国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

移動數(shù)字證書在銀行的應(yīng)用研究

2022-03-31 06:29:32張芬
電子技術(shù)與軟件工程 2022年24期
關(guān)鍵詞:數(shù)字證書數(shù)字簽名私鑰

張芬

(上海市數(shù)字證書認證中心有限公司 上海市 200080)

網(wǎng)上銀行系統(tǒng)的核心是通過融合互聯(lián)網(wǎng)系統(tǒng),讓客戶可以通過互聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)或其它開放性公眾網(wǎng)絡(luò)或?qū)S镁W(wǎng)絡(luò)訪問傳統(tǒng)的柜臺服務(wù),是商業(yè)銀行等銀行業(yè)金融機構(gòu)在網(wǎng)絡(luò)經(jīng)濟時代緊跟時代潮流,開拓新業(yè)務(wù)、推進人性化操作設(shè)計、推動生產(chǎn)關(guān)系等變革的核心技術(shù),可以大幅提高銀行業(yè)金融機構(gòu)的社會效益和經(jīng)濟效益。網(wǎng)上銀行系統(tǒng)主要包括通過PC、手機、平板電腦、智能 電視、可穿戴設(shè)備等終端訪問的網(wǎng)上銀行系統(tǒng),例如,手機銀行、微信銀行、直銷銀行、銀企直聯(lián)、小微企業(yè)銀行等系統(tǒng)。網(wǎng)上銀行系統(tǒng)涵蓋個人網(wǎng)銀系統(tǒng)和企業(yè)網(wǎng)銀系統(tǒng)。

中共中央辦公廳、國務(wù)院辦公廳關(guān)于印發(fā)《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃(2018-2022年)》的通知中指出:“加強電子交易、電子票據(jù)的密碼應(yīng)用,推進網(wǎng)上銀行、移動支付、條碼支付及非銀行支付等各類電子支付中的密碼應(yīng)用”

以PKI/CA 密碼技術(shù)為核心構(gòu)建應(yīng)用安全保障體系和網(wǎng)絡(luò)信任體系,是目前國際國內(nèi)公認成熟適用的技術(shù)機制,已經(jīng)在政府、金融、電信、企業(yè)等領(lǐng)域大面積應(yīng)用,同時PKI/CA 也是《信息安全等級保護制度》以及國家信息和網(wǎng)站運營主管部門、安全主管部門、保密部門、密碼管理部門等多部門齊抓共管的信息安全體系建設(shè)要求。

目前銀行銀企直連是PC 端采用C/S 架構(gòu),銀企直連前置軟件提供簽名服務(wù)以及SSL 請求轉(zhuǎn)發(fā)服務(wù)。每個登錄賬戶發(fā)放一張經(jīng)過第三方認證的usbkey 數(shù)字證書。用戶采用數(shù)字證書從PC 端進行安全認證登錄。登錄過程中采用數(shù)字簽名技術(shù),很好的解決了用戶密碼無需在網(wǎng)絡(luò)上傳遞,且數(shù)字證書的用戶身份由第三方認證機構(gòu)認證,從而實現(xiàn)了保障了身份真實性,傳遞安全性的要求。但是usbkey 數(shù)字證書也有攜帶不便,容易丟失,并且大量的用戶將公司的應(yīng)用系統(tǒng)安裝在云上部署,這樣沒有辦法使用硬件的介質(zhì)。如何解決密鑰存儲的安全,基于密鑰分散技術(shù)的數(shù)字證書認證技術(shù)不僅可以有效地解決銀企直連系統(tǒng)中面臨的各種安全問題,并且脫離了硬件介質(zhì),安全性好,可以滿足銀企直連的應(yīng)用安全需求。

1 建設(shè)需求及背景

網(wǎng)上銀行系統(tǒng)主要由客戶端、通信網(wǎng)絡(luò)和服務(wù)器端組成,并可通過不同類型的通信網(wǎng)絡(luò)連接到外部系統(tǒng),開展各類合作業(yè)務(wù)。

