专利名称:一种信息安全控制系统的制作方法
技术领域:
本发明涉及信息安全领域,特别是涉及一种与业务系统紧密结合的信息安全控制系统。
背景技术:
随着网络应用的普及,信息安全问题越来越突出,例如在金融业务领域,涉及到大量的资金交易数据和客户资料信息,安全性问题十分重要。尤其对于各种实现特定应用需求的复杂业务系统,各个系统间相互连接,数据传输十分频繁,如何保证重要数据的安全性,是一直研究的问题。
现举例说明上述业务系统普遍存在的安全性问题。参照图1,是银行内部的证券业务系统总体架构图,所述系统分三个层次架构,分别为运行中心101、一级运行分中心102、二级运行分中心103。其中,所述运行中心101是全国范围内的总中心,通过广域网连接各个省级单位的一级运行中心节点102,而各个一级运行中心节点102也通过广域网连接各个市级单位的二级运行分中心节点103,以及二级运行分中心节点下一级的网点柜台。所述证券业务系统利用原有的银行网络基础,通过层次型的部署,由上而下贯穿全国范围的证券业务领域。
如图所示,所述系统的各个层级不仅与其他相关业务网络连接,与其他多种相关业务系统也有接口,如网上银行、电话银行等,开放性很强。对内,各个层级间进行数据传递及各种操作;对外,各个层级与外部进行数据传递及各种操作。数据的各类操作都存在着很大的风险,一方面系统数据容易泄漏,另一方面还易被外部接入系统非法入侵,篡改数据。
由于证券系统是一个直接将资金流、信息流、工作流控制等整合在一起的关键业务系统,整个系统的运作涉及到很多诸如资金、交易、商业机密、个人隐私等敏感信息,因此与一般的信息系统相比,对整个系统的安全性和可靠性有着更为严格的要求。如何在保证证券业务系统的先进性及完成其应有功能,向客户提供更多更方便的服务的同时,确保所述系统的安全性和健壮性,防止系统内部核心机密的泄露,就成为需要着重解决的一个问题。
业务系统面临的安全问题主要有
机密性如何确保系统内的信息不泄露给未授权的访问者或者不丢失;完整性如何保证系统内传递的信息不被非法篡改;防攻击及可用性如何防止攻击者入侵系统而导致合法访问者无法正常操作;系统被侵入后,如何确保攻击者无法占有所有资源;身份识别及权限控制系统如何确认合法的访问者;如何防止合法访问者进行超出权限的操作;抗否认性如何使访问者进行的操作事实不可否认。
发明内容
本发明所要解决的技术问题是提供一种信息安全控制系统,以解决业务系统存在的安全性问题,防止重要数据的泄漏和非法篡改。
为解决上述技术问题,本发明提供了一种信息安全控制系统,用于对业务系统提供安全保障,包括密钥管理模块、密码算法模块、密钥协商模块、算法接口模块和日志管理模块,其中密钥管理模块,用于管理各类密钥的生成、传输和存储,所述密钥包括对称密钥、RSA密钥对、数据库DAC密钥、MAC密钥;密码算法模块,用于向密钥协商模块、密钥管理模块和日志管理模块提供加密、解密、签名、生成DAC和/或MAC码、数据验证操作;算法接口模块,用于向密钥协商模块、密钥管理模块和日志管理模块提供密码算法模块中实现的各种操作的算法接口;密钥协商模块,用于利用RSA密钥对协商产生对称密钥,所述对称密钥用于对传输过程中的数据加密;日志管理模块,用于记录各种操作日志,并设置MAC密钥。
优选的,还包括安全管理模块,用于统一管理所述信息安全控制系统,并设置用户身份识别和不同级别的操作权限。
其中,所述安全管理模块设置数据库登录口令,并将所述口令加密保存。
优选的,还包括错误处理模块,用于处理所述信息安全控制系统产生的各种错误。
其中,所述密钥管理模块通过主密钥对各类密钥加密保存,并通过超级密钥保护所述主密钥。
其中,所述密钥协商模块采用SSL协议进行协商。
其中,所述RSA密钥对由业务系统中的上级节点生成,并分发给下级节点。
其中,所述信息安全控制系统按照业务系统的层次分级,对应各层次采取安全控制。
