前言:本文为USB Key的厂商SafeNet公司提供的宣传稿件,并不代表本博客作者的观点和看法。

  本文的技术解决方案使用的是SafeNet自身的产品,虽然这个产品支持数字签名和PKI体系,可生成并储存私钥和数字证书,是满足个人身份认证安全级别和存储数字证书的一种选择,不过国内也有相当多的其他品牌型号的USB Key产品可供使用,因此如果大家选择USB Key产品应用的话,应仔细对比各方不同的USB Key产品,方能找到物美价廉的身份认证产品。以下是稿件全文:

银行应用USB Key身份认证方案

  企业概况

  某大国有银行始建于1908年,是中国早期四大银行之一,,总行设在上海。目前,该银行拥有辐射全国、面向海外的机构体系和业务网络。在境内的分支机构有:27家省分行、7家直属分行、营业机构近3000个左右。在纽约、东京、香港、新加坡、汉城设有分行,在伦敦、法兰克福设有代表处。他们与全球100多个国家和地区的800家银行的总分支机构建立了代理行关系。现在,全行员工5.5万人。按总资产排名,该银行位列世界1000家大银行的前100位,已跻身全球银行百强行列。

  为了适应激烈的市场竞争,近年来该银行大力开展网上银行业务。在短短的三年中,该银行完成了网上银行的整体框架构建,形成了以特色信用卡、全国通、外汇宝、基金买卖等功能为支撑的网上银行服务体系和以普通版、大众版、专业版为特征的对公网上银行服务体系,并实现了网上银行的功能完善和业务量的快速增长。然而,随着钓鱼网站、专业偷盗银行账号和密码的木马程序“网银大盗”的泛滥,人们对网上银行的安全性越来越表示质疑。怎样才能加强系统应用的安全性,提升人们对网上银行的信任度,成为各家银行网上银行业务中最为亟待解决的问题。当然,该银行也面临同样的问题。

  挑战

  通常国内网上银行都会分为大众版和企业版两个版本,它们的本质区别在于安全级别不同。用户只要凭借身份证号码、账号和密码就可以在网上自助开通大众版网上银行,操作简便,手续极为简单,但运行后安全保密性较差,唯一的防护措施就是客户在开通时自行设置的登录密码和付款密码。

  而申请专业版网上银行就要复杂得多,首先需要用户本人到银行网点进行业务申请,通过安装应用数字证书和PKI体系实现网上账户资金的交易和转移。

  数字证书是网上银行业务中确认用户身份的唯一标志,具有不可复制性和不可替代性,所有网上交易必须要事先通过数字证书进行安全认证,它可以看作是用户的网上身份证。既然是网上身份认证的唯一标志,确保其安全性就至关重要。普通个人用户常把数字证书存储在电脑硬盘中,这种做法的危险性不言而喻。对于资金交易量较大的企业用户,为了确保其资金安全,该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制。经过充分的测试和详细的比较后,他们选择SafeNet iKey2032作为其网上银行企业客户的身份验证工具。

  USB Key解决方案

  SafeNet iKey2032之所以在这样一家大型国有银行竞标中胜出的原因主要源于其突出的产品特性。iKey2032是一款基于USB接口的可移动身份认证设备, 专门针对银行业或其它数字证书用户。它支持数字签名和PKI体系,可生成并储存私钥和数字证书,是满足个人身份认证安全级别和存储数字证书的理想选择。

  ■ 用双因素认证方式替代不可靠的口令

  iKey2032系列采用双因素认证机制,用户需要通过iKey硬件和相对应的PIN码两方面共同确认身份,其安全性、可靠性远远高于仅靠密码保护的传统口令认证方式。作为一种智能卡技术的延伸,用户在使用iKey2032产品时,无需购置昂贵的读卡器设备,只需要将它插入电脑USB口即可进行用户身份确认。

  ■ 硬件实现加密算法确保系统安全性

  iKey2032系列支持公钥体系,可在iKey内部生成密钥对,存储密钥对和X.509数字证书,以及在iKey内部执行签名操作。iKey硬件内部生成密钥对,私钥从生成、管理到销毁始终在Key硬件内部完成,消除了密钥外流的危险性。目前,iKey2032系列通过了 FIPS 140-1, Level 2级认证,该认证为美国最权威的安全产品认证。

  ■ 支持多个CA和PKI应用

  通过与众多软硬件供应商建立战略合作关系,SafeNet iKey2032具备了广泛的安全解决方案支持能力。ikey2032支持多种CA和Microsoft, Entrust, Computer Associates, VeriSign等公司提供的众多PKI应用。另外,由于iKey2032系列支持PKCS#11和Microsoft CryptoAPI,可以方便地与其他多种客户端应用相互集成。

  ■ 应用简单,携带方便

  iKey2032外形小巧、携带方便,用户可以把iKey2032挂在钥匙串上随身携带,因而极大提高了使用的方便性和灵活性。另外,iKey2032支持热插拔,当拔出iKey2032后,系统对话自动关闭。

  应用成效

  为了更好地满足该银行对网上银行认证的需求,SafeNet专门定制设计了用户登陆界面和产品外观。从2004年1月正式启用,到目前为止,该银行总部及各分行已经共计采购iKey2032已超过2万只,各分行反映应用效果良好。现在,该银行正计划将iKey2032 USB Key从企业客户向个人客户推广。其银行电子银行部经理表示:2年来,使用USB Key的数亿笔往上支付交易没有发生过一笔盗窃事件。我们很欣慰地看到,SafeNet身份认证方案很好的提升了我们银行网上银行系统的认证安全性和竞争优势。对使用者而言,他们需要更加方便、快捷的应用,这一点SafeNet iKey2032也表现出色。

银行应用USB Key身份认证方案的更多相关文章

  1. ASP.NET Web API 2系列(四):基于JWT的token身份认证方案

    1.引言 通过前边的系列教程,我们可以掌握WebAPI的初步运用,但是此时的API接口任何人都可以访问,这显然不是我们想要的,这时就需要控制对它的访问,也就是WebAPI的权限验证.验证方式非常多,本 ...

