加密技术为银行电子商务披上“防弹衣”

目前，电子支付、网上银行等电子商务服务在银行业务中所占比重加大，越来越多的客户借助计算机网络交换资金信息。因此保证网络上传递资金信息的安全，防止非法窃取和修改，成为银行网络信息化建设中的重要基础。计算机加密技术的使用为银行业务发展提供了安全保障。

一、加密技术介绍

数据加密的基本过程是对原为明文的文件或数据按某种算法进行处理，使其成为不可读的代码（密文），只有在输入相应的密钥之后才显示出本来内容，达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密。
加密技术分为两类：对称式加密和非对称式加密技术。对称式加密是加密和解密使用同一个密钥，典型代表是DES算法。其加密和解密的流程完全相同，区别仅仅是加密与解密使用子密钥序列的顺序正好相反。该技术目前被广泛采用。非对称式加密是加密和解密使用不同的密钥，通常有两个密钥，称为“公钥”和“私钥”，必须配对使用，否则不能打开加密文件。非对称式加密的杰出代表是RSA算法。

二、数据加密技术的方案设计

数据加密技术的实现主要由数据加密体系和密钥管理体系两部分组成。

1.数据加密体系的实现

为了实现数据在网络上的安全传输，需要根据数据传输过程中所经过网络组织的特点来设计，综合运用DES和RSA加密技术。

针对公共网络的复杂性，可以让用户使用银行侧提供的RSA公钥对自己的私密信息进行加密，并连同用户各自的数字证书一起发送至公共网络，并传送到银行方。即使文件被第三方窃取，由于第三方没有银行的私匙，也不能解密文件，保证了文件在传输中的安全性，能够准确到达。与此同时，用户的数字证书可以证明此交易用户身份的合法性。
针对银行侧内部的专用网络，由于局域网络环境中数据相对安全，只需重点考虑加密和解密处理的效率，采用DES算法，并结合软件和硬件实现数据的高速处理。

用户通过个人网银进行交易处理的数据传输过程如图1所示。

①用户通过PC登录个人网上银行系统进行业务处理，通过USB KEY自动生成RSA私钥生成数字签名，并对银行RSA公钥用户的账号、密码等相关信息进行加密。

②被RSA加密的密文和数字签名证书通过公共网络传输至银行终端服务器。

③银行终端服务器使用RSA私钥对传输来的密文进行解密，核对交易用户的合法性后，用不同的工作密钥对用户的卡号、密码进行DES加密，再对加密后的密文进行MAC加密，最后上送银行数据中心服务器进行处理。

2.密钥管理体系的实现

在整个交易处理流程中，用户机密信息的安全性取决于加密密钥的安全性。因此密钥的管理需要采用分级、分散的管理模式。当前银行的密钥管理体制主要采用三级密钥的管理方式。

工作密钥（Operation-Key），例如CVV-KEY，PIN-KEY和POS-KEY等，此密钥主要由银行数据中心统一产生，并下发分行，或者由银行与其他机构协商生成，例如商业银行与银联之间。功能是用于加密不同的业务数据，如客户的账号、密码、银行卡校验码等。工作密钥被主密钥进行加密，以密文的形式存储在数据中心的主机服务器上。

主密钥（Master-Key），用于加密工作密钥，所需的安全级别也最高，主要由银行的安全部门根据安全策略进行保护，在进行工作密钥维护时使用，根据不同硬件加密设备的需要，由硬件加密机产生。

传输密钥（Transport-Key），主要用于加密数据中心和分行之间，或者不同的银行机构之间传输的工作密钥，使得工作密钥在传输过程中永远保持密文的形式。传输密钥的生成方式由传输双方协商，可以由一方提供，也可以由双方各提供一部分密钥分量。