优选的,所述信息安全控制系统将业务系统各级节点间的数据传输分为通讯层,业务逻辑应用层,位于通讯层和逻辑应用层之间的安全传输层,以及对所述通讯层、业务逻辑应用层、安全传输层进行错误处理的控制层;其中,所述密钥协商模块和算法接口模块部署在安全传输层,所述错误处理模块部署在控制层。
优选的,所述信息安全控制系统将业务系统各级节点间的数据存取分为数据库层,业务逻辑应用层,位于数据库层和业务逻辑应用层之间的数据存取层,以及对所述数据存取层进行错误处理的控制层;其中,所述错误处理模块部署在控制层。
优选的,所述信息安全控制系统支持可扩展,采用横向增加机器数目和纵向增加分层。
与现有技术相比,本发明具有以下优点在数据传输方面,运行中心与一级运行分中心、一级运行分中心与二级运行分中心之间,通过部署的密钥协商模块、密码算法模块和算法接口模块,实现数据的加密传输及MAC验证,防止数据被非法获取。其中传输数据采用对称密钥加密,而对称密钥采用RSA算法协商产生,由RSA密钥对加密协商过程,并实现了抗否认性。
在数据存储方面,采用数据库口令验证和DAC验证,操作员和客户密码加密保存于数据库中,并通过密码算法模块和算法接口模块,对数据库中的关键数据表增加DAC验证,防止数据的非法篡改,确保数据库数据的存取安全。
在密钥管理方面,从密钥的生成、传输和存储方面进行保护,其中对称密钥由RSA密钥对加密协商产生,其他密钥由上级节点产生并下发给下级节点。各类密钥由主密钥加密保存,主密钥由超级密钥加密保护。
在业务系统授权方面,设置身份识别和不同权限控制。操作员进入业务系统必须提供识别号和口令,经安全管理模块验证通过后才能进行操作。同时,由安全管理模块通过操作员权限控制表实现按权限访问,不同权限所有者可进行不同级别的操作。所述管理方式,可以减少业务系统被非法侵入的可能。
在日志管理方面,将信息安全控制系统的各类操作记入日志文件,记录访问者IP地址及登录、退出等操作信息,并记录数据库的任何改动操作。而且,对日志信息进行MAC验证,确保日志信息未被非法修改。
通过上述一系列安全保护措施,所述信息安全控制系统保证了业务系统的机密性、完整性、防攻击性及可用性、抗否认性、身份识别及权限控制,确保业务系统各个层级间的数据安全,并且能够解决系统内部人员的权限管理问题,以及来自外部接入系统的安全隐患问题。并且,所述信息安全控制系统易于操作和维护,能够适应各种业务系统,实现方式灵活,可根据业务系统进行扩展。
图1是现有技术中实施例所述业务系统的总体架构图;图2是本发明所述信息安全控制系统的结构框图;图3是是本发明所述密钥管理模块201所实现的各类操作;图4是本发明所述日志管理模块205所实现的各类操作;图5是本发明所述错误处理模块207所实现的各类操作;图6是本发明所述系统实现数据安全传输的统一分层模式示意图;图7是对图6中安全传输层的详细说明示意图;图8是本发明所述系统实现数据安全传输的整体框架图;图9是本发明所述系统实现数据安全存储的统一分层模式示意图。
具体实施例方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明作进一步详细的说明。
本发明提供的信息安全控制系统,能够与业务系统紧密结合,在结构设计上,完全按照业务系统的层次分级,各层次的业务逻辑有相对应的安全控制,保障业务各个方面都得到不同安全机制的保护,安全技术措施覆盖业务系统的各个方面,包括数据传输、数据存储、数据库、文件、日志、操作认证等。在业务系统横向的范围,安全措施覆盖系统的所有入口,包括网络入口、系统入口;在业务系统的纵向层次,安全措施覆盖所有的层面,包括网络层、系统层、应用层。
参照图2,是本发明所述信息安全控制系统的结构框图,所述系统包括密钥管理模块201、密码算法模块202、算法接口模块203、密钥协商模块204、日志管理模块205、安全管理模块206及错误处理模块207。
