安全须加密护航
目前,加强网上银行用户的身份管理,防止用户身份的泄露,是公认的消除网上银行安全隐患的最有效措施。身份认证主要包括两方面,一方面是对网银使用用户的认证,即使用网上银行服务的这个人是不是银行认定的网银客户;另一方面是网上银行用户对银行的认证,即他所登录的网上银行系统是不是真正的银行系统。如果没有完善的双向认证机制,后果将是极其可怕的。因此绝大部分银行的专业版网上银行系统都是基于PKI技术和数字证书建立起来的。
公开密钥体系(Public Key Infrastructure,PKI),是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名等密码服务及所需密钥与证书的管理体系。PKI由公开密钥密码技术、数字证书、认证机构(CA)和有关公开密钥的安全策略等基本部分组成。用通俗的话讲,数字证书就是应用在网上的身份证,它是通过权威认证机构CA颁发的,是证明身份的电子证件。
现在存储数字证书和用户密钥也有两种方式,一种是直接存储在网银用户的硬盘中,另一种是存储在USB Key中,如SafeNet公司的iKey2032身份认证令牌。无疑,将数字证书存储在计算机硬盘上存在一定的风险性,当网银用户遭受病毒或被黑客种植了木马程序,数字证书很可能就此无法使用或被他人盗用。而把数字证书存储在USB Key中,它的安全性就有保障得多。
iKey2032保障身份认证
用户在网上银行进行登录、查询、转账、汇款等业务中,均须使用用户私钥进行签名确认、用户证书加密和银行服务器之间交换数据。iKey2032为用户提供了私钥和证书的安全存放场所。
iKey2032是一个直接与客户端计算机USB口连接的硬件身份认证设备,有32K 安全存储区,网银用户可以使用它存储自己的X.509数字证书。除了存储PKI数字证书,iKey2032还可以存储共享密文(用于对称加密)、个人信息(比如密码、电话号码、信用卡账号等),或者其他必须要保证安全的重要信息。
iKey2032具有极高的安全性和ASIC级别的物理安全防范能力,硬件内置1024/2048bit RSA算法,通过挑战响应/签名和硬件来实现RSA算法。iKey2032可硬件实现密钥签名功能,拥有高质量的内置密钥对生成能力,私钥直接在iKey内部产生且从不导出,其安全级别符合美国FIPS 140-1 level 2 安全认证标准。
iKey2032还具有便捷性、低成本等多方面优点。首先,iKey2032可以牢固、轻松地携带在钥匙链上,这就使得您的客户无论是在公司、家庭或是路上都可以随身携带信任证书和私人信息;其次是低成本,在许多应用中,iKey2032能够取代现有应用程序中的智能卡。与智能卡不同的是,iKey2032不需要特殊的读卡器,它只要直接与USB端口或USB集线器相连就可以了。这样,网银用户就节约了读卡器的成本,而银行也节约了支持安装客户端硬件的成本。
Luna HSM完善加密
为了保护加密密钥和加速加密操作,SafeNet为用户提供了一个设置在银行后台的以太网HSM服务器——SafeNet Luna HSM。它能够通过带有网络可信链接的额外安全性的TCP/IP网络连接到Web服务器,保证了Luna SA 和Web服务器之间的安全性。
通过本地总线提供的严格控制,Luna SA能够被认证的Web服务器客户端进行共享,能够极大地减少集成、部署和管理成本。 另外,Luna SA的集中、多层安全、内置HSM最佳实践和集成的FIPS 140-2 Level 2认证的HSM,确保强大的SSL 加速器能够从一个HSM中提供同样SSL稳私密钥安全性。
作为网络HSM,Luna SA主要益处之一就是能够与多个客户端共享其HSM功能。为了使多个客户端安全地在物理HSM上存放数据,Luna SA引入了HSM分区。每个HSM分区维护他们自己在K3(Luna SA集成的加密处理器)上受保护的内存分区数据和访问控制策略。每个客户端必须到由HSM管理员分配的具体HSM分区进行认证。在其它未被分配的HSM分区上的数据,任何时间都不可访问。HSM分区的使用允许多个客户端维护在Luna上的独立数据,而无须担心被其它注册或非注册客户端所访问。
Luna SA 的另一个重要功能是能够提供高达每秒1200个交易,用来满足SSL应用需求。Luna SA的集中、多层安全、内置HSM最佳实践和集成的FIPS 140-2 Level 2认证的HSM,为SSL私钥提供了加密操作、安全存储、SSL加速、访问控制管理以及策略管理等功能。
iKey2032在银行中的应用过程
·案 例·
加拿大银行根密钥安全保护方案
在国际业务中,iKey产品在金融行业服务于花旗银行、美国银行、汇丰银行、加拿大银行等众多的银行,20多年的行销,使iKey产品在全球销售市场占有率高达50%。
作为加拿大的中央银行,加拿大银行负责加拿大货币政策、发行钞票,调节和支持着加拿大主要的金融清算和结算系统, 担当着联邦政府债务的财政代理职能。虽然不承担一般银行业务,但是它在加拿大经济中的地位和重要性不言而喻,很少有金融机构会比加拿大银行对安全性更加关注。
加拿大银行是国际上第一批采用因特网技术提供服务的机构之一。由于交易处理和用户认证的方式可以创造新的机会并增加效率,银行需要一个安全的环境来进行交易,因此他们决定采用公共密钥体系结构(PKI)技术。SafeNet能够确保加拿大银行CA认证中心的可信性。
除了要考虑选择合适的PKI厂商,加拿大银行还要考虑如何确保PKI根密钥的安全性并设立切实可行的安全级别。单独的PKI软件不能满足要求。为遵守加拿大银行和加拿大政府对PKI安全证书的要求,他们需要使用联邦信息处理标准(FIPS)140-1第三级验证的硬件安全模块(HSM)保护根密钥。
使用硬件安全产品必须要满足一些特殊的要求,例如:密钥必须始终在硬件中生成、签名、存储和备份,要和Entrust PKI相兼容,可以运行在Solaris平台上等。
加拿大银行PKI实施小组充分认识到了根密钥的脆弱性,其安全服务经理认为,对CA的信任依赖于只有本人才能应用自己的签名,其他任何人都不能模仿。如果CA的签名密钥变得不安全,所有由CA颁发的证书将不再得到信任,这会导致CA在一个新的CA签名下颁发新的证书。
Luna SA根密钥保护产品是SafeNet的Ultimate Trust 解决方案之一,作为标志性根密钥保护产品,其市场地位和可靠性让其成为加拿大银行应对根密钥脆弱的首选方案。由于不在硬盘驱动器和磁带备份介质上泄漏CA签名密钥对,Luna SA根密钥保护产品被认为不存在任何安全隐患。
SafeNet Luna SA必须在部署PKI体系前设置完成,以保证CA签名密钥对不会泄漏到CA服务器的硬盘上。在部署之初就实施硬件根密钥保护,符合FIPS 140-1第三级安全标准。由于根密钥始终被存储在受保护的、可信的并且符合FIPS 140-1第三级标准验证的硬件上,加拿大银行实现了与客户之间的安全网银交易。