网上银行安全系统框架幻灯片.pptVIP

RealCert证书认证系统－－基于角色的分级权限管理 超级管理员 负责RealServer的安装、启动、关闭、备份、策略改变等管理和维护工作 管理员 使用RealAdmin，负责证书操作员的证书管理和系统审计 证书操作员 使用RealOperator，负责最终客户的证书管理和系统审计 RealCert证书认证系统－－证书服务器RealServer的主要功能 管理和维护客户证书 管理和维护证书作废列表CRL 发布证书和CRL 管理和维护自身安全 RealCert证书认证系统－－证书服务器RealServer的主要功能 管理和维护客户证书 管理和维护证书作废列表CRL 发布证书和CRL 管理和维护自身安全 RealCert证书认证系统－－LDAP目录服务器的主要功能 发布客户证书 发布证书作废列表CRL 支持以DN为索引的证书和CRL查询 RealCert证书认证系统－－证书注册中心RealRegistry的主要功能 客户证书的管理和维护 包括客户证书的申请、更新、冻结、解冻、作废、黑名单等操作 客户信息数据库的管理和维护 系统审计日志的查询 RealCert证书认证系统－－管理员控制台RealAdmin的主要功能 操作员证书的管理和维护 CRL和系统日志的查询 对下级CA根证书的管理和维护 RealCert证书认证系统－－客户端RealClient的主要功能 本地密钥管理 包括密钥对的产生、存储等 远程证书操作 包括证书申请、更新、以及作废等 网上银行系统客户端软件的一个关键功能模块 RealCert证书认证系统－－密钥产生与保护 个人客户 密钥对由客户端软件产生 私钥文件加密存储，有口令保护 证书文件和私钥文件保存在磁盘上（硬盘、软盘、FLASH盘） 企业客户 密钥对由CA服务器产生 证书文件和私钥文件的存储介质为IC卡或者USB KEY 证书文件和私钥文件都有PIN值进行保护 我们的系统可以根据银行所选用的IC卡和USB KEY的型号进行客户化 远东RealCert证书认证系统－－在线证书申请流程 客户在RealRegistry进行注册和审核，并获得授权号 客户使用RealClient产生密钥对，将公钥和授权信息提交给RealServer RealServer校验授权信息，如果通过校验，则为客户公钥签发证书 RealServer将证书存入证书数据库和目录服务器 RealClient从目录服务器获得自己的证书副本 远东RealCert证书认证系统－－离线证书申请流程 客户在RealRegistry进行注册和审核 RA操作员从RealRegistry向RealServer提交证书申请 RealServer为客户产生密钥对，并为客户公钥签发证书 RealServer将证书副本存入证书数据库和目录服务器 RealRegistry从RealServer获得客户私钥和证书文件，并保存到相应的介质中 客户从RA操作员那里领取存储介质，从而获得自己的证书和私钥文件 RealCert证书认证系统－－成功应用案例 公安部第三研究所安全产品检测中心 中国科学技术大学 核心技术应用于多家商业银行 RealTunnel安全代理系统 RealTunnel安全代理系统 客户端安全代理RealClient 透明代理代理转发HTTP数据流 按照SSL协议，完成双向身份认证和密钥协商，建立安全信道，并对数据流进行加密和解密 客户证书的远程管理，包括在线证书申请、更新、废除等 本地证书和私钥管理，包括密钥产生、密钥加密存储、以及证书存储、密钥和证书的使用等 关键业务的数字签名机制，提供抗否认保障 运行于Windows操作系统平台 RealTunnel安全代理系统 安全代理网关RealGateway 透明代理转发HTTP数据流 并发处理SSL连接请求，完成双向身份认证和密钥协商，建立安全信道，并对数据流进行加密和解密 验证并且存储客户针对关键业务的数字签名 系统日志的审计记录 RealTunnel安全代理系统 关键业务的数字签名机制 页面数据中内嵌要求签名的特征字符串 客户端代理RealClient检测数据流中是否存在特征字符串，并且提示客户使用私钥进行签名 安全代理网关验证客户的数字签名 存储数字签名数据，并且进行系统日志记录 交易信息 数字文摘 数字签名 交易信息 数字签名 + 密文 SHA-1 RSA （客户私钥） 对称密钥加密 RealTunnel安全代理系统－－交易流程示意图（客户端代理） 数字文摘 交易信息 数字签名 + 密文 SHA-1 RSA （客户公钥） 对称密钥解密 原始数字文摘 是否相同？ 提交业务信息 RealTunnel安全代理系统－－交易流程示意图（安全代理