商业银行基于动态口令认证技术构建双因素强身份认证平台建设方案书.docx

1、商业银行基于动态口令认证技术构建双因素强身份认证平台建设方案书商业银行基于动态口令认证技术构建双因素强身份认证平台技术建议方案1概述随着互联网技术的发展，现代商业银行的多种传统业务也逐步向互联网转移，越来越多的新型银行业务也迅速发展，基于互联网（包括有线/无线）的电子渠道业务已成为现代新型商业银行的主要业务渠道。1.1现状及存在的问题随着银行电子银行、信用卡业务的开展，由于用户网上银行、信用卡信息及密码被盗造成经济损失的案例越来越多，如何防止银行用户的信息及密码被非法获取导致客户资金被盗，成为当前银行必须要解决的问题。1) 目前，商业银行在网上银行业务中采用证书或者动态口令提高了网银用户口令的

2、安全性，但是还存在其他电子渠道应用的口令安全问题：2) 在POS/ATM/CDM上使用信用卡、借记卡，普遍存在用户的交易密码被盗的可能。3) 新增的手机银行业务业必须采用动态口令认证以提高交易的安全性。4) 使用电话银行业务时，一旦回拨，液晶屏上会显示出用户的账号和密码，用户的信息及密码全部泄露。5) 网上银行大众版的用户目前还在使用静态口令方式进行认证，存在安全隐患。6) 一般用户在银行中有多个账户、采用多种形式进行业务办理，现在没一种方式都需要口令保护（动态口令、动态口令、证书等），管理不统一，给用户的使用和银行的管理带来极大的不便。1.2解决问题的办法建立一个功能完善、认证方式全面、维护

3、简便、接口标准的统一身份认证管理平台，引入支持硬件令牌、手机令牌、短信令牌、刮刮卡令牌等动态密码方式，同时也支持静态口令集中管理的技术手段，为银行的多个业务系统提供安全校验及身份验证，增加包括电子银行系统在内的多个系统的安全性能。1.3建设目标1) 建立一个统一的用户身份认证管理平台、全面的身份认证手段，为银行的从内部管理、综合业务、信贷、网上银行、手机银行、信用卡业务、国际业务、基金业务等提供认证服务。2) 提供能够快速部署、维护便捷、完善的管理平台软件，能够对用户的行为进行实时监控，对用户和管理员提供全面的稽查、审计和自动报表功能，实现用户的不可否认性。3) 本系统要求适应银行系统安全规定

4、，严格遵循国际安全管理、安全控制、安全规程等相关技术标准和业务规范。4) 建立标准的认证接口规范，以便于银行技术人员能够利用该系统提供的开发平台实现技术人员完成业务的二次开发，能快速实现对新业务的拓展。5) 稳定性：能同时实现大量设备的接入，保证系统稳定性。6) 兼容性：系统本身具有向下完全兼容的能力。相对独立，接口简单，易与现有的应用系统连接，对正在运行的应用系统仅需做极小改动。采用专用认证服务器进行认证，保障现有应用系统的完整性，保护系统资源。7) 安全性：系统具有全面的黑客防护能力和防篡改能力，从而保证所辖系统资源及敏感信息安全。系统的关键数据在数据库中以加密形式存储，并通过完善、周密的

5、密钥管理机制管理数据库主密钥和各级密钥。1.4主要部署内容1) 信贷系统登录身份认证：在原来证书身份认证的基础上增加了动态密码身份认证的登录方式，用户可以选择动态密码或证书任意一种方式登陆信贷系统。如果客户选择了动态密码认证方式，则登录页面直接跳到信贷系统的登录首页，输入客户号和动态密码进行登录。2) POS/ATM/CDM、自助银行动态密码认证：为防止客户卡被非法复制而导致客户资金被盗，在自助银行上的取款密码可以采用动态密码方式，这样就有效防止的客户卡被非法复制而导致的资金损失。3) 网上支付密码：在网上进行购物、购买基金、购买机票等支付业务时，可以采用动态密码进行支付合法性的验证。4) 网

