專利名稱:一種信息安全控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域��,特別是涉及一種與業(yè)務(wù)系統(tǒng)緊密結(jié)合的信息安全控制系統(tǒng)����。
背景技術(shù):
隨著網(wǎng)絡(luò)應(yīng)用的普及����,信息安全問題越來越突出,例如在金融業(yè)務(wù)領(lǐng)域���,涉及到大量的資金交易數(shù)據(jù)和客戶資料信息�����,安全性問題十分重要���。尤其對于各種實現(xiàn)特定應(yīng)用需求的復(fù)雜業(yè)務(wù)系統(tǒng),各個系統(tǒng)間相互連接���,數(shù)據(jù)傳輸十分頻繁���,如何保證重要數(shù)據(jù)的安全性�����,是一直研究的問題����。
現(xiàn)舉例說明上述業(yè)務(wù)系統(tǒng)普遍存在的安全性問題�����。參照圖1�����,是銀行內(nèi)部的證券業(yè)務(wù)系統(tǒng)總體架構(gòu)圖����,所述系統(tǒng)分三個層次架構(gòu),分別為運行中心101����、一級運行分中心102����、二級運行分中心103��。其中��,所述運行中心101是全國范圍內(nèi)的總中心�����,通過廣域網(wǎng)連接各個省級單位的一級運行中心節(jié)點102�����,而各個一級運行中心節(jié)點102也通過廣域網(wǎng)連接各個市級單位的二級運行分中心節(jié)點103�����,以及二級運行分中心節(jié)點下一級的網(wǎng)點柜臺����。所述證券業(yè)務(wù)系統(tǒng)利用原有的銀行網(wǎng)絡(luò)基礎(chǔ)�����,通過層次型的部署,由上而下貫穿全國范圍的證券業(yè)務(wù)領(lǐng)域�。
如圖所示,所述系統(tǒng)的各個層級不僅與其他相關(guān)業(yè)務(wù)網(wǎng)絡(luò)連接��,與其他多種相關(guān)業(yè)務(wù)系統(tǒng)也有接口����,如網(wǎng)上銀行、電話銀行等����,開放性很強。對內(nèi)�,各個層級間進行數(shù)據(jù)傳遞及各種操作;對外�����,各個層級與外部進行數(shù)據(jù)傳遞及各種操作���。數(shù)據(jù)的各類操作都存在著很大的風(fēng)險�����,一方面系統(tǒng)數(shù)據(jù)容易泄漏��,另一方面還易被外部接入系統(tǒng)非法入侵��,篡改數(shù)據(jù)�。
由于證券系統(tǒng)是一個直接將資金流、信息流����、工作流控制等整合在一起的關(guān)鍵業(yè)務(wù)系統(tǒng),整個系統(tǒng)的運作涉及到很多諸如資金�����、交易�����、商業(yè)機密�、個人隱私等敏感信息�����,因此與一般的信息系統(tǒng)相比�����,對整個系統(tǒng)的安全性和可靠性有著更為嚴(yán)格的要求。如何在保證證券業(yè)務(wù)系統(tǒng)的先進性及完成其應(yīng)有功能����,向客戶提供更多更方便的服務(wù)的同時,確保所述系統(tǒng)的安全性和健壯性����,防止系統(tǒng)內(nèi)部核心機密的泄露,就成為需要著重解決的一個問題����。
業(yè)務(wù)系統(tǒng)面臨的安全問題主要有
機密性如何確保系統(tǒng)內(nèi)的信息不泄露給未授權(quán)的訪問者或者不丟失;完整性如何保證系統(tǒng)內(nèi)傳遞的信息不被非法篡改�;防攻擊及可用性如何防止攻擊者入侵系統(tǒng)而導(dǎo)致合法訪問者無法正常操作;系統(tǒng)被侵入后���,如何確保攻擊者無法占有所有資源�;身份識別及權(quán)限控制系統(tǒng)如何確認合法的訪問者��;如何防止合法訪問者進行超出權(quán)限的操作�����;抗否認性如何使訪問者進行的操作事實不可否認。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種信息安全控制系統(tǒng)���,以解決業(yè)務(wù)系統(tǒng)存在的安全性問題��,防止重要數(shù)據(jù)的泄漏和非法篡改�。
為解決上述技術(shù)問題��,本發(fā)明提供了一種信息安全控制系統(tǒng)����,用于對業(yè)務(wù)系統(tǒng)提供安全保障,包括密鑰管理模塊�����、密碼算法模塊��、密鑰協(xié)商模塊��、算法接口模塊和日志管理模塊�����,其中密鑰管理模塊��,用于管理各類密鑰的生成�����、傳輸和存儲�����,所述密鑰包括對稱密鑰����、RSA密鑰對、數(shù)據(jù)庫DAC密鑰����、MAC密鑰;密碼算法模塊��,用于向密鑰協(xié)商模塊��、密鑰管理模塊和日志管理模塊提供加密�、解密、簽名����、生成DAC和/或MAC碼、數(shù)據(jù)驗證操作;算法接口模塊����,用于向密鑰協(xié)商模塊、密鑰管理模塊和日志管理模塊提供密碼算法模塊中實現(xiàn)的各種操作的算法接口����;密鑰協(xié)商模塊,用于利用RSA密鑰對協(xié)商產(chǎn)生對稱密鑰���,所述對稱密鑰用于對傳輸過程中的數(shù)據(jù)加密��;日志管理模塊����,用于記錄各種操作日志�,并設(shè)置MAC密鑰。
