。
使得網(wǎng)銀安全能夠從《GB 17859-1999》的第四級上升為高于第五級(最高級)。
見圖1~8�。
二.技術(shù)方案在網(wǎng)銀的不可信賴的帳務(wù)通訊數(shù)據(jù)路由中,設(shè)立可信賴的通道門及其用戶實時鑰匙控制通道門的運作�,所有網(wǎng)銀協(xié)約額度支配帳戶金指令受帳戶所有者控制�����,使得用戶PC系統(tǒng)“可以任意的改變軟件�����、實現(xiàn)任意的改變執(zhí)行的邏輯���、再實現(xiàn)任意的改變計算結(jié)果”的現(xiàn)實不改變的狀況下,實現(xiàn)網(wǎng)銀的安全基礎(chǔ)架構(gòu)門攔截�、寄存“原有的事務(wù)進程與程序進程”組成的網(wǎng)銀轉(zhuǎn)帳交易進程中(以下簡稱原進程)的全部協(xié)約額度標準交易格式帳務(wù)數(shù)據(jù)(以下簡稱帳務(wù)數(shù)據(jù),帳務(wù)數(shù)據(jù)的核心部分是受益帳戶與額度�����,即支配帳戶金權(quán)益的核心數(shù)據(jù)���,簡稱核心數(shù)據(jù))���,包括可能存在的被攻擊與侵入者利用安全架構(gòu)基礎(chǔ)漏洞任意改變軟件產(chǎn)生的篡改帳務(wù)數(shù)據(jù)、改變支配帳戶金權(quán)益的數(shù)據(jù)�,從可信賴的通道實時將核心數(shù)據(jù)發(fā)送到可信賴用戶終端由用戶核實,回接用戶使用微代碼認證產(chǎn)生的身份認證與支配帳戶金的核心數(shù)據(jù),身份確認條件下依據(jù)支配帳戶金指令的一致性最終結(jié)論���,繼續(xù)工作�,處理該被核實的核心數(shù)據(jù)與相關(guān)數(shù)據(jù)���,門進程終止轉(zhuǎn)繼續(xù)匹配原進程或終止原進程轉(zhuǎn)門進程繼續(xù)直至結(jié)束���。
見圖9~13。
三.有益效果針對PC漏洞在網(wǎng)銀架構(gòu)中產(chǎn)生漏洞導(dǎo)致的不安全及其危害����,本發(fā)明開拓性建立新的技術(shù)方案,所建立解決該漏洞危害的核心方法���,其區(qū)別于現(xiàn)有的安全方法�����,其安全作用不在于采用更為高深的技術(shù)原理與更為復(fù)雜的技術(shù)方案,當已經(jīng)采用技術(shù)的高深與復(fù)雜為公眾知曉后被攻擊與侵入只是時間開銷而已�����;也不在于能夠隔離、堵塞與消除基礎(chǔ)漏洞����,從而必須替換已成為事實標準的用戶系統(tǒng)平臺的PC,導(dǎo)致無市場實施可能����;而在于能夠隔離、堵塞與消除PC漏洞在網(wǎng)銀安全架構(gòu)中產(chǎn)生的不安全與危害作用(以下簡稱網(wǎng)銀PC漏洞危害)��,可以為網(wǎng)銀建立安全基礎(chǔ)架構(gòu)���,當出現(xiàn)利用基礎(chǔ)漏洞攻擊網(wǎng)銀架構(gòu)安全缺陷直至侵入���,可以剔除該進程的盜用帳戶金的子進程,在侵入產(chǎn)生危害前將其終止���,從而確保網(wǎng)銀支配帳戶金的核心數(shù)據(jù)交互大道的安全通暢�����。
這種開拓性的方法����,依據(jù)其安全作用、功能��,并采用核心詞組�����、象形命名����,稱為網(wǎng)銀大道(專業(yè)命名,英文���,全稱The e-Banking Road�,簡稱The Road)�����。
見圖13����。
網(wǎng)銀大道,實現(xiàn)了安全架構(gòu)的完備�,網(wǎng)銀安全能夠達到高于《GB 17859-1999》的第五級訪問驗證保護級。
圖1是解釋現(xiàn)有網(wǎng)銀業(yè)務(wù)與安全雙功能架構(gòu)�。
圖2是解釋現(xiàn)有網(wǎng)銀安全架構(gòu)。
圖3是解釋現(xiàn)有網(wǎng)銀安全塊架構(gòu)��。
圖4是解釋現(xiàn)有網(wǎng)銀安全條架構(gòu)���。
圖5是分析現(xiàn)有網(wǎng)銀架構(gòu)塊漏洞被網(wǎng)銀大盜族攻擊與侵入的原因���。
圖6是分析網(wǎng)銀PC漏洞。
圖7是分析已有的信息技術(shù)安全措施的無效����。
圖8是分析現(xiàn)有網(wǎng)銀條架構(gòu)漏洞網(wǎng)銀旁道攻擊與侵入的方法。
圖9是網(wǎng)銀大道基礎(chǔ)安全架構(gòu)設(shè)計���。
圖10是網(wǎng)銀大道的結(jié)構(gòu)設(shè)計�����。
圖11是架構(gòu)網(wǎng)銀大道�。
圖12是交易安全門衛(wèi)系統(tǒng)建立在前置系統(tǒng)與帳務(wù)系統(tǒng)間�。
圖13是網(wǎng)銀大道形成的基礎(chǔ)安全架構(gòu)。
具體實施例方式