6、上银行进行对外转账、自助缴费、自助贷款等资金类业务时，可选择采用动态密码验证的方式保证交易的合法性。5) 电话银行进行对外转账、自助缴费、自助贷款等业务时，可选择采用动态密码验证的方式保证交易的合法性。6) 网上银行大众版登录验证：网上银行大众版登录可选择采用动态密码身份认证，这样可将大众版的支付金额限额适当地提高。7) VPN登录认证系统：VPN登录可以采用动态密码身份认证，提高登录系统的安全性。8) 内部管理身份认证系统：针对银行内部系统安全管理、网络安全管理可以采用动态密码身份认证，保证各系统安全性。2需求分析通过多年为银行客户提供强身份认证服务，并通过众多的巨大数量用户项目实施过程(全

7、国超过150万用户量的金融项目，安盟具有超过60%的市场份额)，完善了认证平台系统，并积累了丰富银行客户实施、运维经验。基于对商业银行电子渠道业务的深刻理解，我们认为作为完善的身份认证系统应该能够满足一下技术要求和产品特性，以实现建立银行业务统一身份认证平台的目标。需求描述单一令牌支持多种应用系统完整的解决方案可以让银行使用一个令牌可以访问多个银行的应用和服务，这样可以使银行的投资最大化。一个令牌可以支持多种终端设备和不同使用渠道完整的解决方案可以让用户在不同的终端设备(笔记本电脑、台式机、智能电话、普通手机、 PDA及其它电子终端)和不同使用渠道（(Internet, Phone, GSM,

8、 WAP 等等)）使用同一个令牌。为不同类别的客户提供不同的令牌银行可以根据不同用户的使用频率、风险级别等因素来决定采用何种认证方式。例如：短信可以让较少使用网银的客户使用；硬件令牌发放给使用网银较多；刮刮卡令牌 可以发给手机银行的客户等。统一认证平台支持多种应用系统统一的认证平台可以支持银行的多种应用（网银、电话银行、手机银行、ATM/CDM/POS等），统一的API可以方便银行应用的集成。统一认证平台支持多种不同的认证方法统一认证平台支持 OTP、挑战/应答, 主机返回码 (HRC)，这样可以增强应用系统的安全性，防范和抵御各种攻击，例如：OTP和C/R 可以防止键盘记录或网上拦截, HR

9、C 可以防止钓鱼网站, 短信确认可以防范中间人攻击.统一认证平台符合国际多种法规的要求统一认证平台可以使银行增强电子银行的安全性，同时也可以使银行符合国内外多种法规以及金融行业的规定，例如： 银监会, Standards in Europe (ECBS), U.K (FSA), N.America (FFIEC), Japan (FSA), Asia (BSP, MAS, HKMA , CBRC)等强大的统一认证平台可以满足银行对安全性、可靠性、可用性、可扩展性的要求统一认证平台的设计充分考虑到了银行的业务特点和需求，包括：高可用(HA)、灾难恢复(DR)和业务连续性 (BC)，它可以处理银行

10、大量用户、多种令牌、海量交易及对大并发交易的支持。安全的认证统一解决方案可以防范和抵御各种攻击统一认证平台的安全性设计可以支持不同的认证技术可方法，可以防范各种攻击，如：Keylogger, Phishing 1.0, Phishing 2.0, Pharming, Man-in-the-Middle等；基于角色的控制也可以提高银行系统的安全性，防范内部职权滥用金融领域证明了的统一认证平台，且可以快速实施统一认证平台已经被许多银行客户成功使用，事实证明其是非常强壮、可靠稳定，具有极强的可扩展性；经验证明其可以在很短的时间内部署完成，可以为银行节省实施费用3建议解决方案由于动态口令的安全性、经济

11、性和方便性，本方案基于动态口令实现企业的统一身份认证平台。3.1 方案设计的主要依据（1） 安全合规：根据国家重要信息系统等级保护条例，对于等保二级以上的系统，应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，其中一种具有不可复制和篡改。动态口令身份认证令牌作为不可复制和篡改的个人持有物，通过与账户绑定后，能够作为唯一性的身份信息使用。（2） 整体安全：身份认证系统是银行电子渠道业务今后各种业务应用的安全基础，因此系统的设计必须从一个完整的安全体系结构出发，综合考虑信息化系统、应用系统及其相关的各种实体和环节，综合使用不同层次的不同的安全手段，为身份认证系统建设提供全方位的安全管理和安