優(yōu)選的�,還包括安全管理模塊,用于統(tǒng)一管理所述信息安全控制系統(tǒng)�����,并設(shè)置用戶身份識別和不同級別的操作權(quán)限��。
其中��,所述安全管理模塊設(shè)置數(shù)據(jù)庫登錄口令�����,并將所述口令加密保存���。
優(yōu)選的�����,還包括錯誤處理模塊�����,用于處理所述信息安全控制系統(tǒng)產(chǎn)生的各種錯誤���。
其中,所述密鑰管理模塊通過主密鑰對各類密鑰加密保存��,并通過超級密鑰保護所述主密鑰����。
其中�,所述密鑰協(xié)商模塊采用SSL協(xié)議進行協(xié)商����。
其中,所述RSA密鑰對由業(yè)務(wù)系統(tǒng)中的上級節(jié)點生成�,并分發(fā)給下級節(jié)點。
其中�����,所述信息安全控制系統(tǒng)按照業(yè)務(wù)系統(tǒng)的層次分級�,對應(yīng)各層次采取安全控制。
優(yōu)選的���,所述信息安全控制系統(tǒng)將業(yè)務(wù)系統(tǒng)各級節(jié)點間的數(shù)據(jù)傳輸分為通訊層�,業(yè)務(wù)邏輯應(yīng)用層���,位于通訊層和邏輯應(yīng)用層之間的安全傳輸層��,以及對所述通訊層�、業(yè)務(wù)邏輯應(yīng)用層���、安全傳輸層進行錯誤處理的控制層�;其中,所述密鑰協(xié)商模塊和算法接口模塊部署在安全傳輸層�����,所述錯誤處理模塊部署在控制層�����。
優(yōu)選的���,所述信息安全控制系統(tǒng)將業(yè)務(wù)系統(tǒng)各級節(jié)點間的數(shù)據(jù)存取分為數(shù)據(jù)庫層,業(yè)務(wù)邏輯應(yīng)用層���,位于數(shù)據(jù)庫層和業(yè)務(wù)邏輯應(yīng)用層之間的數(shù)據(jù)存取層���,以及對所述數(shù)據(jù)存取層進行錯誤處理的控制層;其中��,所述錯誤處理模塊部署在控制層��。
優(yōu)選的����,所述信息安全控制系統(tǒng)支持可擴展�����,采用橫向增加機器數(shù)目和縱向增加分層��。
與現(xiàn)有技術(shù)相比�,本發(fā)明具有以下優(yōu)點在數(shù)據(jù)傳輸方面��,運行中心與一級運行分中心��、一級運行分中心與二級運行分中心之間��,通過部署的密鑰協(xié)商模塊����、密碼算法模塊和算法接口模塊,實現(xiàn)數(shù)據(jù)的加密傳輸及MAC驗證��,防止數(shù)據(jù)被非法獲取����。其中傳輸數(shù)據(jù)采用對稱密鑰加密,而對稱密鑰采用RSA算法協(xié)商產(chǎn)生��,由RSA密鑰對加密協(xié)商過程���,并實現(xiàn)了抗否認性�����。
在數(shù)據(jù)存儲方面����,采用數(shù)據(jù)庫口令驗證和DAC驗證���,操作員和客戶密碼加密保存于數(shù)據(jù)庫中�����,并通過密碼算法模塊和算法接口模塊����,對數(shù)據(jù)庫中的關(guān)鍵數(shù)據(jù)表增加DAC驗證��,防止數(shù)據(jù)的非法篡改�����,確保數(shù)據(jù)庫數(shù)據(jù)的存取安全�����。
在密鑰管理方面,從密鑰的生成���、傳輸和存儲方面進行保護���,其中對稱密鑰由RSA密鑰對加密協(xié)商產(chǎn)生,其他密鑰由上級節(jié)點產(chǎn)生并下發(fā)給下級節(jié)點���。各類密鑰由主密鑰加密保存�����,主密鑰由超級密鑰加密保護���。
在業(yè)務(wù)系統(tǒng)授權(quán)方面,設(shè)置身份識別和不同權(quán)限控制�����。操作員進入業(yè)務(wù)系統(tǒng)必須提供識別號和口令�����,經(jīng)安全管理模塊驗證通過后才能進行操作。同時���,由安全管理模塊通過操作員權(quán)限控制表實現(xiàn)按權(quán)限訪問���,不同權(quán)限所有者可進行不同級別的操作。所述管理方式�,可以減少業(yè)務(wù)系統(tǒng)被非法侵入的可能。
