2022.05.24
金融
基金网上交易系统目前通常采用账户名+身份认证口令形式的单因素认证,通过单向SSL通道进行通道传输加密。在目前体系架构下,存在身份冒用、关键信息泄露、交易数据篡改等风险。
·基金网上交易系统密码改造模块主要包含NetGate(SSL VPN系统)、 NetCert(数字证书中心)、NetPass(动态密码系统)、NetSign(签名服务器)。 NetGate(SSL VPN系统)实现 SSL VPN安全通道,并基于NetCert(数字证书中心)实现了用户身份鉴别。
·NetPass(动态密码系统)提供高质量随机数、管理用户私钥和获取用户签名等功能。
·NetSign(签名服务器)确保客户端登录时的身份认证,确保关键业务数据完整性及交易不可否认性。
·基金行业核心领域长期以来都是采用国际通用的密码算法体系及相关标准,本次采用国产密码算法,从根本上摆脱对国外密码技术和产品的过度依赖。
·在身份认证层面,认证方式由原先的账户名、密码登录方式改造为账户名、账户密码加上基于协同签名技术的SM2数字签名,形成双因素认证方式。
·在应用层,对于关键交易数据作验签,将原来基于国际算法的验签功能改造为符合国密标准的业务签名验签系统,从应用层确保信息的安全性。
