为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

中国银行网银及相关业务动态密码认证系统技术方案

2018-01-18 47页 doc 254KB 30阅读

用户头像

is_594905

暂无简介

举报
中国银行网银及相关业务动态密码认证系统技术方案中国银行网银及相关业务动态密码认证系统技术方案 中国银行网银及相关业务 动态密码认证系统技术方案 上海盛大网络发展有限公司 二零零九年二月 目 录 一、项目概述............................................................................................ 1 1、项目背景 1 2 、项目技术要求 2 二、 盛大密宝动态口令身份认证系统 ......................................... ...
中国银行网银及相关业务动态密码认证系统技术方案
中国银行网银及相关业务动态密码认证系统技术 中国银行网银及相关业务 动态密码认证系统技术方案 上海盛大网络发展有限公司 二零零九年二月 目 录 一、项目概述............................................................................................ 1 1、项目背景 1 2 、项目技术要求 2 二、 盛大密宝动态口令身份认证系统 ......................................... 3 1、 双因素动态口令认证系统 3 2、 基于时间同步的盛大密宝 4 3、 盛大密宝认证流程 6 4、 盛大密宝系统体系架构设计 6 4.1、盛大密宝系统逻辑架构设计 ...................................................................................... 6 4.2盛大密宝架构设计特点和先进性 ................................................................................. 8 5、 密宝的安全机制及安全目标 10 5.1用户密钥的唯一性和安全性 ....................................................................................... 11 5.2 双因素认证机制 ..................................................................................................... 11 5.3 一次一密认证机制 ................................................................................................. 11 5.4 用户信息的高度保密 ............................................................................................. 11 5.5 动态口令卡的安全保护 ......................................................................................... 12 5.6 动态认证服务器的安全保护 ................................................................................. 12 5.7 对客户网络系统安全性的增强 ............................................................................. 12 6、 盛大密宝密钥安全性 13 7、 盛大密宝算法安全性保证 13 7.1动态口令生成的详细流程 ........................................................................................... 14 7.2明文数据装配格式说明 ............................................................................................... 14 7.3样品对应的种子密钥 ................................................................................................... 15 8、 盛大密宝的的时钟同步机制 15 9、 盛大密宝的令牌安全性 16 10、 盛大密宝动态口令认证系统主要技术指标 16 10.1支持的操作系统 ......................................................................................................... 16 10.2支持的认证协议 ......................................................................................................... 16 10.3支持的数据库 ............................................................................................................. 17 10.4 应用程序接口API ............................................................................................. 17 10.5支持的应用系统环境 ................................................................................................. 17 10.6认证服务器技术指标 ................................................................................................. 17 11、盛大密宝认证系统的特点和优势 18 12、 盛大密宝的分类及规格 19 三、 盛大密宝在中国银行网银系统的应用解决方案 ....................... 20 1、 中行网银系统身份认证现状 20 2、 中行网银系统动态口令身份认证平台需求分析 20 2.1业务需求....................................................................................................................... 20 2.2功能需求....................................................................................................................... 21 3、盛大密宝身份认证系统中行网银安全解决方案 22 3.1中行网银系统的动态口令认证平台架构设计原则 .................................................. 22 3.2中行网银系统的动态口令认证平台架构设计 .......................................................... 