银行网站 ca服务器的安装,建行网银CA认证系统建设案例介绍

最新推荐文章于 2024-04-29 21:01:53 发布
最新推荐文章于 2024-04-29 21:01:53 发布
阅读量993 收藏 2
点赞数
文章标签: 银行网站 ca服务器的安装

建行网银ca认证系统建设案例介绍 需求分析

银行业在国民经济和社会生活中扮演着重要的角色.银行的业务数据多是和储户的账户有关的敏感数据,如储户的账户号码、账户密码、账户中的存款金额等,而internet是一个开放的公共网络,在这样一个开放的网络上拓展银行的传统业务,安全性是要考虑的首要因素.网上银行受到的安全威胁主要来自下面几个方面:

对用户身份的假冒:攻击者盗用合法用户的身份信息,以假冒的身份与他人进行通信. 对网络上信息的窃取:攻击者在网络的传输链路上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息. 对网络上信息的篡改:攻击者有可能对网络上的信息进行截获并且篡改其内容(增加、截去或改写). 对发出的信息予以否认:某些用户可能对自己发出的信息进行恶意的否认,例如否认自己发出的转帐信息等,一旦发生纠纷,无法界定责任. 对信息进行重发:除了以上情况之外,还存在"信息重发"的攻击方式,即攻击者截获网络上的密文信息后,并不将其破译,而是把这些数据包再次发送,以实现恶意的目的. 网络钓鱼: 利用与银行网站相似的域名,骗取用户登陆,获取用户账户及密码信息,进行非法操作.造成用户账户损失,以及银行名誉损失. 桌面安全 这种风险常常出现在无防护的客户端pc,包括木马盗号、灰鸽子病毒等都是目前常见的攻击方式,以获取客户端的帐户、密码等敏感信息.

国富安承担了建行网银的ca认证系统项目,其核心技术是基于pki体系的数字证书认证机制,可以满足网上银行系统对数据保密性、完整性、鉴别与识别(认证)、访问控制及不可否认性等多种安全需求.

项目简述

到目前为止,国富安已经与建设银行在ca认证系统建设项目有过三次合作.分别为:

一期项目 网上银行v1.6 ca认证系统 二期项目 网上银行v2.0 ca优化项目 三期项目 网上银行v3.0 ca优化项目

建行网银ca认证系统于2000年10月投入使用,此后又在一期的基础上,不断的对系统进行升级和优化.为解决日益猖獗的客户端安全威胁,三期项目增加了国富安桌面安全保护产品――网上银行签名通与密码输入控件,防范盗号木马等攻击和解决客户端数字签名的需求.

该系统运行情况良好,目前已经累计发证已经达到千万级.

应用部署图

98dc9e03519e4459dede8fdde2bba8fa.png

应用集成

与网银系统的集成

需要对网银系统做如下集成工作:

配置服务器证书:服务器证书由ca认证系统颁发,将网银系统的域名写入证书项,作为唯一标识.将服务器证书安装到网银的web服务器,用来表明服务器的身份,使登录用户可以验证服务器的真伪.

部署证书解析及验证模块:

证书解析:从证书中提取证书颁发者域、主题域、序列号、公钥、有效期等信息.

证书有效性验证:可以验证证书是否有效,是否是某根证书所签发.

证书有效期验证:判断证书是否在有效期内.

证书crl验证:验证用户证书是否已经被吊销.

增加url接口:提供url连接,包括ca系统的申请服务器的连接、根证书下载服务器的连接、换证服务器的连接等url.

增加数据库接口:需要增加网银系统与ca系统互相查询数据的接口.(例如查询发证状况时需要列出证书的发证分行,这需要到网银的数据库去查找.)

客户端

客户端即网银系统的用户将证书集成到网银系统中应用的过程如下:

获得用户证书:用户证书由ca认证系统签发,颁发给用户.用户证书标识了用户的身份信息、用户公钥以及ca中心对证书相关域内容的数字签名,并提供定制的有效期.证书存储在usbkey中.

