网络保护

Web数据保护系统

作者:聚福 发表于:2024-12-08

QQ: 50179009

问题

随着移动支付的发展,如今的攻击花样百出。如手机木马,键盘录屏等等。但是在移动端及HTML5产品开发中,登录密码、交易密码、交易数据等敏感数据的存储、传输若未进行安全的加密处理,直接使用明文存储、传输、验证的话,将产生非常大的安全隐患。尤其是在未采用https加密通道的场景下,当系统出现漏洞或者黑客进行网络攻击时很容易让客户的敏感数据泄露出去,对客户造成财产损失,企业的信誉也会受到影响,甚至关乎企业的生死。

在传统PC的操作系统里,向浏览器中安装安全控件存在不少问题。在占有率较高的微软Windows操作系统下,IE系浏览器中安装ActiveX、COM等组件后,出现卡顿、崩溃、警告等常见现象,严重者会出现死机;或者成为病毒、木马等恶意程序入侵的对象,出现很多安全问题;Windows操作系统升级更新时,对应的ActiveX与COM也需要做版本升级,否则会无法兼容从而影响业务操作。非IE内核的浏览器存在的主要问题,如Firefox禁用NPAPI、Chrome插件兼容损坏等异常。这些问题都影响了业务应用的日常使用。

越来越多的浏览器要求网站使用HTTPS来提供服务。但现实情况并非是使用HTTPS之后就能解决大部分的安全问题。据百度安全指数提供的数据来看,当前国内主要的https的安全问题如下图:

Web数据保护系统

使用HTTPS带来了很好的安全改善,但也不能彻底解决安全问题,尤其是业务应用层的数据安全问题。

移动趋势日盛,越来越多的业务需要进行转移到移动端。有些业务依托于移动设备自带的浏览器,更多的业务则由业务App调用浏览器组件(如Android下的Webview,IOS下的WKWebView)来实现。截至目前为止,移动浏览器组件对业务应用的应用安全方面的保护,缺乏通用的保护技术,不能像PC端浏览器一样通过安装扩展插件来提升业务的保障力度,业务数据安全的威胁较为严峻。

Web数据保护系统是专门针对高度重视安全的应用而诞生。能让企业应用基于Web、HTML5等开发的产品更加安全可靠,为业务交易的敏感数据提供强有力保障。

在HTTP或HTTPS之上,针对业务应用层的数据,提供专业的数据加密、签名、验证等密码服务,使业务应用层的敏感数据不完全依赖协议层安全,使数据安全自主可控。

Web数据保护系统为应用前端提供Javascript的开发接口,可以兼容众多的主流浏览器。 在业务提交时,应用程序会对表单数据进行对称加密,再使用非对称加密来保护随机密钥。提交后的敏感数据,可以直接安全存储。当使用存储的敏感数据时,必须由后台的私钥来解密。

Web数据保护系统在前端可以验证数字签名,极大地减轻了服务器的压力。对于前端接收到的交易中交互数据,由前端实时进行验证,保证交易准确有效。

Web数据保护系统组成结构如下图所示:

Web数据保护系统

前端的网页密码控件是运行在浏览器或浏览器组件的Javascript代码库;后台密码模块是运行在后台应用服务器上的密码库。

Web数据保护系统在应用程序的前端采用了纯Javascript开发语言实现, 免去了浏览器安装传统控件带来的诸多兼容性与稳定性的问题,可以适用所有的主流浏览器,如:Chrome、Firefox、Safari等。

 Web数据保护系统对应用开发的支持如下:

 

开发语言

前端

HTML、Javascript

后台

Java、C++、.Net、PHP

 Web数据保护系统采用国家商用密码管理局制定的一系列密码标准,支持的国密算法如下:

    • SM2
    • SM3
    • SM4

 Web数据保护系统支持的功能接口如下表:

SM2

密钥对生成、非对称加密与解密、签名与验证签名

SM3

杂凑计算

SM4

对称加密与解密

   Web数据保护系统支持的国内行业标准:

  • GM/T 0003.1-2012 SM2椭圆曲线公钥密码算法第1部分:总则
  • GM/T 0003.2-2012  SM2椭圆曲线公钥密码算法第2部分:数字签名算法
  • GM/T 0003.4-2012  SM2椭圆曲线公钥密码算法第4部分:公钥加密算法
  • GM/T 0003.5-2012  SM2椭圆曲线公钥密码算法第5部分:参数定义
  • GM/T 0009-2012    SM2密码算法使用规范
  • GM/T 0010-2012    SM2密码算法加密签名消息语法规范
  • GM/T 0015-2012    基于SM2密码算法的数字证书格式规范
  • GM/T 0004-2012    SM3密码杂凑算法
  • GM/T 0002-2012    SM4分组密码算法
  • GM/T 0019-2012    通用密码服务接口规范
  • GM/T 0029-2014    签名验签服务器技术规范

 Web数据保护系统支持的操作系统如下:

  • Windows
  • inux/Unix
  • Android
  • iOS

Web数据保护系统的部署极其轻量。

前端的网页密码控件是一系列Javascript文件,按功能来包含相应的接口文件即可。

后台密码模块是支持JAR、DLL、SO等封装方式,为不同的开发语言提供不同的接口方式。开发或部署时,只需要将对应的文件复制到适当目录即可。

  • 合规性:国密算法
  • 易用性:轻量级简单易用
  • 扩展性:跨平台支持完善
  • 低成本:以低成本达到高安全性
  • 移动支付
  • 商业银行

 --------------------------

QQ: 50179009

版权声明

本文系作者发表,未经许可,不得转载