网上银行是传统银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通信过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,而使用最广泛的是SSL数据加密协议。SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信者间提供秘密而可靠的连接,目前大部分Web服务器和浏览器都支持此协议。登录网上银行时,只要大家通过了银行的身份认证就等于和银行之间建立了一条秘密传输信息的通道(即SSL加密生效),这时交互信息(例如查询自己的账户余额或对其他账户转账等)就会全部加密,直到用户退出网上银行为止。由于每次交互所使用的密钥都是随机产生的,所以攻击者很难破解它。除此之外,SSL还能实现用户和银行服务器间的合法性认证数据隐藏及数据完整性维护等功能。它的加密强度与其密钥长度相关,一般来说密钥长度为40~128bit,国内的网上银行都已经采用有效密钥长度为128bit的最高强度加密。
SSL协议分为两层:SSL握手协议和SSL记录协议。它工作在公钥和私钥加密的基础上,支持多种加密算法,包括RC4、RC2、IDEA和DES等。任何用户都可获得公钥来加密数据,但要解密数据就必须通过相应的私钥。实际的流程是这样的:
当我们使用网上银行时,自己的计算机(客户端)首先请求与网上银行(服务器端)建立连接,服务器端把它的数字证书与公钥一并发送给客户端。客户端随机生成一个供双方对话交互的密钥(以下称为会话密钥)并用从服务器得到的公钥对会话密钥进行加密,再把会话密钥传递给服务器端。由于这个会话密钥只有服务器端的私钥才能解密,所以客户端和服务器端就建立了一个唯一的安全通道。建立了这种安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信。
SSL协议在网上银行得到了广泛的实际应用,具有较好的通用性和安全性,但也存在如下的问题:(www.xing528.com)
1)不能提供交易的不可否认性。SSL协议是基于Web应用的安全协议,它只能提供安全认证、SSL链路上的数据完整性和保密性。对于电子商务的交易应用层的信息不进行数据签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大缺陷。为此,各厂商纷纷推出“安全代理软件”、“安全应用控件”或“表单签名软件”等,以弥补SSL的不足。
2)服务器的处理速度问题。由于在网上交易时,一定要使用SSL加/解密用户数据,这样服务器占用了大量CPU的处理时间,增大了系统的开销,使SSL登录和传输数据的速度变慢。为此,有人研发出硬件SSL加/解密方案,即通称的SSL加速器,它可以转移大量占用CPU的SSL协商处理,提高SSL流量和改善Web服务器处理性能。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
