当前位置：首页 > 实用文档 > 其他范文> 某大国有银行应用usb key身份认证方案安全方案

某大国有银行应用usb key身份认证方案安全方案

时间：2022-08-04 08:03:02 其他范文收藏本文下载本文

某大国有银行应用usb key身份认证方案安全方案（推荐4篇）由网友“playclx”投稿提供，下面就是小编给大家分享的某大国有银行应用usb key身份认证方案安全方案，希望大家喜欢!

篇1：某大国有银行应用usb key身份认证方案安全方案

企业概况

某大国有银行始建于19，是中国早期四大银行之一，，总行设在上海，目前，该银行拥有辐射全国、面向海外的机构体系和业务网络。在境内的分支机构有:27家省分行、7家直属分行、营业机构近3000个左右。在纽约、东京、香港、新加坡、汉城设有分行，在伦敦、法兰克福设有代表处。他们与全球100多个国家和地区的800家银行的总分支机构建立了代理行关系。现在，全行员工5.5万人。按总资产排名，该银行位列世界1000家大银行的前100位，已跻身全球银行百强行列。

为了适应激烈的市场竞争，近年来该银行大力开展网上银行业务。在短短的三年中，该银行完成了网上银行的整体框架构建，形成了以特色信用卡、全国通、外汇宝、基金买卖等功能为支撑的网上银行服务体系和以普通版、大众版、专业版为特征的对公网上银行服务体系，并实现了网上银行的功能完善和业务量的快速增长。然而，随着钓鱼网站、专业偷盗银行账号和密码的木马程序“网银大盗”的泛滥，人们对网上银行的安全性越来越表示质疑。怎样才能加强系统应用的安全性，提升人们对网上银行的信任度，成为各家银行网上银行业务中最为亟待解决的问题。当然，该银行也面临同样的问题。

挑战

通常国内网上银行都会分为大众版和企业版两个版本，它们的本质区别在于安全级别不同。用户只要凭借身份证号码、账号和密码就可以在网上自助开通大众版网上银行，操作简便，手续极为简单，但运行后安全保密性较差，唯一的防护措施就是客户在开通时自行设置的登录密码和付款密码。

而申请专业版网上银行就要复杂得多，首先需要用户本人到银行网点进行业务申请，通过安装应用数字证书和pki体系实现网上账户资金的交易和转移。

数字证书是网上银行业务中确认用户身份的唯一标志，具有不可复制性和不可替代性，所有网上交易必须要事先通过数字证书进行安全认证，它可以看作是用户的网上身份证。既然是网上身份认证的唯一标志，确保其安全性就至关重要。普通个人用户常把数字证书存储在电脑硬盘中，这种做法的危险性不言而喻。对于资金交易量较大的企业用户，为了确保其资金安全，该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制。经过充分的测试和详细的比较后，他们选择safenet ikey2032作为其网上银行企业客户的身份验证工具。

safenet ikey2032解决方案

safenet ikey2032之所以在这样一家大型国有银行竞标中胜出的原因主要源于其突出的产品特性。ikey2032是一款基于usb接口的可移动身份认证设备, 专门针对银行业或其它数字证书用户。它支持数字签名和pki体系，可生成并储存私钥和数字证书，是满足个人身份认证安全级别和存储数字证书的理想选择。

■ 用双因素认证方式替代不可靠的口令

ikey2032系列采用双因素认证机制，用户需要通过ikey硬件和相对应的pin码两方面共同确认身份，其安全性、可靠性远远高于仅靠密码保护的传统口令认证方式。作为一种智能卡技术的延伸，用户在使用ikey2032产品时，无需购置昂贵的读卡器设备，只需要将它插入电脑usb口即可进行用户身份确认，

■ 硬件实现加密算法确保系统安全性

ikey2032系列支持公钥体系，可在ikey内部生成密钥对，存储密钥对和x.509数字证书，以及在ikey内部执行签名操作。ikey硬件内部生成密钥对，私钥从生成、管理到销毁始终在key硬件内部完成，消除了密钥外流的危险性。目前，ikey2032系列通过了 fips 140-1, level 2级认证，该认证为美国最权威的安全产品认证。

