SafeNet网上金融安全解决方案

　　iKey2032的特点包括：

　　便捷性

　　iKey2032可以牢固、轻松地携带在钥匙链上，这就使得您的客户无论是在公司、家庭或是路上都可以随身携带信任证书和私人信息。

　　低成本

　　在许多应用中，iKey2032能够取代现有应用程序中的智能卡。与智能卡不同的是，iKey2032不需要特殊的读卡器，它只要直接与USB端口或USB集线器相连就可以了。这样，网银用户就节约了读卡器的成本，而银行也节约了支持安装客户端硬件的成本。

　　安全性

　　为了实现更高的安全性，iKey2032采用了双因素认证机制，也就是说网银用户在使用iKey时还要输入一个密码。只有通过了这两个项目：您有什么？——iKey2032；您知道什么？——密码，网银用户才能够成功通过认证。

　　使用业界标准的 RSA 算法实现认证。其安全等级已经被公认。

　　所有的认证运算 (挑战——响应或签名) 在iKey2032内部进行。

　　密钥 (MD5密钥或者私钥) 决不离开iKey2032内部。无法从键盘输入、客户电脑或者网络数据中获取任何密钥信息。

　　iKey2032硬件无法被复制。

　　iKey2032被PIN码重试次数保护，当重试次数达到设定的上限，iKey2032会自动锁定。

　　iKey2032的用户PIN码可以由用户自行设定和修改。

　　相关应用：iKey2032在银行中的应用　　

　　在国际业务中，iKey产品在金融行业服务于花旗银行，美国银行，汇丰银行等众多的银行，20多年的行销，现在iKey产品在全球销售市场占有率达到50%。

　　在中国金融业务中，中国银行（香港）有限公司使用iKey2032对网上银行的用户的证书进行存储。

　　二、服务器端密钥管理及SSL加速设备——SafeNet Luna HSM 　　

　　Secure Sockets Layer (SSL)协议使用公共密钥认证和强加密，确保客户端服务器通信会话的安全。当基于Web的网上银行应用与SSL相结合时，SSL加密使得需要传输交换有价值或敏感信息可以通过互联网顺利地进行。　　

　　SSL利用数字证书和对称/非对称加密技术，在客户端和服务器之间创建会话连接。不幸的是，SSL遭受了两种潜在问题：第一，用来认证银行Web服务器的数字证书可能会被盗取或拷贝；第二，要求创建SSL会话的密集加密过程会对Web服务器的性能产生负面影响。　　

　　为了解决这些问题，硬件加密模块HSM设备可以为数字证书提供保护，并且SSL加速器下传密集的加密计算，从而提高基于SSL应用的安全性和性能。然而，在很多情况下，需要一种同时能提供SSL加速和硬件密钥管理的产品来满足那些需要SSL证书绝对安全并且访问负荷比较大的应用的需求。　　

　　SafeNet Luna HSM是一个设置在银行后台以太网HSM服务器，广泛应用于保护加密密钥和加速加密操作。它能够通过带有网络可信链接的额外安全性的TCP/IP网络连接到Web服务器，NTL保证了Luna SA 和Web服务器之间的安全性。通过本地总线提供的严格控制，Luna SA能够被认证的Web服务器客户端进行共享，客户端是指那些允许Luna SA在多个Web服务器之间快速和轻松地被共享来访问网络的客户端，从而极大地减少集成、部署和管理成本。 另外，Luna SA的集中、多层安全、内置HSM最佳实践和集成的FIPS 140-2 Level 2认证的HSM，确保强大的SSL 加速器能够从一个HSM中提供同样SSL稳私密钥安全性。

　　Luna SA是专为保护敏感隐私密钥，不被未符合标准或未授权的行为使用而设计的。为了实现这个目标，Luna SA包括一个集成的第三代FIPS 140-2 Level 3 认证的HSM和K3 Cryptographic Engine (K3)。 K3是一个自我包含加密处理器，能够处理所有密钥管理、访问和认证控制，以及密钥操作（密钥产生和数字签名）。作为特定的HSM，K3确保隐私密钥或敏感加密操作在其安全硬件之内是独立受保护的，而永远不可能向Luna SA系统环境或外部世界暴露。　　