在日志管理方面�����,將信息安全控制系統(tǒng)的各類操作記入日志文件�,記錄訪問者IP地址及登錄���、退出等操作信息���,并記錄數(shù)據(jù)庫的任何改動操作。而且�����,對日志信息進行MAC驗證,確保日志信息未被非法修改��。
通過上述一系列安全保護措施���,所述信息安全控制系統(tǒng)保證了業(yè)務(wù)系統(tǒng)的機密性����、完整性��、防攻擊性及可用性�、抗否認性、身份識別及權(quán)限控制�����,確保業(yè)務(wù)系統(tǒng)各個層級間的數(shù)據(jù)安全�����,并且能夠解決系統(tǒng)內(nèi)部人員的權(quán)限管理問題��,以及來自外部接入系統(tǒng)的安全隱患問題�����。并且,所述信息安全控制系統(tǒng)易于操作和維護����,能夠適應(yīng)各種業(yè)務(wù)系統(tǒng),實現(xiàn)方式靈活��,可根據(jù)業(yè)務(wù)系統(tǒng)進行擴展�。
圖1是現(xiàn)有技術(shù)中實施例所述業(yè)務(wù)系統(tǒng)的總體架構(gòu)圖;圖2是本發(fā)明所述信息安全控制系統(tǒng)的結(jié)構(gòu)框圖�����;圖3是是本發(fā)明所述密鑰管理模塊201所實現(xiàn)的各類操作�����;圖4是本發(fā)明所述日志管理模塊205所實現(xiàn)的各類操作�;圖5是本發(fā)明所述錯誤處理模塊207所實現(xiàn)的各類操作���;圖6是本發(fā)明所述系統(tǒng)實現(xiàn)數(shù)據(jù)安全傳輸?shù)慕y(tǒng)一分層模式示意圖���;圖7是對圖6中安全傳輸層的詳細說明示意圖;圖8是本發(fā)明所述系統(tǒng)實現(xiàn)數(shù)據(jù)安全傳輸?shù)恼w框架圖���;圖9是本發(fā)明所述系統(tǒng)實現(xiàn)數(shù)據(jù)安全存儲的統(tǒng)一分層模式示意圖��。
具體實施例方式
為使本發(fā)明的上述目的���、特征和優(yōu)點能夠更加明顯易懂���,下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明。
本發(fā)明提供的信息安全控制系統(tǒng)�����,能夠與業(yè)務(wù)系統(tǒng)緊密結(jié)合�,在結(jié)構(gòu)設(shè)計上,完全按照業(yè)務(wù)系統(tǒng)的層次分級���,各層次的業(yè)務(wù)邏輯有相對應(yīng)的安全控制��,保障業(yè)務(wù)各個方面都得到不同安全機制的保護�����,安全技術(shù)措施覆蓋業(yè)務(wù)系統(tǒng)的各個方面��,包括數(shù)據(jù)傳輸�、數(shù)據(jù)存儲、數(shù)據(jù)庫�、文件、日志����、操作認證等。在業(yè)務(wù)系統(tǒng)橫向的范圍�,安全措施覆蓋系統(tǒng)的所有入口,包括網(wǎng)絡(luò)入口�、系統(tǒng)入口;在業(yè)務(wù)系統(tǒng)的縱向?qū)哟?,安全措施覆蓋所有的層面,包括網(wǎng)絡(luò)層�、系統(tǒng)層、應(yīng)用層����。
參照圖2,是本發(fā)明所述信息安全控制系統(tǒng)的結(jié)構(gòu)框圖���,所述系統(tǒng)包括密鑰管理模塊201、密碼算法模塊202���、算法接口模塊203��、密鑰協(xié)商模塊204��、日志管理模塊205���、安全管理模塊206及錯誤處理模塊207��。
密鑰管理模塊201��,用于管理各類密鑰的生成��、傳輸和存儲��,由于密鑰對整個信息安全控制系統(tǒng)起著至關(guān)重要的作用��,因此必須進行嚴(yán)密保管��。所述密鑰包括系統(tǒng)運行過程中隨時可能使用的工作密鑰��,如對稱密鑰��、RSA(非對稱加密算法)密鑰對���、數(shù)據(jù)庫DAC(一種數(shù)據(jù)驗證碼)密鑰、MAC(一種數(shù)據(jù)驗證碼)密鑰���,存放在內(nèi)存中�。其中,所述對稱密鑰用于對業(yè)務(wù)系統(tǒng)各個層級間的傳輸數(shù)據(jù)進行加密��,RSA密鑰對用于加密對稱密鑰的協(xié)商過程����;數(shù)據(jù)庫DAC密鑰用于對數(shù)據(jù)庫中的關(guān)鍵數(shù)據(jù)表進行驗證,MAC密鑰用于對日志文件中的日志信息進行驗證��,確保數(shù)據(jù)庫數(shù)據(jù)和日志數(shù)據(jù)的完整性�����。
優(yōu)選的���,還包括對工作密鑰進行加密存儲的主密鑰��,系統(tǒng)每日啟動時使用�����;優(yōu)選的����,還包括保護主密鑰的超級密鑰����,在生成或修改主密鑰時使用。