一.優(yōu)選方式依據(jù)網(wǎng)銀大道所提供的方法�����,所建立的新的基礎(chǔ)安全架構(gòu),四大基礎(chǔ)構(gòu)件部分分布在(用戶)持有系統(tǒng)��、終端系統(tǒng)�����、傳輸系統(tǒng)與主機系統(tǒng)��。用戶持有構(gòu)件采用了中國專利公開的微代碼認證技術(shù)����,用戶終端構(gòu)件主要采用了公共電信營運商提供的可信賴實時通信終端,傳輸系統(tǒng)構(gòu)件是公共電信營運通信網(wǎng)絡(luò)提供的可信賴實時通信路由�����,都為已有的公知技術(shù)的采用�,其難點在于非公知的主機系統(tǒng)構(gòu)件技術(shù)原理,依據(jù)其安全作用����、功能,命名為門基礎(chǔ)架構(gòu)�,從具體的系統(tǒng)工作原理上講,稱為門系統(tǒng)�,簡稱門(專業(yè)命名�,英文��,全稱The e-Banking DoorSystem��,統(tǒng)稱The e-Banking Doors�����,簡稱The Door System����,縮寫The Doors)�����?�?紤]到門系統(tǒng)在整個銀行交易安全的作用與其它業(yè)務(wù)的增值功能����,也可稱交易安全門衛(wèi)系統(tǒng)�。
網(wǎng)銀大道的具體實施方式
,是實現(xiàn)等效的網(wǎng)銀安全基礎(chǔ)架構(gòu)�����,區(qū)分為硬件����、軟件以及兩種件組成的系統(tǒng)工作進程����。
見圖9~13。
1.硬件其硬件是一種攔截�、寄存、核實與處理的裝置���,在網(wǎng)銀架構(gòu)的四大基礎(chǔ)構(gòu)件部分���,分別建立該裝置的部件用戶持有微代碼認證用戶子系統(tǒng),另行建立可信賴用戶終端�����,在傳輸系統(tǒng)建立可信賴路由���,在主機系統(tǒng)帳務(wù)路由安全區(qū)域建立門系統(tǒng)���,形成新的安全基礎(chǔ)架構(gòu)硬件交叉并列于原網(wǎng)銀的基礎(chǔ)架構(gòu)硬件��。
整個硬件能夠支持軟件運行���,共同實現(xiàn)門進程。
硬件的部件要求如下可信賴的通道門����,能夠?qū)崿F(xiàn)可信賴用戶終端��、可信賴路由組成通道���,該通道的行端與門系統(tǒng)對接����。
可信賴用戶終端��,能夠滿足支持可信賴路由��,終端的架構(gòu)是不開放的�,終端的軟件不可隨意改變。
可信賴路由����,能夠?qū)崿F(xiàn)用戶任意協(xié)約指定的電話�����、傳真�����、電傳��、手機��、短信或?qū)>€等的實時通信����。
帳務(wù)路由安全區(qū)域����,能夠滿足選擇網(wǎng)銀的互聯(lián)網(wǎng)接入端口防火墻后與帳務(wù)系統(tǒng)前,作為網(wǎng)銀與帳務(wù)系統(tǒng)間路由必經(jīng)的交互安全區(qū)域�,再選擇交互安全區(qū)域中能夠消除人為破壞的防護安全區(qū)域,作為網(wǎng)銀與帳務(wù)系統(tǒng)間路由必經(jīng)的安全區(qū)域���。
例如���,考慮到門系統(tǒng)在整個銀行交易安全的作用與其它業(yè)務(wù)的增值功能�����,將其建立在前置系統(tǒng)與帳務(wù)系統(tǒng)間�,因此����,門系統(tǒng)也稱為交易安全門衛(wèi)系統(tǒng)。見圖11�、12。
門系統(tǒng)���,能夠滿足門執(zhí)行系統(tǒng)、門認證系統(tǒng)(兩端的微代碼身份認證子系統(tǒng))組成����。
門執(zhí)行系統(tǒng),能夠滿足門衛(wèi)子系統(tǒng)���、預(yù)留身份處理子系統(tǒng)�����、接入通道子系統(tǒng)�����、數(shù)據(jù)倉庫子系統(tǒng)����、人工處理子系統(tǒng)組成。
門認證系統(tǒng)���,能夠滿足與用戶端匹配的行端微代碼認證子系統(tǒng)���,能夠?qū)崿F(xiàn)應(yīng)用了已經(jīng)進入實審的中國專利申請的技術(shù)原理,申請?zhí)?1102840.8�,公布在《中國發(fā)明專利公報》第17卷第34期。
用戶持有微代碼認證用戶子系統(tǒng)���,可以建立在用戶持有的現(xiàn)有的認證介質(zhì)中����,也可以獨立建造��。其體積小于一包香煙����,便于攜帶與保管�����。
2.軟件其軟件是一種攔截�����、寄存����、核實與處理程序��,當“網(wǎng)銀”的協(xié)約額度帳務(wù)數(shù)據(jù)抵達時開始工作����,在原進程插入門進程���,其對于門衛(wèi)����、預(yù)留身份處理�����、接入通道、微代碼認證����、網(wǎng)銀數(shù)據(jù)倉庫、人工處理的各子系統(tǒng)的數(shù)據(jù)交互�����,實現(xiàn)門進程內(nèi)的各數(shù)據(jù)段的通信與處理子進程任務(wù)���,任務(wù)集剔除了利用基礎(chǔ)漏洞攻擊網(wǎng)銀架構(gòu)安全缺陷直至侵入盜用帳戶金的行為與數(shù)據(jù)故障��,實現(xiàn)了交易流程與數(shù)據(jù)走向的安全��。
