加密技术在银行系统中的应用.pptVIP

加密技术在银行系统中的应用 王 斌 加密技术在银行系统中的应用 传统的银行系统加密方法 基于USB Key认证的模式 基于动态密码的身份认证系统 1.传统的银行系统加密方法 2.基于USB Key认证的模式 2.1基于冲击/响应的USB Key认证模式 2.2基于PKI的USB Key身份认证系统 2.3两种认证模式的比较 2.4 USB Key认证模式的特点 2.5 USB Key认证模式的不足与改进 2.1基于冲击/响应的USB Key认证模式 USB Key内置单向散列算法（MD5），预先在USB Key和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给客户端PC上插着的USB Key，此为“冲击”。USB Key使用该随机数与存储在USB Key中的密钥进行MD5运算，得到一个运算结果作为认证证据传送给服务器，此为“响应”。 2.基于USB Key认证的模式 与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户。用户密钥“Key”既不在网络上传输也不在客户端电脑内存中出现，网络上的黑客和客户端电脑中的木马程序都无法得到用户的密钥。由于每次认证过程使用的随机数和运算结果都不一样，即使在网络传输的过程中认证数据被黑客截获，也无法逆推获得密钥。 2.基于USB Key认证的模式 2.基于USB Key认证的模式 2.2基于PKI的USB Key身份认证系统 PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。它是信息安全技术的核心，也是电子商务的关键和基础技术。 2.基于USB Key认证的模式 在基于PKI的USB Key身份认证系统 中，USB key内置的单片机或智能存储芯片可以存储用户的密钥或数字证书，可用于Internet上任何需要验证登陆者身份的地方。 2.基于USB Key认证的模式 2.3两种模式的比较： 冲击响应模式可以保证用户身份不被仿冒，但无法保证认证过程中数据在网络传输过程中的安全。而基于PKI的“数字证书认证方式”可以有效保证用户的身份安全和数据传输安全。在USBKEY内用私钥将原文加密，与原文和数字证书一起打包通过网络传输，服务器端接收后还原出数字证书，利用公钥解密，结果与原文校验，确定用户合法性。而数字证书存储在USB KEY中可以保障数字证书无法被复制，所有密钥运算在USB KEY中实现，用户密钥不在计算机内存出现也不在网络中传播，只有USB KEY的持有人才能够对数字证书进行操作。 2.基于USB Key认证的模式 2.4 USBKey的特点： 硬件PIN码保护 安全的存储介质 公钥密码体制 硬件实现加密算法 2.基于USB Key认证的模式 2.5 USBKey的不足与改进： 针对现有USB Key的键盘输入PIN码的漏洞，可以使用生物技术（例如个人指纹）来替换键盘录入PIN码。也就是说，交易时候接入USB Key，我们不需要再到键盘录入PIN码来验证身份，我们只需要在USB Key的设备上按一下指纹，就能自动验证个人身份，用户只需要验证指纹即可，指纹的验证实在外部设备上进行的，电脑即使被黑客完全控制也无法截取到用户的指纹，从而保证了PIN码的唯一性和安全性。另一方面，交易金额从USB Key上录入，以防止数据在传入USB Key之前被篡改。 3.基于动态密码的身份认证系统 动态密码也称一次性密码，它是指用户的密码按照时间或使用次数的不断动态变化，每个密码只是用一次。动态密码采用一种称之为动态令牌的装用硬件，内置电源、密码生成芯片和显示屏。这种产品的密码生成芯片运行专门的密码算法，根据当前时间以及使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须有动态令牌来产生，只有合法的用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不一样，及时黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份，因为下一次登陆必须使用另外一个动态密码。 动态密码锁系统需要两个密码要素，一个要素是静态PIN码，由用户自行设置、保管。另一个要素是动态密码，由密码令牌动态生成，不可预测，并且与后台服务器的接入控制保持同步，由后台服务器进行检验。因此，用户必需输入正确的静态PIN码和动态密码，才能通过身份认证。 动态密码锁本身需要输入PIN码才能使用，静态