赛孚耐(北京)信息技术有限公司

赛孚耐（北京）信息技术有限公司 地址：北京市海淀区西三环北路 100号金玉大厦 1603室 - 1 - 电话：8610-88519191 传真：8610-68727342 网址：http://cn.safenet-inc.com SafeNet网上银行安全解决 从柜台到在线银行服务，网上金融服务已经渐渐走入了大众的生活，并在银行和客户之间搭 建起一条便捷高效的网络金融通道。从用户的角度看，用户可以不受时空的限制，只要一台 PC、一根电话线，无论在家里，还是在旅途中都可以与银行相连，享受 24小时不间断金融 理财服务。从银行服务上看，网上银行可以大量减少人力、物力，降低了银行的运营成本； 另一方面突破了时间和空间的限制，使得交易活动可以在任何时间、任何地点进行，从而大 大提高了银行竞争力和效率，网上银行可以减少固定网点数量、降低经营成本，吸纳更多客 户。虽然网上银行好处多多，但是如何确保网上银行的安全性问题，剔除网银应用瓶颈，这 些都是金融领域必须认真面对和解决的问题，它们切实关系到银行和广大用户的共同利益。 加密是确保网上银行安全性的关键。身份认证、数据传输安全、后台系统安全性，这些都与 加密息息相关。目前，加强网上银行用户的身份管理，防止用户身份的泄露，是公认的预防 网上银行安全隐患的最有效。对于身份认证，这里包括两方面的认证，一方面是对网银 使用用户的认证，即使用网上银行服务的这个人是不是银行认定的这个人？另一方面是网上 银行用户对银行的认证，即他所登陆的网上银行系统是不是真正的银行系统。比如前一段时 间不断有假冒的中国银行、工商银行网站出现，如果没有完善的双向认证机制，后果将是及 其可怕的。因此绝大部分银行的专业版网上银行系统都是基于 PKI技术和数字证建立起 来的。 公开密钥体系（Public Key Infrastructure：PKI），是一种遵循既定标准的密钥管理平台， 是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。PKI由公开密 钥密码技术、数字证书、认证机构（CA）和有关公开密钥的安全策略等基本部分组成。用 通俗的话讲，数字证书就是应用在网上的身份证，它是通过权威认证机构 CA颁发的，是证 明身份的电子证件。 现在存储数字证书和用户密钥也有两种方式，一种是直接存储在网银用户的硬盘中，另一种 是存储在 USB Key中，如 SafeNet公司的 iKey2032身份认证令牌。无疑，将数字证书存 赛孚耐（北京）信息技术有限公司 地址：北京市海淀区西三环北路 100号金玉大厦 1603室 - 2 - 电话：8610-88519191 传真：8610-68727342 网址：http://cn.safenet-inc.com 储在计算机硬盘上存在一定的风险性，当网银用户遭受病毒或被黑客种植了木马程序，数字 证书很可能就此无法使用或被他人盗用。而把数字证书存储在 USB Key中，它的安全性就 有保障的多。 一．客户端身份认证保障----SafeNet iKey2032 USB Key 网银用户私钥和数字证书发挥了传统业务的印章的功能，用以认证 用户的身份是否合法，保障用户资金账户的安全。用户在网上银行进行登录、查询、转账、 汇款等业务中，均须使用用户私钥进行签名确认，用户证书加密和银行服务器之间交换数据。 而用户私钥和用户证书被安全的存放在 iKey2032中。 iKey2032是一个直接与客户端计算机 USB口连接的硬件身份认证设备，有 32K 安全存储 区，网银用户可以使用它存储自己的 X.509数字证书。除了存储 PKI数字证书（用于公钥 加密），iKey2032还可以存储共享密文（用于对称加密），个人信息（比如密码、电话号 码、信用卡帐号等），或者其它必须要保证安全的重要信息。iKey2032具有极高的安全性， ASIC级别的物理安全防范能力，硬件内置 1024/2048-bit RSA算法，通过挑战响应/签名和 硬件来实现 RSA算法。iKey2032可硬件实现密钥签名功能，拥有高质量的内置密钥对生成 能力，私钥直接在 iKey内部产生且从不导出，其安全级别完全符合美国 FIPS 140-1 level 2 安全认证标准。 赛孚耐（北京）信息技术有限公司 地址：北京市海淀区西三环北路 100号金玉大厦 1603室 - 3 - 电话：8610-88519191 传真：8610-68727342 网址：http://cn.safenet-inc.com iKey2032的特点包括： 便捷性 iKey2032可以牢固、轻松地携带在钥匙链上，这就使得您的客户无论是在公司、家庭 或是路上都可以随身携带信任证书和私人信息。 