《浅析增强银行网络数据传输安全性》由会员分享,可在线阅读,更多相关《浅析增强银行网络数据传输安全性(5页珍藏版)》请在金锄头文库上搜索。
1、浅析增强银行网络数据传输平安性摘要:随着网络日益成为银行业快速开展的必要手段和工具,银行网络正在向融和网络的目的靠近。如何确保网络根底设施层上承载的各种金融数据的平安,是当今全球金融行业技术关注点。本文也正基于此展开相应研究。关键词:银行网络数据传输;增强;平安性在网络根底设施层上承载着银行交易数据流、a数据流、路由选择协议数据流、网络管理数据流等多种类型数据。对不同类型的数据流的要求采用不同的平安保护级别。目前,很多通用网络技术经过简单的培训就可以被大局部普通人所使用。如何利用现有通用、成熟技术,在对银行网络不作较大规模改动的前提下,进步银行广域网数据传输平安,降低案件发生的概率,是整个银行
2、网络平安保障工作不得不考虑的一个重要方面。1建立背景银行内部网络目前在广域网连接上大多数采用运营商的专用线路。在银行网络的数据链路层主要采用hdl、ppp、at、帧中继、ps、stp等通用协议,在网络层主要采用ip协议,并且在这两层都没有作平安处理。假如理解到银行的网络层ip规划和访问控制技术细节这些细节密级相对较低,容易获得,就有可能在银行以外的物理区域接入银行内部局域网,模拟出和网点业务网络一样的环境,从而施行犯罪。例如,在网点柜员签到后,在运营商机站内模拟出网点终端上的交易画面,从而施行犯罪。2.需求分析在广域网两端相应的路由器上,在数据链路层或者网络层增加平安方面配置,进步数据传输的平
3、安。目前在数据链路层上做平安性保护难度较大,因为涉及的设备种类多,部门多,还有可能需要购置昂贵的平安产品。在网络层上做平安保护相对来说就比拟容易,它仅仅需要银行单位的网管人员做一些软件配置。ipse是网络层的平安机制。通过对网络层包信息的保护,上层应用程序即使没有实现平安性,也可以自动从网络层提供的平安性中获益。经过比照,我们认为采用这种方式较为现实。配置简单,效果明显。缺点是路由器ipse软件进展加密/解密运算将会占用了较多的pu资源,从而影响了整机性能。但是通过减少需要保护的数据流规模,在大多数目前的银行网络上就能实现银行交易数据流平安性的有效提升。3技术施行方案和结论针对大多数银行核心路
4、由器采用is设备,网点路由器采用华为设备。本方案选用不同厂家设备:华为r2621vrp1.74和思科2600is12.0做的实验。采用ipse机制,两台设备分别通过使用at仿真帧中继电路的广域网络和使用以太网的局域网等多个异种网络连接在一起,对有保护需求的数据流作全程加密传输。因此,我认为,这个方案具有一定的代表性,对目前银行所有的局域网、广域网、各种业务应用都具有理论意义。试验内容如下:3.1华为2620的配置ikepre-shared-keyvvvrete192.96.19.5/配置ike预共享密钥vvv对端接入地址al3080ath-rdernfig/定义感兴趣数据流rulenralpe
5、ritipsure192.96.129.10.0.0.0destinatin192.96.99.10.0.0.0rulenraldenyipsureanydestinatinanyipseprpsalvvv/定义提议vvvipsepliyp110isakp/定义策略p1seurityal3080/应用访问表prpsalvvv/引用提议vvvtunnelrete192.96.19.5/定义对端设备接入网络的接口地址interfaeserial0link-prtlfripaddress192.96.36.78255.255.255.252ripversin2ultiastipsepliyp1/在端
6、口上应用策略p1frlitypeansifrapip192.96.36.77dli112bradastinterfaedialer0ipaddress192.96.129.1255.255.255.252ripundsuarynetrk192.0.0.03.2is2600的配置ryptisakppliy1/ike的配置认证方式pre-share预共享密钥vvvauthentiatinpre-shareryptisakpkeyvvvaddress192.96.36.78ryptipsetransfr-setvvvesp-desesp-d5-ha/ipse提议的配置!ryptap10ipse-is
7、akp/加密图的配置setpeer192.96.36.78settransfr-setvvvathaddress101interfaelpbak3ipaddress192.96.99.1255.255.255.255interfaefastethernet0/0ipaddress192.96.19.5255.255.255.0ryptap/在端口上应用加密图iplasslessiprute0.0.0.00.0.0.0192.96.19.254/以下访问表定义感兴趣的数据流aess-list101peritiphst192.96.99.1hst192.96.129.1aess-list101de
8、nyipanyany4结论在华为2620设备上以192.96.129.1为源地址和is2600上的目的地址192.96.19.5可以正常通讯。在is2600上以192.96.19.5为源地址和华为2620设备上的目的地址192.96.129.1的通讯也很正常。假如有一端设备在连接网络的端口上取消了策略,或者两端ike预共享密钥错误,那么两端敏感的数据流将不能正常通讯,而其他数据流不受影响。因此,只要保护好密钥不被泄露,银行交易数据流的平安性就可以得到必要的保障。上述配置均使用默认协议、传输方式、加密算法、认证算法和生存周期等,所以显示出来的比拟简单。实际操作时需要注意两端参数的匹配。在网络平安的技术设置方案中,存在多种途径,考察方案的优劣可能存在各种标准。本方案那么是在可靠性的根底上,充分考虑可操作性和简便性而采取的设置。因此,在目前技术条件下本方案具有明显的优势和特点。随着网络技术的日益成熟和开展,更可靠、更先进的技术必将有待我们进一步的研究和开掘。参考文献:1卡尔h迈耶,斯蒂芬马特斯著.保密系统设计和实现指南翻译组译.密码学计算机数据保密的新领域保密系统设计和实现指南.北京:总参谋部第五十一所,1995.2蔡立军.计算机网络平安技术.北京:中国水利水电出版社,2022.3卢开澄.计算机密码学计算机网络中的数据预平安.北京:清华大学出版社,2022