密钥管理模块201,用于管理各类密钥的生成、传输和存储,由于密钥对整个信息安全控制系统起着至关重要的作用,因此必须进行严密保管。所述密钥包括系统运行过程中随时可能使用的工作密钥,如对称密钥、RSA(非对称加密算法)密钥对、数据库DAC(一种数据验证码)密钥、MAC(一种数据验证码)密钥,存放在内存中。其中,所述对称密钥用于对业务系统各个层级间的传输数据进行加密,RSA密钥对用于加密对称密钥的协商过程;数据库DAC密钥用于对数据库中的关键数据表进行验证,MAC密钥用于对日志文件中的日志信息进行验证,确保数据库数据和日志数据的完整性。
优选的,还包括对工作密钥进行加密存储的主密钥,系统每日启动时使用;优选的,还包括保护主密钥的超级密钥,在生成或修改主密钥时使用。
在各级系统中,对称密钥在密钥协商中产生,其他工作密钥由密钥管理程序生成,并通过主密钥进行加密存储,其中RSA密钥对由各层的上级节点(如运行中心)生成再分发给下级节点(如一级运行分中心)。主密钥存放在IC卡中,由系统管理员保存。在系统启动时,首先从IC卡中读出主密钥,对其他密钥解密,并读入内存。当系统第一次生成主密钥或需要修改主密钥时,必须使用超级密钥。超级密钥存放在IC卡中,由各级业务系统的关键人物保存。参照图3,是本发明所述密钥管理模块201所实现的各类操作。
密码算法模块202,是信息安全控制系统的核心,用于向所述密钥管理模块201、密钥协商模块204和日志管理模块205提供加密、解密、签名、生成DAC和/或MAC码、数据验证等操作。密码算法模块202中可实现的算法包括DAC值运算、DAC验证、MAC值运算、MAC验证、对称密钥加密、对称密钥解密、RSA公钥加密、RSA公钥解密、RSA公钥签名、RSA私钥加密、RSA私钥解密、RSA私钥签名、生成对称密钥、生成RSA密钥、生成主密钥、用主密钥解密导入密钥、用主密钥加密导出密钥、用RSA私钥解密导入密钥、用公钥加密导出密钥、装入主密钥、装入RSA密钥、装入RSA公钥、更新主密钥口令、更新主密钥等。
算法接口模块203,是所述密码算法模块202中封装的各种算法的应用接口,以应用程序接口的方式向业务系统的各个层级提供与密码有关的服务。当所述密钥管理模块201、密钥协商模块204和日志管理模块205需要使用算法处理时,通过算法接口模块203调用密码算法模块202中的相应算法。
密钥协商模块204,用于提供对称密钥协商功能。对称密钥采用RSA算法协商产生,用于对业务系统各个层级间的传输数据进行加密,保证系统数据的机密性,防止数据被非法获取。密钥协商过程基于SSL(Secure Socket Layer,安全套接层)协议,并通过RSA密钥对加密。RSA密钥初始时由各层的上级节点下发,并调用安全管理模块206提供的功能装入系统,也可以重新协商产生。
日志管理模块205,用于将安全控制系统的各类操作记入日志文件,如记录访问者IP地址及登录、退出等操作信息,以及数据库的任何改动操作。而且,对日志信息设置MAC密钥,在读取日志文件信息时,通过计算日志信息的MAC值,并与MAC密钥比较,验证所述日志信息是否被修改,确保日志文件的完整性。参照图4,是本发明所述日志管理模块205所实现的各类操作。
优选设置安全管理模块206,用于对所述信息安全控制系统提供统一管理,可实现操作包括启动安全系统、停止安全系统、输入配置文件名、更新主密钥口令、所有节点密钥列表、系统数据备份、系统数据恢复、手工安装RSA协商结果、安装新节点RSA公钥等。
所述安全管理模块206实现了授权访问和身份识别,操作员进入业务系统必须提供识别号和口令,经安全管理模块206验证通过后才能进行操作。同时,由安全管理模块206通过操作员权限控制表实现按权限访问,不同权限所有者可进行不同级别的操作。所述管理方式,可以减少业务系统被非法侵入的可能。而且,安全管理模块206还对数据库设置访问口令,并加密保存所述口令和客户密码。