低成本 在许多应用中，iKey2032能够取代现有应用程序中的智能卡。与智能卡不同的是， iKey2032不需要特殊的读卡器，它只要直接与 USB端口或 USB集线器相连就可以了。这 样，网银用户就节约了读卡器的成本，而银行也节约了支持安装客户端硬件的成本。 请求认证iKey PIN 随机产生对象 被签名对象 硬件实现 RSA运算 私钥 校验? 硬件/软件 RSA运算 银行数 据库 公钥 网银后台系统 网银用户 Internet iKey2032 USB Key Luna HSM服务器 SSL传输加 赛孚耐（北京）信息技术有限公司 地址：北京市海淀区西三环北路 100号金玉大厦 1603室 - 4 - 电话：8610-88519191 传真：8610-68727342 网址：http://cn.safenet-inc.com 安全性 为了实现更高的安全性，iKey2032采用了双因素认证机制，也就是说网银用户在使用 iKey时还要输入一个密码。只有通过了这两个项目：您有什么？——iKey2032；您知道什 么？——密码，网银用户才能够成功通过认证。 ƒ 使用业界标准的 RSA 算法实现认证。其安全等级已经被公认。 ƒ 所有的认证运算 (挑战——响应或签名) 在 iKey2032内部进行。 ƒ 密钥 (MD5密钥或者私钥) 决不离开 iKey2032内部。无法从键盘输入、客户电脑 或者网络数据中获取任何密钥信息。 ƒ iKey2032硬件无法被复制。 ƒ iKey2032被 PIN码重试次数保护，当重试次数达到设定的上限，iKey2032会自动 锁定。 ƒ iKey2032的用户 PIN码可以由用户自行设定和修改。 相关应用：iKey2032在银行中的应用 在国际业务中，iKey产品在金融行业服务于花旗银行，美国银行，汇丰银行等众多的 银行，20多年的行销，现在 iKey产品在全球销售市场占有率达到 50%。 在中国金融业务中，中国银行（香港）有限公司使用iKey2032对网上银行的用户的证 书进行存储。http://www.bochk.com/web/common/popup.xml?content_id=33953 赛孚耐（北京）信息技术有限公司 地址：北京市海淀区西三环北路 100号金玉大厦 1603室 - 5 - 电话：8610-88519191 传真：8610-68727342 网址：http://cn.safenet-inc.com 二、服务器端密钥管理及 SSL加速设备——SafeNet Luna HSM Secure Sockets Layer (SSL)协议使用公共密钥认证和强加密，确保客户端服务器通信会话 的安全。当基于Web的网上银行应用与SSL相结合时，SSL加密使得需要传输交换有价值 或敏感信息可以通过互联网顺利地进行。 SSL利用数字证书和对称/非对称加密技术，在客户端和服务器之间创建会话连接。不幸的 是，SSL遭受了两种潜在问题：第一，用来认证银行Web服务器的数字证书可能会被盗取或 拷贝；第二，要求创建SSL会话的密集加密过程会对Web服务器的性能产生负面影响。 为了解决这些问题，硬件加密模块HSM设备可以为数字证书提供保护，并且SSL加速器下 传密集的加密计算，从而提高基于SSL应用的安全性和性能。然而，在很多情况下，需要一 种同时能提供SSL加速和硬件密钥管理的产品来满足那些需要SSL证书绝对安全并且访问 负荷比较大的应用的需求。 SafeNet Luna HSM是一个设置在银行后台以太网 HSM服务器，广泛应用于保护加密密钥 和加速加密操作。它能够通过带有网络可信链接的额外安全性的 TCP/IP网络连接到Web 赛孚耐（北京）信息技术有限公司 地址：北京市海淀区西三环北路 100号金玉大厦 1603室 - 6 - 电话：8610-88519191 传真：8610-68727342 网址：http://cn.safenet-inc.com 服务器，NTL保证了 Luna SA 和Web服务器之间的安全性。通过本地总线提供的严格控 制，Luna SA能够被认证的Web服务器客户端进行共享，客户端是指那些允许 Luna SA在 多个Web服务器之间快速和轻松地被共享来访问网络的客户端，从而极大地减少集成、部 署和管理成本。 另外，Luna SA的集中、多层安全、内置 HSM最佳实践和集成的 FIPS 140-2 Level 2认证的 HSM，确保强大的 SSL 加速器能够从一个 HSM中提供同样 SSL稳私密钥 安全性。 