  2. webapp用户身份认证方案 JSON WEB TOKEN 实现

    webapp用户身份认证方案 JSON WEB TOKEN 实现Deme示例,Java版 本项目依赖于下面jar包: nimbus-jose-jwt-4.13.1.jar (一款开源的成熟的JSON ...

  3. 基于session和token的身份认证方案

    一.基于session的身份认证方案 1.方案图示 2.比较通用的鉴权流程实现如下: 在整个流程中有两个拦截器. 第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中 ...

  4. 基于JWT的token身份认证方案

    一.使用JSON Web Token的好处? 1.性能问题. JWT方式将用户状态分散到了客户端中,相比于session,可以明显减轻服务端的内存压力. Session方式存储用户id的最大弊病在于S ...

  5. 简单说基于JWT和appkey、sercurtyKey的SSO、身份认证方案

    环境介绍, 一个大的系统由多个子系统组成.典型地,假设有一个平台,其上接入了多个应用.则有几个常见的问题需要处理, 1.SSO(包括单个应用退出时,需要处理为整个系统退出): 2.平台跳转到应用.及应 ...

  6. 基于JWT的token身份认证方案(转)

    https://www.cnblogs.com/xiangkejin/archive/2018/05/08/9011119.html 一.使用JSON Web Token的好处? 1.性能问题. JW ...

  7. API网关设计(一)之Token多平台身份认证方案(转载)

    原文:https://segmentfault.com/a/1190000018535570?utm_source=tag-newest 概述 今天咱们面对移动互联网的发展,系统一般是多个客户端对应一 ...

  8. 一种基于主板BIOS的身份认证方案及实现

    .分析AwardBIOSDOS工具cbrom cbrom的功能就是在BIOS文件中添加.删除与提取模块,以便满足用户自己的需求,用法如下: cbromBIOS文件名/参数模块名|RELEASE|EXT ...

  9. asp.net core 3.1多种身份验证方案,cookie和jwt混合认证授权

    开发了一个公司内部系统,使用asp.net core 3.1.在开发用户认证授权使用的是简单的cookie认证方式,然后开发好了要写几个接口给其它系统调用数据.并且只是几个简单的接口不准备再重新部署一 ...

随机推荐

  1. 32-关键字:abstract

    abstract: 抽象的 1.可以用来修饰:类.方法 2.具体的:abstract修饰类:抽象类 * > 此类不能实例化 * > 抽象类中一定有构造器,便于子类实例化时调用(涉及:子类对 ...

  2. 你不是说你会Aop吗?

    一大早,小王就急匆匆的跑过来找我,说:周哥,那个记录日志的功能我想请教一下. 因为公司某个项目要跟别的平台做对接,我们这边需要给他们提供一套接口.昨天,我就将记录接口日志的工作安排给了小王. 下面是我 ...

  3. Python 爬虫工程师必看,深入解读字体反爬虫

    字体反爬虫开篇概述 很多人学习python,不知道从何学起.很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手.很多已经做案例的人,却不知道如何去学习更加高深的知识.那么针对这三类人 ...

  4. Python selenium爬虫实现定时任务过程解析

    现在需要启动一个selenium的爬虫,使用火狐驱动+多线程,大家都明白的,现在电脑管家显示CPU占用率20%,启动selenium后不停的开启浏览器+多线程, 好,没过5分钟,CPU占用率直接拉到9 ...

  5. Django中间件之实现Admin后台IP白名单

    Django自带的Admin管理后台很方便,但是实际生产环境真的会有挺多安全问题的,在admin的安全防护这方面,我之前就研究实现了给admin加上登录验证码和限流功能,可以参考这篇文章: 不过就在内 ...

  6. Spring IOC 启动过程

    1. 引言 本篇博文主要介绍 IOC 容器的启动过程,启动过程分为两个步骤,第一个阶段是容器的启动阶段,第二个阶段是 Bean 实例化阶段,这两个阶段各自需要执行的步骤如下图,接下来会一一介绍. 需要 ...

  7. 我能想到的最浪漫的Java网络教程之Socket,三步到位!!!

    简说 如果要使用Java中的TCP/IP通过网络连接到服务器,则需要创建一个java.net.Socket对象以连接到服务器.如果使用JavaNIO,则还可以在JavaNIO中创建SocketChan ...

  8. 高级搜索树-AVL树

    目录 平衡因子 AVL树节点和AVL树的定义 失衡调整 插入和删除操作 完整源码 AVL树是平衡二叉搜索树中的一种,在渐进意义下,AVL树可以将高度始终控制在O(log n) 以内,以保证每次查找.插 ...

  9. 基于注解的DI

    目录 一.使用注解的步骤 二.@Component 三.@Value 四.@Autowired 五.@Qualifier 六.@Resource 七.XML和注解对比 通过spring的注解完成对ja ...

  10. C#LeetCode刷题之#496-下一个更大元素 I(Next Greater Element I)

    问题 该文章的最新版本已迁移至个人博客[比特飞],单击链接 https://www.byteflying.com/archives/4026 访问. 给定两个没有重复元素的数组 nums1 和 num ...