scanywhere     北京安软天地科技有限公司
  首页    公司产品   成功案例   解决方案   技术支持   技术文苑   试用下载   合作伙伴   
·电子签名中间件
技术文苑
 
EverLink网上证券交易CA安全解决方案
    目前,通过Internet开展网上证券交易已经成为国内各大证券公司积极拓展业务的有效渠道之一。到2001年5月为止,国内已有200多家证券公司开设了网上证券交易业务,网上委托开户的客户数已经突破256万。由于网络自身的开放性使网上证券交易存在着很大的风险性,欺骗、窃听和非法入侵等都威胁着网上券商与股民的利益。广泛开展网上证券交易的前提是安全保障问题的妥善解决。
一、安全需求分析
    ●目前倍受关注的网上证券交易存在的安全威胁主要有:
    ●股民机密信息在网上传输时被窃取 
    ●由于伪造信息或假冒身份情况的出现使券商无法确认股民的身份是否真实
    ●有关交易的文件或数据在传输过程中被篡改(如插入或删除某些关键内容) 
    ●证券交易的参与者抵赖自己所做过的网上交易或其他操作,给他方造成损失
    ●这些存在的安全问题如何解决和解决的好坏将直接决定资金和交易的安全性,并影响证券公司的形象。由于投资者对网上股票交易的安全性和可靠性还存在一定的疑虑和戒备心理,阻碍了网上证券交易的进一步发展。因此伴随网上证券交易的发展,寻找一个优秀的安全解决方案成为行业领先者的首先要解决的问题。
二、安全解决方案
1.网上证券交易的特点
    目前由各大证券公司开展的网上证券交易秉承了证券行业原有的很多特点:
    ●用户数量庞大,文化层次多样
    ●不同证券公司对股民身份信息需求不同
    ●权利统一、管理分散
    ●信息安全性要求高

2.方案采用的技术路线
    针对网上证券交易的工作方式和特点,北京安软科技有限公司设计开发了一套基于PKI体系的解决网上证券交易安全问题的产品——EverLink CA和EverLink SRAC服务器。
    PKI(Public Key Infrastructure 的缩写)即“公开密钥体系”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,是一个利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。PKI技术的主要目的是管理在开放网络环境中使用的公开密钥和数字证书,其中最主要的安全技术包括两个方面:公钥加密技术、数字签名技术。公钥加密技术可以提供信息的保密性和访问控制的有效手段,它保证了利用公钥加密后的数据,如果没有提供相应的私钥来解密的话,窃密者即使获得密文也难以知晓其中的内容。而数字签名技术则提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。


3.方案采用的产品特点
    EverLink CA的主要功能是为用户颁发证书并对用户进行管理。在产品设计中,为提高系统的安全性,采用了用户在线获取用户证书的设计方案,以尽量减少操作流程中的物流过程。针对证券公司权利统一、管理分散的特点,采用了集中式证书签发管理和分布式用户证书管理的设计理念,给予了券商参与CA服务器管理的权限。针对不同券商管理方式不同的特点,产品中还增加了证书定制功能,券商可以根据自己的管理需要在证书中定制股民的身份信息,同时用户数据库可以和券商的其他实际应用相结合使用,可减少数据冗余和防止数据不一致性。
    EverLink SRAC服务器是一个集身份认证、权限控制和信息加密等于一体的安全访问控制产品,考虑到网上证券交易股民自身的文化层次参差不齐,需要尽量减少他们使用中需要安装和学习的内容,同时也减少券商维护和技术支持的工作量,设计中采用的完全B/S结构的模式,不需要在客户端安装任何软件,使用和维护方便。同时还在产品中提供通过EverLink SRAC服务器访问应用服务器的SSL API,允许交易客户端和服务器的开发商集成SSL,实现传输加密和身份验证。

4.方案具体实现
 (1)主要组成系统
    在实际应用中,各证券公司可以根据自己的实际情况来设计本公司的网络环境。但是总体方案的实现分为以下几个系统:
    EverLink CA证书签发中心
    由于存在一个证书的可信任度的问题,我们采取了集中式证书签发方式,券商可以根据实际情况将证书签发中心放在本公司或者公信第三方处,证书签发的工作可交给公信第三方完成,也可以由证券公司自己完成。不论证书签发工作是在哪里完成的,所有网上证券交易的用户的证书都是从同一个证书签发中心签发的,这样保证了集中管理的实现。

    EverLink CA分布式管理中心
    在EverLink CA分布式管理中心为券商设计了用户管理和证书代管的功能,使券商通过证书代管功能具有了参与CA管理的权限。这样的优点是券商可以通过参与CA的管理,具有用户身份的审核权限和证书定制、查询和废除等管理权限,在减轻证书签发中心的压力的同时减少工作环节,用户开户和申请证书在券商处可一次性完成,券商根据实际情况对用户证书有直接查询和废除的操作权限。通过专门设计的证书定制功能,各个证券公司还可以根据实际管理中所需要的用户信息来定制自己的客户所使用的证书中包含的信息。
    网上证券交易的完成需要通过Internet,这时网络性能和信息安全将直接影响交易系统性能。这种证书集中签发管理和用户、证书分布管理的设计,能更好地符合证券行业的特点。集中式管理保证了用户证书的可信任度,分布式操作可以提高系统的性能,例如使用证书查询功能时,可以在管理中心处获得所需信息,而不用到证书签发中心去查询,这样减轻了中心服务器和网络传输的负担,同时也提高了系统的响应时间。用户在各个证券营业厅或者委托银行完成开户的过程后提交自己的个人信息给EverLink CA分布式管理中心,并同时获得自己的用户帐号和使用密码。然后用户使用自己的帐号和密码在需要安装用户证书的机器上获得自己的用户证书,用户可以根据自己的安全需要将用户证书存储在不同的证书存储介质中。
    EverLink SRAC服务器
    EverLink SRAC服务器作为直接连接网上证券交易服务器的机器,安放在证券公司。它完成的功能是根据用户提交的用户证书确定用户的身份和使用权限,然后为用户建立和网上证券交易服务器之间的安全通道。在SRAC服务器和用户之间的通信都是经过SSL加密通道进行传输的,保证信息传输的安全性。同时,所有对证券交易服务器的访问必须通过SRAC服务器,即使系统受到攻击也是对SRAC服务器的攻击,这样保证了交易服务器的安全。
  (2)方案特点
    ●安全可靠 所有产品全部是国产,具有自主版权
    ●层次分明 采用的安全技术、安全机制多种多样,层次化较强,提高了交易系统的安全性 
    ●针对性强 针对网上证券交易的特点更好地解决了实际安全问题
    ●协同互动 产品之间能够协同工作,大大增强了系统的安全性
    ●易管理性 B/S的结构模式使系统具有易管理、使用和维护的特性
三、结束语
    安全问题是一个复杂的问题,安全解决方案必须尽可能地考虑实际应用的需求和特点,EverLink网上证券交易安全解决方案作为一套针对网上证券交易解决方案,是一套比较可靠和实用的方案。方案中通过采用多种安全技术,更有效的化解了安全风险并尽可能全面地解决实际应用中存在的安全问题。
 关于安软   网上学院   联系我们   
地址:北京市海淀区中关村南大街48号 电话:62132112?邮编:100081
Email: sales@scanywhere.com 北京安软天地科技有限公司
信息产业部  京ICP备05081063号