　　在互联网的世界里，可以通过TCP/IP非常轻易地连接到未受保护的网络设备。运行在设备上不正确配置的网络服务可能会留下非期望的公开端口，或者通知黑客存在的潜在漏洞的匿名链接。为了防止网络上的未授权连接，Luna锁住了所有不必要的端口，并且清除了不需要的服务。更重要的是，Luna SA具备NTLS功能，确保仅有可信客户端才能建立连接。为了进一步确保NTLS的认证，Luna SA和客户端必须进行详细的注册，并且相互交换数字证书，从而要求管理员级授权才能访问这两个系统。　　

　　作为网络HSM，Luna SA主要益处之一就是能够与多个客户端共享其HSM功能。为了使多个客户端安全地在物理HSM上存放数据，Luna SA引入了HSM分区。 每个HSM分区维护他们自己在K3上受保护的内存分区的数据和访问控制策略。每个客户端必须到由HSM管理员分配的具体HSM分区进行认证。在其它未被分配的HSM分区上的数据，任何时间都不可访问。HSM分区的使用允许多个客户端维护在LUNA上的独立数据，而无须担心被其它注册或非注册客户端所访问。　　

　　Luna SA 的另一个重要功能是能够提供高达每秒1200个交易，用来满足SSL应用需求。集成的FIPS认证硬件密钥管理，Luna SA具备指定的HSM，K3加密引擎的特色，用来为SSL私钥提供加密操作、安全存储、SSL加速、访问控制管理以及策略管理等功能。　　

　　相关应用：加拿大银行　　

　　加拿大银行根密钥安全保护方案

　　加拿大银行是加拿大的中央银行，负责加拿大货币政策、发行钞票、调节和支持着加拿大主要的金融清算和结算系统， 担当着联邦政府债务的财政代理职能。虽然不承担一般银行业务，但是它在加拿大经济中的地位和重要性不言而喻，很少有金融机构会比加拿大银行对安全性更加关注。

　　加拿大银行是第一批采用因特网技术提供服务的机构之一。由于交易处理和用户认证的方式可以创造新的机会并增加效率，银行需要一个安全的环境来进行交易，因此他们决定采用公共密钥体系结构（PKI）技术。SafeNet能够确保加拿大银行CA认证中心的可信性。

　　除了要考虑选择合适的PKI厂商，加拿大银行还要考虑如何确保PKI根密钥的安全性并设立切实可行的安全级别。单独的PKI软件不能满足要求。为遵守加拿大银行和加拿大政府对PKI安全证书的要求，他们需要使用联邦信息处理标准（FIPS）140－1第3级验证的硬件安全模块（HSM）保护根密钥。

　　使用硬件安全产品必须要满足一些特殊的要求，例如：密钥必须始终在硬件中生成、签名、存储和备份；要和Entrust PKI相兼容；可以运行在Solaris平台上等。

　　银行PKI实施小组已经意识到根密钥的脆弱性。加拿大银行安全服务经理Gord Ireland说“对CA的信任依赖于只有本人才能应用自己的签名，其它任何人都不能模仿。如果CA的签名密钥变得不安全，所有由CA颁发的证书不再得到信任，这会导致CA在一个新的CA签名下颁发新的证书”。

　　解决方案

　　Luna SA根密钥保护产品是SafeNet的 Ultimate Trust™ 解决方案之一，作为标志性根密钥保护产品，其市场地位和可靠性使它脱颖而出成为加拿大银行的首选方案。由于不在硬盘驱动器和磁带备份介质上泄漏CA签名密钥对，Luna SA根密钥保护产品被认为不存在任何安全隐患。

　　SafeNet Luna SA必须在部署PKI体系前设置完成以保证CA签名密钥对的安全性，不会泄漏到CA服务器的硬盘上（甚至以加密的形式放在硬盘上也不行）。通过在部署之初就实施硬件根密钥保护，银行就会达到FIPS 140－1第3级安全标准。因为根密钥始终被存储在受保护的，可信的并且符合FIPS 140－1第3级标准验证的硬件上，软件自身所带来的风险会减轻。