部署数据签名模块:以网上银行签名通与密码输入控件形式提供,通过浏览器自动下载.通过该产品的签名通控件功能及用户证书对交易信息进行签名,同时在服务器端进行客户身份验证和签名信息验证,保证客户的合法性,保护网银客户的交易,同时达到防抵赖,保护银行和客户的资金安全的目的

部署安全登陆模块:以网上银行签名通与密码输入控件形式提供,通过浏览器自动下载.通过该产品的密码输入控件功能保护用户在客户机上的敏感信息如帐户密码的输入安全,实现消息钩子防护、输入信息保护的功能.

证书的应用

8526de1364a50b34751b3b624190fc4e.png

使用了证书后,网银系统的安全业务流程如下:

1. 网银用户通过ssl通道访问网上银行web服务器,进行单向身份验证,防止网络钓鱼等欺诈网站,并作信道加密;

2. 网银用户在网上银行web服务器上下载签名及加密控件;

3. 网银用户使用数字证书登陆web服务器,通过证书验证后,访问应用服务器做相应的业务操作;

4.网银用户使用签名控件对重要操作进行签名处理;

5. 网银用户使用加密控件对签名后的文件进行加密处理;

6. 网银用户使用签名控件对加密文件作签名处理并上传至网上银行应用服务器;

7. 网上银行应用服务器的签名验证模块验证签名并存储签名数据;

8.需要解密存储的文件利用解密接口恢复出明文进行存储.

实施效果

实现了对网银用户的身份认证、访问控制、数据在公网上传输的保密性、完整性、不可否认性,并提供了安全审计的机制.基于ca的数字签名技术也保障了网上办理资金业务的法律有效性.本项目自上线以来,得到广泛使用,切实解决了建行网上银行所面临的应用级的安全威胁,保障了网上银行业务的顺利安全开展.