軟件的任務(wù)要求�,在于具體實現(xiàn)以下描述的門進程及其中各對應(yīng)的子進程任務(wù)要求����。
3.進程兩種件組成的系統(tǒng),其工作體現(xiàn)為進程����。
持有系統(tǒng)�����、終端系統(tǒng)��、傳輸系統(tǒng)新建立的進程�����,都為已有的公知技術(shù)的常規(guī)應(yīng)用���,這兒不再贅述。
以下著重介紹主機系統(tǒng)新建立的進程門硬件��、門軟件組成的門系統(tǒng)�,其工作體現(xiàn)為門進程。
門衛(wèi)子系統(tǒng)是門系統(tǒng)的各子系統(tǒng)的首領(lǐng)���,門進程由門衛(wèi)子系統(tǒng)啟動����、調(diào)度�����、指揮與結(jié)束���。
前置系統(tǒng)通知門衛(wèi)子系統(tǒng)原進程的非協(xié)約額度抵達時放行帳務(wù)數(shù)據(jù)����。
前置系統(tǒng)通知門衛(wèi)子系統(tǒng)原進程的協(xié)約額度抵達時開始工作����,封閉原進程該用戶該次支配帳戶金的指令,啟動門軟件��,開始門進程���,不但自身完成軟件運行���,還包含門系統(tǒng)內(nèi)各子系統(tǒng)的事務(wù)進程與程序進程的調(diào)度與指揮,直至當門進程任務(wù)集表明用戶指令核心數(shù)據(jù)一致��,實現(xiàn)門進程終止轉(zhuǎn)繼續(xù)匹配原進程或終止原進程轉(zhuǎn)門進程繼續(xù)直至結(jié)束���。
當門衛(wèi)子系統(tǒng)針對某用戶某次的協(xié)約額度交易的重復(fù)處理出現(xiàn)“超出設(shè)定范圍的冗余處理繼續(xù)失誤”����,或超越處理權(quán)限,該處理權(quán)限轉(zhuǎn)人工處理子系統(tǒng)�。人工處理子系統(tǒng)排除了失誤或處理后,該處理權(quán)限交回門衛(wèi)子系統(tǒng)���。
各子進程任務(wù)要求如下�����。
當子進程將數(shù)據(jù)傳送進入接受數(shù)據(jù)的子系統(tǒng)(下稱受數(shù)子系統(tǒng))��,受數(shù)子系統(tǒng)開始其子進程工作��,數(shù)據(jù)傳送體現(xiàn)為子進程至子進程�����。
門衛(wèi)子進程1����,能夠?qū)崿F(xiàn)門衛(wèi)子系統(tǒng)攔截到來自前置系統(tǒng)的協(xié)約額度帳務(wù)數(shù)據(jù)并寄存�����,其后將核心數(shù)據(jù)傳送接入通道子進程1,用戶帳戶數(shù)據(jù)傳送接入預(yù)留身份處理子進程��,等待回傳數(shù)據(jù)���,依據(jù)結(jié)果開始后續(xù)門衛(wèi)子進程。
預(yù)留身份處理子進程�,能夠?qū)崿F(xiàn)調(diào)用“與銀行簽約的帳戶所有人或指定帳戶代理人(以下稱用戶)資料”,將ID數(shù)據(jù)傳送進入接入通道子進程1��,指定接入通道等級與地址數(shù)據(jù)傳送進入接入通道子進程2����,將ID數(shù)據(jù)同時傳送微代碼認證子進程。
接入通道子進程1���,能夠?qū)崿F(xiàn)在接入通道子進程2選定的通道使用地址數(shù)據(jù)呼叫����,接通并按通信協(xié)議將“受益帳戶+額度+ID”數(shù)據(jù)傳送用戶�,接受用戶回傳的“受益帳戶+額度+動態(tài)Password”數(shù)據(jù),受益帳戶與額度數(shù)據(jù)傳送門衛(wèi)子進程3��,“ID+動態(tài)Password”數(shù)據(jù)傳送微代碼認證子進程���。
未接通����,再次依據(jù)接入通道子進程2選定的通道呼叫,直至接入通道子進程2指令該用戶呼叫停止�����,寄存的相關(guān)呼叫數(shù)據(jù)銷毀�����。
接入通道子進程2����,能夠?qū)崿F(xiàn)管理門系統(tǒng)對于未接通與重復(fù)未接通的處理權(quán)限。按照從高到低的等級選定通道�,在選定的通道使用地址數(shù)據(jù)呼叫次數(shù),指令接入通道子進程1繼續(xù)呼叫�����,直至在設(shè)定的“呼叫重復(fù)容忍數(shù)”內(nèi)接通�����。
當未接通次數(shù)達到“呼叫重復(fù)容忍數(shù)”,通知門衛(wèi)子進程2���。未接通的處理權(quán)限通過門衛(wèi)子進程2轉(zhuǎn)人工處理子進程1��。
微代碼認證子進程���,能夠?qū)崿F(xiàn)接到預(yù)留身份處理子進程傳送的ID數(shù)據(jù)�����,將“動態(tài)Password”調(diào)用�����、準備��,接到接入通道子進程1傳送的“ID+動態(tài)Password”數(shù)據(jù)��,核對�����,結(jié)果正確傳送門衛(wèi)子進程3�����,結(jié)果錯誤傳送門衛(wèi)子進程5。
