目前,电子支付、网上银行等电子商务服务在银行业务中所占比重加大,越来越多的客户借助计算机网络交换资金信息。因此保证网络上传递资金信息的安全,防止非法窃取和修改,成为银行网络信息化建设中的重要基础。那么我们今天就来谈谈数据加密技术在银行业的应用。

数据加密技术在银行业的应用

数据加密技术在银行电子商务方面的应用

目前人们开始采用RSA加密技术提高信用卡交易的安全性,从而使电子商务走向实用成为可能。用户在网上进行各种商务活动,可以不必担心自己的卡号和密码会被人盗用。

随着网络的发展,网上银行的业务量正在逐年攀升,对用户的账户,密码等个人私密信息的保护已经成为网银业务发展的关键和核心。在这方面,各大银行均推出自己的数据安全工具,其中使用比较普遍的有USB KEY,例如工商银行的U盾,农业银行的K宝等。USB KEY建立了基于公钥(PKI)技术的个人证书认证体系。在技术方面,客户证书通过个人证书认证和数字签名技术,对客户的网上交易实施身份认证,并且可以签署各种业务服务协议,能够自动生成RSA私有密钥和安全存储数字证书,确保交易和协议的惟一完整和不可否认。另外工商银行所提供的电子银行口令卡对客户来说也是一个不错的选择,它相当于一种动态的电子银行密码,一次一密的操作方法能有效抵御木马病毒和假网站的危害,最大限度地保障客户利益。

数据加密技术在银行数据中心内部的应用

目前,数据集中已经成为国内各大银行信息化的发展方向。工行、农行、中行、建行以及交通银行等都已建立了自己的数据中心。数据集中在给各银行的信息维护和业务发展带来便利的同时,也对数据的安全保护提出了更高要求。

在各大银行的数据中心建设中,大型主机逐渐成为核心银行系统的开发平台,成为企业的一个运算枢纽。银行中越来越多的核心业务,例如银行卡业务,均通过主机应用实现。主机系统是一个独立的系统运算环境,其中包含了诸如客户账号、密码、资金账务等全部机密信息。所有资金财务的相关信息必须是安全的,因此在整个交易处理流程中,与主机相联的上行和下行网络安全成为我们关注的重点。如图2所示,用户在使用银行的ATM、POSP终端进行交易的过程中,卡号、密码通过分行终端使用相关工作密钥,以及加密算法进行DES加密;再把加密后的密文进行MAC加密并通过分行通用网关发送至银行数据中心主机;主机通过IP加密网关访问硬件加密设备解密并与存储在主机内的数据进行对比,以确认此交易是否合法。

国际信用卡组织在信用卡业务安全规范中提出明确要求:“密钥永远不得以明码形式出现。”从技术上讲,基于软件加密的安全体系无法达到这一基本要求,而硬件加密设备具有的密钥保护机制则可满足该要求。硬件加密设备可以完全独立于业务系统,加密的密钥只有在硬件加密设备中才能使用,加密算法的实现也在硬件加密设备中完成,可以有效防止业务人员盗取密钥并复制加密解密的实现过程,保障客户信息安全。

银行密钥管理体系中的安全管理措施

银行的硬件加密设备所使用的密钥可以从密钥的配置和分级管理两方面进行保护,主要目的是在人为的安全保护下,密钥永远不以明文的形式出现。
密钥终究需要工作人员来维护,因此要在维护流程上避免个人接触所有级别密钥。此外在密钥分级的基础上,还需要根据密钥使用的类型不同,制订不同的维护策略。

第一,主密钥是否安全关系着工作密钥的安全性,因此要严防主密钥失窃。为此可以将主密钥分解成不同的密钥分量,存储在不同的介质中,放置在不同的保险箱中。此外为防止介质损坏,还需要进行多个备份。各银行还可以根据实际需要,定期更换主密钥。

第二,传输密钥的使用周期较短,使用之后最好立即删除,绝不能出现一个传输密钥多次使用的情况。另外,传输密钥也可以拆分成多个密钥分量,由不同的工作人员保管。

第三,工作密钥的使用与银行具体业务相关,一般生命周期较长。

第四,所有存储或者使用过密钥的硬件设备需要进行更换时,由专业的安全人员进行消磁处理,避免密钥泄露。

小知识之数据加密技术:

所谓数据加密技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。