電子銀行身份認(rèn)證數(shù)據(jù)加密

0引言

計(jì)算機(jī)技術(shù)、電子通信技術(shù)和信息技術(shù)等引入銀行系統(tǒng)，使銀行經(jīng)歷了由銀行電子化、電子銀行、網(wǎng)絡(luò)銀行，到虛擬銀行的發(fā)展歷程?？疾焖鼈兊奶匦裕浑y發(fā)現(xiàn)，銀行客戶與機(jī)器的對話成了它們共同的特征，無論銀行自動(dòng)存提款機(jī)柜還是網(wǎng)絡(luò)銀行和虛擬銀行，客戶與銀行的業(yè)務(wù)往來已經(jīng)不需要銀行的工作人員與客戶進(jìn)行面對面的交易了。因此，電子銀行可描述為通過電子傳輸?shù)霓k法，向客戶提供全方位、全天候、高品質(zhì)又安全的銀行服務(wù)；這正如巴塞爾銀行監(jiān)管委員會所認(rèn)定的，電子銀行是指通過電子渠道提供的零售以及小額銀行產(chǎn)品和服務(wù)。這種產(chǎn)品和服務(wù)包括存款、貸款、賬戶管理、理財(cái)顧問、電子賬單支付和其他如電子貨幣等電子支付產(chǎn)品和服務(wù)。電子銀行為銀行和客戶的業(yè)務(wù)往來帶來了極大便利，但同時(shí)也為銀行帶來了風(fēng)險(xiǎn)，如何確認(rèn)客戶的合法性，防止非法客戶的侵?jǐn)_和破壞成了一個(gè)重要的課題。尤其到了網(wǎng)絡(luò)時(shí)代，由于互聯(lián)網(wǎng)的無限寬廣性，對于銀行信息訪問的各個(gè)環(huán)節(jié)都無法控制，服務(wù)對象、信息路由和訪問渠道都不能確定。因此，安全控制技術(shù)、客戶身份確認(rèn)技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、稽核跟蹤技術(shù)以及客戶私密標(biāo)準(zhǔn)等顯得越來越重要。銀行為了規(guī)避風(fēng)險(xiǎn)，密碼學(xué)等信息安全技術(shù)在防止非法客戶的侵襲方面可起到很好的作用，在人機(jī)進(jìn)行銀行業(yè)務(wù)交易的運(yùn)作過程中，首先對于客戶的身份進(jìn)行認(rèn)證成了一道不可缺少的程序，在這個(gè)客戶身份認(rèn)證的過程中，最核心的技術(shù)就是采用安全性能好的加密算法對客戶所提供的信息進(jìn)行認(rèn)證，以確定該客戶的身份是否合法，這為是否進(jìn)行下一步的業(yè)務(wù)交易提供了依據(jù)?，F(xiàn)在已有很多種加密算法用來支持對客戶身份認(rèn)證這方面的技術(shù)應(yīng)用[1]，有采用傳統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)和高級數(shù)據(jù)加密標(biāo)準(zhǔn)方法的，也有用RSA算法的，以及采用隨機(jī)序列加密和雜湊算法的，等等。這里研究采用雜湊算法中的MD5算法對客戶進(jìn)行身份認(rèn)證，在給出具體實(shí)現(xiàn)過程的同時(shí)，就其相關(guān)性能進(jìn)行了分析。

1客戶身份認(rèn)證的實(shí)現(xiàn)

身份認(rèn)證是識別和證實(shí)主體的真實(shí)身份與其所聲稱的身份是否相符的過程，它是網(wǎng)絡(luò)應(yīng)用系統(tǒng)中的第一道防線，是安全的網(wǎng)絡(luò)系統(tǒng)的門戶。通過身份認(rèn)證，可以了解誰試圖訪問資源，防止非法用戶假冒合法用戶竊取敏感數(shù)據(jù)，這對保護(hù)資源是必要的；同時(shí)，可對特定資源進(jìn)行必要的訪問控制和跟蹤審計(jì)。身份認(rèn)證的本質(zhì)是被認(rèn)證方有一些不為人知的特征信息，除被認(rèn)證方自己外，任何第三方不能偽造，被認(rèn)證方能夠使認(rèn)證方相信他確實(shí)擁有那些秘密，則他的身份就得到了確認(rèn)。電子銀行中的客戶身份認(rèn)證，是這種一般性身份認(rèn)證的具體化，它可以做如下的描述：當(dāng)客戶提供某個(gè)賬戶要求與銀行進(jìn)行業(yè)務(wù)交易時(shí)，銀行的電子端口要求客戶提供他所擁有的不能被其他方偽造的特征信息，以用來驗(yàn)證該客戶是否是賬戶的真實(shí)擁有者，這個(gè)特征信息是私密的，它是客戶建立賬戶時(shí)與銀行雙方所共同約定的，客戶向銀行提供了這個(gè)特征信息，銀行獲得信息后把它用加密等方式進(jìn)行信號處理，并把它儲存在銀行關(guān)于客戶的數(shù)據(jù)庫中保密起來，當(dāng)客戶要與銀行進(jìn)行業(yè)務(wù)交易時(shí)，客戶需再次提供特征信息，銀行的客戶端對所提供的特征信息進(jìn)行加解密等運(yùn)算處理，同時(shí)根據(jù)客戶的賬戶在服務(wù)器端查詢原來的特征信息并調(diào)出，然后把這兩個(gè)信息進(jìn)行認(rèn)證處理，就可判別該客戶的身份是否真實(shí)，給出該客戶是否繼續(xù)進(jìn)行交易的判斷。客戶的身份認(rèn)證過程如圖1所示。整個(gè)認(rèn)證過程大致可歸納為如下幾個(gè)主要步驟：①在初始態(tài)下，客戶向客戶端提供特征信息，客戶端向服務(wù)器端發(fā)出該賬戶的特征信息的查詢請求；②客戶端對所獲取客戶提供的信息進(jìn)行加密或加解密等處理，得到處理后的信息，同時(shí)等待服務(wù)器終端的響應(yīng)；③服務(wù)器端根據(jù)客戶端請求，調(diào)用數(shù)據(jù)庫查詢程序，獲得該賬戶所存儲之信息，并反饋給客戶端；④客戶端獲得該賬戶的兩組信息，進(jìn)行認(rèn)證判決；若它們是一定長比特的序列，則可采用模2加等運(yùn)算，比照該兩組信息比特是否完全相同；⑤由認(rèn)證結(jié)果給出是否終止銀行業(yè)務(wù)進(jìn)程。