門衛(wèi)子進程2�����,能夠?qū)崿F(xiàn)接到通道子進程2的通知��,所有相關(guān)帳務(wù)數(shù)據(jù)都封存��,通知人工處理子進程1�,等待人工處理部門的結(jié)論。
接到人工處理子進程1的結(jié)論���,依據(jù)微代碼認證結(jié)果正確的指令��,傳送門衛(wèi)子進程3����。
門衛(wèi)子進程3�,能夠?qū)崿F(xiàn)接到由用戶核實的核心數(shù)據(jù)、微代碼認證子進程傳送的身份認證結(jié)果�����,微代碼身份認證正確,依據(jù)用戶支配帳戶金指令的一致性執(zhí)行����,用戶指令支付,放行寄存的帳務(wù)數(shù)據(jù)�����,帳務(wù)系統(tǒng)結(jié)算����,按照原規(guī)程完成帳務(wù)交易步驟���;用戶指令拒付����,“大額不一致性額度”內(nèi)寄存的帳務(wù)數(shù)據(jù)銷毀�����,帳務(wù)系統(tǒng)封閉�。
“大額不一致性額度”外,轉(zhuǎn)門衛(wèi)子進程4�。
門衛(wèi)子進程4��,能夠?qū)崿F(xiàn)用戶指令拒付與“大額不一致性額度”外的數(shù)據(jù)���,通知人工處理子進程3,同時�,所有相關(guān)帳務(wù)數(shù)據(jù)都封存,等待人工處理部門的結(jié)論�。
接到人工處理子進程3通知,依據(jù)結(jié)論����,用戶指令支付,放行寄存的帳務(wù)數(shù)據(jù)����,帳務(wù)系統(tǒng)結(jié)算,按照原規(guī)程完成帳務(wù)交易步驟�;用戶指令拒付,寄存的帳務(wù)數(shù)據(jù)銷毀�����,帳務(wù)系統(tǒng)封閉���。
門衛(wèi)子進程5����,能夠?qū)崿F(xiàn)接到微代碼認證子進程傳送的身份認證結(jié)果錯誤,門衛(wèi)子系統(tǒng)仍然將帳務(wù)數(shù)據(jù)寄存���,帳務(wù)系統(tǒng)空閑���。依據(jù)門衛(wèi)子進程6的處理認證結(jié)果錯誤的指令,轉(zhuǎn)接入通道子進程1�����。
接到門衛(wèi)子進程6終止處理認證結(jié)果錯誤的通知���,通知人工處理子進程5,同時�����,所有相關(guān)帳務(wù)數(shù)據(jù)都封存��,等待人工處理部門的結(jié)論�。
接到人工處理子進程5答復(fù),寄存的帳務(wù)數(shù)據(jù)銷毀���,帳務(wù)系統(tǒng)封閉����。
接到人工處理子進程6答復(fù),返回本門衛(wèi)子進程5開始處���。
門衛(wèi)子進程6�����,能夠?qū)崿F(xiàn)管理門系統(tǒng)對于身份認證結(jié)果錯誤與重復(fù)錯誤的處理權(quán)限����。認證結(jié)果錯誤與重復(fù)錯誤�����,指令門衛(wèi)子進程5再次與繼續(xù)微代碼身份認證��。當重復(fù)錯誤次數(shù)達到“重復(fù)錯誤容忍數(shù)”�,通知門衛(wèi)子進程5終止處理認證結(jié)果錯誤,錯誤的處理權(quán)限轉(zhuǎn)人工處理子進程5����。
人工處理子進程1����,能夠?qū)崿F(xiàn)部門(如呼叫中心)專人人工處理��,調(diào)用接入通道子進程1或按通信協(xié)議接通用戶���。
接入通道子進程2遭遇的是非通信故障(如用戶未開機�����、未操作)��,將“受益帳戶+額度+ID”數(shù)據(jù)傳送用戶����,接受用戶回傳的“受益帳戶+額度+動態(tài)Password”數(shù)據(jù)����,“ID+動態(tài)Password”數(shù)據(jù)傳送微代碼認證子系統(tǒng)�����,微代碼認證結(jié)果正確��、受益帳戶與額度數(shù)據(jù)傳送門衛(wèi)子進程2。
微代碼認證結(jié)果錯誤�����,傳送人工處理子進程5��。
接入通道子進程2遭遇的是通信的網(wǎng)絡(luò)�、設(shè)備或終端故障,轉(zhuǎn)人工處理子進程2��。
人工處理子進程2���,能夠?qū)崿F(xiàn)通知服務(wù)商解決通信的網(wǎng)絡(luò)����、設(shè)備或終端故障����。解決后,轉(zhuǎn)人工處理子進程1���。
人工處理子進程3�����,能夠?qū)崿F(xiàn)部門專人人工處理����,調(diào)用接入通道子進程1或按通信協(xié)議接通用戶,將“帳戶+額度+ID”數(shù)據(jù)傳送用戶���,接受用戶回傳的“帳戶+額度+動態(tài)Password”數(shù)據(jù)����,“ID+動態(tài)Password”數(shù)據(jù)傳送微代碼認證子系統(tǒng)����,微代碼認證結(jié)果正確。用戶一致性指令拒付�����,通知門衛(wèi)子進程4���,轉(zhuǎn)人工處理子進程4����。
用戶一致性指令支付����,通知門衛(wèi)子進程4,轉(zhuǎn)人工處理子進程7���。
人工處理子進程4����,能夠?qū)崿F(xiàn)確認為用戶PC誤操作�,轉(zhuǎn)人工處理子進程7。
