身份认证作为网络安全、信息资源访问控制的第一道门在网络信息系统中举足轻重,但传统的身份认证是采用用户名+口令的方式(PAP-Password Authentication Protocol)来认证用户,这是一种标准的基于单因子的身份认证方式,这种模式的不安全因素随着网络技术的发展而愈显突出,其具体表现为:口令易被猜测、口令可从网上截获、口令在服务器的存放不安全。
针对传统PAP在安全方面的弱点,我们开发了全新的基于CHAP协议和PKI技术并结合硬件加密产品Skey的强双因子身份认证系统,解决了口令被猜测、口令被截获、用户隐私在服务器端被泄密的可能性。远程拨号安全认证服务系统(Gefon RASA),其安全性在目前国内外产品中具有明显的优势。RASA可以广泛地应用到各种网络应用系统中。结合我公司的产品,我们和某银行共同推出了企业网上银行业务系统。RASA在该系统中的应用如下述。
[RASA在企业银行业务系统中的应用]
1、 RASA结构介绍
RASA客户:提供远程拨号客户端所应具有的所有功能。其认证机制为格方自行开发的同时具有CHAP和PKCS的双重优点。同时加入了另一因子Skey,因此更安全,可靠。
RASA代理:提供NT远程访问服务,接受客户端远程拨号连接,以我们自己的认证机制为基础替换了NT原有的安全主机模块,并新加载了管理模块,以协助完成强双因子的身份认证。
RASA服务器:对拨号用户的身份进行认证和实时监控。该服务程序不直接接受远程客户的连接,而是通过代理同远程客户发生联系。因远程客户和主域控制器的联系要通过代理,因此一个有增强安全性的代理(添加防火墙)可以提高系统的整体安全性。
2、 企业网络银行的情况
电子与通讯技术的发展使传统银行的经营环境发生了巨大的变化。人们对银行的服务质量、办事效率提出更高的要求。现代商业银行只有利用最新科技成果包装、改造传统金融工具,利用最新科技成果开拓、创造新的金融服务手段,才能在市场竞争中保持有利地位。
利用Internet技术建立网上银行可以带来诸多的好处,新兴银行无不想占领这个至高点以延伸服务,提高效率。一般采用新技术的投资较小,操作性很强。
一般网上企业银行系统具有几项功能:
银行介绍;
支票的转帐、现金的预约存取、电汇等;
帐户余额的查询及对帐单的查询;
银行信息的分布,如利率、重要通告等;
市场信息;
电子意见箱。
可以根据需要任意扩展功能。
而企业银行的业务可以充分利用现有银行系统的内部专网。
3、 RASA在某支行企业银行系统中的网络结构
根据中国的国情,目前,我们国家各大银行在全国已基本形成了自己的网络系统,出于对安全的考虑,银行系统的网络和互联网络是分离。RASA系统能够在保持原有网络不变的情况下,开展全国性的网上企业银行系统。
企业银行客户可以通过安装有RASA客户端和一部调制解调器的Windows9X平台连接当地的RASA服务器,通过身份认证后即可享受银行提供的各种便利服务。
4、 RASA在全国某银行中建立企业银行中的网络结构
作为全国的整体解决方案,可以利用RASA系统的远程拨号技术特性,以及其极强的安全机制,与现有银行系统无缝结合,并在整个银行系统进行推广使用。
我们的方案是在每个支行放置RASA服务器,其身份认证采用集中式的管理分布式认证。企业用户不论身在何处,都可以通过安装有RASA客户端和一部调制解调器的Windows9X平台连接当地的RASA服务器而享受异地银行的本地化服务――即全国联网的服务,不受时空的限制,十分便利和高效。银行可以在这个系统的保证下完成传统和新型的金融业务。
该系统的系统结构图如下所示:
说明:
1.RASA服务器由Modem池,RASA代理,RASA服务器组成。
2.RASA代理和RASA服务器的运行平台为Windows NT 4.0,RASA客户端的运行平台为Windows 9X。
3.银行内部网一般由DDN组成。
如果各地的用户帐户数据库是分布式的,也可以通过各RASA服务器之间查询完成身份认证过程。
这套RASA系统解决了信息安全中的身份认证问题。因为使用的是封闭的专网以及PSTN,因此不和Internet相联,安全性很高。对于传输数据可以采用Gefon VPSec威塞盾来得到很好的解决。
由此可见该系统可以很好地和银行现有系统结合,应用前景广阔,而且实施特别简便,能带来较大的社会及经济效益。
