加密是确保网上银行安全性的关键。身份认证、数据传输安全、后台系统安全性,这些都与加密息息相关。目前,加强网上银行用户的身份管理,防止用户身份的泄露,是公认的预防网上银行安全隐患的最有效措施。对于身份认证,这里包括两方面的认证,一方面是对网银使用用户的认证,即使用网上银行服务的这个人是不是银行认定的这个人?另一方面是网上银行用户对银行的认证,即他所登陆的网上银行系统是不是真正的银行系统。比如前一段时间不断有假冒的中国银行、工商银行网站出现,如果没有完善的双向认证机制,后果将是及其可怕的。因此绝大部分银行的专业版网上银行系统都是基于PKI技术和数字证书建立起来的。
公开密钥体系(Public Key Infrastructure:PKI),是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。PKI由公开密钥密码技术、数字证书、认证机构(CA)和有关公开密钥的安全策略等基本部分组成。用通俗的话讲,数字证书就是应用在网上的身份证,它是通过权威认证机构CA颁发的,是证明身份的电子证件。
现在存储数字证书和用户密钥也有两种方式,一种是直接存储在网银用户的硬盘中,另一种是存储在USB Key中,如SafeNet公司的iKey2032身份认证令牌。无疑,将数字证书存储在计算机硬盘上存在一定的风险性,当网银用户遭受病毒或被黑客种植了木马程序,数字证书很可能就此无法使用或被他人盗用。而把数字证书存储在USB Key中,它的安全性就有保障的多。
一.客户端身份认证保障----SafeNet iKey2032 USB Key
网银用户私钥和数字证书发挥了传统业务的印章的功能,用以认证用户的身份是否合法,保障用户资金账户的安全。用户在网上银行进行登录、查询、转账、汇款等业务中,均须使用用户私钥进行签名确认,用户证书加密和银行服务器之间交换数据。而用户私钥和用户证书被安全的存放在iKey2032中。
iKey2032是一个直接与客户端计算机USB口连接的硬件身份认证设备,有32K 安全存储区,网银用户可以使用它存储自己的X.509数字证书。除了存储PKI数字证书(用于公钥加密),iKey2032还可以存储共享密文(用于对称加密),个人信息(比如密码、电话号码、信用卡帐号等),或者其它必须要保证安全的重要信息。iKey2032具有极高的安全性,ASIC级别的物理安全防范能力,硬件内置1024/2048-bit RSA算法,通过挑战响应/签名和硬件来实现RSA算法。iKey2032可硬件实现密钥签名功能,拥有高质量的内置密钥对生成能力,私钥直接在iKey内部产生且从不导出,其安全级别完全符合美国FIPS 140-1 level 2 安全认证标准。
