某銀行應用USB Key身份認證解決方案

企業概況 某大國有銀行始建於1908年，是中國早期四大銀行之一，為了適應激烈的市場競爭，近年來該銀行大力開展網上銀行業務。在短短的三年中，該銀行完成了網上銀行的整體框架構建，形成了以特色信用卡、全國通、外匯寶、基金買賣等功能為支撐的網上銀行服務體系和以普通版、大眾版、專業版為特征的對公網上銀行服務體系，並實現了網上銀行的功能完善和業務量的快速增長。然而，隨著釣魚網站、專業偷盜銀行賬號和密碼的木馬程序“網銀大盜”的泛濫，人們對網上銀行的安全性越來越表示質疑。怎樣才能加強系統應用的安全性，提升人們對網上銀行的信任度，成為各家銀行網上銀行業務中最為亟待解決的問題。當然，該銀行也面臨同樣的問題。 挑戰 通常國內網上銀行都會分為大眾版和企業版兩個版本，它們的本質區別在於安全級別不同。用戶只要憑借身份證號碼、賬號和密碼就可以在網上自助開通大眾版網上銀行，操作簡便，手續極為簡單，但運行後安全保密性較差，唯一的防護措施就是客戶在開通時自行設置的登錄密碼和付款密碼。 而申請專業版網上銀行就要復雜得多，首先需要用戶本人到銀行網點進行業務申請，通過安裝應用數字證書和PKI體系實現網上賬戶資金的交易和轉移。 數字證書是網上銀行業務中確認用戶身份的唯一標志，具有不可復制性和不可替代性，所有網上交易必須要事先通過數字證書進行安全認證，它可以看作是用戶的網上身份證。既然是網上身份認證的唯一標志，確保其安全性就至關重要。普通個人用戶常把數字證書存儲在電腦硬盤中，這種做法的危險性不言而喻。對於資金交易量較大的企業用戶，為了確保其資金安全，該銀行強制要求使用更加安全的存儲介質以達到更加有效的資源訪問控制。經過充分的測試和詳細的比較後，他們選擇SafeNet iKey2032作為其網上銀行企業客戶的身份驗證工具。 SafeNet iKey2032解決方案 SafeNet iKey2032之所以在這樣一家大型國有銀行競標中勝出的原因主要源於其突出的產品特性。iKey2032是一款基於USB接口的可移動身份認證設備, 專門針對銀行業或其它數字證書用戶。它支持數字簽名和PKI體系，可生成並儲存私鑰和數字證書，是滿足個人身份認證安全級別和存儲數字證書的理想選擇。 用雙因素認證方式替代不可靠的口令 iKey2032系列采用雙因素認證機制，用戶需要通過iKey硬件和相對應的PIN碼兩方面共同確認身份，其安全性、可靠性遠遠高於僅靠密碼保護的傳統口令認證方式。作為一種智能卡技術的延伸，用戶在使用iKey2032產品時，無需購置昂貴的讀卡器設備，只需要將它插入電腦USB口即可進行用戶身份確認。

硬件實現加密算法確保系統安全性 iKey2032系列支持公鑰體系，可在iKey內部生成密鑰對，存儲密鑰對和X.509數字證書，以及在iKey內部執行簽名操作。iKey硬件內部生成密鑰對，私鑰從生成、管理到銷毀始終在Key硬件內部完成，消除了密鑰外流的危險性。目前，iKey2032系列通過了 FIPS 140-1, Level 2級認證，該認證為美國最權威的安全產品認證。 支持多個CA和PKI應用 通過與眾多軟硬件供應商建立戰略合作關系，SafeNet iKey2032具備了廣泛的安全解決方案支持能力。ikey2032支持多種CA和Microsoft, Entrust, Computer Associates, VeriSign等公司提供的眾多PKI應用。另外，由於iKey2032系列支持PKCS#11和Microsoft CryptoAPI，可以方便地與其他多種客戶端應用相互集成。 應用簡單，攜帶方便 iKey2032外形小巧、攜帶方便，用戶可以把iKey2032掛在鑰匙串上隨身攜帶，因而極大提高了使用的方便性和靈活性。另外，，iKey2032支持熱插拔，當拔出iKey2032後，系統對話自動關閉。 應用成效 為了更好地滿足該銀行對網上銀行認證的需求，SafeNet專門定制設計了用戶登陸界面和產品外觀。從2004年1月正式啟用，到目前為止，該銀行總部及各分行已經共計采購iKey2032已超過2萬只，各分行反映應用效果良好。現在，該銀行正計劃將 iKey2032 USB Key從企業客戶向個人客戶推廣。其銀行電子銀行部經理表示：[2年來，使用USB Key的數億筆往上支付交易沒有發生過一筆盜竊事件。我們很欣慰地看到，SafeNet身份認證方案很好的提升了我們銀行網上銀行系統的認證安全性和競爭優勢。對使用者而言，他們需要更加方便、快捷的應用，這一點SafeNet iKey2032也表現出色。

（責任編輯：城塵）