(一)應用背景

銀行信息安全是信息安全的重要組成部分,密碼作為保障信息安全的核心技術,在銀行業信息系統得到廣泛應用,發揮着重要作用。

伴隨着電子商務的高速开展,銀行業務從傳統的櫃面系統ATM機、POS機等服務渠道拓展到網上銀行、手機銀行等各種新形式。不管是傳統的離線交易基於櫃枱業務和ATM機和POS機,還是以互聯網等開放式網絡環境為主的網上銀行交易,都涉及敏感信息。銀行组织要保護系統不受網絡黑客入侵,防止敏感信息泄露、業務損失或服務中斷;保護用戶在網絡上輸入的敏感信息不被盜用,輸入的交易資料不被篡改。

因此,銀行業務中的密碼應用需求主要包括:

(1)正確鑑別用戶個人身份及權限。驗證用戶身份的真實性和合法性,防止非法用戶假冒身份進行交易。

(2)保證交易數據的真實性和完整性。防止非法用戶對數據進行篡改和刪除,防止傳送過程中數據丟失。

(3)保證交易數據的機密性。顺利获得對敏感數據加密來保護系統數據交換安全,防止除接收方之外的第三方竊取數據。

(4)確保消息的不可否認性，即防止發送者事後否認。

(5)擁有完整的密鑰管理系統以確保用戶使用密鑰的完整生命周期安全性。

(二)密碼應用架構

1.銀行業典型信息系統密碼應用

銀行業信息系統包括客戶服務渠道(無卡渠道和有卡渠道)

銀行核心業務系統、銀行業中心節點關鍵系統等,銀行業典型信息系統密碼應用。

(1)身份認證:使用認證類密碼產品實現對客戶身份、服務器身份等的認證。

(2)終端機具認證:使用密碼技術對銀行終端設備等進行認證。

(3)傳輸通道加密:使用加密技術建立安全通道，實現銀行業務系統間重要敏感信息的加密傳輸。

(4)應用報文加密:使用密碼技術實現終端與銀行系統之間的信息和銀行業務、系統和非銀行第三方連接系統間消息銀行系統和銀行中心節點的密鑰系統之間的加密傳輸。

(5)存儲加密:使用密碼技術實現用戶密碼，用戶私隱信息和存儲在系統中的重要事務等的加密保護。

(6)簽名驗簽:發送方使用密碼技術對關鍵數據進行數字簽名,接收驗證簽名，確認數據的完整性，標識為真，並保證行為不可否認。

(7)密鑰管理:根據安全策略,對銀行信息系統所採用的各種密鑰進行全生命周期的安全管理。

線下交易過程中,商用密碼發揮的主要作用為

(1)確保事務主密鑰加載和傳輸的安全性。

(2)提高C卡申請人的各類密鑰和敏感信息在發卡過程中的安全性、安全性存儲在核心系統數據庫中，並在各種業務系統中使用安全性。

(3)確保在網絡傳輸和驗證過程中PIN不會以明文形式出現。

(4)保證工作密鑰在應用系統交易中始終不以明文形式出現。

3.在線支付密碼應用架構

互聯網、手機支付等在線支付方式已成為當前支付的主要方在線支付交易過程中,商用密碼發揮的主要作用為：

(1)顺利获得用戶與後台系統的雙向身份認證,保證交易雙方身份的真實性。

(2)確保金融交易過程中的PN始終存在密文，密碼無法預測，監控和被盜。

(3)確保金融交易過程中數據的完整性。

(4)保證發送者和接收者的交易行為的不可否認性。

網上銀行交易過程中,商用密碼發揮的主要作用為

(1) 顺利获得雙向身份認證,保證用戶與網銀系統身份的真實性。

(2)保證PN在金融交易過程中始終以密文方式存在。

(3)保證信息的機密性和完整性。

(4)保證數據的完整性。

(5)保證發送者和接收者的交易行為的不可否認性。