网上交易的安全体系设计

我是一个兵

网上交易的安全体系设计
欢迎阅读 网上交易的安全体系设计
网上交易系统作为开放的网上交易平台,其安全性在整个系统中占有举足轻重的地位。完整的网上交易安全设施应该基于如下考虑:

　　1.网络安全。整个网上交易系统建立在网络基础之上,并且连接到Internet,因此,网络安全是首先需要解决的问题。

　　2.通讯安全。网上的通讯基于Internet,因此需要在通讯过程中保证通讯数据的安全(不被窃听、假冒和修改)。

　　3.应用安全。安全基础设施应该提供一套机制来帮助实现应用的安全实施及交易凭证记录,客户可在此安全基础设施上实现安全的应用。

　　在选择加密技术时,根据金仕达公司对各种专用的(如:密码本加密等)和通用的(如DES加密等)加密方法进行充分的比较后发现,专用的加密算法由于无法进行大规模的攻击试验,因此很难对其安全性进行客观的评价;而通用的加密算法都经过长时间(DES算法在70年代就被提出)、大规模的测试,具有很高的安全可信度。此外,通用的加密算法在系统的可移植性、可扩充性方面都比专用的加密方法具有优势。因此,笔者所要介绍的网上交易安全体系将基于高强度通用加密方法的原则来设计。

　　一、网络安全

　　为了保证网上交易系统的网络安全,保护内部网免受非法用户的侵入,采用防火墙在Internet与内部网之间建立一个安全网关(security gateway)是必要的。

　　所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有两类:标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站,该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网, 另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关 (dual home gateway)则是标准防火墙的扩充,又称堡垒主机(bation host)或应用层网关(applications layer gateway),它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。

　　随着防火墙技术的进步,双家网关的基础上又演化出两种防火墙配置:一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置,顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一途径。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。

　　为了充分有效的保证网上交易系统的网络安全,笔者建议在使用隐蔽智能网关型防火墙的同时,为系统在应用层上增加相应的应用网关以确保系统安全。 (未完待续)

我是一个兵

通信安全

　　目前TCP/IP协议是国际互联网上进行数据传输的常用方式,也成为了网上交易系统的首选。然而,TCP/IP协议并不提供通信安全服务。正是由于这个原因,我们必须使用另外的技术和策略来解决通信安全问题,这一技术就是安全套接层(SSL)。SSL是一种利用公开密钥技术的工业标准,并广泛应用于Intranet和Internet网。SSL提供信息私密、信息完整性、相互认证等三种基本的安全服务。

　　1.信息私密。SSL客户机和SSL服务器之间的所有业务使用在SSL握手过程中建立的密钥和算法进行加密。这样就防止了某些用户通过使用IP Packetsniffer工具非法窃听。尽管Packetsniffer仍能捕捉到通信的内容,但却无法破译。通过使用公开密钥和对称密钥技术可以达到信息私密。

　　2.信息完整性。如果Internet成为可行的电子商业平台,应确保服务器和客户机之间的信息内容免受破坏,从而确保SSL业务全部达到目的。SSL利用机密共享和hash函数组提供信息完整性服务。

　　3.相互认证。相互认证是客户机和服务器相互识别的过程,它们的识别号用公开密钥编码,并在SSL握手时交换各自的识别号。要实现SSL,需要对称加密技术、不对称加密技术和不可逆加密技术。

　　三、应用安全

　　通过上面的分析,可以知道SSL为网上交易系统提供了一个安全的通信平台。然而,仅仅在系统中采用SSL还达不到系统安全的目的。这是由于SSL提供安全通道但没有应用层的安全,所有在SSL安全通道上运行应用程序(Web FTP)的用户拥有同样的安全等级。一旦用户凭证进行身份验证建立了安全连接后,加密数据在通道上传输,SSL不提供应用级的访问控制。在SSL模型中,最终用户可以对所访问的Web服务器进行身份验证,但不支持服务器对用户的身份验证。

　　因此,为了实现网上交易系统的安全性,必须建立集中控制的、可以定义的访问信息策略并且通过访问控制表来实施这些策略的用户认证服务。认证服务的另一个功能是用户口令的维护和管理。用户口令是用户用来实现交易委托的唯一认证,因此对它的保护就显得格外重要。认证服务器应实现以下功能:

　　1.黑名单(口令失效)管理。当用户通过书面形式在经纪公司办理了口令遗失手续时,认证服务器应在第一时间将该用户冻结(黑名单登记),并对在该冻结期使用该用户身份的委托进行跟踪记录;当收到停止冻结的指令时,解除对该用户的冻结(黑名单撤销)。

　　2.用户安全策略管理。认证服务为每个用户创建各自的安全策略,设定其安全等级和对各个站点内容的访问权限;用户只有在获取了相应的安全策略后才能进入系统,并根据安全策略中指定的访问权限对站点进行访问。

　　3.口令维护。口令维护主要包括口令转换和口令缓存。口令转换将通过SSL传递给认证服务器的口令格式转换为经纪公司系统中的口令格式,并提交给经纪公司对口令进行验证。

　　4.跟踪和示警。对系统中一些有关安全方面的异常情况进行跟踪,并向安全管理员发出警告信息,比如某用户频繁输错口令等。

　　最后需要指出的是,网络安全和数据保护的防范措施都有一定的限度,并不是越安全就越可靠。因而,在建立一个安全可靠的网上交易平台时不仅要依靠先进的安全手段,而更重要的是对该网络所采取的各种措施,其中不光是物理防范,还有人员素质、操作规范等其他“软”因素,进行综合管理,才能保证网上交易系统的安全运行。