返回首页 >> 解决方案 >> 网上证券安全解决方案


网上证券安全解决方案

一、背景
    随着信息化的发展和股市的不断升温,各大证券公司和券商都已采用先进的计算机与网络技术,将日常办公、网上证券交易等各项工作逐渐在网络上展开,直接优化了工作程序,大大提高工作效率,特别对于以为股民提供更优质服务为核心的网上证券业务,已经成为证券行业当前发展的重点。
    由于网上证券交易涉及到股票、基金、货币、种类、额度等涉及金融财务的敏感信息,因此它对信息安全具有严格的要求。但是作为基于互联网的应用,网上证券交易不可避免面临由于虚拟、匿名、公开、明文等互联网特性而带来的信息安全问题,如交易欺诈、敏感信息窃取与篡改、交易抵赖等等,安全问题往往引起股民和证券公司的各种法律纠纷,阻碍着网上证券业务的开展。为了保护网上证券交易数据的机密性、完整性和不可否认性,维护广大股民和证券公司的利益,必须要在股民和证券公司之间构建起可靠的网络信任机制和信息安全保障。

二、目标
    本安全方案的目标是要为网上证券系统建立可靠的安全保障机制,保障网上证券交易各方实体的权益。
    1.对股民:通过可靠的身份认证和信息机密性保护,保证只有合法股民才能登录系统,安全使用业务,防止股民交易敏感信息被人窃取、篡改,从而造成自身经济利益的损失。
    2.对证券公司:通过可靠的数字签名等安全保障技术,可降低自身经营风险,避免交易纠纷,提高自身信誉和经营收益。
    3.网上证券业务:通过采用可靠的电子签名手段,可以强化业务管理,使自身业务各个关键环节可被记录和审计,具有不可篡改性和抗抵赖性,进而提高自身业务的可用性和可控性,更好地吸引用户汇聚。

三、系统概述
    本方案提供基于数字证书的CA安全解决方案解决网上证券系统的应用安全。首先利用可信第三方-中网威信CA中心,为网上证券交易用户签发数字证书,提供证书认证服务。其次,在数字证书的基础上提供同网上证券系统集成的安全保障系统,安全保障系统利用数字证书、数字签名等相关的PKI技术和对称加解密算法实现可靠的身份认证、信息的安全传输、网上证券交易过程和结果的不可抵赖。

四、系统组成

从安全角度看,网上证券应用的证书安全方案主要由两部分组成:
    一部分为最终用户颁发数字证书的可信第三方-中网威信数字证书认证系统,负责认证系统的策略制定、接受证书申请、用户身份鉴证、为客户发放证书以及对签发证书的管理;
    另一部分是基于B/S结构的网上证券系统的安全保障系统集成,分别在股民与网上证券服务器之间采用数字证书保证信息传输以及业务流程的安全可信。

1.中网威信CA系统
    本方案中网上证券系统无需建设任何管理证书的服务器,所有管理都托管给中网威信数字认证服务中心,开展网上证券业务的证券公司只需要审查和核准股民的证书申请信息,具体的证书签发和证书管理完全委托中网威信证书认证中心实现。

2.网上报税安全保障系统
    安全保障系统是为网上证券系统提供支持数字证书解析、认证、数字签名/验证、数据加密/解密等安全功能的系统,可同网上证券系统实现灵活的集成。主要包括以下模块:

(1)客户端控件模块
    主要用于在客户端对证券交易数据进行数字签名和数据封装,以API形式提供给网上证券系统开发商使用。

(2)证书解析模块
     主要用于在访问控制中服务端对股民的数字证书进行解析,通常由网上证券系统服务端调用。

(3)证书验证模块
    当用户提交证书到服务端请求认证时,服务器需要验证用户证书。包括用户证书信任链验证,证书吊销列表查询,证书时间有效性验证等。在保证证书的有效性下以验证用户身份,以保证进入系统中用户身份的有效性。

(4)数据签名/验证模块
    用于验证股民交易签名的有效性,包括验证数字签名和解封数字信封,在验证签名的过程中还需要调用证书验证模块来验证股民证书的有效性。

(5)数据加解密模块
    用于保证敏感交易数据的机密性,采用国家密码管理部门指定的安全加解密算法。

五、系统功能
1.身份认证:
    基于中网威信CA签发的数字证书,采用高强度的加密和数字签名技术。身份认证系统分为客户端和服务器端两部分,服务器端配置有用于标明平台系统服务器身份的数字证书;客户端则需要用户使用本人的数字证书,并能够与浏览器实现无缝的结合。

2.安全通信:
    在股民客户端与网上证券系统服务器之间可通过建立双向SSL连接或数字信封技术,实现用户端到服务器端通信的机密性、完整性。

3.网上证券交易流程安全保障:
    在股民客户端进行网上交易时,将使用网上证券系统证书对数据进行加密处理,并使用自己的证书进行签名。加密签名后的交易请求提交到网上证券系统,系统对文件进行解密以及签名验证,将解密及签名验证通过的文件提交给后台系统处理,保障了网上证券交易流程的机密性、完整性和不可抵赖性。

六、系统特点
◆ 有效的身份认证机制
◆ 先进的电子签名技术
◆ 高强度整体安全
◆ 遵循安全技术规范
◆ 使用方便,建设成本低
◆ 易于管理

七、应用支持
1.采用X.509v3标准证书。
2.支持各种浏览器: Netscape Navigator,Microsoft Internet Exploer 等。
3.用户数字证书的存储介质有USB Key(推荐使用)、IC卡、磁盘等。
4.根据网上证券系统需求可提供完备的应用开发接口。