自成立以来，中国建设银行江西省分行一直本着与全省人们共建美好家园，共建现代生活的理念，致力于为全省储户和投资者提供优质的服务。随着中国建设银行股份有限公司的成立，通过信息化改造来提高服务质量和服务能力就提上我行的议事日程。为此，我行提出了集约化经营及统一管理的信息化改造目标。

　　为了适应这一需求，我行于2001年2月开始将数据分布在地市二级分行的柜面业务系统，改造成全省数据大集中模式。而在这其中，数据安全问题就成为了关系到这种集中模式能否顺利实施的关键因素。最突出的问题集中在两个方面：后台如何验证操作员的身份，操作员如何验证后台的身份？如何保证在网络上传输的数据不被篡改？

　　原有安全隐患让人寝食难安

　　在原有的柜面业务系统中，操作员的合法性用操作员代码和密码进行注册，初始密钥由系统管理人员统一生成并下发，操作员可以自由修改自己的密码。口令注册的方式存在明显的不安全性：口令成为唯一屏障，一旦口令泄露，系统就为非法用户敞开了大门；操作员口令在网络上传输，增加了被窃取的风险；操作员口令经过DES加密保存在数据库中，而DES密钥又在程序中固定，存在从数据库中获取操作员口令的可能性；口令注册只是让后台验证了操作员身份，操作员却无法确认后台的身份。

　　在原有的柜面业务系统中，交易数据包中的关键字段用传输密钥进行DES加密后得到MAC值，MAC值和数据一起发送。接收方也计算一次MAC值，与收到的MAC值进行比较，以此保证传输数据的完整性。传输密钥由主密钥生成，分别存放在营业网点和中心主机的共享内存中。这种校验方式也存在安全隐患：每个营业网点使用同一个传输密钥，使得验证的对象是营业网点，而非发起交易的操作员个人，也就是说不能提供交易的不可抵赖性；传输密钥要通过网络下发给营业网点，增加了被窃取、篡改的风险。

　　同时，在原有的柜面业务系统中，ATM和POS前置机既无身份认证，也无数据校验。

　　因此，经过讨论，我行信息化改造主要负责和参与人形成一致意见，要求在全省数据大集中式柜面业务系统中必须实现下述安全需求。

　　■ 前台操作员、前置机在登录过程中完成与生产机的双向身份认证；

　　■ 每笔交易必须具有完整性、保密性、不可抵赖性；

　　■ 登录过程、交易过程的安全不能基于简单的口令机制；

　　■ 简单易用的安全接口。

　　多方物色，百里挑一

　　基于上述安全需求，我行对目前市场上的安全中间件产品进行了认真考察，我行认为，对金融业来说，数据安全问题是头等大事，中间件是否可靠，将关系到所有数据是否安全。尤其是在操作系统受制于国外产品的现实条件下，更要抓住新兴的中间件，把数据安全的钥匙掌握在自己手中，把保障客户数据安全的主动权掌握在自己手中。经过多方考察，我们将目标锁定在了东方通科技的安全中间件TongSEC。

　　东方通安全中间件TongSEC是以公钥基础设施(PKI)为核心的、建立在一系列相关国际安全标准之上的一个开放式应用开发平台。TongSEC向上为应用系统提供开发接口，向下提供统一的密码算法接口及各种IC卡、安全芯片等设备的驱动接口。

　　公钥基础设施(PKI)是建立在公开密钥密码体制之上的一整套安全系统框架。公开密钥密码体制(也被称为非对称密钥密码体制)中，公钥与私钥不相同，私钥是由拥有者自己保存，而公钥则需要公之于众。用私钥签名，只有用与私钥一同产生的公钥才能验证。用公钥加密，只有用与公钥一同产生的私钥才能解密。公开密钥密码体制的这些特性保证了数据的完整性、不可否认性、不可篡改性、不可伪造性。

　　PKI的核心是证书签证机关(Certificate Authority，即CA)。CA对公钥进行统一的管理并将公钥以公钥证书的形式对外分发。目录服务器(LDAP)作为证书库。注册机关(Registration Authority，即RA)则作为签证机关的用户代理，代表用户向签证机关申请公钥证书，并将公钥证书和私钥存放到智能卡或磁盘上。经过慎重考虑，我行决定采用东方通的安全中间件TongSEC。

　　全力打造建行安全交易通道

　　如图，项目实施过场中，TongSEC的CA和RA安装在两台PC/Windows2000上。TongSEC的LDAP在生产机和在生产机能够访问的机器上都进行了安装。生产机和营业网点均安装TongSEC安全模块，收到了良好的安全效果。

　　成果一：操作员注册的双向认证

　　在个人身份认证的诸多方式中，口令过于简单、易泄露、易被攻破，很不安全；指纹、视网膜技术安全系数高，但是成本过高，不太适合国情。

　　智能卡便于携带，所需硬件只是一个读卡器，灵巧方便，目前基于智能卡的系统尚未发生过一例安全泄漏，因此，我行确定用智能卡进行个人身份认证。

　　操作员注册时，将智能卡插入读卡器输入PIN码，然后在卡上用数字签名发送到后台；后台用操作员公钥验证签名成功后，用自己的私钥进行数字签名，发送给操作员；操作员从本地共享内存中取出后台公钥，验证签名。这一过程成功后操作员才能进入工作界面。这就是操作员与后台的双向认证。

　　成果二：交易数据的传输认证

　　操作员的请求报文用操作员的私钥签名后，用传输密钥将请求报文连同签名一起进行DES加密后发送到后台，后台先解密，取得操作员的公钥后验证签名。验证成功后，后台用自己的私钥对响应报文签名，用传输密钥将响应报文连同签名一起进行DES加密后发送到前台，前台操作员先解密，再从共享内存中取得后台公钥来验证签名。这一过程保证了数据的保密性、完整性、不可否认性。

　　成果三：前置机的安全

　　前置机使用磁盘作为其公钥证书和私钥的载体。在注册和数据传输方面与前台操作员相同。

　　使用体验

　　经过一段时间的成功应用，我行认为东方通安全中间件TongSEC在我行全省数据大集中式柜面业务系统中具有如下特点：

　　■ 透明性

　　应用程序能无缝地验证CA的签名，保证证书的有效性。

　　应用程序能无缝地比较证书时间，保证证书处在有效期内。

　　读取操作员公钥的过程透明化。

　　处理CRL的过程透明化。

　　签名过程透明化，不论卡签名还是软件签名。

　　注册过程透明化，不论卡注册还是磁盘注册。

　　■ 安全性

　　采用1024位基于智能卡的RSA算法。

　　■ 灵活性

　　适应于常见的金融系统环境，可根据实际情况作出相应变化。

　　■ 易用性

　　接口简单、统一，易于使用。

　　作者：肖毅 中国建设银行江西省分行运行中心总经理