■ 支持多个ca和pki应用

通过与众多软硬件供应商建立战略合作关系，safenet ikey2032具备了广泛的安全解决方案支持能力。ikey2032支持多种ca和microsoft, entrust, computer associates, verisign等公司提供的众多pki应用。另外，由于ikey2032系列支持pkcs

关键字：安全方案

篇2：五种主流身份认证技术解析安全方案

用户名/密码方式

用户名/密码是最简单也是最常用的身份认证方法，它是基于“what you know”的验证手段，每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。

然而实际上，由于许多用户为了防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，这存在着许多安全隐患，极易造成密码泄露。即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中，需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。

IC卡认证

IC卡是一种内置了集成电路的卡片，卡片中存有与用户身份相关的数据，可以认为是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器中读取其中的信息，以验证用户的身份。IC卡认证是基于“what you have”的手段，通过IC卡硬件的不可复制性来保证用户身份不会被仿冒。

然而由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此，静态验证的方式还是存在着根本的安全隐患。

动态口令

动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。

由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。而动态口令技术采用一次一密的方法，也有效地保证了用户身份的安全性，

但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使得用户的使用非常不方便。

生物特征认证

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术，常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，几乎不可能被仿冒。

不过，生物特征认证是基于生物特征识别技术的，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性：首先，生物特征识别的准确性和稳定性还有待提高；其次，由于研发投入较大而产量较小的原因，生物特征认证系统的成本非常高。

USB Key认证

基于USB Key的身份认证方式是一种方便、安全、经济的身份认证技术，它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。

USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式；二是基于PKI体系的认证模式。

关键字：安全方案

篇3：网格计算环境下安全认证技术方案分析

互联网的迅猛发展，使网上遍布了成千上万的各类高性能计算机，如何更好地扩展和利用这些网络资源已成为一个重要研究方向，这正是网格计算的发展前景所在，

网格计算作为新一代的分布式计算方法，与传统分布式计算的主要区别在于在没有集中控制机制的情况下，通过对计算资源进行大规模共享，满足应用对高性能计算要求，并且这种对计算资源进行大规模共享是动态的、柔性的、安全的和协作式的。

网格安全问题是网格计算中的一个核心问题。我们都知道，安全与便利是一对矛盾的结合体。因为在保证网格计算安全性的同时，还必须要尽量方便用户和各种服务的交互与使用。在设计网格安全机制时特别要考虑网格计算环境的动态主体特征及复杂性。要保证网格计算环境中不同主体之间的相互鉴别和各主体间通信的保密性和完整性。基于以上原因，在网格计算环境中，安全问题比一般意义上的网络安全问题的覆盖面更广。在网格环境中，客户机位于不同的地理空间和组织，为保证网格实体(用户、资源和程序)之间的通信安全、防止篡改、实现组织中安全机制方面的互操作性。就需要具备有一个统一的网格安全基础设施， GSI(Grid Security Infrastructure)正是一个解决网格计算中安全问题的一个集成方案。

GSI方案提供网格环境认证

GSI为网格计算环境提供了一系列的安全协议、安全服务、安全SDK和命令行程序。GSI可以提供在网格计算环境中的安全认证，支持网格计算环境中主体之间的安全通信，防止主体假冒和数据泄密；为网格通信提供保密性、完整性和回放保护，及为网格用户提供单点登录和权限委托的能力。另外，GSI还可以用来对网格实体的身份进行验证，来确定该实体允许执行哪些操作。这些安全技术都能有效地保证网格计算环境的安全性和方便性。

GSI是保证网格计算安全性的核心。它支持用户代理、资源代理、认证机构和协议的实现。它向上提供一系列的安全协议，向下支持各种安全机制和技术。GSI采用GSS-API(Generic Security Service application programming interface) 作为其安全编程接口。提供了通用的安全服务，支持应用程序在源码级的可移植性。它在面向主体间安全鉴别和安全通信操作基础上，提供获得证书、执行安全鉴别、签署消息和加密消息等功能。