客戶端運行環(huán)境往往缺少甚至完全缺失專用金融交易設(shè)備所具備的可信驗證能力,無論是可信輸入、可信輸出,還是可信通訊、可信存儲和可信計算能力均補具備。因此,需要使用基于USBkey 和數(shù)字證書的密碼技術(shù)手段,實現(xiàn)訪問用戶的身份真實性認證、數(shù)據(jù)完整性保護、業(yè)務(wù)抗抵賴保護、數(shù)據(jù)傳輸安全保護等綜合安全防護能力,確保網(wǎng)上交易的安全性。

隨著金融科技的發(fā)展,電子銀行應(yīng)用場景日趨豐富,交互設(shè)計日趨復(fù)雜。為滿足移動端應(yīng)用場景擴展,提升電子銀行系統(tǒng)安全性能,銀行紛紛啟用手機電子銀行項目,優(yōu)化客戶體驗,電子銀行需要從手機銀行安全認證體系升級入手,通過引入手機銀行證書認證機制,升級移動端交易安全保障,適應(yīng)大額動賬等業(yè)務(wù)場景的客戶體驗。

商用密碼行業(yè)的技術(shù)發(fā)展,輔以移動互聯(lián)網(wǎng)突飛猛進的擴張,令基于手機等移動互聯(lián)網(wǎng)的智能終端滿足了數(shù)字證書私鑰介質(zhì)存儲所需要的諸多的條件,而數(shù)字證書的便捷性和易用性也隨著移動互聯(lián)網(wǎng)的發(fā)展獲得長足提升,極大降低了應(yīng)用集成的復(fù)雜性,解決了多終端證書應(yīng)用瓶頸等行業(yè)痛點,將成為新的發(fā)展趨勢。

移動數(shù)字證書應(yīng)用的核心安全是要保護證書持有者私鑰的信息安全,通過特定的私鑰分割算法,可以通過運算參數(shù)和分量將涉及私鑰的運算安全分割,保存在手機端、平臺服務(wù)端,在運算過程中各參方只通過特定算法得出私鑰運算結(jié)果,保障整個過程中不出現(xiàn)私鑰信息,防止私鑰偽造、竊取,能有效的保護用戶在移動終端上的證書安全應(yīng)用。

2 技術(shù)架構(gòu)及功能

2.1 移動數(shù)字證書的安全訪問控制設(shè)計

在手機軟件環(huán)境下,實現(xiàn)用戶證書私鑰分量的安全保護和用戶私鑰的訪問控制是安全訪問控制的重點,主要通過用戶注冊、私鑰生成、安全存儲和簽名運算過程中的各個環(huán)節(jié)進行訪問控制的設(shè)計。

當用戶在進行公私鑰生成時,即需要對用戶的身份進行鑒別,通過后臺白名單預(yù)制手機號方式,身份鑒別通過后方可允許用戶進行私鑰的產(chǎn)生和證書的申請,申請過程中會進行用戶身份和終端設(shè)備用戶注冊。

在密鑰生成時,通過終端硬件特征值的方式和私鑰保護口令雙重因素來對私鑰進行安全訪問控制設(shè)置,同時私鑰分量保存在手機端的安全存儲區(qū),在計算私鑰分量時采取硬件特征值作為一部分,同時會在后臺進行終端的注冊,運算過程中,組件會進行設(shè)備特征值校驗,確保分量在其他設(shè)備上無法有效運行。

在每次簽名運算過程中首先在客戶端對用戶的私鑰保護口令進行校驗,同時可以采用手勢密碼、指紋認證等手段確保本機的使用訪問控制和校驗,通過后提交到服務(wù)器端,服務(wù)器端根據(jù)注冊時的硬件特征值來判斷是否合法,同時通過用戶預(yù)留手機號進行私鑰分量使用的用戶權(quán)限鑒別,通過后方可進行運算操作,最終的簽名結(jié)果在客戶端進行組裝。

移動數(shù)字證書的技術(shù)架構(gòu)如圖1所示,技術(shù)架構(gòu)包括手機證書、移動安全認證服務(wù)和CA 數(shù)字證書平臺。

圖1:移動數(shù)字證書技術(shù)架構(gòu)