12、全服务。（3） 统一身份认证平台：对于各种形态的应用系统，以及各类不同安全等级的业务操作，用户能够通过一个令牌设备即可实现对所有应用系统的认证需求。（4） 技术标准：完善的身份认证系统在设计和实现上必须遵循一系列的国际、国内技术和行业标准，这样才能保证它所服务的实体之间能够安全地互联互通，不会造成互操作问题。（5） 技术安全机制保证：令牌上显示的动态密码是通过专用加密算法计算得出，不可预测，只在一定期限内有效（一般3分钟），且使用一次即失效（即一次一密），具有足够的安全性保证。相对单纯的用户名口令认证，双因子认证(2FA，2 Factor Authentication)除了要求用户输入其知道的

13、信息(如帐号密码)外，还要求对其所拥有其他的凭证(如令牌)等进行认证。对于认证要求较高的业务应用，还应能够提供用户和应用系统身份双向认证的功能，即应用认证用户的同时，用户也能确认应用系统自身的有效性和真实性。（6） 系统稳定可靠：作为业务入口的认证平台，认证服务器一旦出现问题将使得业务应用瘫痪。因此，认证系统技术上应支持集群多机热备份，并能实现负载均衡。（7） 系统可扩展性良好：各类业务系统的用户随着时间的推移将越来越多，因此身份认证平台能够具备良好的扩展性，容量能够随着用户的增多而动态地增加。同时，身份认证平台还能根据用户业务发展情况，不断增加认证功能或模块，确保认证平台的功能也能随着用户的

14、需求而不断平滑扩展。（8） 易用和易维护：安全性的加强往往需要牺牲终端用户的使用方便，因此在保证安全的同时，确保用户能够方便、快速地掌握高强度认证的使用方法，不但能够加快身份认证系统的建设，还能大大减轻网络管理员的维护工作和客服中心的日常服务工作。（9） 良好的用户体验：由于人的惰性，以及安全意识和习惯，不愿也不可能设置、记忆和定期更新密码，动态口令只需要用户持有身份认证令牌，并安全保管自己的身份认证令牌，既可实现密码安全；登录过程也不改变原有的习惯，对客户端使用人员没有IT技能要求，只需要增加输入动态密码即可；对客户端环境没有要求，动态密码与客户端的应用环境无关，且无需任何安装客户端程序。3

15、.2方案采用的技术标准 信息技术 安全技术 实体鉴别 第一部分:概述 GB/T 15483.1-1999 信息技术 安全技术 实体鉴别 第二部分:采用对称加密算法的机制 GB/T 15483.2-1997 信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求 GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求 GB/T 18336.3-2001 计算机信息系统安全保护等级划分准则 GB 17859-19993.3 解决方案实现原理在传统的静态口令验证系统中，由于口令为“一次设置，重复使用”，由于口令的重复使用而增加了口令丢失和破

16、解的危险性，降低了系统的安全系数，特别是在互联网环境下，黑客、木马和病毒泛滥，使得静态口令更加容易被泄露，造成企业信息系统和资源的非授权访问，导致直接经济损失和间接的信誉和商誉损失。所以，除了用户记忆的静态口令外，还需要增加一个物理因素（身份认证令牌），这样采用你所知道的（记忆的静态密码）和你所拥有的（身份认证令牌）两个要素构成有效密码，实现严格身份信息验证，而你所拥有的要素必须具有不可复制和篡改的性能。安盟双因素身份认证系统即是依据上述原理实现的双因素强身份认证系统：1) 以动态密码令牌作为个人持有的信物，实现双因素强身份认证。动态密码依据种子密钥，采用伪随机算法计算得出，不可预知和猜测，且