23 I/II 3.3 动态口令对用户登陆中行网银的保护 ..................................................................... 24 3.4中行网银系统的在交易过程中对账号安全的保护 .................................................. 26 4、认证设备的分发流程及个人化方案 26 4.1令牌的分发 ............................................................................................................. 26 4.1令牌的个人化方案 ............................................................................................... 27 5、盛大密宝认证系统接入中行动态口令认证平台的安全考虑 27 5.1盛大密宝认证系统的高可靠性 ........................................................................ 32 5.2 一次一密认证机制 ................................................................................................. 33 5.3 盛大密宝认证服务器器的安全保护 ........................................................................ 33 5.4盛大密宝认证系统的安全性参数 ................................................................... 33 5.5盛大密宝令牌的安全保护 ........................................................................................... 33 5.6 完整的日志审计 .......................................................................................................... 34 5.7中行网银系统服务器和认证平台服务器的安全性建议 ........................ 34 6、 密宝服务接口 35 7、盛大密宝在中行网银动态令牌认证系统应用的优势 36 四、售后服务与质量保证 ...................................................................... 37 1、 技术支持及售后服务 37 2、 服务承诺 37 五、 软件功能清单 .............................................................................. 39 II/II 一、项目概述 1、项目背景 随着信息技术的高速发展和市场竞争的日趋激烈,我国金融事业迅猛发展,金融电子化的快速推广催生了更多的银行新业务。金融领域的计算机和信息犯罪也随之出现不断增加的趋势,根据人行有关文件中的统计数字,近年金融计算机犯罪案件以每年两位数的速度递增。 由于网络银行服务的便利性和选择的多样性,越来越多的客户选择在线购物和在线金融服务,但是至今为止,多数银行业务依然沿用通过用户名和密码的方式进行身份认证,密码很容易泄露或者丢失。据调查统计,已发生的网络安全事件中,很大一部分是来自用户的帐号(卡号)和密码被盗。所以说单纯的帐号和密码进行银行业务身份认证风险很大。随着网络银行业务的逐步开展和网络银行的用户越来越多,如何加强银行业务身份认证机制,消除现行银行系统这一方面的安全隐患,减少金融犯罪的发生,提高用户对银行的信任度,是银行业迫切需要解决的问题。 中国银行在2008年底推出的新版网上银行,新版网银采用了领先的网络技术、设计理念和系统架构,追求以客户为中心的人性化设计。与“老版网银”相比,新版网银在进行了许多人性化改进的同时大幅提高网银的安全性,在国内同业中首家大规模采用了国际流行的动态口令牌,通过无需改变用户使用习惯的便捷的口令输入操作实现中国银行网银系统对客户身份的安全验证,客户在登录以及重要交易操作中均需输入动态口令进行验证。中行新版网银推出“动态口令牌”安全认证服务后,由于在安全保障上更为可靠,且使用方便,使得新客户的开户数不断攀升。 因中国银行BOCNET网银系统动态口令认证平台目前仅支持单一品牌动态令牌,还不能很好的满足不同用户群的要求,为解决这一局限性,中行决定对动态口令认证平台系统进行升级改造,以支持多品牌的动态令牌,为为客户提高最高性价比的产品和服务,进一步提升中行的形象和同业竞争力。 第 1 页 共 39页 2 、项目技术要求 本次采购的动态令牌要求能够接入中行升级改造后的动态口令认证平台系统、并与其他品牌动态令牌协同工作,满足BOCNET网上银行系统身份认证需求,及其他应用系统使用动态令牌进行身份认证的需要。 1) 、 仅限于时间同步方式动态令牌。 能够满足中国银行网上银行或其他相关应用需求的高性能、高可靠性、高 安全性的动态令牌设备。 2) 、多动态令牌认证系统互相兼容,协同工作 本次招标的目的是建立一个多动态口令认证系统的动态口令认证平台。要求各家动态令牌系统通过兼容性开发能够接入中行动态口令认证平台系统,并与其他品牌动态令牌同时工作,高效率、高可靠性地完成身份认证等有关业务处理操作; 3) 、满足中行网银和其他业务系统的多功能可用性需要 可以提供发放(与网银用户逐一对应)、认证(同步)、挂失、挂失解除、 锁定解除、注销(删除)、更新、回收等各项管理功能。对于令牌失步的情况, 可以在认证客户身份之后重新进行同步 4) 、高性能高并发需求 认证系统可支持千万量级的的用户认证,并支持至少每秒3000并发认 证请求。 5) 、动态令牌的硬件安全性 动态令牌不易损坏,防篡改,支持6位以上的10进制口令生成,质保 年限至少3年。 6)、认证系统的高安全性 认证系统本身具有很强的安全性,无后门程序、无安全漏洞,具有较 强的抗攻击能力。 第 2 页 共 39页 二、 盛大密宝动态口令身份认证系统 1、 双因素动态口令认证系统 常用的传统认证是通过用户名,密码的方法。当需要访问网络和系统时,用户通过提供能够证明自己身份的信息即密码进行认证,获得系统允许。其中的密码是静态的,并可以多次重复使用。这种静态密码的方法简单方便,但其中存在的诸多安全问题,是一种不安全的验证方式,如: , 为了便于记忆,用户多选择常用词作密码,因此很容易被人猜测到; , 一个密码多次使用,容易造成泄露; , 黑客可以从网上或电话线上截获密码,可轻易获得用户的关键信息; , 密码自动破译工具使猜测密码的时间大大缩短,并可以破解加密的密码; , 企业员工流动性增大,内部授权密码被带出公司并可能被恶意使用; , 网管或内部其他人员可通过合法授权取得用户密码而非法使用。 由于静态密码存在以上诸多缺陷,任何听到或窃取到密码的人都能自由地登录系统,并得到系统认可,进而从事任何想做的工作,给网络和用户信息安全带来极大的威胁。如何克服静态密码的不足,加强身份认证手段是一种出路。 双因素是密码学中的一个概念。从理论上讲,身份认证有3个要素: 第1要素:即您所知道的内容,如静态密码和身份证号码等; 第2要素:即您所拥有的内容,如一个动态口令令牌卡、一个IC卡或磁卡等; 第3要素:即您所拥有的特征,如指纹和瞳孔等。 普通的用户名与密码只实现了第1要素。通过结合以上两种类型的要素,比如当第1要素和第2要素这两个条件同时满足时,才完成认证过程,这就是所谓的双因素身份认证。 动态口令(Dynamic Password)也称一次性密码(One-time Password)。动态口令是变动的密码,且只能使用一次,重复使用会被拒绝。