在各級系統(tǒng)中�����,對稱密鑰在密鑰協(xié)商中產(chǎn)生����,其他工作密鑰由密鑰管理程序生成,并通過主密鑰進行加密存儲��,其中RSA密鑰對由各層的上級節(jié)點(如運行中心)生成再分發(fā)給下級節(jié)點(如一級運行分中心)����。主密鑰存放在IC卡中,由系統(tǒng)管理員保存����。在系統(tǒng)啟動時,首先從IC卡中讀出主密鑰����,對其他密鑰解密�,并讀入內(nèi)存��。當(dāng)系統(tǒng)第一次生成主密鑰或需要修改主密鑰時���,必須使用超級密鑰�����。超級密鑰存放在IC卡中�,由各級業(yè)務(wù)系統(tǒng)的關(guān)鍵人物保存���。參照圖3����,是本發(fā)明所述密鑰管理模塊201所實現(xiàn)的各類操作�。
密碼算法模塊202,是信息安全控制系統(tǒng)的核心���,用于向所述密鑰管理模塊201�、密鑰協(xié)商模塊204和日志管理模塊205提供加密�、解密、簽名、生成DAC和/或MAC碼����、數(shù)據(jù)驗證等操作��。密碼算法模塊202中可實現(xiàn)的算法包括DAC值運算�、DAC驗證、MAC值運算���、MAC驗證�、對稱密鑰加密����、對稱密鑰解密、RSA公鑰加密�、RSA公鑰解密、RSA公鑰簽名�、RSA私鑰加密、RSA私鑰解密����、RSA私鑰簽名、生成對稱密鑰����、生成RSA密鑰�����、生成主密鑰����、用主密鑰解密導(dǎo)入密鑰���、用主密鑰加密導(dǎo)出密鑰����、用RSA私鑰解密導(dǎo)入密鑰����、用公鑰加密導(dǎo)出密鑰、裝入主密鑰����、裝入RSA密鑰、裝入RSA公鑰����、更新主密鑰口令�����、更新主密鑰等��。
算法接口模塊203��,是所述密碼算法模塊202中封裝的各種算法的應(yīng)用接口����,以應(yīng)用程序接口的方式向業(yè)務(wù)系統(tǒng)的各個層級提供與密碼有關(guān)的服務(wù)�。當(dāng)所述密鑰管理模塊201�����、密鑰協(xié)商模塊204和日志管理模塊205需要使用算法處理時����,通過算法接口模塊203調(diào)用密碼算法模塊202中的相應(yīng)算法。
密鑰協(xié)商模塊204�����,用于提供對稱密鑰協(xié)商功能���。對稱密鑰采用RSA算法協(xié)商產(chǎn)生�����,用于對業(yè)務(wù)系統(tǒng)各個層級間的傳輸數(shù)據(jù)進行加密���,保證系統(tǒng)數(shù)據(jù)的機密性�����,防止數(shù)據(jù)被非法獲取����。密鑰協(xié)商過程基于SSL(Secure Socket Layer�,安全套接層)協(xié)議,并通過RSA密鑰對加密��。RSA密鑰初始時由各層的上級節(jié)點下發(fā)�,并調(diào)用安全管理模塊206提供的功能裝入系統(tǒng),也可以重新協(xié)商產(chǎn)生����。
日志管理模塊205,用于將安全控制系統(tǒng)的各類操作記入日志文件���,如記錄訪問者IP地址及登錄�、退出等操作信息,以及數(shù)據(jù)庫的任何改動操作��。而且���,對日志信息設(shè)置MAC密鑰�,在讀取日志文件信息時�����,通過計算日志信息的MAC值��,并與MAC密鑰比較��,驗證所述日志信息是否被修改���,確保日志文件的完整性。參照圖4��,是本發(fā)明所述日志管理模塊205所實現(xiàn)的各類操作����。
優(yōu)選設(shè)置安全管理模塊206����,用于對所述信息安全控制系統(tǒng)提供統(tǒng)一管理��,可實現(xiàn)操作包括啟動安全系統(tǒng)����、停止安全系統(tǒng)、輸入配置文件名�����、更新主密鑰口令�、所有節(jié)點密鑰列表、系統(tǒng)數(shù)據(jù)備份�����、系統(tǒng)數(shù)據(jù)恢復(fù)��、手工安裝RSA協(xié)商結(jié)果�����、安裝新節(jié)點RSA公鑰等�。
所述安全管理模塊206實現(xiàn)了授權(quán)訪問和身份識別����,操作員進入業(yè)務(wù)系統(tǒng)必須提供識別號和口令�,經(jīng)安全管理模塊206驗證通過后才能進行操作。同時��,由安全管理模塊206通過操作員權(quán)限控制表實現(xiàn)按權(quán)限訪問����,不同權(quán)限所有者可進行不同級別的操作。所述管理方式�,可以減少業(yè)務(wù)系統(tǒng)被非法侵入的可能。而且�,安全管理模塊206還對數(shù)據(jù)庫設(shè)置訪問口令,并加密保存所述口令和客戶密碼�。