17、令牌采用加密芯片，具有不可复制和篡改的性能。而认证系统认为，只有持有合法的令牌才可能显示正确的动态密码，反过来说，只要输入了后台认证系统发出的当前时间点的正确动态密码，就可以认为持有可信的信物要素（即令牌）。用户登录时，必须同时验证静态口令（一般为AD中的密码）和动态密码，只有两者均正确时才能确认用户身份。2) 动态密码只在一定的时间窗口有效。时间作为动态密码产生的一个因子，每隔一定时间（常见为60妙）计算出一个动态口令，该密码只在一定的时间窗口内有效，增加了猜测密码和破解密码算法的难度。3) 动态密码具有唯一性。动态密码产生的另一个因子是种子密钥，该密钥依据128位加密算法得出，具有全球性的

18、唯一性，因此依据种子密钥产生的动态密码在某一时间点上具有唯一性，即每个账户（绑定唯一的种子密钥）在某一时间点上产生的动态密码具有唯一性。4) 一次一密。动态密码只有在当前时间点有效，且使用一次即失效，具有高强度安全性保证。3.4 解决方案示意图3.5方案说明安盟双因素身份认证系统可以在同一个平台上提供用户集中管理、集中认证、集中审计的统一平台，并可以提供静态口令、硬件令牌、手机令牌、短信令牌、一次性口令刮刮卡、矩阵卡等认证手段，满足银行不同层次用户的认证需求，下面就银行业务中的各种应用进行描述。3.5.1企业网上银行企业网上银行建议采用硬件令牌补充原来证书认证的缺陷，提高企业网银的安全性，以保

19、证大宗业务的安全性。一般给每个企业客户发放23个令牌，分别给出纳、会计主管和财务总监，完成业务申请、审核和审批等工作流程。在用户开户或者申请开通网上银行业务时，由营业部的前台柜员通过综合业务系统完成令牌发放等操作，用户的标识可以采用企业银行账户的后8位。示意图如下：能够解决的以下主要问题： 通过正式的发放TOKEN（信物）和用户自行设置的个人身份码（PIN, personal identity code）有效确认企业网银交易客户端的身份。 由于第二要素（TOKEN）为用户持有的信物，TOKEN具有不可篡改、加密等特点，类似如银行卡，因此可以确保网银交易用户身份的真实性。 可以有效避免木马、病毒

20、、黑客软件、钓鱼网站等网银欺骗手段导致的风险。 解决因网银用户的一系列不确定性和不可控性的问题（网银用户的安全技术水平、安全习惯和安全意识的欠缺和不可控制等不安全因素），实现网银安全的可控。 基于动态口令认证的特点 企业网银的安全性实现可控，不再过于依赖网银用户的安全技术水平、安全习惯和安全意识，大大提高网银安全的可控性。 采用动态口令和证书结合，既提高了安全性，又符合国家管理部门的规定。 用户对基于动态密码的安全性容易感知和理解，并易于接受，降低了银行推广该安全措施的难度和成本，便于普及，也便于从整体上加强银行网银系统的安全性，降低因网银事故导致的商业信誉风险。 不改变原有的业务系统登录方式

21、，除了一个记忆在头脑中的口令外，还必须提供令牌所生成的动态口令。只有同时使用正确的用户 PIN码和用户本人的令牌才有可能进入网络，安全性大大提高。 令牌生成个人使用的令牌码根据时间变化。每 60秒就会生成一个新的随机令牌码，不能通过记录以前的令牌代码来进入系统进行交易。 可以对网银用户对系统的访问时间进行控制，防止在非工作时间访问银行业务系统。 具有很强的审计功能，对每一个网银用户在一个时段内的认证结果进行日志记录，当发现某用户的认证记录为多次失败时，系统将锁住这个用户的认证行为，杜绝了穷举攻击的可能性。 整合全部网银业务通过大前置服务器实现接口在大前置服务器嵌入安盟全功能（认证和管理）接口A

22、PI，提供C/C+/JAVA等满足用户需要的任何版本，在安盟认证服务器端内置Web Service服务，可以按国际标准的HTTP、XML、SOAP和WSDL等协议，实现跨平台的应用整合，包括管理功能和认证功能。 其他必要的安全措施补充 通过适当的渠道对客户进行安全意识、安全技术水平和安全习惯的教育。 设置账户信息变动短信或email通知功能，增强人性化服务特点。 设置账户分类和账户功能限制，对于没有申请采用安全措施的账户实施功能限制，如限制转帐功能、限制转帐金额，以适应低端客户需求，普及网银业务。3.5.2个人网上银行个人网银的业务模式和技术实现方式与企业网银相同，区别如下： 个人网银客户端可