动态口令的变动来源于产生密码的运算因子是变化的。动态口令的产生因子一般都采用双运算因子: 其 第 3 页 共 39页 一,为用户的私有密钥。代表用户身份的识别码,是固定不变的。其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子,形成了不同的动态口令认证技术: , 基于时间同步(Time Synchronous)认证技术 , 基于事件同步(Event Synchronous)认证技术 , 挑战/应答方式的非同步(Challenge/Response Asynchronous)认证技术 其中,基于时间同步认证技术是把流逝的时间作为变动因子,一般以60秒作为变化单位。所谓“同步”,是指用户密码卡和认证服务器所产生的密码在时间上必须同步。这里的时间同步方法不是用“时统”技术,而是用“滑动窗口”技术,自动在用户口令卡和服务器之间实现矫正和同步。在这几种技术中,由于时间同步具有使用方便等优点,可以在各种大型系统中实现应用,是目前采用最多的认证技术。盛大密宝采用就是这种基于时间同步认证技术。对于动态口令来说,单独掌握密码或者令牌没有丝毫意义。因为密码每分钟都发生变化,花大量时间截获的密码对于黑客没有任何用处,因此不必担心正输入的密码被人窥视。 2、 基于时间同步的盛大密宝 盛大密宝身份认证识别系统是基于时间同步的双因素动态口令认证系统,其硬件令牌产品称为“盛大密宝” (图) 使用“盛大密宝”身份认证识别系统能够有效的保护用户的帐号和私有信息、财产,能给用户提供更多的增值服务。 基于时间同步的动态口令认证机制原理是:每个用户都有一个与众不同的、唯一的身份标志的秘密信息——密钥和一个密码产生器——盛大密宝。盛大密宝每分钟产生一个动态的密码。盛大密宝被发放给 第 4 页 共 39页 用户时,已经进行了初始化,它存储着用户密钥等重要参数。用户登录时使用的密码(Plogin),就是由固化在动态口令卡上的变换函数产生的。在认证服务器上,也有一个使用相同变换函数的密码生成模块,该模块利用系统数据库中的相应用户信息计算出用户当前的正确密码(Pcurrent)。若 Plogin = Pcurrent ,系统判定正在登录的用户为授权用户;否则,即为非授权用户。盛大密宝每分钟变化一次。用户登录前,开启盛大密宝,盛大密宝上就会显示出当前生成的动态口令,用户在登录窗口输入此密码登录即进行用户身份认证。 密宝的技术的核心是一套散列算法,服务器端软件和密宝硬件都包含该算法。由于算法的保密和散列算法的不可逆,所以不能通过动态口令倒推出密钥。 盛大密宝已经拥有上百万的用户在使用,并且广泛应用于联通、银行、证券,电信等应用系统。盛大密宝有如下特点: , 安全性高 密码依据安全算法每分钟变化、一次一变、无法预测,有效防 止重放攻击。 , 保密性强 在密宝中的秘钥安全存储,密码卡内部信息不可读取,卡被拆 开信息自行丢失,最大限度地防止用户身份的泄露。 , 集成性好 很容易与用户现有系统相集成。对实际使用的大量应用系统仅 需作最少的改动。 , 内外兼顾 密钥生成和管理完全由系统自动完成,最大限度减少人为因 素,使系统安全防范对内对外同样坚固 第 5 页 共 39页 3、 盛大密宝认证流程 4、 盛大密宝系统体系架构设计 4.1、盛大密宝系统逻辑架构设计 根据一般应用系统接入外部身份认证系统的模式,盛大密宝密码保护管理平台逻辑架构设分为三层:核心层、应用层和用户层。如下图: 第 6 页 共 39页 1)、核心层 核心层主要包括核心数据库服务和认证逻辑中间件。 , 核心数据库服务 核心数据库服务提供核心过程逻辑,如用户帐号的状况、盛大密宝的状态、种子的计算等均封装于存储过程中,通过存储过程的调用以实现相应处理功能,同时也支持将算法放在COM组件中。 , 认证逻辑中间件 提供了对数据库业务封装的支持,支持对密宝功能算法的封装,认证逻辑中间件可扩展、可定制。 2)、应用层 应用层主要提供以下多种服务: , 认证服务 认证服务实现了为应用系统如银行、证券、OA等用户提供动态口令认证服务的功能。 , 管理服务 管理服务主要是提供给系统管理人员使用,管理人员可以通过该服务对认证系统进行管理。 第 7 页 共 39页 , 监控与报警服务 该服务主要是提供给接入盛大密宝认证功能的应用系统的内部管理人员使用,使用了B/S架构对认证系统的工作状态进行监控和报警。 , 统计分析服务 统计分析服务提供对认证系统的基础业务数据进行分析,并以报表形式提供给管理者,以供决策和分析。 , 用户自助服务 该服务提供了基于WEB的用户自助管理服务,通过此服务来完成用户的自助操作,用户自助服务不但为用户提供了灵活的自助管理令牌的方式,同时也可以减轻应用系统管理人员的工作量。此服务可根据应用系统需要提供。 , 应用认证引擎 应用认证引擎需要部署在于接入盛大密宝认证功能的各应用系统上,为各种需要动态口令服务的应用提供一个简单的、易开发的SDK包。应用认证引擎提供多种常规开发语言接口包,可扩展性强,并可根据用户的各种应用进行定制。还可以根据银行、证券等行业用户定制专用的、更高安全级别的应用认证引 3)、用户层 是指应用系统中盛大密宝的使用者,例如:应用系统用户在启用并绑定了密宝后,以后每次登录都需要输入密宝,通过认证服务器的认证后方可登录系统。 对于比较特殊和重要的行业用户,例如:银行和证券用户在认证时需要考虑采用加密协议来解决加密传输的问题。另外还要考虑防止因客户端中了诸如“网银大盗”等盗号类木马,而被利用键盘钩子盗取用户键盘输入的情况。 4.2盛大密宝架构设计特点和先进性 实际应用中应用系统和身份认证系统体系可能会面临着应用方案的改变,应用系统的扩容以及各种各样的安全风险,如黑客、木马、病毒的入侵等,密宝认证系统作为应用系统安全的第一道屏障,自身的安全尤为重要。为此在密宝平台的设计首要考虑了平台的安全性、可扩展性、兼容性等,力求设计一个 第 8 页 共 39页 安全性高,扩展性好,兼容性强,可和应用系统无缝接入,提供持续服务的动态口令认证平台。 1)、认证与管理功能的分离:认证系统与管理应用系统独立设置,互不影响,认 证系统的功能单一,响应速度快; 2)、支持动态负载均衡 多台密宝认证服务器实现动态负载均衡,任何一台认证服务器软件或者硬件以及网络的故障不会影响认证服务的持续性,认证客户端可以在多台服务器之间自动切换; 3)、高可用性和无缝接入 支持RADIUS、Tacacs+等国际标准协议,具有高度的通用性;可无缝接入支持第三方RADIUS认证的防火墙、VPN和RAS设备,为其提供登陆用户身份的验证;也可以无缝集成到支持标准协议的的应用系统中。自定义的接口SDK包,支持多种语言和环境,安全性高,对应用系统改动很小。 4)、防“中间人攻击”的安全设计 “中间人“攻击是动态口令认证系统遇到的比较难以解决的安全性问题,盛大密宝平台提供了防中间人攻击的客户端安全输入控件和后台的对抗中间人攻击的二次认证服务。在传统的基于时间同步的基础上增加了挑战应答方式,进一步提高了动态口令的安全性。有效的解决了中间人工具,保证了交易中用户身份的安全性。 5)、支持MSCHAP V2 盛大密宝支持MSCHAP V2等国际通用认证模式,支持通过MSCHAP V2实施 用户和服务器的双向认证,兼容性强。 6)、功能丰富的监控报警系统 平台提供了完善监控报警系统,可全面可配置的监控整个系统安全状况和资源使用情况,为管理监控系统提供了有效指导和可靠保证; 7)、完善的权限控制管理 第 9 页 共 39页 设计了多级管理员机制,不以级别的管理员只拥有相应级别的访问权限。根可配置的细分权限控制功能,只允许授权的用户访问平台,避免了非法用户的访问对系统安全造成的影响。 8)、认证系统安全性 认证服务器可采用封闭式结构,系统配置完成后,不带控制台和终端,以求最大限度减小外界干预。提供认证通信协议支持加密方式 9)、先进的管理工具和完善的服务 我公司有多个自开发的安全辅助工具,可对应用系统环境进行和配 置,提升应用系统环境的整体安全性。