GSI的实现符合IETF提出的用于安全系统的标准(GSS-API)，它主要集中在网络的传输层和应用层，并强调与现有分布式安全技术的融合。在公钥加密体系的基础上，充分利用现有的网络安全技术，对某些功能进行扩展，使得GSI可以支持单点登录。从而，在网格计算环境下提供一个一致的安全性界面，方便了网格的开发和使用。

实施网格安全策略必须集中于域间相互作用和映射域间操作。对单一信任域内的操作可通过Kerberos 和SSH方法。对每个信任域，都要有一个从全局到局部主体的映像。位于不同信任域的实体间的操作要求相互鉴别，

一个被鉴别的全局主体映像为一个局部主体时，被看作等同于局部主体的本地认证。在一个通用的计算环境中，主体和对象必须包含组内所有计算的实体。一个计算包括许多过程，每个过程代表一个用户。其中对象包括可用于网格环境中的大范围的资源。

基于GSI的安全策略是通过通用安全服务编程接口GSS-API、安全认证管理和用户代理的实现三个方面来体现的。在GSI中，着重解决的是安全的认证问题。

GSI通过创建用户代理、代理分配资源、进程分配资源、映射权限四种安全操作协议，充分体现了网格的解决方案。全局命名(证书)和代理证书使得用户对所有的访问资源只进行一次认证。代理证书和委托技术允许一个进程来代表用户访问资源。在GSI的安全策略和单一登录机制的基础上，构建一个网格安全体系，该体系结构体现了用户、资源和过程的鉴别，它支持用户到资源、资源到过程、过程到资源、过程到过程的鉴别。及与本地策略的相互协作及对不同资源的动态请求。

GSI的安全认证

安全认证是对请求者与接受者双方进行身份验证的一个过程，是在SSL上进行的一个成功的安全认证，可以校验一个请求连接的合法性，并为其后的双方通信提供一个会话密钥。GSI的安全认证是基于用户的私钥创建一个代理，从而为用户提供认证方法。用户如果没有创建这个代理，就不能提交作业，也不能传输数据。(编程入门网)

GSI认证(certificates)的一个关键是认证证书。在网格计算环境中的每个用户和服务都需要通过认证证书来验证身份，GSI证书采用了X.509的证书格式。主体名称(subject name)是用来明确认证证书所表示的人或其它对象。主体的公钥(public key)来自于X.509 认证签署证书的认证中心。标识则记录了认证中心的名称。签署证书的认证中心的数字签名是可用来确认认证中心的合法性。

在相互认证进行之前，双方要相信彼此的认证中心。双方有彼此认证中心自身的证书，就可以确保双方由认证中心签署的证书具有合法性。双方主体都获得了证书，而且都信任彼此的认证中心后，则双方可相互明确彼此的身份，这就是相互鉴别(mutual authentication)的过程。GSI采用SSL( Secure Sockets Layer)协议作为它的相互认证协议。

认证是安全通信基础

网格安全问题是网格计算中的核心问题。网格计算的特点是网格计算会将现有的各种标准协议有机地融合起来，从而在网格计算中将协议和技术集成起来。网格系统和应用中的每个用户和服务，要求所有的安全标准，包括安全认证、安全身份相互鉴别、通信加密以、私钥保护及委托与单点登录，都能在网格计算环境中通过认证证书来验证身份。提供一个较好的认证解决方案，可以使用户，包含用户计算的过程以及该过程使用的资源都可以证明彼此的身份。

认证是形成安全政策的基础，它可以使各个局部安全策略都被集成为一个全局的框架。从而更加有利于网格实体之间实现安全的通信。

篇4：河道整治爆破作业安全方案的优化应用

河道整治爆破作业安全方案的优化应用

文章以广西大化电站船闸下游河道整治工程Ⅲ、Ⅳ爆破作业区为例,介绍复杂环境下爆破作业安全施工的`优化方案,提出了爆破安全防护相关措施,为类似的爆破作业提供借鉴.

作者：郑青华赵宏志 ZHENG Qing-hua ZHAO Hong-zhi 作者单位：广西南宁航道管理局,广西,南宁,530031 刊名：西部交通科技英文刊名：WESTERN CHINA COMMUNICATION SCIENCE & TECHNOLOGY 年，卷(期)：2009 “”(3) 分类号：U615.6 关键词：河道整治爆破作业方案优化