第三代U-“网银宝”.doc

网络支付密码保护系统（第三代UKEY） 技术白皮书 北京趋势恒信科技有限公司 2011年6月目录 1 概述 1 2 产品功能及性能 2 2.1 产品外观 2 2.2 产品功能 3 2.3 产品性能 4 3 产品部署使用 5 3.1 支持环境 5 3.2 产品使用 5 4 产品特点及优势 6 4.1 系统特点 6 4.2 产品优势 8 5 FAQ 9 6 技术支持方式 10 概述 网上银行又称网络银行、在线银行，是指银行利用Internet技术，通过Internet向客户提供查询、对帐、行内转帐、跨行转帐、信贷、网上证券、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说，网上银行是在的虚拟银行柜台。精心设计”功能按键，用于重新输入数字、取消屏幕显示服务内容等功能。 6.功能按键R “确认”功能按键，用于确认输入数字、确认屏幕显示服务内容等功能。 产品功能 1）基本功能 普通USB Key证书功能 支持X.509 V3标准格式数字证书 RSA密钥对芯片内生成 密钥安全存储 硬件随机数生成 全球唯一32位序列号 可支持USB无驱、即插即用 提供DLL和CSP等开发套件 PIN加密输出 具备按键输入PIN，输入交易密码（PIN）自动加密，符合ANSI X9.8标准。 MAC数据生成及验证 可根据密钥长度自行选择ANSI X9.9或者ANSI X9.19标准计算。 金额输入 支持按键输入金额，液晶显示金额。 账号输入 支持按键输入账号和证件号，液晶显示输入信息。 敏感数据加密及解密 支持对敏感数据进行加密和解密，提供ECB和CBC两种加解密模式。 数字签名、验签 支持针对数据进行签名、验签功能。 数字信封功能 支持敏感数据数字信封功能。 密钥安全管理 支持密钥安全产生、存储、分发、销毁等安全管理功能，符合金融密钥体系和标准PKI体系。 2）管理工具 “网银宝”管理软件是针对DES、3DES、RSA、SSF33、SM1、SM2 摘要算法：SHA-1、SM3 符合标准：ANSI X9.8、ANSI X9.9、ANSI X9.19 通讯接口：Mini-USB 处理性能： DES 算法性能14Mbps SM1 算法性能7.2Mbps SF33 算法性能15Mbps SM3 算法性能2.2Mbps SM2 256位签名：150次/秒 SM2 256位验签：90次/秒 RSA 1024位签名：90次/秒 RSA 1024位验签：650次/秒 RSA 2048位签名：12次/秒 RSA 2048位验签：160次/秒 产品部署使用 支持环境 支持操作系统：Windows 2000、Windows XP、Windows 2003、Vista、Windows7等。 支持浏览器：IE6、IE7、IE8等浏览器。 产品使用 产品使用过程为： 将”网银宝”插入到客户端电脑中； 登录银行网银站点，并下载安装”网银宝”的控件； 银行网银Web服务器验证网银宝内部的个人证书，通过后，进入到网银系统内部； 当客户进行转账、汇款等操作时，需要输入交易口令PIN，则此时需要通过“网银宝”上面的数字按键输入客户交易密码； 客户交易密码经过“网银宝”自动加密和处理后，由信息交互控件读取后传送到银行网银系统内部。 银行内部处理后，将结果返回。 产品特点及优势 系统特点 完整的安全设计方案 内置全数字功能按键，具备加密键盘（PINPAD）功能； 内置“0~9、取消、确认”功能按键 用户密码PIN内部加密功能，有效防止PIN的HOOK攻击，规避了病毒、木马攻击 加密符合ANSI X9.8、Docutel、IBM等多种标准的PINBLOCK格式规范 具备PKI证书功能 支持X.509 v3标准证书格式 提供标准安全中间件接口（CSP、PKCS#11），实现签名/验签、数据加密/解密、数字摘要等功能 支持密钥安全存储 支持国内、国外多种对称和非对称加密算法 支持DES/3DES、SM1、SSF33等对称算法 支持RSA、SM2等非对称算法 支持SHA-1、SHA-256、SM3等摘要算法 支持64bit/128bit/192bit的DES/3DES算法 支持1024 bit/2048 bit RSA 算法 支持160、192、224、256 位长的SM2 算法（ECC 处理器） 完备的密钥管理体系，确保密钥安全 内部真随机产生密钥，包括对称、非对称密钥 密钥、证书内部安全存储 内部实现用户密码PIN加密、交易报文MAC，密钥明文不允许读出到外部 内部实现数据的签名/验签、加密/解密、数字摘要 密钥加密安全输出，支持“一次一密”交易 密钥类型的用途独立性，加密保护输出 高性能安全处理芯片，确保硬件安全 32 位RISC高速