建行网银CA认证系统建设案例介绍

需求分析

银行业在国民经济和社会生活中扮演着重要的角色。银行的业务数据多是和储户的账户有关的敏感数据，如储户的账户号码、账户密码、账户中的存款金额等，而internet是一个开放的公共网络，在这样一个开放的网络上拓展银行的传统业务，安全性是要考虑的首要因素。网上银行受到的安全威胁主要来自下面几个方面：

国富安承担了建行网银的CA认证系统项目，其核心技术是基于PKI体系的数字证书认证机制，可以满足网上银行系统对数据保密性、完整性、鉴别与识别（认证）、访问控制及不可否认性等多种安全需求。

项目简述

到目前为止，国富安已经与建设银行在CA认证系统建设项目有过三次合作。分别为：

建行网银CA认证系统于2000年10月投入使用，此后又在一期的基础上，不断的对系统进行升级和优化。为解决日益猖獗的客户端安全威胁，三期项目增加了国富安桌面安全保护产品——网上银行签名通与密码输入控件，防范盗号木马等攻击和解决客户端数字签名的需求。

该系统运行情况良好，目前已经累计发证已经达到千万级。

应用部署图

应用集成

需要对网银系统做如下集成工作：

配置服务器证书：服务器证书由CA认证系统颁发，将网银系统的域名写入证书项，作为唯一标识。将服务器证书安装到网银的WEB服务器，用来表明服务器的身份，使登录用户可以验证服务器的真伪。

部署证书解析及验证模块：

证书解析：从证书中提取证书颁发者域、主题域、序列号、公钥、有效期等信息。

证书有效性验证：可以验证证书是否有效，是否是某根证书所签发。

证书有效期验证：判断证书是否在有效期内。

证书crl验证：验证用户证书是否已经被吊销。

增加URL接口：提供URL连接，包括CA系统的申请服务器的连接、根证书下载服务器的连接、换证服务器的连接等URL。

增加数据库接口：需要增加网银系统与CA系统互相查询数据的接口。（例如查询发证状况时需要列出证书的发证分行，这需要到网银的数据库去查找。）

客户端即网银系统的用户将证书集成到网银系统中应用的过程如下：

获得用户证书：用户证书由CA认证系统签发，颁发给用户。用户证书标识了用户的身份信息、用户公钥以及CA中心对证书相关域内容的数字签名，并提供定制的有效期。证书存储在USBKEY中。

部署数据签名模块：以网上银行签名通与密码输入控件形式提供，通过浏览器自动下载。通过该产品的签名通控件功能及用户证书对交易信息进行签名，同时在服务器端进行客户身份验证和签名信息验证，保证客户的合法性，保护网银客户的交易，同时达到防抵赖，保护银行和客户的资金安全的目的

部署安全登陆模块：以网上银行签名通与密码输入控件形式提供，通过浏览器自动下载。通过该产品的密码输入控件功能保护用户在客户机上的敏感信息如帐户密码的输入安全，实现消息钩子防护、输入信息保护的功能。

证书的应用

使用了证书后，网银系统的安全业务流程如下：

1. 网银用户通过SSL通道访问网上银行WEB服务器，进行单向身份验证，防止网络钓鱼等欺诈网站，并作信道加密；

2. 网银用户在网上银行WEB服务器上下载签名及加密控件；

3. 网银用户使用数字证书登陆WEB服务器，通过证书验证后，访问应用服务器做相应的业务操作；

4.网银用户使用签名控件对重要操作进行签名处理；

5. 网银用户使用加密控件对签名后的文件进行加密处理；

6. 网银用户使用签名控件对加密文件作签名处理并上传至网上银行应用服务器；

7. 网上银行应用服务器的签名验证模块验证签名并存储签名数据;

8.需要解密存储的文件利用解密接口恢复出明文进行存储。

实施效果

实现了对网银用户的身份认证、访问控制、数据在公网上传输的保密性、完整性、不可否认性，并提供了安全审计的机制。基于CA的数字签名技术也保障了网上办理资金业务的法律有效性。本项目自上线以来，得到广泛使用，切实解决了建行网上银行所面临的应用级的安全威胁，保障了网上银行业务的顺利安全开展。