对于Windows服务器,在安装配置好以 后,我公司的网络安全部的安全工程师将对服务器进行安全加固,通过调整服 务器配置、关闭不必要的系统服务、修改注册表的某些键值,使用服务器自身 的安全性得到较大的提高 10) 、完善的日志审计功能 平台管理员用户的所有操作记录均有日志记录,可以对管理员的操作行为进行审计;同时对用户的认证登陆请求和业务类型进行详细记录,为事后核查提供依据。 5、 密宝的安全机制及安全目标 基于时间同步的动态口令认证系统有五个方面来保证密码的安全性:第一,令牌产生的动态口令和用户的应用账号和静态密码组合使用,非法使用者仅拿到 第 10 页 共 39页 令牌毫无作用。第二、动态口令根据变化的时间参数经由只能被令牌本身读取的初始化密钥来产生,无法被反推算,或者穷举法等方法进行计算和破解;第三、动态口令使用一次后即告作废,及时在登录时被偷窥或者嗅探,窃密者使用该密码再次登录,将被系统拒绝;第四,密码只在规定的时间窗口内登录有效。一般时间窗口设置为3分钟-5分钟之间,在产生密码过后超过时间窗的分钟数后登陆,系统将拒绝该密码登录;第五,在连续生成多个密码(<10 个)的时候,一旦用户使用序列中最后一个密码成功登录系统,则前面产生的密码都将被系统视为失效。从而,既防止了偷窥,也防止了网络嗅探等窃密行为。保证了很高的安全性 5.1用户密钥的唯一性和安全性 盛大密宝认证系统中,令牌密钥是用以鉴别用户的最关键、最秘密的信息,因此,一定要保证密钥的唯一性和安全性。用户密钥的产生是一个复杂的过程,其中,硬件噪声源的使用保证了随机数字的不可预测和唯一性,随机多项式的使用进一步加强了唯一性和安全性。 5.2 双因素认证机制 系统采用双因素认证机制来鉴别用户身份。用户登录时,除了一个记忆在头脑中的密码外,还必须提供他拥有的盛大密宝所生成的密码。只有同时使用正确的用户静态密码和动态口令卡才有可能进入网络,使网络安全性大大提高。 5.3 一次一密认证机制 动态认证服务器对访问服务器送来的动态口令,进行一次一密认证。由于动态口令无法予测,有效防止了密码的重发攻击。 5.4 用户信息的高度保密 在该系统中,所有用户的重要信息(如密钥、密码)均以密文形式存储在存储设备中或在信道中传输。 第 11 页 共 39页 5.5 动态口令令牌的安全保护 盛大密宝最终将发放给用户使用,因此有必要对密宝本身进行安全保护,措施有: , 在电路设计和芯片中,利用芯片的总线不开放特性和 EPROM禁读设置,使密宝上的程序和数据无法读出,这样 对单个卡的攻击不能获得关键数据; , 密码卡不能随意打开,否则,密宝内的保护设置将切断电源, 密宝内密钥将丢失。 5.6 动态认证服务器的安全保护 认证服务器是系统的核心,它除了为客户服务器提供认证功能外,同时也存储着用户的信息数据,因此对它进行安全保护是十分必要的: , 该服务器采用封闭式结构,当系统配置完成后,不带控制台 和终端,以求最大限度减小外界干预; , 服务器上的用户数据以密文形式存在于存储设备中; 5.7 对客户网络系统安全性的增强 , 该系统的动态口令机制保证登录密码每分钟都在变化,无法预 测,从而给客户的网络系统和信息资源构筑起一道安全屏 障。 , 该系统采用双因素认证机制来鉴别客户网络系统中用户的身 份。用户登录时,必须提供他拥有的盛大密宝所生成的密码。 只有同时使用正确的静态密码和密宝才有可能通过系统认 证。即使密宝丢失或被盗,用户可以立刻挂失,而传统的静 态密码网络用户不易觉察密码何时被窃取。 , 通过动态认证服务器验证的正确密码只能被使用一次,杜绝了 密码泄露的可能。 第 12 页 共 39页 6、 盛大密宝密钥安全性 在盛大密宝安全认证系统中,令牌种子密钥是用以鉴别用户的最关键、最秘密的信息,因此,种子密钥的唯一性和安全性至为重要。硬件噪声源的使用保证了随机数字的不可预测和唯一性,随机多项式的使用进一步加强了种子密钥的唯一性和安全性。 为了保证用户的种子密钥的安全性,我们推荐如下的种子生成和传输方案: 1)为了尽量减少机密的泄漏,种子文件的产生和传输应该尽量减少中间环节,把能够接触这些机密文件的人减到最少。 2)种子文件可以放在客户方生成和管理。种子文件生成后直接以通过AES加密算法加密后以密文方式存放。每个客户的端的加密密钥唯一。种子文件生成完之后,可通过对整个文件通过winzip9.0的AES256位的加密方式加密整个文件,设置15位以上由大小写字母,数字和符号组成的密码。 3)客户方生成的加密的种子文件通过机密方式(网络或光盘,由客户方选择)传输给生产工厂。 4)生产工厂通过程序把种子解密并写入密宝。这个解密和写入的过程是由程序自动执行,所以工厂的工人也不会知道真实的种子。 5) 令牌生产完成之后,工厂根据协议,在客户指定人员的监督下销毁种子文 件。 通过此方案,生产过程中的种子文件只有客户方和生产工厂能够接触,而且生产工厂只有经过强度很高的加密方式解密文件后生生产令牌。生产工厂看不到明文的种子文件,同时通过保密协议,保证生产工厂在写完卡之后把在可在客户指定人员的监督下销毁全部种子文件。有效的保证了密宝种子密钥的唯一性和安全性 7、 盛大密宝算法安全性保证 盛大密宝动态口令认证系统采用自定义的动态口令生成后算法。该算法经过 第 13 页 共 39页 了多位资深算法安全专家的评估和认可,算法的保墒性、产生密码的随机性可以得到充分保证,具有认证速度快、随机性强、攻击难度大的特点。 7.1动态口令生成的详细流程 1)收到令牌动态口令认证请求; 2)根据令牌ID或用户名从数据库检查令牌的状态是否正确,合法状态进入下一步;其他状态则返回状态; 3)根据令牌ID或用户名从数据库取出令牌对应的加密的种子密钥,令牌初始化时间,令牌上次认证成功时间、令牌的时钟误差以及该令牌对应的生成密码长度; 4);用当前时间和令牌初始化时间比对,确定时间的正确性。 5)检查当前时间和上次认证成功时间是否在同一分钟,是则拒绝; 6)调用密码生成散列算法EKEY(当前时间,令牌初始化时间,令牌的时钟误差,种子密钥)生成一串数据,从改数据中截取指定位数作为当前动态口令; 7)比较生成的动态口令和用户输入密码是否一致,一致则返回认证成功并设置令牌对应的认证错误次数为0;不一致则进入下一步 8)根据认证系统设定的时间窗口参数,继续在正负一分钟内调用EKEY算法生成动态口令并和用户输入的密码比对,比对成功返回认证成功,并设置令牌对应的认证错误次数为0,不成功则继续比对; 9)如果在时间窗口内没有认证成功,设置令牌对应的认证错误次数为当前数据+1并返回认证失败; 7.2明文数据装配格式说明 动态口令生成的明文数据装配格式如下: 当前时间:tNow,发卡时间:tIssue,令牌误差时间iReviseTime,密码长度PasswordLen,密钥种子tkey【32】,算法EKEY,生成密码串 Keystr,当前动态口令; 第 14 页 共 39页 EKEY(For(i=0,i<31;i++)((tNow-tIssue +iReviseTime)+tkey[i])=Keystr; acPassword= Strcat(Keystr,PasswordLen); acPassword即为生成的当前的动态口令。 7.3样品对应的种子密钥 见密钥文件 ekey.txt 8、 盛大密宝的的时钟同步机制 随着时间推移以及令牌所处环境的影响,令牌的时钟可能会产生一定的偏移。而时钟是基于时间同步的动态令牌认证系统的关键因素之一,盛大密宝保证年飘移时间范围不大于2分钟,并提供了多中同步手段来保证令牌发生时钟漂移时的可用性。 1)滑动窗口,同步跟随 所谓“同步”,是指用户密码卡和认证服务器所产生的密码在时间上必须同步。这里的时间同步方法不是用“时统”技术,而是用“滑动窗口”技术,自动在用户口令卡和服务器之间实现矫正和同步。在认证时,当时时间内生成的密码匹配失败时,系统自动在时间窗口范围内匹配,匹配成功时会记录匹配的时间误差,作为下一次匹配的基点,有效避免了令牌长时间不用带来的时钟漂移导致的认证失败和并降低了令牌时钟发生漂移时对认证系统的认证压力。 2)强制时间同步技术 当令牌在用户长时间不用或外界条件的影响下发生较大的偏移时,为了保 证认证系统的安全性,时间窗口不宜设置过大,一般为3分钟左右。此时可 能导致用户认证失败。为了避免此种情况给用户带来的不便,系统提供了强 制同步的功能来实现令牌的同步,具体做法是要求用户输入令牌上产生的的 连续三个动态口令,认证系统在此三个密码均验证成功后,会根据此时匹配 的时间误差来设置用户参数,保证用户下次成功认证的可能。 第 15 页 共 39页 9、 盛大密宝的令牌安全性 1) 盛大密宝令牌防拆解功能 盛大密宝令牌防暴力拆解,在强力破坏外壳并读取硬件数据的情况下,存 储在MCU的RAM中初始种子密钥自毁; 2) 盛大令牌生命周期的安全性 动态令牌的开发和生产符合国家商用密码管理局制定的《商用密码生产管 理规定》,由通过了ISO9000体系认证的指定制造商生产,签订了严格的保密 协议和委托加工,生产过程有盛大派出的质量控制人员监督检查。动态 令牌的运输和发放由盛大专业的物流管理部门负责。 10、 盛大密宝动态口令认证系统主要技术指标 10.1支持的操作系统 , 认证前端:Windows 2000/2003 , 认证后台:SUN Solaris/ IBM AIX/HP-UX等主流的UNIX系统 , Agent:支持Windows、Linux、Sun Solaris、AIX 、HP-UX等主流的操作系 统 10.2支持的认证协议 , 支持自定义的认证协议 , 支持RADIUS协议 , 支持PAM认证 , 支持GINA认证 第 16 页 共 39页 10.3支持的数据库 系统支持主流的数据库,主要包括: , SQL Server; , Oracle 10g , DB2 , Sybase , 等 10.4 应用程序接口API 对于有源代码的应用系统,我们提供丰富的API接口,包括各种主流的系 统平台Unix、Windows、Linux等。接口方式包括: , JAR包,用于JSP/Java等语言调用 , COM+,用于ASP/ASP.NET等脚本语言调用 , SO,用于PHP等脚本语言调用 , Windows DLL,用于C/C++等高级语言 , 等 除以上API接口外,并我们还可以按网通的实际需求在较短的时间内进行 定制开发。 10.5支持的应用系统环境 支持的应用系统环境包括: , Windows 操作系统环境 , HP Unix /AIX/Linux操作系统环境 , 等 10.6认证服务器技术指标 , 认证服务器的设计用户数: 10,000,000用户以上 (部署3台认证服务器, 可满足1000万用户的容量) 第 17 页 共 39页 , 认证服务器支持的网络协议:TCP/IP; , 单台认证服务器系统的认证速度: 1500次/秒(单台认证服务器), 11、盛大密宝认证系统的特点和优势 1)、近10年产品研发、应用经验,系统稳定可靠、安全性高 2)、国内动态令牌产品唯一家单一平台300万以上用户的应用和充分检验,大用户量和高并发支持; 3)、多样性令牌终端,满足不同层次、不同身份用户的需要; 4)、多语言API接口并支持标准身份认证协议,方便与现有系统整合,兼容WINDOWS, UNIX; 5)、完全自主知识产权核心技术,保障系统安全; 6)、认证系统24小时不间断运行。系统采用现今成熟技术设计,利用软件设 计架构下的最佳算法,以及互联网技术的高速带宽,使系统性能得到最大 优化,保证实时认证和高并发量处理; 7)、自主研发的多服务器负载均衡技术,实时进行大请求数据流负载均衡; 8)、 支持多种认证方式,除了支持标准的Radius协议外,还支持Windows 的GINA认证,Linux的PAM认证等;对防火墙、VPN和RAS设备的 支持:密宝系统支持使用RADIUS协议的防火墙、VPN和RAS设备; 9)、管理界面简洁易用友好,采用基于WEB的图形化管理界面,极大的方便 了管理员对系统进行集中的管理、维护、审计工作; 10)、系统管理功能:后台管理通过百万级用户量管理的实践检验,结合成熟 完善的体系及产品售后服务经验,开发出的用户自助服务功能,简单、 易用,同时还可按客户的要求进行灵活定制; 11)、完全自有知识产品,可以根据客户业务需求灵活定制各种功能模块; 12)、安全性的保障:数据库存储的信息均经过加密处理;认证通信协议支持 加密传输;系统提供了加密传输机制;在时间同步的基础上增加了挑战 应答方式;密宝密码只能成功认证一次,可提供安全登录控件,可有效 防止键盘钩子截取用户键盘输入; 第 18 页 共 39页 12、 盛大密宝的分类及规格 盛大密宝经近10年的发展,形成了适合不同应用、不同用户需求的4个系列共计8款产品,包括60秒系列产品:D6\A8\E8; 30秒系列产品: X6\X8,双种子系列:C6\C8,USB接口系列:S6.。 包括: 30秒密宝、60秒密宝、USB密宝、可更换电池的密宝、8位长度动态口令的密宝、挑战应答方式密宝。 i. 变化周期分:30秒、60秒 ii. 接口方式分:LCD显示型,USB接口型 iii. 电池寿命分:一次性电池型寿命2年以上,可更换电池型寿命更长; iv. 密码强度分:6位密码、8位密码 v. 同步机制分:时间同步、事件同步、挑战应答、混合型 X6 E8 A8 采用同步及挑战应答两种认证机制 30秒变一次6位密码 60秒变一次8位密码 增强认证系统的安全性 第 19 页 共 39页 三、 盛大密宝在中国银行网银系统的应用 解决方案 1、 中行网银系统身份认证现状 中国银行在2008年底推出的新版网上银行采用了国际流行的动态口令牌,。中行新版网银推出“动态口令牌”安全认证服务后,由于在安全保障上更为可靠,且使用方便,使得新客户的开户数不断攀升。但是目前中国银行BOCNET网银系统动态口令认证平台目前仅支持单一品牌动态令牌,还不能很好的满足不同用户群的要求,为解决这一局限性,中行决定对动态口令认证平台系统进行升级改造,以支持多品牌的动态令牌。 2、 中行网银系统动态口令身份认证平台需求分析 2.1业务需求 各家厂商的动态令牌,应能够接入中国银行动态口令认证平台系统,并与 其他品牌动态令牌同时工作,高效率、高可靠性地完成身份认证等有关业务处 理操作; 为了保证银行原有系统的正常运行,需要与原业务管理系统进行对接,同时实现银行业务身份认证,需要实现以下功能需求: , 安全的数据传输机制。 , 保证动态口令身份认证系统与银行业务系统的对接。 , 完善的审计日志和报表,以保证对操作记录的跟踪 1)、令牌高安全性需求 动态令牌要求能抗强行破解,不易受外界环境影响。 2)、 认证系统安全性需求 银行业务系统的高安全性要求要求系统自身不能有安全漏洞和木马。有一定的抗攻击能 第 20 页 共 39页 力。 3)、平滑过渡需求 银行业务系统对储户提供365,24小时不间断服务,因此要求身份认证系统的采用不能对原系统造成影响,具体来讲: , 动态口令身份认证系统与静态密码认证两种方式在过渡期间内 ; 共存 , 动态口令身份认证系统先应用到部分柜员管理中,根据使用情 况再逐步过渡到全系统; , 在过渡初期如因特殊原因出现动态口令身份认证系统失效的情况,要求能 立即启用原静态密码认证系统,不影响银行的正常业务; 4)、高效、高可靠性需求 银行业务系统的实时性、高可靠行、高安全性的性质要求“密宝”动态口令认证系统认证速率不能成为原系统的瓶颈,并要求保持系统无单点故障。 5)、可管理性需求 从易用、易维护等考虑,要求“密宝”动态口令认证系统具有很强的可管理性,主要包括以下内容: , 管理界面友好,功能清晰,符合使用习惯; , 简单、快速的查询、统计、审计功能; , 数据备份和恢复功能; , 报警和故障诊断功能; 2.2功能需求 1)、业务功能需求 实现网银系统及其他应用系统的用户ID信息与动态令牌的关联,动态令牌只有在与网银用户关联之后才可以在网银系统中激活使用 可以提供发放(与网银用户逐一对应)、认证(同步)、挂失、挂失解除、锁定解除、注销(删除)、更新、回收等各项管理功能。对于令牌失步的情况,可以在认证客户身份之后重新进行同步 2)、接口需求 第 21 页 共 39页 提供C/C++、JAVA等类型的标准API接口,以便动态口令认证系统可接入中行动态口令认证平台系统,以实现以下功能。 3)初始化需求 要求动态令牌出厂时做好初始化(该初始化过程应当对信息内容可控,保证信息不泄露),在网点对操作员进行签约操作时只进行关联、注销等网银用户ID与动态令牌的关联操作,柜员不对动态令牌硬件本身进行包括写入信息等操作内容,并且要求动态令牌本身不能被复制、修改和破解。 4)、统计与分析需求 提供包括但不限于按指定或既定时间段(时间点)的区分不同层级机构各种状态(开/销户数、更换数、挂失/解挂数等)的记录信息等统计分析报表。 5)、可管理性需求 使用浏览器的系统界面,并可根据中国银行要求支持到网点级的功能使用。 6)、认证功能需求 仅对与中国银行网银用户ID关联后的动态令牌进行无需人为干预的认证,并支持在 银行网银用户登录时和网银用户的关键交易中使用动态口令进行认证。同时能与中国银行使用的CA等其他安全措施不冲突并能同时使用;经过与中国银行动态口令认证平台系统的兼容性开发,可与其他品牌的动态令牌同时使用。 7)、支持令牌的批量制牌和发放 根据中行业务系统需要,可以批量初始化并发放令牌。 3、盛大密宝身份认证系统中行网银安全解决方案 3.1中行网银系统的动态口令认证平台架构设计原则 针对中行网银系统的安全身份认证要求和平台设计方案,本方案采用独立认证的模式,即动态口令认证服务器集成在中行动态口令认证平台中,中行的网银应用和其他业务应用根据用户使用令牌的的厂家代码调用相关厂家的API来认证其动态口令的正确性。 第 22 页 共 39页 本方案基本设计原则是: 1)最大限度地发挥动态口令身份认证系统的性能; 2)动态口令身份认证系统相对独立于中国银行业务系统,分工明 确,便于身份认证系统的维护、管理和升级; 3)动态口令身份认证平台中各家动态口令认证系统功能基本一致,管理界面 和操作界面基本一致,界面友好简单,便于系统管理人员和客户的使用; 4)各家动态口令身份认证平台接入的接口统一,易于管理,实施和 安装调试; 5)独立设置动态口令认证系统,对中行原有网银和业务系统的改动 很少,易于用户系统的实时运行; 6)动态口令身份认证系统与业务系统之间的关键认证数据加密传 输,便于确保事后核查审计; 3.2中行网银系统的动态口令认证平台架构设计 根据中行的动态口令认证平台的规划,中国银行将建立多家动态口令认证系统组成的统一动态口令认证平台,为中行网银和 其他业务系统统一提供用户身份认证服务。在用户登陆系统或者进行账务操作时,WEB服务器将根据令牌号查找对应的动态口令厂商,并把认证请求发送给对应厂商的认证服务器。 第 23 页 共 39页 3.3 动态口令对用户登陆中行网银的保护 中行动态口令身份认证平台支持的密宝包括带挑战码的密宝和不带挑战码的密宝两种。针对这两种不同的密宝,客户端可以区分对待(也可以不区分,两种密宝可以用向同的登陆方式,即不输入挑战码): 1)普通密宝登陆方式: 普通密宝可以按照下图所示的方式认证: 图中的登陆服务器就是银行的身份认证服务器,如果静态密码认证成功,则调用密宝的动态口令认证接口,认证动态口令的正确性。 第 24 页 共 39页 2)、挑战码密宝登录方式: 带挑战码的新型密宝是密宝的新产品,该产品需要用户输入一个数字来产生动态口令。如下图所示: 用户登录时,网页或客户端提示一个挑战码,输入这个挑战码到密宝后用户会得到一个动态口令。 第 25 页 共 39页 挑战码的密宝也可以不用挑战码直接进行动态口令认证,跟普通的密宝的方式相同。所以银行可以根据业务的需要选择适合自己和用户的认证方式 3.4中行网银系统的在交易过程中对账号安全的保护 本方案中,在网银发生资金交易和修改个人重要信息的操作时,建议网银系统对用户身份进行二次动态口令身份验证,以保证用户财产和信息的安全,即系统弹出对话框,要求用户再次输入动态口令卡产生的动态口令,WEB应用服务器根据账号对应的令牌号查找对应厂商的认证服务器,并发送请求给相应的认证服务器,根据认证结果决定是否允许下一步的操作。 为了避免网络钓鱼等中间人攻击,在发生重要资金交易时,也可以系统发送短信或者邮件给用户,用户把令牌产生的动态口令回复系统,可以增强交易信息保护的安全性,避免类似网络钓鱼的攻击行为给用户带来的损失。 4、认证设备的分发流程及个人化方案 4.1令牌的分发 令牌的分发实际上是一个网银用户或其他业务系统用户和动态令牌ID建立对应关系即绑定的过程。绑定的操作可以考虑从柜台办理,流程如下,首先检验用户的银行卡的可用性,用户的卡号、密码正确则能判断用户身份。用户的身份证及银行卡验证成功后,提示营业柜员输入预分配给客户的令牌序列号及令牌上产生的动态口令,网银服务器会根据密宝ID判别对应的厂商认证服务器,并把认证请求发送到对应密宝服务器验证,验证成功则在中国银行的认证数据库中建立该卡号和密宝的对应关系,令牌分发完成。 绑定了动态令牌的用户如果希望登陆网银时不再用输入动态口令,则需要去银行柜台把账号和密宝的绑定关系解除掉。解除绑定和绑定 第 26 页 共 39页 的流程基本一样。需要验证用户的身份证件的合法性及并且验证密宝的动态口令是否正确。都验证成功后则解绑令牌,用户下次登陆网银则无需输入动态口令。 4.1令牌的个人化方案 对一些特殊的业务管理或着VIP客户,动态令牌管理系统可提供一套令牌预个人化的管理方案,通过此功能可以批量对一批令牌分发,以减少管理员分发令牌的工作量,提升品牌信誉。 批量个人化功能指对一批令牌进行个人话的过程,管理员通过动态令牌或者其他身份认证系统登陆成功后,可以选择于批量个人化功能,并输入预分发的序号连续的令牌起止ID序号,并指定要分发的用户数据库的用户账号即可进行批量个人化。 1.1 5、盛大密宝认证系统接入中行动态口令认证平台 的安全考虑安全性设计 网通的密码保护平台在今后的日常运营中可能会面临着各种各样的安全风险,如黑客、木马、病毒的入侵、系统受到攻击等,这些风险如果不提前考虑,今后一旦发生都有可能造成认证服务的中断或不稳定,为此我们在平台的设计之初首要考虑了平台自身的安全性问题,这主要体现在以下几个方面: , 核心数据服务与公网隔离,核心数据可更安全; , 核心DB服务采用UNIX平台安全性更高; , 前端在应用层次做好了IP地址限制,认证服务端口只对有限的SP、银行、证 券等开放; , 平台提供了完善监控报警系统,可全面监控系统安全状况; , 提供了完善的数据备份机制,可保证数据的安全; , 为系统设计了加密传输机制,可以保障与银行、证券等用户的数据传输安全; , 在数据库中存储的用户数据,将采取加密存储,防范数据的泄露; , 增加了权限控制功能,只允许授权的用户访问平台; 第 27 页 共 39页 , 设计了多级管理员机制,不以级别的管理员只拥有相应级别的访问权限; , 设计了日志审计功能,平台管理员用户的所有操作记录均有日志记录,可以 对管理员的操作行为进行审计; , 认证服务器可采用封闭式结构,系统配置完成后,不带控制台和终端,以求 最大限度减小外界干预; , 提供认证通信协议支持加密方式; , 为认证平台部署两台防火墙,用于保护整个平台的安全,另一方面防止出现 网络瓶颈和单点故障; , 在传统的基于时间同步的基础上增加了挑战应答方式,进一步提高了动态密 码的安全性; , 另外通过软件算法也实现了负载均衡,系统会将用户的认证请求合理的分摊 到不同的认证服务器上,防止单台服务器认证压力过大; , 认证系统设计为支持一次一密,动态密码每次只能使用一次,增加了盗取密 码的难度。 , 对于Windows服务器,在安装配置好以后,我公司的网络安全部的安全工程 师将对服务器进行安全加固,通过调整服务器配置、关闭不必要的系统服务、 修改注册表的某些键值,使用服务器自身的安全性得到较大的提高; , 实施Windows服务器的主机访问控制策略,利用windows系统自带的ipsec 策略,对关键的认证服务器实施严格的双向阻断策略,根据应用的需要仅授 权IP地址访问认证服务器的认证端口,根据应用的需要,仅允许认证服务器 访问必须访问的其它授权服务器等。 , 针对不法分子可能会利用键盘钩子盗取用户键盘输入的情况,我公司还设计 了安全登录控件,以保护用户通过键盘输入数据的安全性。 , 我们将为相应的windows服务器上部署防病毒软件,并支持病毒特征库的自 动更新升级。 第 28 页 共 39页 1.2 兼容性设计 1.2.1 对不同令牌产品的支持 在盛大设计密码保护平台时,已考虑了兼容其它厂商令牌产品的因素,设计了相应的接口。