排除用戶PC誤操作的可能性�,確認非誤操作,轉(zhuǎn)人工處理子進程8��。
微代碼認證結(jié)果錯誤��,傳送人工處理子進程5�。
人工處理子進程5,能夠?qū)崿F(xiàn)確認為微代碼認證用戶子系統(tǒng)故障��、用戶誤操作�,轉(zhuǎn)人工處理子進程6。
排除以上可能性�,可確認為攻擊���,轉(zhuǎn)人工處理子進程8。答復(fù)門衛(wèi)子進程5�。
人工處理子進程6,能夠?qū)崿F(xiàn)采取更換���、培訓(xùn)措施�。答復(fù)門衛(wèi)子進程5���。
人工處理子進程7�����,能夠?qū)崿F(xiàn)結(jié)果通知用戶�,用戶必須給出合理解釋����,答復(fù)記錄在案。
人工處理子進程8���,能夠?qū)崿F(xiàn)結(jié)果通知用戶����、警方、反病毒機構(gòu)等����。
數(shù)據(jù)倉庫子進程�,能夠?qū)崿F(xiàn)適時送達數(shù)據(jù)倉庫子系統(tǒng)的相關(guān)數(shù)據(jù)存檔。
相關(guān)數(shù)據(jù)的種類原進程與門進程的帳務(wù)數(shù)據(jù)���、可信賴的身份認證數(shù)據(jù)����、用戶支配帳戶金的指令數(shù)據(jù)��、人工處理���、其它數(shù)據(jù)等��。
需要說明的是��,用戶端與行端的微代碼認證子進程�,應(yīng)用了已經(jīng)實審的中國專利申請的技術(shù)原理�����,申請?zhí)?1102840.8,公布在《中國發(fā)明專利公報》第17卷第34期��。
以上具體說明了門系統(tǒng)硬件�����、軟件以及兩種件組成的系統(tǒng)的運行���,清楚的表明依據(jù)網(wǎng)銀大道所提供的方法��,具體建立的新基礎(chǔ)安全架構(gòu)的實施方式���,能夠排除PC漏洞在網(wǎng)銀架構(gòu)產(chǎn)生基礎(chǔ)的不安全與危害作用,完善成等效的網(wǎng)銀安全基礎(chǔ)架構(gòu)���。
以上具體說明可見�����,網(wǎng)銀大道使得現(xiàn)有網(wǎng)銀從《GB 17859-1999》“4.4.9條款”(可信路徑上的通信只能由該用戶初始化)�,能夠達到“4.5.9”(可信路徑通信只能由該用戶或計算機信息系統(tǒng)可信計算基激活����,且在邏輯上與其他路徑上的通信相隔離��,且能正確地加以區(qū)分)��,并且高于該第五級的“4.5.7條款”(數(shù)據(jù)完整性��,使用完整性敏感標記來確信信息在傳送中未受損)安全保護要求提供了用戶指令核心數(shù)據(jù)一致性校驗�,避免雖然“使用完整性敏感標記來確信信息在傳送中未受損”�����、但“信息在使用完整性敏感標記前被篡改”的網(wǎng)銀旁道漏洞危害����。
二.輔助方式1.不放棄在用戶的PC上與盜賊爭搶撕殺的原安全技術(shù)架構(gòu)雖然這是不能從根本上解決網(wǎng)銀架構(gòu)漏洞的危害的�����,“銀行先進盜賊跟進”的智力對抗游戲也將永無休止的進行下去�����。但是���,對于已經(jīng)發(fā)現(xiàn)的盜賊行為有遏止蔓延作用���,并將降低路由阻塞��、降低系統(tǒng)消耗�。
2.銀行與用戶簽約��,約定以下帳戶所有人指定的輔助事項(1)帳戶代理人帳戶代理人負責實時鑰匙控制通道門的運作���。
(2)帳務(wù)數(shù)據(jù)中核心數(shù)據(jù)的定義(3)網(wǎng)銀協(xié)約額度網(wǎng)銀協(xié)約額度攔截額度����,大額不一致性額度���。
攔截額度單筆額度����、日累計額度����、指定筆數(shù)累計額度以上。
大額不一致性額度出現(xiàn)網(wǎng)銀指令支付�����、可信賴指令拒付,額度達到協(xié)約大額����,再采用人工處理,判斷最終一致性為支付還是拒付�����。
(4)呼叫重復(fù)容忍數(shù)呼叫未接通����,再次呼叫�����,直至設(shè)定的全部通道的呼叫重復(fù)數(shù)之和——“呼叫重復(fù)容忍數(shù)”�����。
(5)設(shè)定可信賴路由�、可信賴用戶終端。
(6)設(shè)定選定通道等級���、選定通道的實時通信的“呼叫重復(fù)數(shù)”�。
(7)微代碼身份認證“重復(fù)錯誤容忍數(shù)”微代碼身份認證錯誤,再次繼續(xù)微代碼身份認證�����,直至當重復(fù)錯誤次數(shù)達到“重復(fù)錯誤容忍數(shù)”���。
(8)人工處理通信協(xié)議內(nèi)容�。
本發(fā)明可做等同變換RSA令牌系統(tǒng)����,可以作為一種身份認證的微代碼認證的替代系統(tǒng)。
RSA令牌系統(tǒng)���,屬于短代碼認證���,而模程自適應(yīng)是屬于微代碼認證。短代碼認證相對于微代碼認證����,具備如下缺點服務(wù)于相同的客戶時,要消耗大于2個數(shù)量級的系統(tǒng)資源�����,其系統(tǒng)投資及用戶成本也高于2個數(shù)量級。RSA系統(tǒng)在通信網(wǎng)絡(luò)繁忙產(chǎn)生的數(shù)據(jù)延時狀況下����,認證失效。