优选设置错误处理模块207,用于对信息安全控制系统产生的各种错误进行处理,如数据加解密错误、数据乱码、线路中断、对方宕机、对方进程宕掉等意外情况,采取通知管理员、断开连接、自动恢复、人工干预等处理措施。参照图5,是本发明所述错误处理模块207所实现的各类操作。
本发明提供的信息安全控制系统部署在业务系统的各个层级,实现方式灵活,扩展方便,可以根据业务系统的特性增加纵向分层,或者横向增加机器数目。而且,所述信息安全控制系统易于操作和维护,能够适应各种业务系统。
下面从信息传输、信息存储、信息授权几个方面详细说明信息安全控制系统在各个分层的情况。参照图6,是本发明所述系统实现数据安全传输的统一分层模式示意图。业务系统数据在运行中心与一级运行分中心、一级运行分中心与二级运行分中心之间传输的过程中,为保证数据的保密性和完整性,需要加以严格保护,防止数据泄露。为便于系统开发与维护,对不同层级的通讯采用统一的模式,如图6所示。
本发明将网络数据传输分为通讯层601,安全传输层602,业务逻辑应用层603和控制层604。其中,所述通讯层601用于屏蔽不同的网络协议,为安全传输层603提供网络连接、发送、接收等服务;所述安全传输层602用于为业务逻辑应用层603提供安全的数据传输服务,利用密码算法模块202进行加解密;密码算法模块为其他层提供加密、解密、随机数生成等与密码有关的服务,通过算法接口模块203调用实现;所述业务逻辑应用层603用于执行各种应用逻辑,利用安全传输层602与其他节点的应用进行数据交换,不需要考虑网络通讯、数据加密等细节问题;所述控制层604用于对系统运行出现的意外进行通知管理员、断开连接、自动恢复、人工干预等错误处理,由错误处理模块207实现。
由于采用了上述分层结构,业务逻辑应用层的设计可以集中在应用逻辑处理上,无需考虑网络通讯和数据加密等细节,简化了应用层的设计,并使系统的结构变得简单、清晰,便于扩展与维护。
图7是对图6中安全传输层的详细说明示意图。安全传输层有两种连接方式运行中心与一级运行分中心、一级运行分中心与二级运行分中心间的连接,均采用客户端/服务器端(Client/Server)方式。二级运行分中心作为Client向一级运行分中心发起连接请求;一级运行分中心作为Client向运行中心发起连接请求。在连接过程中,完成双方的身份验证和动态密钥生成。在随后的传输过程中,利用连接过程中生成的对称密钥,对传输的数据进行加密,保证数据传输的机密性。
在安全传输层,信息安全控制系统部署了数据通讯接口模块701和密钥协商模块204,以及相关密钥信息的管理列表。系统在数据交换时,Client先利用通讯层与Server建立连接,然后由双方的密钥协商模块认证双方的身份,并产生对称密钥,对传输数据进行加密;业务逻辑应用层通过数据通讯接口模块701,进行加密数据的发送与接收。而密钥协商模块和数据通讯接口模块701利用密码算法模块202完成数据的加密、解密、验证等操作。由于一级运行中心既是Client又是Server,因此具有两方面的功能。
本发明中,密钥协商过程参考SSL协议,为了简化实现方式,在达到所需的安全要求的同时,尽量使实现方式简单高效,因此本方案不使用证书方式,只实现密钥交换过程以及算法协商过程,这样可避免系统证书申请、维护、证书更新、黑名单处理等一系列复杂过程。当然,也可以采用本领域技术人员熟知的其他安全通信协议,如SET(Secure Electronic Transaction,安全电子交易)协议等。
密钥协商模块在双方进行对称密钥的协商过程中,利用密码算法模块提供的RSA算法进行加密。RSA算法是一个能同时用于加密和数字签名的非对称算法,所述非对称算法是指加密和解密使用不同的密钥。非对称算法的密钥分为二部分,通常称为“公钥”和“私钥”(或者称为“公开密钥”和“秘密密钥”)。公钥和私钥存在数学上的关系,使得用公钥加密的数据只能用对应的私钥解密,用私钥加密的数据只能用对应的公钥解密,但是从公钥中推导出私钥是很难的。RSA,DSA等算法都属于非对称算法。