23、以采用硬件令牌、短信令牌和刮刮卡令牌，考虑到成本，建议采用手机短信令牌或者刮刮卡。目前商业银行已经在网上银行专业版中使用安盟短信令牌作为认证手段，而网上银行大众版中还在使用静态口令，建议采用短信令牌或者刮刮卡令牌，提高网银大众版的安全性。 个人网银只需要给每个客户发一个令牌。示意图如下：1) 网上支付密码在网上进行购物、购买基金、购买机票等支付业务时，可以采用动态密码进行支付合法性的验证。在网上支付业务中安盟采用的验证策略如下：当用户在网上进行购物、购买基金、有价证券、交费进行交易时使用动态口令进行验证，提高网上支付的安全性，如果为了防止中间人攻击，可以通过回复短信进行交易确认。具体的使用策略

24、：安盟可以根据银行的整体安全策略、客户体验进行设计，将安全、合理的认证方法嵌入到网上支付业务平台，用户在申请网上支付业务时可以选择硬件令牌、短信令牌等不同的认证手段进行交易。2) 网上银行转账网上银行进行对外转账、自助缴费、自助贷款等资金类业务时，可选择采用动态密码验证的方式保证交易的合法性。网上银行业务目前动态口令认证的使用方式有两种： 用户登录网上银行业务时使用用户的静态交易密码进行验证，用户登录后只能进行查询，不能进行交易；只要用户进行交费、支付、转账、贷款等交易时（可以设定交易额大于0或者一个限定的额度），系统就会弹出一个窗口要求用户进行动态口令验证（硬件令牌/软件令牌用户直接输入PI

25、N+令牌码，短信令牌用户通过WEB或者发送请求短信进行请求获取一个一次性动态密码），验证成功后进行交易。为了提高安全性和不可否认性，也可以对用户的交易使用证书进行签名（可以设定较高的交易额）。 用户在进入网银业务时就要求进行动态口令验证，通过验证的用户即可与网银业务系统建立ssl连接，以后用户的交易操作都是通过安全的ssl加密通道进行，可以保证用户交易的安全性，对于企业网银用户可以对高额交易要求使用证书进行签名。3.5.3电话银行电话银行的业务模式和技术实现方式与个人网银相同，也可以采用硬件令牌、短信令牌，建议采用手机短信令牌。示意图如下：3.5.4手机银行手机银行为银行新开办的业务，可以实现

26、用户随时随地的使用和管理自己的银行账户。手机银行的业务和技术实现模式与电话银行相同，由于使用了手机作为终端，因此建议不在使用手机短信作为令牌，可以采用硬件令牌或者刮刮卡令牌。3.5.5POS/ATM/CDM/自助银行为防止信用卡、借记卡被非法复制而导致客户资金被盗，可以在自助银行上的取款密码可以采用动态密码方式，这样就有效防止客户卡被非法复制而导致的资金损失。由于卡业务包含本行和他行业务，因此不能改变输入窗口的大小，所以只能使用6位登台密码的硬件令牌、手机令牌，或者是通过短信方式获取一个动态码。具体方式如下: 在加密机上进行动态密码验证：在自助银行业务服务器后端的加密平台上进行改造,接受来自于

27、安盟认证服务器上发来的指定用户的N个令牌码(3-10)，加密平台（模块）接收到用户的请求（通过插入卡建立连接，并开始进行交易），按照加密机上提供的密钥索引号，用指定的密钥对口令进行加密并传送到加密机上。当用户在自助银行使用自动柜员机的时候，首先用令牌或者通过短信、或语音请求获得一个一次性密码，用户使用这个密码输入到口令验证窗口，传送到加密机与加密平台上传送来的口令码，进行比对，通过验证后即可进行取款、转帐、支付等操作，保护用户网上交易的安全性。这种方式主要要对加密模块和加密机接口进行改造。 在业务主机上进行验证：这种方式与目前柜员使用的方式基本相同，用户在POS/ATM/CDM等终端输入6位一