密钥的三级管理是当前银行比较通用的密钥管理方式，保证了银行工作密钥在不同使用阶段的安全性。

三、数据加密技术在银行业的应用

加密技术的应用是多方面的，在银行系统中广泛应用于银行电子商务和数据中心专用网上。

1.在银行电子商务方面的应用

目前人们开始采用RSA加密技术提高信用卡交易的安全性，从而使电子商务走向实用成为可能。用户在网上进行各种商务活动，可以不必担心自己的卡号和密码会被人盗用。

随着网络的发展，网上银行的业务量正在逐年攀升，对用户的账户，密码等个人私密信息的保护已经成为网银业务发展的关键和核心。在这方面，各大银行均推出自己的数据安全工具，其中使用比较普遍的有USB KEY，例如工商银行的U盾，农业银行的K宝等。USB KEY建立了基于公钥（PKI）技术的个人证书认证体系。在技术方面，客户证书通过个人证书认证和数字签名技术，对客户的网上交易实施身份认证，并且可以签署各种业务服务协议，能够自动生成RSA私有密钥和安全存储数字证书，确保交易和协议的惟

一、完整和不可否认。另外工商银行所提供的电子银行口令卡对客户来说也是一个不错的选择，它相当于一种动态的电子银行密码，一次一密的操作方法能有效抵御木马病毒和假网站的危害，最大限度地保障客户利益。

        2.在银行数据中心内部的应用

目前，数据集中已经成为国内各大银行信息化的发展方向。工行、农行、中行、建行以及交通银行等都已建立了自己的数据中心。数据集中在给各银行的信息维护和业务发

展带来便利的同时，也对数据的安全保护提出了更高要求。

在各大银行的数据中心建设中，大型主机逐渐成为核心银行系统的开发平台，成为企业的一个运算枢纽。银行中越来越多的核心业务，例如银行卡业务，均通过主机应用实现。主机系统是一个独立的系统运算环境，其中包含了诸如客户账号、密码、资金账务等全部机密信息。所有资金财务的相关信息必须是安全的，因此在整个交易处理流程中，与主机相联的上行和下行网络安全成为我们关注的重点。如图2所示，用户在使用银行的ATM、POSP终端进行交易的过程中，卡号、密码通过分行终端使用相关工作密钥，以及加密算法进行DES加密；再把加密后的密文进行MAC加密并通过分行通用网关发送至银行数据中心主机；主机通过IP加密网关访问硬件加密设备解密并与存储在主机内的数据进行对比，以确认此交易是否合法。

国际信用卡组织在信用卡业务安全规范中提出明确要求：“密钥永远不得以明码形式出现。”从技术上讲，基于软件加密的安全体系无法达到这一基本要求，而硬件加密设备具有的密钥保护机制则可满足该要求。硬件加密设备可以完全独立于业务系统，加密的密钥只有在硬件加密设备中才能使用，加密算法的实现也在硬件加密设备中完成，可以有效防止业务人员盗取密钥并复制加密解密的实现过程，保障客户信息安全。

3.银行密钥管理体系中的安全管理措施

银行的硬件加密设备所使用的密钥可以从密钥的配置和分级管理两方面进行保护，主要目的是在人为的安全保护下，密钥永远不以明文的形式出现。
密钥终究需要工作人员来维护，因此要在维护流程上避免个人接触所有级别密钥。此外在密钥分级的基础上，还需要根据密钥使用的类型不同，制订不同的维护策略。

第一，主密钥是否安全关系着工作密钥的安全性，因此要严防主密钥失窃。为此可以将主密钥分解成不同的密钥分量，存储在不同的介质中，放置在不同的保险箱中。此外为防止介质损坏，还需要进行多个备份。各银行还可以根据实际需要，定期更换主密钥。

第二，传输密钥的使用周期较短，使用之后最好立即删除，绝不能出现一个传输密钥多次使用的情况。另外，传输密钥也可以拆分成多个密钥分量，由不同的工作人员保管。

第三，工作密钥的使用与银行具体业务相关，一般生命周期较长。

第四，所有存储或者使用过密钥的硬件设备需要进行更换时，由专业的安全人员进行消磁处理，避免密钥泄露。

四、总结与展望

随着银行的信息化进程加快，银行作为服务主体，在扩展业务的同时也在不断加强业务处理安全性的投入。此外，用户在使用银行的电子商务服务时也需要加强网络安全意识。相信在大家的共同努力下，银行电子商务的安全性会不断提高和完善。

(责编:小彭)

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。