2MD5算法實(shí)現(xiàn)客戶身份認(rèn)證

由上面的分析可以得到，對客戶特征信息的處理是認(rèn)證過圖1客戶身份認(rèn)證過程程的核心，也是銀行系統(tǒng)不被非法侵?jǐn)_的重要保護(hù)措施，選用具有足夠安全性能的加解密算法具有絕對重要的現(xiàn)實(shí)意義。選用MD5雜湊算法能夠滿足銀行系統(tǒng)的安全需要。采用信息摘要算法-5算法進(jìn)行客戶身份認(rèn)證的具體過程如下：①由客戶提供的特征信息，獲得了原始的消息序列，這個(gè)消息序列可能是文本或圖片，它的信息比特的長度是不確定的；當(dāng)啟用MD5算法時(shí)，把所獲取的特征信息先進(jìn)行填充，使得填充后的消息的位數(shù)是模512下余448，也就是若設(shè)填充后的比特長度為x，則滿足x≡488，填充是必須的，若消息本身比特長為448，此時(shí)仍需填充，且要填充512bit。填充的方式是固定的，即第一位填充為1，其余位都填充為0；②用上面的步驟留出64bit，用little-endian方式表示消息被填充前的長度，如果消息長度大于264，則用264取模；③對消息長度已是512的倍數(shù)的消息序列進(jìn)行分組，分組后的消息序列存儲在128bit長的緩沖區(qū)中，這些緩沖區(qū)既存儲中間結(jié)果也存儲最終的雜湊值，緩沖區(qū)中的寄存器以little-endian方式存儲數(shù)據(jù)，并進(jìn)行初始化賦值；這一步完成后，就以分組為單位對消息進(jìn)行處理，每一分組中的數(shù)據(jù)都需經(jīng)過壓縮函數(shù)HMD5處理，壓縮函數(shù)HMD5是該算法的核心，它需要經(jīng)過4輪處理，消息的所有分組都被處理后，最后一個(gè)HMD5的輸出就是最終的消息摘要，它的長度是128bit。通過以上MD5算法的實(shí)現(xiàn)過程分析，不難發(fā)現(xiàn)，客戶提供的消息最終形成了128bit長的一個(gè)消息摘要，整個(gè)運(yùn)算過程是確定的，只要客戶提供的特征信息不變，則最后的摘要也不會改變。因此，當(dāng)客戶與銀行之間建立賬戶時(shí)所提供的特征信息，銀行服務(wù)器終端已經(jīng)把該消息用MD5算法提取出了摘要，并把它存儲在服務(wù)器端的數(shù)據(jù)庫中；當(dāng)客戶在銀行客戶端提出業(yè)務(wù)交易時(shí)，客戶端要求客戶提供特征信息并再次采用MD5算法提取摘要，只要把該128bit的摘要與先前的128bit的摘要進(jìn)行核實(shí)比較，如果它們完全一致，則不能偽造的特征信息表征該客戶的身份是合法的；否則，說明該客戶的身份非法，客戶端就可結(jié)束與該客戶的業(yè)務(wù)進(jìn)程。

3MD5算法的性能分析

MD5算法的安全性、運(yùn)算速度以及算法的簡潔緊致性都表現(xiàn)出顯著的特點(diǎn)來。對安全性來說，主要體現(xiàn)在以下3個(gè)方面的安全缺陷[2-3]：其一是對單輪MD5使用差分密碼分析的方法，可以破譯MD5加密；其二是對單個(gè)512bit長的消息有可能產(chǎn)生“碰撞”現(xiàn)象，其三是當(dāng)找出一個(gè)消息分組和兩個(gè)相關(guān)的鏈接變量，就有可能使得算法產(chǎn)生出相同的輸出?？朔@些安全缺陷的可取方法是采用多輪和多重的MD5算法，因此它的安全性還是有保障的；若要采用窮舉法破譯MD5算法，則它的運(yùn)算量需要O次，顯然用窮舉法破譯它也很困難。此外，已有可靠的哈希算法作為它的改進(jìn)算法，在算法安全性能上也有了較大的提高。MD5算法的運(yùn)算量較大，尤其對于多輪或多重迭代運(yùn)算來說，它的計(jì)算量就更大，所以它的速度相對較慢。但該加密算法不需要解密運(yùn)算，具有簡潔明快的描述，實(shí)現(xiàn)起來也比較簡單緊湊，不需要大的程序和代換表，表現(xiàn)出緊致完美的特性。具