银行应用USB Key身份认证方案

前言：本文为USB Key的厂商SafeNet公司提供的宣传稿件，并不代表本博客作者的观点和看法。

　　本文的技术解决方案使用的是SafeNet自身的产品，虽然这个产品支持数字签名和PKI体系，可生成并储存私钥和数字证书，是满足个人身份认证安全级别和存储数字证书的一种选择，不过国内也有相当多的其他品牌型号的USB Key产品可供使用，因此如果大家选择USB Key产品应用的话，应仔细对比各方不同的USB Key产品，方能找到物美价廉的身份认证产品。以下是稿件全文：

银行应用USB Key身份认证方案

　　企业概况

　　某大国有银行始建于1908年，是中国早期四大银行之一，，总行设在上海。目前，该银行拥有辐射全国、面向海外的机构体系和业务网络。在境内的分支机构有:27家省分行、7家直属分行、营业机构近3000个左右。在纽约、东京、香港、新加坡、汉城设有分行，在伦敦、法兰克福设有代表处。他们与全球100多个国家和地区的800家银行的总分支机构建立了代理行关系。现在，全行员工5.5万人。按总资产排名，该银行位列世界1000家大银行的前100位，已跻身全球银行百强行列。

　　为了适应激烈的市场竞争，近年来该银行大力开展网上银行业务。在短短的三年中，该银行完成了网上银行的整体框架构建，形成了以特色信用卡、全国通、外汇宝、基金买卖等功能为支撑的网上银行服务体系和以普通版、大众版、专业版为特征的对公网上银行服务体系，并实现了网上银行的功能完善和业务量的快速增长。然而，随着钓鱼网站、专业偷盗银行账号和密码的木马程序“网银大盗”的泛滥，人们对网上银行的安全性越来越表示质疑。怎样才能加强系统应用的安全性，提升人们对网上银行的信任度，成为各家银行网上银行业务中最为亟待解决的问题。当然，该银行也面临同样的问题。

　　挑战

　　通常国内网上银行都会分为大众版和企业版两个版本，它们的本质区别在于安全级别不同。用户只要凭借身份证号码、账号和密码就可以在网上自助开通大众版网上银行，操作简便，手续极为简单，但运行后安全保密性较差，唯一的防护措施就是客户在开通时自行设置的登录密码和付款密码。

　　而申请专业版网上银行就要复杂得多，首先需要用户本人到银行网点进行业务申请，通过安装应用数字证书和PKI体系实现网上账户资金的交易和转移。

　　数字证书是网上银行业务中确认用户身份的唯一标志，具有不可复制性和不可替代性，所有网上交易必须要事先通过数字证书进行安全认证，它可以看作是用户的网上身份证。既然是网上身份认证的唯一标志，确保其安全性就至关重要。普通个人用户常把数字证书存储在电脑硬盘中，这种做法的危险性不言而喻。对于资金交易量较大的企业用户，为了确保其资金安全，该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制。经过充分的测试和详细的比较后，他们选择SafeNet iKey2032作为其网上银行企业客户的身份验证工具。

　　USB Key解决方案

　　SafeNet iKey2032之所以在这样一家大型国有银行竞标中胜出的原因主要源于其突出的产品特性。iKey2032是一款基于USB接口的可移动身份认证设备, 专门针对银行业或其它数字证书用户。它支持数字签名和PKI体系，可生成并储存私钥和数字证书，是满足个人身份认证安全级别和存储数字证书的理想选择。

　　■ 用双因素认证方式替代不可靠的口令

　　iKey2032系列采用双因素认证机制，用户需要通过iKey硬件和相对应的PIN码两方面共同确认身份，其安全性、可靠性远远高于仅靠密码保护的传统口令认证方式。作为一种智能卡技术的延伸，用户在使用iKey2032产品时，无需购置昂贵的读卡器设备，只需要将它插入电脑USB口即可进行用户身份确认。

　　■ 硬件实现加密算法确保系统安全性

　　iKey2032系列支持公钥体系，可在iKey内部生成密钥对，存储密钥对和X.509数字证书，以及在iKey内部执行签名操作。iKey硬件内部生成密钥对，私钥从生成、管理到销毁始终在Key硬件内部完成，消除了密钥外流的危险性。目前，iKey2032系列通过了 FIPS 140-1, Level 2级认证，该认证为美国最权威的安全产品认证。

　　■ 支持多个CA和PKI应用

　　通过与众多软硬件供应商建立战略合作关系，SafeNet iKey2032具备了广泛的安全解决方案支持能力。ikey2032支持多种CA和Microsoft, Entrust, Computer Associates, VeriSign等公司提供的众多PKI应用。另外，由于iKey2032系列支持PKCS#11和Microsoft CryptoAPI，可以方便地与其他多种客户端应用相互集成。

　　■ 应用简单，携带方便

　　iKey2032外形小巧、携带方便，用户可以把iKey2032挂在钥匙串上随身携带，因而极大提高了使用的方便性和灵活性。另外，iKey2032支持热插拔，当拔出iKey2032后，系统对话自动关闭。

　　应用成效

　　为了更好地满足该银行对网上银行认证的需求，SafeNet专门定制设计了用户登陆界面和产品外观。从2004年1月正式启用，到目前为止，该银行总部及各分行已经共计采购iKey2032已超过2万只，各分行反映应用效果良好。现在，该银行正计划将iKey2032 USB Key从企业客户向个人客户推广。其银行电子银行部经理表示：2年来，使用USB Key的数亿笔往上支付交易没有发生过一笔盗窃事件。我们很欣慰地看到，SafeNet身份认证方案很好的提升了我们银行网上银行系统的认证安全性和竞争优势。对使用者而言，他们需要更加方便、快捷的应用，这一点SafeNet iKey2032也表现出色。