陈健坤
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CA证书接口用法
09-08
CA证书接口用法 CA证书怎么与代码结合
CA系统总体设计方案
10-13
本文档是一份实际的CA实际文档,来源于实际项目的开发设计。
络安全—部署CA证书服务器_ca证书系统络配置策略(1)
2401_84253380的博客
04-29 699
其次可分辨后缀名需要有一定格式,并不是说一定这样,但是大家都规定了一个标准那就按照标准来。常见的可分辨名称后缀格式包括:1:CN=Common Name(通常用于个人证书)2:O=Organization(组织单位)3:OU=Organizational Unit(组织部门)4:L=Location(地区)5:S=State(州或省份)6:C=Country(国家)连上ISO后,会显示下图那样,你直接点击退出就行。
一个简单的CA认证例子
gauss2008的专栏
06-18 3944
日期 2005年8月1日 作者
CA服务器安装和学习.
weixin_34090562的博客
06-19 242
ca服务器叫证书颁发机构.ca分为二种类型:独立的ca和企业的ca独立的ca运行在本地计算机用户中.企业的ca运行在域成员中又称dc.是域成员中的计算机.安装ca服务器的步骤有二步:1.在安装ca之前首先要安装iis服务也就是web服务2.安装证书服务.(用此方法访问服务器和申请ca证书.[url]http://ca[/url]服务器的ip地址/certsrv) 转...
CA服务器安装
weixin_34008933的博客
02-08 232
WEB服务器HTTPS启用(SSL数字证书) ,CA服务器 安装步骤 1.先安装WEB服务器(先决条件) 2.安装CA服务器(certsrv虚拟目录) 3.在WEB服务器上申请数字证书(CA服务器申请) 4.在CA服务器上手动颁发证书 5.在WEB服务器上下载证书 6.在WEB服务器安装数字证书 7.在WEB服务器上启用SSL加密HTTPS访问 8.通过客户...
搭建CA服务器
coffee
03-25 1482
在Windows server 2003 Enterprise Edition安装CA证书服务,具体步骤如下: 1、首先将Windows server 2003升级为DC 2、安装IIS服务 a、打开系统的“控制面板”点击“添加或删除程序”     b、点击“添加/删除Windows组件”   c、钩选“应用程序服务器”后点击下面“详细信息”
基于Java和Python实现简单的CA认证系统.zip
06-13
这是软件大型实验周的课设作品,用来实现一个简单的 CA 系统,它包含以下功能: 证书生成:用户提供 Certificate Signing Request (CSR)和 公钥后,系统会自动为用户生成证书并通过邮箱发放,支持 用于 SSL 和代码...
基于Java的CA认证的多播系统的设计与实现
最新发布
05-17
【作品名称】:基于Java的CA认证的多播系统的设计与实现 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:
windows server 2012CA证书服务器安装和配置
10-19
Windows Server 2012 CA 证书服务器安装和配置 Windows Server 2012 CA 证书服务器安装和配置是 windows 服务器中的一项重要功能,用于管理和颁发数字证书,以确保络通信的安全性和身份验证。下面是 Windows ...
NB平台CA双向认证服务器安装总结
12-09
NB平台CA双向https认证服务器安装,环境准备和安装配置个人总结。
CA电子认证服务系统源代码.zip
04-04
CA电子认证服务系统是用于确保络通信安全的重要基础设施,它主要依赖于数字证书来验证用户或系统的身份。在这个"CA电子认证服务系统源代码.zip"压缩包中,包含了一些关键的动态链接库(DLL)文件、一个执行程序和...
CA认证服务器和https服务
weixin_33912638的博客
02-28 1126
如何搭建一个企业CA证书服务器?定义系统环境:centos7.4ca.com 192.168.80.181 openssl*mail.com 192.168.80.182 dovecot*client.com 192.168.80.183 mutt*修改三台主机名:①hostnamectl set-hostname xx.comexit 登出重新连...
CentOS 7 搭建CA证书服务器
qq_44484541的博客
04-13 2770
【代码】CentOS 7 搭建CA证书服务器
络电话服务器安全认证管理系统,CA 数字证书认证系统建设解决方案
weixin_35422771的博客
08-13 641
方案介绍CA数字证书认证系统是信息系统安全基础设施,在企业内部建设CA数字证书认证系统后,签发的数字证书可作为业务系统用户的身份认证凭证,并能对关键交易进行签名,实现防抵赖和防篡改。同时制定统一的安全规范和安全策略,使建设CA系统能够满足未来各业务系统统一安全入口和统一账户管理的扩展需要。系统架构如上图所示,原有信息系统分为两层:应用层和用户层,为增强信息系统安全等级,提高身份认证强度,增加关键...
可独立部署的CA系统技术方案
wuwenlong527的专栏
10-16 2609
 源自:http://www.eetrust.com/products/wall_project15.htmCA系统技术方案一:需求 1 :总体描述 •  系统名称 CA 证书安全认证系统 •  系统适用范围 •  专用的第三方安全认证系统 •  企事业内部的安全认证系统 2 :功能 CA 的功能包括证书管理、密钥管理、 CRL 管理和系统管理四个部分:
建设银行深圳市分行 CBS 存储备份系统应用案例
weixin_33696822的博客
08-22 420
建设银行深圳市分行是国内实力雄厚,业务繁忙的市级国有银行,其内部的办公自动化系统包括邮件系统、公文流转和企业内部网站等。如何使邮件系统更好的工作,保证用户邮箱的时刻在线,保证用户对企业内部网站的正常访问,保证企业信息的即时发布和更新是建设银行深圳市分行计算机系统管理员十分关注的问题。 该行的计算机系统管理员希望通过建立一套行之有效的解决方案,通过该方案不仅可以达到本地保护...
CA证书服务搭建
m0_58153689的博客
09-05 7615
准备一:域服务搭建 步骤一:搭建CA证书服务器,设置固定IP地址(192.168.0.)与主机名(DC)打开服务器管理器-->点击添加角色和功能 步骤二:一路回车到达选择服务器角色位置,选中Active Directory域服务与Active Directory 目录服务继续下一步并进行安装 步骤三:在服务器管理器小旗中选中将此服务器提升为域控制器--在开始界面选择创建新林为laosec.cn并依次往下配置 CA证书服务搭建
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8439
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
企业网站建设方案书范本四个.docx
02-03
企业网站建设方案书范本四个.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值