28、次性口令，经前置机、加密机传送到综合业务系统主机，解密后将用户账号和动态口令经安盟认证代理转发到安盟认证服务器进行验证，安盟认证服务器将认证结果传送到业务主机，业务主机根据验证结果执行交易操作。这种方式改造的工作量较少，但是将用户密码验证的核心放到了安盟认证服务器。3.5.6银行综合业务系统银行综合业务系统柜员也可以采用动态密码作为强身份认证手段，建议采用硬件令牌。柜员登录时，除了一个记忆在头脑中的口令外，还必须提供他拥有的令牌所生成的动态。只有同时使用正确的用户PIN码和用户本人的动态口令令牌才有可能进入网络，使网络安全性大大提高。借助强大的用户认证系统安盟安全解决方案，可以向授权的柜员发放

29、令牌，令牌生成个人使用的令牌码，这一代码可以根据时间码算法而变化。每60秒就会生成一个随机的令牌码，保护认证主机能够验证这个变化的代码是否有效。每个令牌都是唯一的。别人不能通过记录以前的令牌代码来预测将来的代码值。这样，如果某个用户提供了一个正确的令牌代码，就可以高度确信该用户即拥有安盟安全认证令牌的合法用户。示意图如下：3.5.7银行信贷业务系统如下图，安盟在信贷管理系统的服务器上嵌入安盟的认证代理，在原来证书身份认证的基础上增加了动态密码身份认证的登录方式，用户可以选择动态密码或证书任意一种方式登录信贷系统。如果客户选择了动态密码认证方式，则登录页面直接跳到信贷系统的登录首页，令牌用户直接

30、输入客户号和动态密码进行登录。而短信令牌用户则需要先输入用户名和静态密码，然后在新的窗口输入在手机上获取的一次性口令，通过验证后进入系统，大大地提高了信贷管理系统的安全性。 3.5.8银行内部管理信息系统银行内部管理信息系统包括OA/ERP/CRM等，也可以采用动态口令实现双因素强身份认证。令牌建议采用硬件令牌，并同时绑定一手机短信令牌。内部管理信息系统采用动态口令强身份认证，主要实现身份验证和明确操作责任等目标。与内部管理信息系统的身份认证整合方面，安盟公司提供免费的认证代理API，并提供开发技术支持服务。示意图如下：3.5.9 VPN接入VPN接入访问银行内网，实现移动办公和远程维护等操作

31、。但是VPN的访问来自不安全的互联网，直接进入银行内网，而且VPN只是做了通信通道的加密，并没有对客户端的身份进行有效认证，因此非常有必要加强接入者的身份信息验证。实现示意图如下：通过安盟双因素身认证方式，系统在提供VPN用户可信度保证的同时也很好的解决了一序列问题：其一，密码无需设置的很麻烦，也无需每月或每周甚至每日进行密码更换；其二，此密码是以密文形式在互联网上传输，采用的是一种非对称的加密技术进行加密的，即使黑客在传输过程当中截获或窃听了，他们只有在一分钟之内解开，且解开之后，如果后于用户或管理员进入系统，则即使将此密文解密了也无济于事。大大加强了在身份认证上的安全可靠性。其三，通过安盟双因素身份认证进入系统的管理员或用户，系统将记载是哪位VPN用户，在什么时候进入，使用的是哪块令牌进入等事件，认证服务器将记载这些操作过程。无论用户准备使用的是SSL VPN还是有客户端的IPSEC VPN，用户在登录时都只要和平常一样输入用户名和密码（安盟动态口令密码），无需添加其他操作就可以登录系统。安盟身份认证管理系统，采用国际标准生产，其产品具有很好的兼容性与互操作性，与379个厂家的560种产品兼容，安盟可提供标准的代理软件来保护用户的信息资源。在VPN厂商中Array、Checkpoint、Juniper、Fortigate、思科、华为、联想网御等都直接支持安盟双因素身份认证