投稿指南
来稿应自觉遵守国家有关著作权法律法规,不得侵犯他人版权或其他权利,如果出现问题作者文责自负,而且本刊将依法追究侵权行为给本刊造成的损失责任。本刊对录用稿有修改、删节权。经本刊通知进行修改的稿件或被采用的稿件,作者必须保证本刊的独立发表权。 一、投稿方式: 1、 请从 我刊官网 直接投稿 。 2、 请 从我编辑部编辑的推广链接进入我刊投审稿系统进行投稿。 二、稿件著作权: 1、 投稿人保证其向我刊所投之作品是其本人或与他人合作创作之成果,或对所投作品拥有合法的著作权,无第三人对其作品提出可成立之权利主张。 2、 投稿人保证向我刊所投之稿件,尚未在任何媒体上发表。 3、 投稿人保证其作品不含有违反宪法、法律及损害社会公共利益之内容。 4、 投稿人向我刊所投之作品不得同时向第三方投送,即不允许一稿多投。 5、 投稿人授予我刊享有作品专有使用权的方式包括但不限于:通过网络向公众传播、复制、摘编、表演、播放、展览、发行、摄制电影、电视、录像制品、录制录音制品、制作数字化制品、改编、翻译、注释、编辑,以及出版、许可其他媒体、网站及单位转载、摘编、播放、录制、翻译、注释、编辑、改编、摄制。 6、 第5条所述之网络是指通过我刊官网。 7、 投稿人委托我刊声明,未经我方许可,任何网站、媒体、组织不得转载、摘编其作品。

商业银行交易报文脱敏方法与模型以及在综合场

来源:中国测试 【在线投稿】 栏目:期刊导读 时间:2021-05-04
作者:网站采编
关键词:
摘要:商业银行的交易报文中含有大量的敏感信息,在使用过程中存在数据泄露的风险,而综合场景测试中交易报文与脱敏后的铺底数据不匹配会导致测试成功率低的问题。为解决这两大问题

商业银行的交易报文中含有大量的敏感信息,在使用过程中存在数据泄露的风险,而综合场景测试中交易报文与脱敏后的铺底数据不匹配会导致测试成功率低的问题。为解决这两大问题,本文提出了以一种交易报文脱敏为核心的研究思路。首先介绍交易报文脱敏并分析交易报文和铺底数据不匹配的原因,引入“动态脱敏”的概念;其次引入一套适用于商业银行的交易报文脱敏系统,并利用该系统对生产交易报文脱敏,进而将脱敏后的交易报文应用到综合场景测试中验证;最后介绍了应用在综合场景测试工具发压和回放的效果,以此验证方法和模型的实用性。

一、背景

近年来,随着商业银行的测试任务越来越繁复繁重,传统人工测试的局限性逐步显现,特别是大量的回归测试导致人力、物力及财力的巨大耗费,自动化综合场景测试技术在商业银行中得到了越来越广泛地应用。综合场景发压与回放测试中,一般都涉及大量的生产交易报文,其中包含大量敏感信息,如客户姓名、电话号码、身份证号、磁道信息和密码等。如果生产上的交易报文使用不规范,容易造成大量敏感信息泄露,后果不堪设想。

商业银行为了进行综合场景测试,通常采用大量真实的生产上的交易报文对被测环境中的铺底数据进行回放,由于银行铺底数据大多是脱敏后的数据,为了保证交易报文回放的成功率,必须对交易报文进行脱敏,与被测环境中的数据相匹配。交易报文脱敏既能满足去除敏感信息的要求,也能将其应用到综合场景测试中。

二、交易报文脱敏

1.交易报文脱敏的特点

交易报文是测试工作中非常重要的原始数据。银行等金融机构每天产生大量交易报文日志,其中的数据敏感性非常高。因此在构造测试环境时,如果大规模使用这些交易报文进行综合场景发压测试和业务验收测试,需要对这些包含敏感数据的交易报文进行脱敏处理,以使测试环境中的交易报文丧失敏感性。据了解,截止目前尚无银行进行交易报文日志脱敏。对于国内银行业来说,敏感数据数量一般都非常庞大,达到亿甚至几十亿量级,脱敏方法及其效率为首要制约因素。测试环境中交易报文的质量以及与铺底测试数据的匹配度决定了测试工作的质量,这要求脱敏方法需具备以下五个方面的特征。

(1)效率高和灵活配置。本文提出的方法适用于敏感数据量非常大且交易种类繁多(如数据条目数在几亿甚至更多)。

(2)“动态脱敏”结果具备交易报文的分布特征。评价敏感数据处理效果的一个重要指标是去除敏感性的同时,是否保留了原交易报文的其他重要特征。

(3)“动态脱敏”结果具备原交易报文的逻辑特征。逻辑特征是指数据所表现出来的特定含义,如敏感数据为磁道数据,那么“动态脱敏”处理后,原有敏感数据被脱敏交易报文替换,新数据仍然具备磁道数据的特点。如果使用“动态脱敏”后的数据用于应用系统测试中,分布特征与逻辑特征对于测试效果的影响是至关重要的。

(4)“动态脱敏”后的交易报文要与铺底数据具有很高的匹配度,才能达到发压和回放的高可用性。

(5)“动态脱敏”中保留了磁道静态脱敏(重写磁)中所过滤掉的卡片信息。

2.交易报文敏感信息分析

通过分析铺底数据脱敏以及根据敏感信息分类,敏感信息大致包括客户姓名、电话号码、身份证号、磁道信息、IC卡55域和密码等。依据生产上交易日志在脱敏后的被测环境铺底数据中的回放,我们得到了一些错误信息,如客户姓名不符(包括收款人户名不一致、账号户名不一致等)、客户尚未注册该渠道服务、该证件在系统中未登记、磁道校验错误、ARQC(AuthorizatI/On Request Cryptogram)校验失败、CVV验证失败和PIN(密码)验证失败等典型错误,也是我们交易报文日志脱敏时分析的重点。

(1)客户姓名不符。交易报文中的客户姓名字段与铺底数据的相应数据表里的客户姓名不匹配,由于测试环境数据表里的客户姓名被脱敏所致。

(2)客户尚未注册该渠道服务。交易报文中的电话号码与在铺底数据相应数据表里不存在,由于测试环境数据表里的电话号码被脱敏所致。

(3)磁道校验错误。由于测试环境数据表里的秘钥均为测试环境的伪秘钥,导致交易报文中的磁道信息(二磁、三磁)与经过测试环境中测试秘钥加密计算的磁道信息(二磁、三磁)校验不匹配。

文章来源:《中国测试》 网址: http://www.zgcszzs.cn/qikandaodu/2021/0504/1122.html



上一篇:美测试抑制致癌基因新药
下一篇:轻质石油产品硫含量测试方法研究分析

中国测试投稿 | 中国测试编辑部| 中国测试版面费 | 中国测试论文发表 | 中国测试最新目录
Copyright © 2019 《中国测试》杂志社 版权所有
投稿电话: 投稿邮箱: