概述
随着网络银行市场的不断成熟,起初作为数字签名载体的智能卡以及读卡器逐渐开始被USB Key产品所替代,后者除能实现智能卡的所有功能之外,还利用USB技术将智能卡、读卡器的功能集于一身。不仅如此,其靓丽的外形以及热插拔、易携带的特点也成为其迅速占领市场的重要因素。
USB Key在网络银行中,作为网络银行客户数字证书的载体,承担着保护客户数字证书和私有密钥安全性的重要责任,这对在网络上鉴别用户身份十分关键。其内部芯片操作系统特有的安全加密手段,高达1024位的非对称加密算法RSA以及特殊的抗攻击方法能确保客户在使用网络银行进行金融交易时无需担心交易安全问题。同时,基于数字签名技术的这种网络金融服务可以提供有效的法律效力,所以目前在网络银行业务中,尤其是B2C业务中,银行越来越多地选择USB Key作为网络银行整体方案的基本硬件配置。
作为在银行业终端保有量最大的厂家,实达外设顺应时代发展的需要,联合国内主要的USB-Key供应厂商,在Windows终端上率先支持USB Key的应用。
技术要点
面对电子安全信息交换的巨大挑战,PKI的部件以及相关程序,如数字签名或不同加密机制等技术变得尤为重要,其构成主要包括硬件,软件,人员,指导原则及方法。
通过使用彼此之间存在着数学关联的密钥对或公钥加密(或非对称)算法,即一个私钥和一个公钥,可以解决对称算法无法解决的不可否认性的问题,信息的私密性则可通过PKI的特定程序实现保护。
PKI 技术和智能卡之间的关系在于私有密钥以及第三方认证机构所颁发的数字证书的存储可以在极为安全的智能卡上实现。由于智能卡所携带的微型芯片可实现存储、加/解密、卡内生成密钥对等功能,因此数字签名可以由输入相应的PIN启动,并由存储在智能卡上的私钥自动计算生成。发件人的公开密钥是通过认证中心—PKI的核心部分取得的。
在Windows Server 2003的基础结构中的技术,包括“证书服务”功能和 PKI 安全性、加密服务提供程序 (CSP)、可扩展身份验证协议–传输层安全 (EAP-TLS) 协议、PC/SC架构的支持。这些技术使得在Windows 2003上可以实施安全的智能卡方案。同时Windows Server 2003 支持辅助操作,通过远程桌面协议 (RDP) 连接进行智能卡登录,通过在RDP中的USB Key的映射支持,在Windows终端模式下也可以使用智能卡技术。
实施方案
实达Windows终端支持USB-KEY的应用,只要将所支持的USB Key直接插在终端本地的USB接口,通过RDP的映射将USB-KEY映射到Windows Server 2003服务器上,就可以实现在2003服务器上对终端的USB-KEY进行各种读写操作,如下载证书,颁发证书,查看证书和应用证书等。
图1 USB Key在Windows终端下应用模式
通过以上的应用模式,银行在终端服务器上安装相应厂商的CSP软件和具体应用的客户端软件,Windows终端通过RDP登录到Windows Server 2003服务器,就可以在Windows终端上像普通PC上一样使用USB Key。运行在终端服务器上的客户端软件,如网上银行客户端程序,就可USB Key保证的安全加密通道确认客户身份后登陆网上银行金融服务系统,从而实现了在Windows终端上将网上银行等新兴业务与原有业务系统的融合。
如图2所示为一个实达Windows终端在工行的网上银行的一个实施案例。在该案例中终端服务器由电信托管,各个工行的营业网点使用实达终端通过ADSL拨号到Internet上然后连接到终端服务器上。通过终端服务器访问网上银行WEB服务器。由于工行对网络安全的要求很高,所以工行内网和外网物理上是完全隔离的,相互间不容许互相访问,所以在很多营业网点特别是比较小的营业网点,就只有内网布线而不能访问外网,我们提供的这种方案,就是完全利用工行现有的硬件资源电话线路,然后通过ADSL拨号到Internet上,然后通过电信托管的终端服务器访问工行网上银行的WEB服务器来实现。就不需要花费高额的费用向各个网点单独布线。