優(yōu)選設(shè)置錯誤處理模塊207,用于對信息安全控制系統(tǒng)產(chǎn)生的各種錯誤進行處理�����,如數(shù)據(jù)加解密錯誤����、數(shù)據(jù)亂碼���、線路中斷��、對方宕機�����、對方進程宕掉等意外情況����,采取通知管理員、斷開連接�、自動恢復(fù)、人工干預(yù)等處理措施��。參照圖5�����,是本發(fā)明所述錯誤處理模塊207所實現(xiàn)的各類操作�����。
本發(fā)明提供的信息安全控制系統(tǒng)部署在業(yè)務(wù)系統(tǒng)的各個層級�,實現(xiàn)方式靈活,擴展方便,可以根據(jù)業(yè)務(wù)系統(tǒng)的特性增加縱向分層���,或者橫向增加機器數(shù)目���。而且,所述信息安全控制系統(tǒng)易于操作和維護����,能夠適應(yīng)各種業(yè)務(wù)系統(tǒng)。
下面從信息傳輸�、信息存儲、信息授權(quán)幾個方面詳細說明信息安全控制系統(tǒng)在各個分層的情況�。參照圖6,是本發(fā)明所述系統(tǒng)實現(xiàn)數(shù)據(jù)安全傳輸?shù)慕y(tǒng)一分層模式示意圖����。業(yè)務(wù)系統(tǒng)數(shù)據(jù)在運行中心與一級運行分中心、一級運行分中心與二級運行分中心之間傳輸?shù)倪^程中�����,為保證數(shù)據(jù)的保密性和完整性���,需要加以嚴(yán)格保護,防止數(shù)據(jù)泄露��。為便于系統(tǒng)開發(fā)與維護,對不同層級的通訊采用統(tǒng)一的模式���,如圖6所示��。
本發(fā)明將網(wǎng)絡(luò)數(shù)據(jù)傳輸分為通訊層601�����,安全傳輸層602�����,業(yè)務(wù)邏輯應(yīng)用層603和控制層604�。其中��,所述通訊層601用于屏蔽不同的網(wǎng)絡(luò)協(xié)議��,為安全傳輸層603提供網(wǎng)絡(luò)連接�、發(fā)送、接收等服務(wù)��;所述安全傳輸層602用于為業(yè)務(wù)邏輯應(yīng)用層603提供安全的數(shù)據(jù)傳輸服務(wù)��,利用密碼算法模塊202進行加解密;密碼算法模塊為其他層提供加密�����、解密����、隨機數(shù)生成等與密碼有關(guān)的服務(wù),通過算法接口模塊203調(diào)用實現(xiàn)�����;所述業(yè)務(wù)邏輯應(yīng)用層603用于執(zhí)行各種應(yīng)用邏輯�����,利用安全傳輸層602與其他節(jié)點的應(yīng)用進行數(shù)據(jù)交換����,不需要考慮網(wǎng)絡(luò)通訊、數(shù)據(jù)加密等細節(jié)問題��;所述控制層604用于對系統(tǒng)運行出現(xiàn)的意外進行通知管理員�、斷開連接、自動恢復(fù)�����、人工干預(yù)等錯誤處理����,由錯誤處理模塊207實現(xiàn)。
由于采用了上述分層結(jié)構(gòu)��,業(yè)務(wù)邏輯應(yīng)用層的設(shè)計可以集中在應(yīng)用邏輯處理上�,無需考慮網(wǎng)絡(luò)通訊和數(shù)據(jù)加密等細節(jié),簡化了應(yīng)用層的設(shè)計��,并使系統(tǒng)的結(jié)構(gòu)變得簡單�、清晰,便于擴展與維護�����。
圖7是對圖6中安全傳輸層的詳細說明示意圖���。安全傳輸層有兩種連接方式運行中心與一級運行分中心��、一級運行分中心與二級運行分中心間的連接���,均采用客戶端/服務(wù)器端(Client/Server)方式�。二級運行分中心作為Client向一級運行分中心發(fā)起連接請求��;一級運行分中心作為Client向運行中心發(fā)起連接請求��。在連接過程中���,完成雙方的身份驗證和動態(tài)密鑰生成�����。在隨后的傳輸過程中�,利用連接過程中生成的對稱密鑰���,對傳輸?shù)臄?shù)據(jù)進行加密����,保證數(shù)據(jù)傳輸?shù)臋C密性��。
在安全傳輸層�,信息安全控制系統(tǒng)部署了數(shù)據(jù)通訊接口模塊701和密鑰協(xié)商模塊204,以及相關(guān)密鑰信息的管理列表�。系統(tǒng)在數(shù)據(jù)交換時,Client先利用通訊層與Server建立連接����,然后由雙方的密鑰協(xié)商模塊認證雙方的身份��,并產(chǎn)生對稱密鑰�,對傳輸數(shù)據(jù)進行加密���;業(yè)務(wù)邏輯應(yīng)用層通過數(shù)據(jù)通訊接口模塊701,進行加密數(shù)據(jù)的發(fā)送與接收�����。而密鑰協(xié)商模塊和數(shù)據(jù)通訊接口模塊701利用密碼算法模塊202完成數(shù)據(jù)的加密��、解密���、驗證等操作���。由于一級運行中心既是Client又是Server,因此具有兩方面的功能��。