2.2 手機證書

手機證書是面向用戶服務(wù)并提供安全功能的安全業(yè)務(wù)客戶端,手機證書可以選擇手機號短信認證、手勢密碼、口令密碼、指紋認證、微信賬號聯(lián)合認證等多種手段對數(shù)字證書和密鑰運算因子進行安全保護。

2.3 移動安全認證服務(wù)

移動安全認證服務(wù)主要包括終端設(shè)備注冊和認證、密鑰協(xié)同簽名、數(shù)字證書簽發(fā)管理、數(shù)字認證簽名、數(shù)字簽名驗證、數(shù)字信封和通用密碼服務(wù)等功能。與移動終端協(xié)作產(chǎn)生簽名密鑰對、執(zhí)行簽名等任務(wù),為應(yīng)用系統(tǒng)提供數(shù)字簽名、簽名驗證、證書驗證、證書解析、隨機數(shù)、數(shù)據(jù)加解密等功能服務(wù)接口,同時采用密鑰分割算法保障私鑰的安全存儲和調(diào)用,并能夠針對終端獲取對應(yīng)的特征值與證書進行綁定。

2.4 CA數(shù)字證書平臺

數(shù)字證書平臺為銀行數(shù)字證書服務(wù)提供長效證書、托管證書、事件證書等軟件頒發(fā)服務(wù),提供數(shù)字證書發(fā)放、更新等功能。主要包括:證書申請、發(fā)放、更新、吊銷、丟失補辦、損壞重辦、印章制作等服務(wù)內(nèi)容。

2.5 手機證書下載

在實際應(yīng)用過程中,被授權(quán)人登錄手機銀行APP,進入證書下載界面。完成個人三要素實名認證,輸入姓名、身份證號及手機號,填寫驗證碼,驗證通過后即可下載證書。如圖2 和圖3所示。

圖2:手機證書下載流程

圖3:手機證書

2.6 手機證書數(shù)字簽名

個人手機證書應(yīng)用APP 或小程序為用戶提供數(shù)字證書申請、管理和電子簽名功能,作為個人的通用數(shù)字簽名系統(tǒng),為用戶和應(yīng)用系統(tǒng)提供通用的統(tǒng)一的數(shù)字簽名系統(tǒng),當用戶在各類應(yīng)用系統(tǒng)中進行數(shù)字簽名和用戶認證時,通過移動服務(wù)平臺推送認證和簽名信息到手機證書應(yīng)用APP 中實現(xiàn)證書簽名。如圖4所示。

圖4:手機證書掃描登錄

通過后臺電子簽章服務(wù),面向應(yīng)用服務(wù)端提供電子簽章接口服務(wù),獲取待簽章審批數(shù)據(jù)后調(diào)用移動安全認證服務(wù)器和用戶手機證書進行電子簽章,簽章圖像可為用戶手寫筆跡和模式印章方式。如圖5所示。

圖5:手機掃描簽章

3 應(yīng)用效果及創(chuàng)新點

3.1 突破傳統(tǒng)數(shù)字證書的終端應(yīng)用限制

傳統(tǒng)的數(shù)字證書往往是基于USBKey 的解決方案,只支持在電腦端的場景下使用用戶認證和數(shù)字簽名等服務(wù),而銀行終端應(yīng)用環(huán)境的不同,導(dǎo)致用戶使用和穩(wěn)定性存在較多問題,從而導(dǎo)致維護的工作量較大?;谑謾C證書的方案將突破終端平臺的限制,支持各終端的數(shù)字簽名和用戶認證,極大的方便銀行用戶使用。

3.2 突破硬件介質(zhì)分發(fā)和管理限制

傳統(tǒng)的USBkey 是專用的硬件介質(zhì),其分發(fā)、管理、攜帶均不方便,其硬件成本和硬件的發(fā)放管理成為純互聯(lián)網(wǎng)證書應(yīng)用的一大障礙。手機本身可作為證書的介質(zhì),有效解決了原有的USBkey 等硬件介質(zhì)不方便隨時隨地使用的問題,

3.3 突破傳統(tǒng)應(yīng)用場景的限制,帶來應(yīng)用變革

傳統(tǒng)的USBkey 是專用的硬件介質(zhì),其認證和簽名需要依賴于該介質(zhì)和連接介質(zhì)的PC 電腦應(yīng)用,很多銀行常見場景無法支持。利用手機可實現(xiàn)多個終端綁定,并將多個終端信息發(fā)送到一臺手機上,進行隨時隨地的數(shù)字簽名。