傳輸系統(tǒng)構(gòu)件采用公共電信營運通信網(wǎng)絡(luò)提供的可信賴實時通信路由����,出于成本考慮,特殊狀況也可以采用專用路由���,甚至專用通信網(wǎng)����。
銀行與用戶簽約的輔助事項�,可以接受用戶再定義�����。
本發(fā)明為基礎(chǔ)可做增值拓展1.網(wǎng)銀光輝大道拓展成Ve-Banking����。
2.網(wǎng)銀燦爛大道拓展成Te-Business。
本發(fā)明引用的參考資料索引清單表※1(下載日期2004年8月21日)
表※2(下載日期2004年7月20日)
表※3(下載日期2004年7月15日)
表※4(下載日期2004年7月20日)
用詞釋疑架構(gòu)(名詞)框架結(jié)構(gòu)。
架構(gòu)(動詞)架設(shè)構(gòu)成�。
三大安全域使用“安全系統(tǒng)策略”理論工具,安全域可劃分為外部區(qū)域�����、安全區(qū)域1�����、安全區(qū)域2�。
網(wǎng)銀業(yè)務(wù)架構(gòu)采用安全策略確保系統(tǒng)業(yè)務(wù)秩序,實現(xiàn)防護了破壞該秩序的架構(gòu)作用����。
四大區(qū)域分布系統(tǒng)按照架構(gòu)安全理論,重新認識網(wǎng)銀�,將網(wǎng)銀業(yè)務(wù)功能架構(gòu)劃分為四大區(qū)域分布的系統(tǒng)(也稱業(yè)務(wù)功能基礎(chǔ)構(gòu)件四大部分、四大業(yè)務(wù)功能構(gòu)件)��。
四大業(yè)務(wù)與安全雙功能的基礎(chǔ)構(gòu)件四大業(yè)務(wù)功能的基礎(chǔ)構(gòu)件�����,按照安全作用重新定義各自的安全功能�。
雙功能的安全架構(gòu)安全架構(gòu)是保障架構(gòu)的再架構(gòu)�����。
四大雙功能的基礎(chǔ)構(gòu)件��,其物理組成與業(yè)務(wù)邏輯不變�����,按照安全作用重新架構(gòu)為四大業(yè)務(wù)與安全雙功能的架構(gòu)�����,主機系統(tǒng)為內(nèi)核�����,傳輸系統(tǒng)為環(huán)繞內(nèi)核的第一中間開放帶�����,終端為環(huán)繞第一中間開放帶的第二中間開放帶,使用者為外圍包圍終端的開放空間��。見圖1����。
四大安全基礎(chǔ)構(gòu)件四大業(yè)務(wù)與安全雙功能的基礎(chǔ)構(gòu)件中的安全基礎(chǔ)構(gòu)件部分�。
PC漏洞由于PC采用的“馮·諾依曼架構(gòu)”存在固有的開放性�����,導(dǎo)致“可以任意的改變軟件�����、實現(xiàn)任意的改變執(zhí)行的邏輯�����、再實現(xiàn)任意的改變計算結(jié)果”����,成為“PC開放漏洞”,即PC漏洞���,從PC誕生起存在至今�����。見圖6�����。
基礎(chǔ)漏洞見PC漏洞���。
解決PC漏洞措施無效已有的PC信息技術(shù)安全措施�����,區(qū)分為硬件��、軟件或兩種件組成的系統(tǒng)�����。硬件都是包含有該開放性���、建立在其基礎(chǔ)之上的,并且漏洞可以設(shè)定存在于PC界面系統(tǒng)與安全措施軟件之間的真實數(shù)據(jù)處理軟件中�,使得該安全漏洞無法解決。
網(wǎng)銀PC漏洞網(wǎng)銀應(yīng)用PC作為終端�����,產(chǎn)生了基礎(chǔ)架構(gòu)性的安全漏洞����,該漏洞產(chǎn)生的模式是一種PC架構(gòu)開放特征在網(wǎng)銀用戶系統(tǒng)平臺應(yīng)用中成為缺陷而引起的基礎(chǔ)安全漏洞,即PC漏洞導(dǎo)致的網(wǎng)銀安全漏洞���。
網(wǎng)銀架構(gòu)漏洞見網(wǎng)銀PC漏洞�。
網(wǎng)銀基礎(chǔ)架構(gòu)安全漏洞見網(wǎng)銀架構(gòu)漏洞��。
網(wǎng)銀PC漏洞危害通過攻擊網(wǎng)銀用戶PC系統(tǒng)固有的基礎(chǔ)漏洞可以侵入該用戶的網(wǎng)銀交易進程���,使得用戶網(wǎng)銀的事務(wù)進程的看似不改變與程序進程的暗中任意改變����,破壞交易流程與數(shù)據(jù)走向的秩序�����,盜竊該用戶的帳戶金�����。見圖6�、7。
解決網(wǎng)銀架構(gòu)漏洞措施無效從PC誕生起存在至今的PC漏洞以及解決措施無效�����,使得網(wǎng)銀的基礎(chǔ)架構(gòu)產(chǎn)生了安全漏洞。國際上的銀行業(yè)與網(wǎng)銀技術(shù)界針對這種網(wǎng)銀架構(gòu)漏洞不得不采取的解決措施�,是利用防攻雙方技術(shù)等級的不對稱性作為抵抗攻擊的唯一壁壘不斷采用更為高深的技術(shù)原理與更為復(fù)雜的技術(shù)方案。這只是治標之技����,非治本之策。