在绑定关系中可以加入不同厂商的令牌序列号,系统可以根据绑定关系中令牌厂商的不同标志代码,选择不同的认证服务器完成动态密码的认证功能。 在该平台下的认证服务器只完成基本的动态密码的认证功能,未来其它厂商的认证模块,完全可以纳入到密码保护管理平台的统一管理之中。具体实施时,只需要增加相应厂商的认证服务器,就可以使用该厂商的令牌,完成动态密码的认证。 1.2.2 对企业内网办公应用的支持 盛大网络在设计的网通密码保平台时,充分吸收了盛大网络在自身办公内网动态密码技术的应用方面的经验,可以完全支持企业内网各种办公应用的动态密码认证的需求。 例如: 盛大自行开发的GINA认证模块,可以替换windows操作系统的Gina认证,从面实现在登录windows域时加入动态密码的认证。 盛大开发的PAM认证模块,在UNUX/LINUX操作系统上实现PAM认证的功能,从而加入了动态密码的认证。 盛大设计的密码保护平台完全支持标准的RADIUS协议,VPN、802.11协议等。 目前盛大内部网络应用已将动态密码技术应用到了邮件系统、web办公应用、OPENVPN登录、Windwows/Unix/Linux服务器/工作站登录等重要的环节。因此我们在为网通设计密保平台时,也会在平台设计中体现出在内网办公应用方面使用动态密码认证技术的优势。 1.3 系统配置设计 为了设计出符合要求的500万用户规模的密码保护平台,在开始设计之前, 第 29 页 共 39页 已充分考虑大量用户认证时对认证服务器带来的认证压力,因此对所需的系统容量进行了深入的分析,对所需的系统配置进行严密的测算。 由于本项目不需我方提供服务器由网通自行采购,所以建议可参考以下系统性能及配置的分析测算方案来采购服务器 1.3.1 认证服务器 1. 理论测算 假设500万用户在1小时内认证一次,那么服务器需要承受的压力计算如下:5000000/3600 约为 1390次/秒。考虑到不是每个用户都会同时使用密宝,以及使用密宝频率,假设500万用户在平均1小时中有25%的用户使用密宝,每人使用2次,那么认证频率是:1390*25%*2=695次/秒。 2. 经验测算 根据盛大网络百万级密宝认证平台的经验值:100万用户的平均每秒产生20次左右的认证请求。在峰值时每秒产生80,100次认证。 我们以一台国外品牌服务器的配置举例,一台认证服务器采用机器的配置是2个3.66G CPU,4G内存。数据库服务器的配置是 4*3.2G CPU 4G内存。在这样的配置情况下,服务器的CPU一般情况只达到3,左右的利用率。基本上每台应用服务器可支持70次/秒的认证量。 所以针对网通密码保护平台的具体情况,如果达到500万用户的容量,峰值大概为400到500次每秒的认证,500/70=8台,所以配置8台认证服务器就完全可以满足500万用户在峰值时的认证请求。 另外,我公司设计的认证平台架构是可以扩展的,如果将来用户数量成位的增加,远远超过500万用户容量,如果存在产生性能的瓶颈,还可以通过扩展认证服务器来达到性能方面的要求。 因此推荐采购8台认证服务器,配置为2*3.16G CPU 、内存4G,硬盘73G*2、操作系统采用Windows Server 2003。 1.3.2 数据库服务器 网通密码保护平台的数据库必须具有很大的容量和高度的可用性,并且具备良好的开放性和易维护性。根据网通500万用户容量的平台规模实际情况和 第 30 页 共 39页 盛大百万级认证平台的经验配置测算,数据库应具其性能要求为TPMC值在50000以上。 根据本项目的具体需求我们建议采购的数据库服务器可以参考以下配置: 采购2台数据库服务,CPU 2*2.1G内存8G,硬盘146G*2(Raid0+1),操作系统推荐采用Solaris,也可以采用它主流UNIX操作系统(64位)。数据库软件我们则推荐较为成熟、可靠的商用数据库,例如:支持64位技术的Oracle 10g。 1.3.3 管理服务器 网通密码保护平台的管理服务器,主要用于部署平台管理软件,访问量相对较小,根据经验配置,其性能要求为TPMC值在20000左右。 我们建议使用1台服务器,推荐的配置为:2*3.16G CPU 、内存4G,硬盘73G*2,操作系统采用windows Server 2003。 1.3.4 自助服务器 该服务器主要用于用户通过web进行自助操作,根据经验配置,其性能要求为TPMC值在20000左右。建议采购2台服务器,2*3.16G CPU 、内存4G,硬盘73G*2,操作系统为Windows Server 2003。 1.3.5 接口服务器 接口服务器主要是根据各SP的不同应用,在服务器上部署相应的接口软件,服务器的性能将直接影响到各SP与平台对接的性能。根据经验配置,其性能要求为TPMC值在20000左右。建议采购2台接口服务器,考虑到未来网通业务进一步发展,SP数量增加的因素,我们推荐的服务器配置为:2*3.16G CPU 、内存4G,硬盘73G*2,操作系统为Windows Server 2003 1.3.6 存储能力估算 我们为网通设计的认证平台的单个用户令牌状态数据为:412Bytes/User 网通500万用户的令牌状态数据:412*5000000/1024/1024/1024?1.92GB 单个用户每天令牌行为数据:200Bytes/User/Day,500万用户每天令牌行为数 第 31 页 共 39页 据:200*5000000/1024/1024/1024?0.93GB,一年用户的令牌状态行为数据:0.93*365=339.45GB。 合计:1.92+339.45=341.37GB。 考虑存储做Raid0+1,需要大于实际容量2倍的空间,因此所需存储在1T左右的存储空间。所以建议使用1台容量为1T的磁盘阵列。 1.3.7 带宽使用估算 由于认证平台中主要是认证服务器接受和处理外部用户的认证请求,所以对带宽的占用情况,在系统配置设计时也是一个要考虑的因素,以免因系统带宽设计不足而产生网络瓶颈,从而影响到认证处理。 令牌用户每认证一次均需要向服务器发送一个约100字节的认证包,服务器认证后会返回一个约100字节的确认包,所以针对网通密码保护平台的具体情况,根据我们对认证请求的估算,如果网通达到500万用户的容量,那么峰值时会有约为400到500次每秒的认证请求,假定收到认证包与返回的确认包均在1秒钟内,则(500*100*2)/1024=97.66K 字节/秒,所以密码保护平台认证数据包对带宽的占用是非常小的,不会过多占用整个平台的网络带宽。 动态口令认证系统为网络银行或者其他应用提供用户身份认证服务。一般来说,认证服务器处于WEB服务器/应用服务器的后面,放在安全的银行内网内,处在整个系统的第二、三层的位置,几乎不直接面对网络的攻击,因此相对安全风险较小。最重要的还是保证WEB服务器的安全。 5.1盛大密宝认证系统的高可靠性 系统设计实现了高性能认证请求处理自动负载均衡的支持,可以在令牌认证请求量大时能继续持续的提供身份认证服务,认证系统不会因大量请求导致瘫痪引起服务中断。在单台认证服务器硬件发生故障时,认证客户端可自动寻找可用认证服务器,继续为用户提供认证服务; 第 32 页 共 39页 5.2 一次一密认证机制 , 该系统的动态口令机制保证登录密码每分钟都在变化,无法预 测,从而给客户的网络系统和信息资源构筑起一道安全屏 障。 , 该系统采用双因素认证机制来鉴别客户网络系统中用户的身 份。用户登录时,必须提供他拥有的盛大密宝所生成的密码。 只有同时使用正确的静态密码和密宝才有可能通过系统认 证。即使密宝丢失或被盗,用户可以立刻挂失,而传统的静 态密码网络用户不易觉察密码何时被窃取。 , 通过动态认证服务器验证的正确密码只能被使用一次,杜绝了 密码泄露的可能。 5.3 盛大密宝认证服务器器的安全保护 认证服务器是系统的核心,它除了为客户服务器提供认证功能外,同时也存储着用户的信息数据,因此对它进行安全保护是十分必要的: , 该服务器采用封闭式结构,当系统配置完成后,不带控制台 和终端,以求最大限度减小外界干预; 服务器上的用户数据以密文形式存在于存储设备中 5.4盛大密宝认证系统的安全性参数 盛大密宝身份认证系统定义了最大错误次数限制,令牌连续错误认证请求次数超过系统的错误次数门限实时,密宝认证系统会自动禁用该令牌一段时间,这个时间也有系统参数定义,此功能避免了大量猜测攻击和重放攻击造成系统压力过大导致正常认证服务无法处理的可能。 