本發(fā)明中���,密鑰協(xié)商過程參考SSL協(xié)議�����,為了簡化實現(xiàn)方式����,在達到所需的安全要求的同時,盡量使實現(xiàn)方式簡單高效�,因此本方案不使用證書方式,只實現(xiàn)密鑰交換過程以及算法協(xié)商過程����,這樣可避免系統(tǒng)證書申請、維護���、證書更新�、黑名單處理等一系列復(fù)雜過程����。當(dāng)然,也可以采用本領(lǐng)域技術(shù)人員熟知的其他安全通信協(xié)議���,如SET(Secure Electronic Transaction�����,安全電子交易)協(xié)議等��。
密鑰協(xié)商模塊在雙方進行對稱密鑰的協(xié)商過程中���,利用密碼算法模塊提供的RSA算法進行加密�。RSA算法是一個能同時用于加密和數(shù)字簽名的非對稱算法�����,所述非對稱算法是指加密和解密使用不同的密鑰��。非對稱算法的密鑰分為二部分���,通常稱為“公鑰”和“私鑰”(或者稱為“公開密鑰”和“秘密密鑰”)。公鑰和私鑰存在數(shù)學(xué)上的關(guān)系���,使得用公鑰加密的數(shù)據(jù)只能用對應(yīng)的私鑰解密���,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密,但是從公鑰中推導(dǎo)出私鑰是很難的��。RSA���,DSA等算法都屬于非對稱算法���。
本發(fā)明采用的是RSA算法���,RSA密鑰對由上級節(jié)點生成并下發(fā)給下級節(jié)點。密鑰協(xié)商配置的數(shù)據(jù)結(jié)構(gòu)如下ClientClient的RSA密鑰對�,Server的公鑰,協(xié)商生成的對稱密鑰��;ServerServer的RSA密鑰對���,Client的公鑰表��,協(xié)商生成的對稱密鑰表�����。
在Server端�����,還需維持一個連接對照表��,以便知道每個連接對應(yīng)的Client��。由于一級運行分中心既是Client又是Server�,所以包含以上所有的數(shù)據(jù)。對應(yīng)上述Client和Server的數(shù)據(jù)結(jié)構(gòu)�,參照圖8,是本發(fā)明所述系統(tǒng)實現(xiàn)數(shù)據(jù)安全傳輸?shù)恼w框架圖���,信息安全控制系統(tǒng)部署在業(yè)務(wù)系統(tǒng)的各個分層����。
在Client和Server的協(xié)商過程中����,雙方首先利用RSA“公鑰”和“私鑰”實現(xiàn)數(shù)字簽名來認證對方身份���,Server可識別由Client發(fā)送的請求而排除其他節(jié)點處的請求�,實現(xiàn)了安全問題中的抗否認性�。然后,雙方再協(xié)商產(chǎn)生對稱密鑰����,并再次利用RSA“公鑰”和“私鑰”對協(xié)商過程加密,防止對稱密鑰在Client和Server間的傳輸過程中泄漏。由于RSA對稱密鑰的協(xié)商過程是本領(lǐng)域技術(shù)人員熟知的算法���,在此不再詳述����。
優(yōu)選的�����,數(shù)據(jù)傳輸過程中還使用MAC驗證���,防止數(shù)據(jù)在傳輸過程中被篡改�����。對要保護的多條數(shù)據(jù)記錄��,根據(jù)一定算法計算出MAC密鑰并保存�����。數(shù)據(jù)接收方在讀取數(shù)據(jù)時�,重新計算數(shù)據(jù)的MAC值��,并與MAC密鑰比較,從而驗證數(shù)據(jù)的完整性���。
在信息存儲方面��,業(yè)務(wù)系統(tǒng)數(shù)據(jù)主要以數(shù)據(jù)庫方式存儲�����。本發(fā)明通過安全管理模塊206設(shè)置數(shù)據(jù)庫訪問權(quán)限����,操作員通過口令驗證才能進行數(shù)據(jù)庫操作��。而且���,操作員口令和客戶密碼都加密保存���。但是���,某些用戶尤其是一些內(nèi)部用戶仍可能非法獲取用戶名�����、口令字��,或利用其他方法越權(quán)使用數(shù)據(jù)庫�����,甚至可以直接打開數(shù)據(jù)庫文件來竊取或篡改信息�。因此,有必要對數(shù)據(jù)庫中存儲的重要數(shù)據(jù)進行加密處理���,以實現(xiàn)數(shù)據(jù)存儲的安全保護�。本發(fā)明對數(shù)據(jù)庫中的數(shù)據(jù)采用DAC驗證���,根據(jù)一定算法計算出每條要保護數(shù)據(jù)的DAC密鑰并保存���,當(dāng)操作員進入數(shù)據(jù)庫讀取數(shù)據(jù)庫數(shù)據(jù)時,再次計算DAC值�,與DAC密鑰進行比較驗證數(shù)據(jù)是否被篡改。