目前采用的CA認證�����,已經(jīng)是當今最為高深的技術(shù)原理與最為復(fù)雜的技術(shù)方案�����。網(wǎng)銀大盜族的侵入表明研究者通過對于銀行業(yè)務(wù)���、網(wǎng)銀業(yè)務(wù)���、互聯(lián)網(wǎng)與信息安全技術(shù)、PC平臺���、PKI����、SSL深入研究,歸納綜合出不完備的網(wǎng)銀安全架構(gòu)——安全基礎(chǔ)架構(gòu)存在PC漏洞����,已侵入網(wǎng)銀�,竊取現(xiàn)金。更進一步深入研究透SET��,使用網(wǎng)銀旁道再次侵入網(wǎng)銀���,只是費以時日�����。
門系統(tǒng)依據(jù)網(wǎng)銀大道所提供的方法�����,所建立的新的基礎(chǔ)安全架構(gòu)����,三大基礎(chǔ)構(gòu)件部分分布在主機系統(tǒng)的構(gòu)件。
交易安全門衛(wèi)系統(tǒng)考慮到門系統(tǒng)在整個銀行交易安全的作用與其它業(yè)務(wù)的增值功能��。
原進程“原有的事務(wù)進程與程序進程”組成的網(wǎng)銀轉(zhuǎn)帳交易進程�����。
門進程主機系統(tǒng)新建立的進程門硬件��、門軟件組成的門系統(tǒng)�����,其工作體現(xiàn)為門進程��。
帳戶所有人開立帳戶與銀行簽約的所有人���。
指定帳戶代理人帳戶所有人與銀行簽約指定的帳戶代理人�����。
帳務(wù)數(shù)據(jù)前置系統(tǒng)傳送給帳務(wù)系統(tǒng)的標準交易格式帳務(wù)數(shù)據(jù)����。
核心數(shù)據(jù)帳務(wù)數(shù)據(jù)的核心部分是受益帳戶與額度����,即支配帳戶金權(quán)益的核心數(shù)據(jù)��。
相關(guān)帳務(wù)數(shù)據(jù)相關(guān)于帳務(wù)數(shù)據(jù)的系統(tǒng)數(shù)據(jù)����。
協(xié)約額度帳務(wù)數(shù)據(jù)銀行與用戶簽約��,約定帳戶所有人指定的帳務(wù)數(shù)據(jù)攔截額度(網(wǎng)銀協(xié)約額度)��。
攔截額度單筆額度�、日累計額度����、指定筆數(shù)累計額度以上。
大額不一致性額度出現(xiàn)網(wǎng)銀指令支付�、可信賴指令拒付,額度達到協(xié)約大額����,需再采用人工處理,判斷最終一致性為支付還是拒付�����。
網(wǎng)銀安全基礎(chǔ)架構(gòu)網(wǎng)銀大道的具體實施方式
,實現(xiàn)等效的網(wǎng)銀安全基礎(chǔ)架構(gòu)�,區(qū)分為硬件、軟件以及兩種件組成的系統(tǒng)工作進程�����。
通用網(wǎng)銀即Ve-Banking����,是Versatile e-Banking的縮寫,意為“通用網(wǎng)絡(luò)銀行”��,用戶通過任何網(wǎng)絡(luò)與信息傳遞方式(柜臺�����、自動柜員機ATM����、POS、電話���、電傳���、傳真����、手機����、Internet,語音��、指令���、短信息�����、Email、網(wǎng)頁交互)����,實時地與銀行交互、完成業(yè)務(wù)需求�����。Ve-Banking是建立金融產(chǎn)品的通用平臺�。
普及電子商務(wù)電子商務(wù)(e-business)的技術(shù)基礎(chǔ)是電子信息交互�、數(shù)據(jù)保密�����、數(shù)據(jù)完整性�、實體鑒別(身份認證)、防止否認(抗抵賴)���、訪問控制��,由于在Internet中被認為已經(jīng)很好地解決了上述問題��,使得電子商務(wù)的應(yīng)用具有了技術(shù)基礎(chǔ)�?�;趥鹘y(tǒng)電訊工具Television& Radio & Telephone & Mobile Telephone & SMS的電子商務(wù)簡稱Te-business����。該類電子商務(wù)是基于面向大眾的普及信息網(wǎng)絡(luò)中進行的,中文稱為普及電子商務(wù)�����。
權(quán)利要求
1.一種實現(xiàn)網(wǎng)銀大道的方法���,其區(qū)別于現(xiàn)有的安全方法�����,核心作用不在于采用更為高深的技術(shù)原理與更為復(fù)雜的技術(shù)方案�����,也不在于能夠隔離�、堵塞與消除基礎(chǔ)漏洞,而在于能夠隔離����、堵塞與消除基礎(chǔ)漏洞的危害作用,可以為網(wǎng)銀建立安全基礎(chǔ)架構(gòu)��,當出現(xiàn)利用基礎(chǔ)漏洞攻擊網(wǎng)銀架構(gòu)安全缺陷直至侵入�,可以剔除該進程盜用帳戶金的子進程��,從而確保網(wǎng)銀支配帳戶金的核心數(shù)據(jù)交互大道的安全通暢��,其特征在于硬軟件組成的系統(tǒng)工作進程���,攔截原進程協(xié)約額度帳務(wù)數(shù)據(jù)并寄存��,其后通過可信賴路由將核心數(shù)據(jù)發(fā)送到可信賴用戶終端由用戶核實�,回接用戶使用微代碼認證產(chǎn)生的身份認證與支配帳戶金的核心數(shù)據(jù),身份確認條件下依據(jù)支配帳戶金指令的一致性繼續(xù)原進程或終止原進程���。