3.4 降低應(yīng)用集成門檻,突破行業(yè)應(yīng)用瓶頸

基于PKI/CA 的應(yīng)用安全防護和網(wǎng)絡(luò)可信認證方案可以綜合解決信息系統(tǒng)可信身份認證、可靠電子簽名、可信時間戳、隱私數(shù)據(jù)保護等安全需求和銀行機構(gòu)無紙化的需求。

手機證書應(yīng)用突破傳統(tǒng)的應(yīng)用調(diào)用方式,通過后臺輕量級的通用接口即可實現(xiàn)安全、可靠、完整的數(shù)字證書應(yīng)用,可預(yù)見將成為行業(yè)新的發(fā)展方向和風口。

3.5 核心的安全算法和技術(shù)

數(shù)字證書應(yīng)用的核心安全是要保護證書持有者私鑰的信息安全,我們采用特定的私鑰分割算法,可以通過運算參數(shù)和分量將涉及私鑰的運算安全分割,保存在手機端、平臺服務(wù)端,在運算過程中各參與運算方只通過特定算法得出私鑰運算結(jié)果,保障整個過程中不出現(xiàn)私鑰信息,防止私鑰偽造、竊取。

4 總結(jié)

隨著網(wǎng)上銀行的應(yīng)用場景的不斷擴展,通過手機銀行集成證書,實現(xiàn)與U 盾相似功能,解決客戶攜帶U 盾的繁瑣和不便性問題,打造移動端無附加硬件的安全統(tǒng)一認證機制。應(yīng)用秘鑰分割、分散儲存和數(shù)字簽名技術(shù)對交易要素簽名,快速認證客戶身份,防止抵賴,保障手機銀行交易安全,滿足銀行系統(tǒng)對于強安全身份認證、授權(quán)管理、用戶保護等各層面的安全需求。

用手機取代USBkey 介質(zhì),同時兼容多家CA 公司證書,避免了不同介質(zhì)的驅(qū)動之間可能存在沖突導(dǎo)致登錄、簽章、加密解密時出現(xiàn)問題影響銀行業(yè)務(wù)正常進行的情況,實現(xiàn)隨時隨地的數(shù)字簽名,為銀行開拓新業(yè)務(wù)、方便客戶操作、改善服務(wù)質(zhì)量提供了有效工具,提高了銀行業(yè)金融機構(gòu)的社會效益和經(jīng)濟效益。

猜你喜歡
數(shù)字證書數(shù)字簽名私鑰
比特幣的安全性到底有多高
基于改進ECC 算法的網(wǎng)絡(luò)信息私鑰變換優(yōu)化方法
淺析計算機安全防護中數(shù)字簽名技術(shù)的應(yīng)用
一種基于虛擬私鑰的OpenSSL與CSP交互方案
基于數(shù)字簽名的QR碼水印認證系統(tǒng)
當心黑客利用數(shù)字證書的漏洞
基于數(shù)字證書的軍事信息系統(tǒng)安全防護方案
管理好系統(tǒng)中的數(shù)字證書
電腦迷(2015年7期)2015-05-30 04:50:35
吉林省支付清算系統(tǒng)參與者數(shù)字證書使用現(xiàn)狀調(diào)查與現(xiàn)存問題分析及建議
基于數(shù)字簽名和HSM的數(shù)據(jù)庫篡改檢測機制
柘城县| 鱼台县| 麻阳| 焦作市| 丽水市| 五峰| 砀山县| 阿克陶县| 罗山县| 山东| 封丘县| 蓝田县| 三都| 景泰县| 义乌市| 莱芜市| 利川市| 晴隆县| 贵州省| 广河县| 航空| 沾益县| 利川市| 灌南县| 吴桥县| 和田市| 江油市| 新丰县| 闸北区| 沧州市| 武山县| 绥滨县| 来宾市| 乃东县| 长岭县| 江安县| 山西省| 通榆县| 广德县| 盐边县| 桂东县|