上述DAC和MAC的作用都是防止數(shù)據(jù)被篡改���,但DAC是每條記錄產(chǎn)生一個DAC值����,而MAC是多條記錄產(chǎn)生一個MAC值。DAC和MAC的應(yīng)用可根據(jù)實際情況選用���,因此本發(fā)明對數(shù)據(jù)庫數(shù)據(jù)使用DAC驗證和對傳輸數(shù)據(jù)使用MAC驗證����,只作為一種實施例進行說明����,不限定其他處理方法。
為了屏蔽數(shù)據(jù)加密���、解密����、驗證等操作����,簡化應(yīng)用層的邏輯,本發(fā)明采用了類似圖6所示的數(shù)據(jù)傳輸?shù)姆謱咏Y(jié)構(gòu)�。參照圖9,是本發(fā)明所述系統(tǒng)實現(xiàn)數(shù)據(jù)安全存儲的統(tǒng)一分層模式示意圖����,將數(shù)據(jù)存取分為數(shù)據(jù)庫層901、數(shù)據(jù)存取層902����、業(yè)務(wù)邏輯應(yīng)用層903和控制層904。其中�,數(shù)據(jù)庫層901用于保存各種業(yè)務(wù)系統(tǒng)數(shù)據(jù);數(shù)據(jù)存取層902用于接收業(yè)務(wù)邏輯應(yīng)用層903的請求��,完成數(shù)據(jù)庫存取����,并利用密碼算法模塊202進行DAC值計算和DAC驗證等操作,為業(yè)務(wù)邏輯應(yīng)用層903提供安全的數(shù)據(jù)存取服務(wù)�;業(yè)務(wù)邏輯應(yīng)用層903用于執(zhí)行各種業(yè)務(wù)邏輯,利用數(shù)據(jù)存取層902進行數(shù)據(jù)庫安全操作�;控制層904用于處理各種異常運行錯誤,部署錯誤處理模塊207實現(xiàn)��。
在信息授權(quán)方面�����,通過安全管理模塊206設(shè)置操作員身份識別和不同權(quán)限控制�����,防止非法者入侵系統(tǒng)。每個操作員擁有唯一的識別號�,操作員進入系統(tǒng)必須提供口令和識別號,經(jīng)安全管理模塊校驗正確后方可進行操作����。操作員口令定期修改,口令過期前應(yīng)提示操作員修改口令�,安全管理模塊中設(shè)置判斷,若過期不修改則禁止該操作員注冊����。由安全管理模塊通過操作員權(quán)限限定表實現(xiàn)按權(quán)限訪問,不同權(quán)限所有者可進行不同級別的操作�,防止合法訪問者進行超出權(quán)限的操作。
此外��,關(guān)于密鑰管理和日志安全管理的內(nèi)容分別由上述密鑰管理模塊201和日志管理模塊205實現(xiàn)����,在此不再詳述。
本發(fā)明提供的信息安全控制系統(tǒng)保證了業(yè)務(wù)系統(tǒng)的機密性��、完整性�����、防攻擊性及可用性、抗否認性����、身份識別及權(quán)限控制��,確保業(yè)務(wù)系統(tǒng)各個層級間的數(shù)據(jù)安全��,并且能夠解決系統(tǒng)內(nèi)部人員的權(quán)限管理問題���,以及來自外部接入系統(tǒng)的安全隱患問題���。
以上對本發(fā)明所提供的一種信息安全控制系統(tǒng),進行了詳細介紹��,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述����,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時���,對于本領(lǐng)域的一般技術(shù)人員�,依據(jù)本發(fā)明的思想��,在具體實施方式
及應(yīng)用范圍上均會有改變之處。綜上所述����,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
權(quán)利要求
1.一種信息安全控制系統(tǒng)�,用于對業(yè)務(wù)系統(tǒng)提供安全保障,其特征在于��,包括密鑰管理模塊��、密碼算法模塊����、密鑰協(xié)商模塊、算法接口模塊和日志管理模塊���,其中密鑰管理模塊����,用于管理各類密鑰的生成���、傳輸和存儲����,所述密鑰包括對稱密鑰、RSA密鑰對�����、數(shù)據(jù)庫DAC密鑰����、MAC密鑰�;密碼算法模塊,用于向密鑰協(xié)商模塊����、密鑰管理模塊和日志管理模塊提供加密、解密����、簽名、生成DAC和/或MAC碼�、數(shù)據(jù)驗證操作;算法接口模塊��,用于向密鑰協(xié)商模塊����、密鑰管理模塊和日志管理模塊提供密碼算法模塊中實現(xiàn)的各種操作的算法接口�����;密鑰協(xié)商模塊����,用于利用RSA密鑰對協(xié)商產(chǎn)生對稱密鑰���,所述對稱密鑰用于對傳輸過程中的數(shù)據(jù)加密����;日志管理模塊����,用于記錄各種操作日志,并設(shè)置MAC密鑰�����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其特征在于��,還包括安全管理模塊,用于統(tǒng)一管理所述信息安全控制系統(tǒng)���,并設(shè)置用戶身份識別和不同級別的操作權(quán)限�。