5.5盛大密宝令牌的安全保护 1)自毁保护 盛大密宝最终将发放给用户使用,因此有必要对密宝本身进行安全 第 33 页 共 39页 保护,措施有: , 在电路设计和芯片中,利用芯片的总线不开放特性和 EPROM禁读设置,使密宝上的程序和数据无法读出,这样 对单个卡的攻击不能获得关键数据; 密码卡不能随意打开,否则,密宝内的保护设置将切断电源,密宝内密钥将丢失导致令牌损坏。 2)令牌初始化过程的安全保护 动态令牌的开发和生产符合国家商用密码管理局制定的《商用密码生产管理规定》,由通过了ISO9000体系认证的指定制造商生产,签订了严格的保密协议和委托加工合同,生产过程有盛大派出的质量控制人员监督检查。动态令牌的运输和发放由盛大专业的物流管理部门负责。 初始化数据由专人使用盛大提供的专用写卡器生成和导入令牌,写卡器内置国家密码管理办公室批准使用的硬件随机数发生器,保证产生的随机数为真随机数,确保令牌的唯一性,生成的种子数据刻成光盘通过安全渠道送达盛大,由专人导入认证服务器。制造工厂的种子数据由盛大质量专员负责监督销毁。 5.6 完整的日志审计 所有动态令牌的成功认证请求和业务类型,以及所有技术人员、业务人员对系统数据的操作和访问都留有操作日志,并作适当的分类以便稽查。能有效防止对系统的人为破坏和非法入侵,确保业务处理的各个环节都有最佳的安全保障措施。对其中以加密形式保存的数据,应提供接口对数据的一致性进行检验,使系统在应用上具有更高的安全性。 5.7中行网银系统服务器和认证平台服务器的安全性建议 1) 、系统硬件的安全 包括硬件服务器和操作系统、应用软件的安全性选型; 第 34 页 共 39页 2) 、网络安全设备的自身安全和安全策略设置 包括防火墙,防病毒,入侵等安全设备选型时一定要考虑设备的指标 和型号是否满足需求,另外要制定“安全”的安全策略。选择一套智能化的防 护系统,在不改变网络原有架构的前提下,实现动态防护,保证系统安全。 3) 、采用抗DDOS防火墙 DDOS攻击是互联网最大的单一威胁,防范DDOS攻击至为重要。因此 WEB应用中选择抗DDOS防火墙是很必要的。 4) 、漏洞及时修补 互联网上的漏洞攻击总是利用已存在的漏洞进入系统和安装攻击程 序。系统管理员要经常检查服务器配置和安全问题,运用工具自动检测、 运行最新升级的软件版本,最重要的一点就是只运行必要的服务,从根本 上保证系统的安全。 6、 密宝服务接口 现有的密宝服务提供认证接口函数,应用系统通过调用密宝客户端接口向认证服务器发起认证请求,达到保护其用户帐号安全的目的。密宝服务接口通过动态连接库实现,支持的应用系统平台包括各种操作系统: , Windows , Linux , BSD , Solaris 通过提供windows的DLL、COM组件,linux动态或静态链接库,嵌入到需要认证服务的服务程序中,这些程序通过标准的API调用需要的令牌认证服务。 现在能提供的接口包括: , ASP程序接口 , PHP程序接口 , JAVA接口 , C/C++接口。 第 35 页 共 39页 7、盛大密宝在中行网银动态令牌认证系统应用的优势 1)、近10年的动态口令产品研发和应用,积累丰富的经验,国内动态令牌产 品唯一一家单一平台300万以上用户的应用和充分检验,系统稳定可靠、 安全性高; 2)、 认证系统采用软件负载均衡技术和高性能的认证算法,可保证大用户量 和高并发请求的认证支持; 3)、有多个系列令牌终端,可满足不同层次、不同身份用户的需要; 4)、提供多语言API接口并支持标准身份认证协议,方便与现有系统整合, 提供Windows,UNIX/LINUX的多版本认证服务器,接口简单,独立性高, 可以无缝接入需要验证用户身份的任何应用系统,兼容性好; 5)、认证系统完全自主知识产权核心技术和专业的研发队伍,可以根据客户 需要定制业务功能,也保证了及时可靠的售后服务; 6)、支持多种认证方式,除了支持标准的Radius协议外,还支持Windows的 GINA认证,Linux的PAM认证等;密宝系统支持使用RADIUS协议的防 VPN和RAS设备; 火墙、 7)、易维护性 系统应具有友好的用户界面,达到操作简便、高效,配置管理工具应有效 提高系统的管理及维护能力。应达到参数化设计以及信息广播功能,实现网 点应用软件的零维护和设备后台实时监控管理。 8)、盛大多个子公司和全国服务网点的支持,各地服务点备件库存充足,真正 实现了全国联保,及时维修。 9)、大生成能力和实力的保证,我公司动态令牌的生成能力是3.5万/天,月生产能力可到120万片左右。可以随时服务中行对动态令牌数量和质量的要求。 10)、经验丰富的团队和技术支持团队,可规范有效的提供培训服务和支持,为中行提升动态令牌服务的质量和同业竞争提供了支持。 第 36 页 共 39页 四、售后服务与质量保证 1、 技术支持及售后服务 (1)产品维修服务 我公司承诺对令牌产品进行三年的质量保证,对三年内非人为损坏的故障令牌产品进行维修和更换配件,免收任何费用(包括配件费、人工费、等)。 (2)产品更换服务 在三年的保修期内,对于发生硬件故障而不能修复的令牌产品,我公司将免费予以更换。 (4)产品培训服务 我公司将为中国网通提供免费的令牌产品培训服务。 培训内容:包括产品技术、日常使用、常见故障诊断与排除等内容。 培训方式:在中国网通指定的地点,由我公司专业技术人员进行集中的培训。 (5)技术咨询服务 对于中国网通提出的各类技术问题,我公司将提供技术咨询服务,不收取任何费用。 技术咨询的形式包括:电话、Email、传真、对于重要的技术问题,可提供现场技术咨询等。 2、 服务承诺 , 自令牌产品到货验收之日起提供三年的质量保证; , 在保修期满后,我公司承诺提供有偿后续服务; , 在订货之后,我公司保证在合同期限内将产品发送到指定地点; , 一般性技术问题及故障,我公司承诺在接到用户问题后4小时内给出具体答 复和解决方案;对于重大的技术问题及故障我方承诺在2小时内给出具体答 复和解决方案;若遇到非常紧急的情况,我公司专业技术工程师将通过最快 的交通工具到达现场,解决问题。 第 37 页 共 39页 , 责任承诺:若我公司提供的产品不满足要求或其技术支持服务不全面而导致 功能无法实现或不能完全实现的,由我方无偿补足,并负担全部责任。 第 38 页 共 39页 五、 软件功能清单 软件功能 序号 软件名称 数量(套) 部署位置 向用户提供动态口令身份认1 1 认证服务器 认证系统应用软件 证服务 提供了对数据库业务封装的 2 认证逻辑中间件软件 1 支持,支持对令牌功能算法的认证服务器 封装 提供核心过程逻辑,例如用户 帐号的状况、令牌的状态,种3 核心数据库应用软件 1 子的计算等均封装于存储过数据库服务器 程中,通过存储过程的调用以 实现相应的处理功能。 后台管理人员可以使用该系4 后台管理软件 1 管理服务器 统对认证系统进行管理。 提供给网通的内部管理人员 使用,对认证系统的工作状态管理服务器 5 监控与报警软件 1 进行监控和报警 统计分析系统用来对认证系 统的业务数据进行分析,向管6 统计分析软件 1 理层提供用于决策支持或者管理服务器 业务支撑。 为用户提供令牌的启用、挂7 用户自助服务软件 1 失、更换、校正等一系列自助用户自助服务器 操作服务。 是访问核心层的中介,为各种 需要动态口令服务应用提供 一个简单的、易开发的、通用8 应用认证引擎 1 各个应用服务器上 SDK包,包括:Linux下的so 组件,windows下的com组件, java环境的jar包等。 用于营业网点柜员处理个人9 营业受理软件 1 营业受理服务器 用户令牌的各种业务。 为银行应用定制的专用认证10 银行应用认证引擎 1 引擎,功能与应用认证引擎相银行应用服务器 同,但具有更高的安全级别。 第 39 页 共 39页
/
本文档为【中国银行网银及相关业务动态密码认证系统技术方案】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索