本发明采用的是RSA算法,RSA密钥对由上级节点生成并下发给下级节点。密钥协商配置的数据结构如下ClientClient的RSA密钥对,Server的公钥,协商生成的对称密钥;ServerServer的RSA密钥对,Client的公钥表,协商生成的对称密钥表。
在Server端,还需维持一个连接对照表,以便知道每个连接对应的Client。由于一级运行分中心既是Client又是Server,所以包含以上所有的数据。对应上述Client和Server的数据结构,参照图8,是本发明所述系统实现数据安全传输的整体框架图,信息安全控制系统部署在业务系统的各个分层。
在Client和Server的协商过程中,双方首先利用RSA“公钥”和“私钥”实现数字签名来认证对方身份,Server可识别由Client发送的请求而排除其他节点处的请求,实现了安全问题中的抗否认性。然后,双方再协商产生对称密钥,并再次利用RSA“公钥”和“私钥”对协商过程加密,防止对称密钥在Client和Server间的传输过程中泄漏。由于RSA对称密钥的协商过程是本领域技术人员熟知的算法,在此不再详述。
优选的,数据传输过程中还使用MAC验证,防止数据在传输过程中被篡改。对要保护的多条数据记录,根据一定算法计算出MAC密钥并保存。数据接收方在读取数据时,重新计算数据的MAC值,并与MAC密钥比较,从而验证数据的完整性。
在信息存储方面,业务系统数据主要以数据库方式存储。本发明通过安全管理模块206设置数据库访问权限,操作员通过口令验证才能进行数据库操作。而且,操作员口令和客户密码都加密保存。但是,某些用户尤其是一些内部用户仍可能非法获取用户名、口令字,或利用其他方法越权使用数据库,甚至可以直接打开数据库文件来窃取或篡改信息。因此,有必要对数据库中存储的重要数据进行加密处理,以实现数据存储的安全保护。本发明对数据库中的数据采用DAC验证,根据一定算法计算出每条要保护数据的DAC密钥并保存,当操作员进入数据库读取数据库数据时,再次计算DAC值,与DAC密钥进行比较验证数据是否被篡改。
上述DAC和MAC的作用都是防止数据被篡改,但DAC是每条记录产生一个DAC值,而MAC是多条记录产生一个MAC值。DAC和MAC的应用可根据实际情况选用,因此本发明对数据库数据使用DAC验证和对传输数据使用MAC验证,只作为一种实施例进行说明,不限定其他处理方法。
为了屏蔽数据加密、解密、验证等操作,简化应用层的逻辑,本发明采用了类似图6所示的数据传输的分层结构。参照图9,是本发明所述系统实现数据安全存储的统一分层模式示意图,将数据存取分为数据库层901、数据存取层902、业务逻辑应用层903和控制层904。其中,数据库层901用于保存各种业务系统数据;数据存取层902用于接收业务逻辑应用层903的请求,完成数据库存取,并利用密码算法模块202进行DAC值计算和DAC验证等操作,为业务逻辑应用层903提供安全的数据存取服务;业务逻辑应用层903用于执行各种业务逻辑,利用数据存取层902进行数据库安全操作;控制层904用于处理各种异常运行错误,部署错误处理模块207实现。
在信息授权方面,通过安全管理模块206设置操作员身份识别和不同权限控制,防止非法者入侵系统。每个操作员拥有唯一的识别号,操作员进入系统必须提供口令和识别号,经安全管理模块校验正确后方可进行操作。操作员口令定期修改,口令过期前应提示操作员修改口令,安全管理模块中设置判断,若过期不修改则禁止该操作员注册。由安全管理模块通过操作员权限限定表实现按权限访问,不同权限所有者可进行不同级别的操作,防止合法访问者进行超出权限的操作。
此外,关于密钥管理和日志安全管理的内容分别由上述密钥管理模块201和日志管理模块205实现,在此不再详述。