3.根據(jù)權(quán)利要求2所述的系統(tǒng)���,其特征在于所述安全管理模塊設(shè)置數(shù)據(jù)庫登錄口令���,并將所述口令加密保存。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于���,還包括錯誤處理模塊,用于處理所述信息安全控制系統(tǒng)產(chǎn)生的各種錯誤�。
5.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述密鑰管理模塊通過主密鑰對各類密鑰加密保存����,并通過超級密鑰保護所述主密鑰。
6.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于所述密鑰協(xié)商模塊采用SSL協(xié)議進行協(xié)商���。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其特征在于所述信息安全控制系統(tǒng)按照業(yè)務(wù)系統(tǒng)的層次分級����,對應(yīng)各層次采取安全控制����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于所述RSA密鑰對由業(yè)務(wù)系統(tǒng)中的上級節(jié)點生成���,并分發(fā)給下級節(jié)點����。
9.根據(jù)權(quán)利要求4所述的系統(tǒng)��,其特征在于所述信息安全控制系統(tǒng)將業(yè)務(wù)系統(tǒng)各級節(jié)點間的數(shù)據(jù)傳輸分為通訊層����,業(yè)務(wù)邏輯應(yīng)用層,位于通訊層和邏輯應(yīng)用層之間的安全傳輸層���,以及對所述通訊層�、業(yè)務(wù)邏輯應(yīng)用層、安全傳輸層進行錯誤處理的控制層��;其中���,所述密鑰協(xié)商模塊和算法接口模塊部署在安全傳輸層���,所述錯誤處理模塊部署在控制層。
10.根據(jù)權(quán)利要求4所述的系統(tǒng)���,其特征在于所述信息安全控制系統(tǒng)將業(yè)務(wù)系統(tǒng)各級節(jié)點間的數(shù)據(jù)存取分為數(shù)據(jù)庫層�,業(yè)務(wù)邏輯應(yīng)用層���,位于數(shù)據(jù)庫層和業(yè)務(wù)邏輯應(yīng)用層之間的數(shù)據(jù)存取層,以及對所述數(shù)據(jù)存取層進行錯誤處理的控制層��;其中�,所述錯誤處理模塊部署在控制層。
11.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于所述信息安全控制系統(tǒng)支持可擴展�����,采用橫向增加機器數(shù)目和縱向增加分層����。
全文摘要
本發(fā)明提供一種信息安全控制系統(tǒng)����,以解決業(yè)務(wù)系統(tǒng)存在的各種安全性問題,防止重要數(shù)據(jù)的泄漏和非法篡改���。所述系統(tǒng)包括密鑰管理模塊�,密鑰協(xié)商模塊����,密碼算法模塊,算法接口模塊�����,日志管理模塊���,安全管理模塊和錯誤處理模塊�����。本發(fā)明提供的信息安全控制系統(tǒng)����,能夠與業(yè)務(wù)系統(tǒng)緊密結(jié)合,在結(jié)構(gòu)設(shè)計上�,完全按照業(yè)務(wù)系統(tǒng)的層次分級,各層次的業(yè)務(wù)邏輯有相對應(yīng)的安全控制��,保障業(yè)務(wù)各個方面都得到不同安全機制的保護�,安全技術(shù)措施覆蓋業(yè)務(wù)系統(tǒng)的各個方面,包括數(shù)據(jù)傳輸��、數(shù)據(jù)存儲����、數(shù)據(jù)庫、文件�����、日志���、操作認證等����,保證了業(yè)務(wù)系統(tǒng)的機密性���、完整性�、防攻擊性及可用性����、抗否認性、身份識別及權(quán)限控制���。
文檔編號H04L29/06GK101043335SQ200710079440
公開日2007年9月26日 申請日期2007年3月12日 優(yōu)先權(quán)日2007年3月12日
發(fā)明者黃紹鵬, 曹祥建, 劉焱軍, 林莉萍, 安伯龍, 陳建靈, 翁志山, 雷霏, 張揚 申請人:中國建設(shè)銀行股份有限公司