2.依據(jù)權(quán)力要求1所述硬件�����,其特征是用戶持有微代碼認證用戶子系統(tǒng)���,另行建立可信賴用戶終端,在傳輸系統(tǒng)建立可信賴路由��,在主機系統(tǒng)帳務(wù)路由安全區(qū)域建立門系統(tǒng)���,形成新的安全基礎(chǔ)架構(gòu)硬件交叉并列于原網(wǎng)銀的基礎(chǔ)架構(gòu)硬件�,整個硬件能夠支持軟件運行���,共同實現(xiàn)門進程���。
3.依據(jù)權(quán)力要求1所述軟件,其特征是一種攔截����、寄存�����、核實與處理程序�,當“網(wǎng)上銀行”的協(xié)約額度帳務(wù)數(shù)據(jù)抵達時開始工作�,在原進程插入門進程,其對于門衛(wèi)��、預(yù)留身份處理�����、接入通道���、微代碼認證��、網(wǎng)銀數(shù)據(jù)倉庫��、人工處理的各子系統(tǒng)的數(shù)據(jù)交互�,實現(xiàn)門進程內(nèi)的各數(shù)據(jù)段的通信與處理子進程任務(wù)�����,任務(wù)集剔除了利用基礎(chǔ)漏洞攻擊網(wǎng)銀架構(gòu)安全缺陷直至侵入盜用帳戶金的行為與數(shù)據(jù)故障�����,實現(xiàn)了交易流程與數(shù)據(jù)走向的安全��。
4.依據(jù)權(quán)力要求2�、3所述硬軟件組成的門系統(tǒng)工作進程,其特征是門衛(wèi)子系統(tǒng)是門系統(tǒng)的各子系統(tǒng)的首領(lǐng)���,門進程由門衛(wèi)子系統(tǒng)啟動���、調(diào)度、指揮與結(jié)束�。
5.依據(jù)權(quán)力要求4所述門衛(wèi)子系統(tǒng),其特征是前置系統(tǒng)通知門衛(wèi)子系統(tǒng)原進程的非協(xié)約額度抵達時放行帳務(wù)數(shù)據(jù)���。
6.依據(jù)權(quán)力要求4所述門衛(wèi)子系統(tǒng)����,其特征是前置系統(tǒng)通知門衛(wèi)子系統(tǒng)原進程的協(xié)約額度抵達時開始工作��,封閉原進程該用戶該次支配帳戶金的指令,啟動門軟件��,開始門進程����,不但自身完成軟件運行,還包含門系統(tǒng)內(nèi)各子系統(tǒng)的事務(wù)進程與程序進程的調(diào)度與指揮����,直至當門進程任務(wù)集表明用戶指令核心數(shù)據(jù)一致,實現(xiàn)門進程終止轉(zhuǎn)繼續(xù)匹配原進程或終止原進程轉(zhuǎn)門進程繼續(xù)直至結(jié)束�����。
7.依據(jù)權(quán)力要求4所述門衛(wèi)子系統(tǒng)���,其特征是當門衛(wèi)子系統(tǒng)針對指定用戶的指定批次的協(xié)約額度交易的重復(fù)處理出現(xiàn)“超出設(shè)定范圍的冗余處理繼續(xù)失誤”��,或超越處理權(quán)限��,該處理權(quán)限轉(zhuǎn)人工處理子系統(tǒng)����。人工處理子系統(tǒng)排除了失誤或處理后���,該處理權(quán)限交回門衛(wèi)子系統(tǒng)��。
8.依據(jù)權(quán)力要求1所述的微代碼認證��,其特征是應(yīng)用了已經(jīng)實審的中國專利申請的技術(shù)原理�,申請?zhí)?1102840.8����,公布在《中國發(fā)明專利公報》第17卷第34期。
9.依據(jù)權(quán)力要求4所述的系統(tǒng)工作進程�,其特征是以輔助方式支持優(yōu)選方式。
全文摘要
網(wǎng)銀架構(gòu)漏洞�,是被攻擊與侵入的一種基礎(chǔ)的有效途徑。網(wǎng)銀大道�����,不在于采用更為高深與復(fù)雜的技術(shù)�,也不在于能夠清除架構(gòu)漏洞,而在于能夠清除架構(gòu)漏洞產(chǎn)生的危害作用����。網(wǎng)銀大道,是硬軟件組成的門系統(tǒng)進程�����,攔截原進程協(xié)約額度帳務(wù)數(shù)據(jù)并寄存,其后將核心數(shù)據(jù)通過通道門發(fā)送到用戶核實�,回接用戶使用微代碼認證確認的核心數(shù)據(jù),身份確認條件下依據(jù)支配帳戶金指令的一致性繼續(xù)原進程或終止原進程�。具體實施難點,在于主機系統(tǒng)構(gòu)件的非公知技術(shù)原理——架構(gòu)門����。本方法可以為網(wǎng)銀建立安全基礎(chǔ)架構(gòu),可以剔除盜用帳戶金的子進程����,從而確保網(wǎng)銀支配帳戶金的核心數(shù)據(jù)交互大道的安全通暢。
文檔編號H04L12/00GK1588407SQ20041007505
公開日2005年3月2日 申請日期2004年8月26日 優(yōu)先權(quán)日2004年8月26日
發(fā)明者陳衛(wèi)國 申請人:陳衛(wèi)國