Luna SA是专为保护敏感隐私密钥，不被未符合标准或未授权的行为使用而设计的。为了实 现这个目标，Luna SA包括一个集成的第三代FIPS 140-2 Level 3 认证的HSM和K3 Cryptographic Engine (K3)。 K3是一个自我包含加密处理器，能够处理所有密钥管理、访 问和认证控制，以及密钥操作（密钥产生和数字签名）。作为特定的HSM，K3确保隐私密 钥或敏感加密操作在其安全硬件之内是独立受保护的，而永远不可能向Luna SA系统环境或 外部世界暴露。 在互联网的世界里，可以通过TCP/IP非常轻易地连接到未受保护的网络设备。运行在设备 上不正确配置的网络服务可能会留下非期望的公开端口，或者通知黑客存在的潜在漏洞的匿 名链接。为了防止网络上的未授权连接，Luna锁住了所有不必要的端口，并且清除了不需 要的服务。更重要的是，Luna SA具备NTLS功能，确保仅有可信客户端才能建立连接。为 了进一步确保NTLS的认证，Luna SA和客户端必须进行详细的注册，并且相互交换数字证 书，从而要求管理员级授权才能访问这两个系统。 作为网络HSM，Luna SA主要益处之一就是能够与多个客户端共享其HSM功能。为了使多 个客户端安全地在物理HSM上存放数据，Luna SA引入了HSM分区。 每个HSM分区维护他 们自己在K3上受保护的内存分区的数据和访问控制策略。每个客户端必须到由HSM管理员 分配的具体HSM分区进行认证。在其它未被分配的HSM分区上的数据，任何时间都不可访 问。HSM分区的使用允许多个客户端维护在LUNA上的独立数据，而无须担心被其它注册或 非注册客户端所访问。 Luna SA 的另一个重要功能是能够提供高达每秒1200个交易，用来满足SSL应用需求。集 成的FIPS认证硬件密钥管理，Luna SA具备指定的HSM，K3加密引擎的特色，用来为SSL 私钥提供加密操作、安全存储、SSL加速、访问控制管理以及策略管理等功能。 相关应用：加拿大银行 加拿大银行根密钥安全保护方案 加拿大银行是加拿大的中央银行，负责加拿大货币政策、发行钞票、调节和支持着加拿 大主要的金融清算和结算系统， 担当着联邦政府债务的财政代理职能。虽然不承担一般银 行业务，但是它在加拿大经济中的地位和重要性不言而喻，很少有金融机构会比加拿大银行 对安全性更加关注。 加拿大银行是第一批采用因特网技术提供服务的机构之一。由于交易处理和用户认证 的方式可以创造新的机会并增加效率，银行需要一个安全的环境来进行交易，因此他们决 赛孚耐（北京）信息技术有限公司 地址：北京市海淀区西三环北路 100号金玉大厦 1603室 - 7 - 电话：8610-88519191 传真：8610-68727342 网址：http://cn.safenet-inc.com 定采用公共密钥体系结构（PKI）技术。SafeNet能够确保加拿大银行CA认证中心的可信性。 除了要考虑选择合适的PKI厂商，加拿大银行还要考虑如何确保PKI根密钥的安全性并 设立切实可行的安全级别。单独的PKI软件不能满足要求。为遵守加拿大银行和加拿大政府 对PKI安全证书的要求，他们需要使用联邦信息处理标准（FIPS）140－1第3级验证的硬件 安全模块（HSM）保护根密钥。 使用硬件安全产品必须要满足一些特殊的要求，例如：密钥必须始终在硬件中生成、 签名、存储和备份；要和Entrust PKI相兼容；可以运行在Solaris平台上等。 银行PKI实施小组已经意识到根密钥的脆弱性。加拿大银行安全服务经理Gord Ireland 说“对CA的信任依赖于只有本人才能应用自己的签名，其它任何人都不能模仿。如果CA的 签名密钥变得不安全，所有由CA颁发的证书不再得到信任，这会导致CA在一个新的CA签 名下颁发新的证书”。 解决方案 Luna SA根密钥保护产品是SafeNet的 Ultimate Trust™ 解决方案之一，作为标志性根 密钥保护产品，其市场地位和可靠性使它脱颖而出成为加拿大银行的首选方案。由于不在硬 盘驱动器和磁带备份介质上泄漏CA签名密钥对，Luna SA根密钥保护产品被认为不存在任 何安全隐患。 SafeNet Luna SA必须在部署PKI体系前设置完成以保证CA签名密钥对的安全性，不会 泄漏到CA服务器的硬盘上（甚至以加密的形式放在硬盘上也不行）。通过在部署之初就实 施硬件根密钥保护，银行就会达到FIPS 140－1第3级安全标准。因为根密钥始终被存储在 受保护的，可信的并且符合FIPS 140－1第3级标准验证的硬件上，软件自身所带来的风险 会减轻。