本发明提供的信息安全控制系统保证了业务系统的机密性、完整性、防攻击性及可用性、抗否认性、身份识别及权限控制,确保业务系统各个层级间的数据安全,并且能够解决系统内部人员的权限管理问题,以及来自外部接入系统的安全隐患问题。
以上对本发明所提供的一种信息安全控制系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种信息安全控制系统,用于对业务系统提供安全保障,其特征在于,包括密钥管理模块、密码算法模块、密钥协商模块、算法接口模块和日志管理模块,其中密钥管理模块,用于管理各类密钥的生成、传输和存储,所述密钥包括对称密钥、RSA密钥对、数据库DAC密钥、MAC密钥;密码算法模块,用于向密钥协商模块、密钥管理模块和日志管理模块提供加密、解密、签名、生成DAC和/或MAC码、数据验证操作;算法接口模块,用于向密钥协商模块、密钥管理模块和日志管理模块提供密码算法模块中实现的各种操作的算法接口;密钥协商模块,用于利用RSA密钥对协商产生对称密钥,所述对称密钥用于对传输过程中的数据加密;日志管理模块,用于记录各种操作日志,并设置MAC密钥。
2.根据权利要求1所述的系统,其特征在于,还包括安全管理模块,用于统一管理所述信息安全控制系统,并设置用户身份识别和不同级别的操作权限。
3.根据权利要求2所述的系统,其特征在于所述安全管理模块设置数据库登录口令,并将所述口令加密保存。
4.根据权利要求1所述的系统,其特征在于,还包括错误处理模块,用于处理所述信息安全控制系统产生的各种错误。
5.根据权利要求1所述的系统,其特征在于所述密钥管理模块通过主密钥对各类密钥加密保存,并通过超级密钥保护所述主密钥。
6.根据权利要求1所述的系统,其特征在于所述密钥协商模块采用SSL协议进行协商。
7.根据权利要求1所述的系统,其特征在于所述信息安全控制系统按照业务系统的层次分级,对应各层次采取安全控制。
8.根据权利要求7所述的系统,其特征在于所述RSA密钥对由业务系统中的上级节点生成,并分发给下级节点。
9.根据权利要求4所述的系统,其特征在于所述信息安全控制系统将业务系统各级节点间的数据传输分为通讯层,业务逻辑应用层,位于通讯层和逻辑应用层之间的安全传输层,以及对所述通讯层、业务逻辑应用层、安全传输层进行错误处理的控制层;其中,所述密钥协商模块和算法接口模块部署在安全传输层,所述错误处理模块部署在控制层。
10.根据权利要求4所述的系统,其特征在于所述信息安全控制系统将业务系统各级节点间的数据存取分为数据库层,业务逻辑应用层,位于数据库层和业务逻辑应用层之间的数据存取层,以及对所述数据存取层进行错误处理的控制层;其中,所述错误处理模块部署在控制层。
11.根据权利要求7所述的系统,其特征在于所述信息安全控制系统支持可扩展,采用横向增加机器数目和纵向增加分层。
全文摘要
本发明提供一种信息安全控制系统,以解决业务系统存在的各种安全性问题,防止重要数据的泄漏和非法篡改。所述系统包括密钥管理模块,密钥协商模块,密码算法模块,算法接口模块,日志管理模块,安全管理模块和错误处理模块。本发明提供的信息安全控制系统,能够与业务系统紧密结合,在结构设计上,完全按照业务系统的层次分级,各层次的业务逻辑有相对应的安全控制,保障业务各个方面都得到不同安全机制的保护,安全技术措施覆盖业务系统的各个方面,包括数据传输、数据存储、数据库、文件、日志、操作认证等,保证了业务系统的机密性、完整性、防攻击性及可用性、抗否认性、身份识别及权限控制。
文档编号H04L29/06GK101043335SQ200710079440
公开日2007年9月26日 申请日期2007年3月12日 优先权日2007年3月12日
发明者黄绍鹏, 曹祥建, 刘焱军, 林莉萍, 安伯龙, 陈建灵, 翁志山, 雷霏, 张扬 申请人:中国建设银行股份有限公司