中国银行网银及相关业务动态密码认证系统技术方案.doc

中国银行网银及相关业务动态密码认证系统技术方案上海盛大网络发展有限公司二零零九年二月目 录一、项目概述11、项目背景12 、项目技术要求2二、盛大密宝动态口令身份认证系统31、双因素动态口令认证系统32、基于时间同步的盛大密宝43、盛大密宝认证流程64、盛大密宝系统体系架构设计64.1、盛大密宝系统逻辑架构设计64.2盛大密宝架构设计特点和先进性85、密宝的安全机制及安全目标105.1用户密钥的唯一性和安全性115.2双因素认证机制115.3一次一密认证机制115.4用户信息的高度保密115.5动态口令卡的安全保护125.6动态认证服务器的安全保护125.7对客户网络系统安全性的增强126、盛大密宝密钥安全性137、盛大密宝算法安全性保证137.1动态口令生成的详细流程147.2明文数据装配格式说明147.3样品对应的种子密钥158、盛大密宝的的时钟同步机制159、盛大密宝的令牌安全性1610、盛大密宝动态口令认证系统主要技术指标1610.1支持的操作系统1610.2支持的认证协议1610.3支持的数据库1710.4应用程序接口API1710.5支持的应用系统环境1710.6认证服务器技术指标1711、盛大密宝认证系统的特点和优势1812、 盛大密宝的分类及规格19三、盛大密宝在中国银行网银系统的应用解决方案201、中行网银系统身份认证现状202、中行网银系统动态口令身份认证平台需求分析202.1业务需求202.2功能需求213、盛大密宝身份认证系统中行网银安全解决方案223.1中行网银系统的动态口令认证平台架构设计原则223.2中行网银系统的动态口令认证平台架构设计233.3 动态口令对用户登陆中行网银的保护243.4中行网银系统的在交易过程中对账号安全的保护264、认证设备的分发流程及个人化方案264.1令牌的分发264.1令牌的个人化方案275、盛大密宝认证系统接入中行动态口令认证平台的安全考虑275.1盛大密宝认证系统的高可靠性325.2 一次一密认证机制335.3 盛大密宝认证服务器器的安全保护335.4盛大密宝认证系统的安全性参数335.5盛大密宝令牌的安全保护335.6 完整的日志审计345.7中行网银系统服务器和认证平台服务器的安全性建议346、密宝服务接口357、盛大密宝在中行网银动态令牌认证系统应用的优势36四、售后服务与质量保证371、技术支持及售后服务372、服务承诺37五、软件功能清单39一、项目概述1、项目背景随着信息技术的高速发展和市场竞争的日趋激烈，我国金融事业迅猛发展，金融电子化的快速推广催生了更多的银行新业务。金融领域的计算机和信息犯罪也随之出现不断增加的趋势，根据人行有关文件中的统计数字，近年金融计算机犯罪案件以每年两位数的速度递增。由于网络银行服务的便利性和选择的多样性，越来越多的客户选择在线购物和在线金融服务，但是至今为止，多数银行业务依然沿用通过用户名和密码的方式进行身份认证，密码很容易泄露或者丢失。据调查统计，已发生的网络安全事件中，很大一部分是来自用户的帐号(卡号)和密码被盗。所以说单纯的帐号和密码进行银行业务身份认证风险很大。随着网络银行业务的逐步开展和网络银行的用户越来越多，如何加强银行业务身份认证机制，消除现行银行系统这一方面的安全隐患，减少金融犯罪的发生，提高用户对银行的信任度，是银行业迫切需要解决的问题。中国银行在2008年底推出的新版网上银行，新版网银采用了领先的网络技术、设计理念和系统架构，追求以客户为中心的人性化设计。与“老版网银”相比，新版网银在进行了许多人性化改进的同时大幅提高网银的安全性，在国内同业中首家大规模采用了国际流行的动态口令牌，通过无需改变用户使用习惯的便捷的口令输入操作实现中国银行网银系统对客户身份的安全验证，客户在登录以及重要交易操作中均需输入动态口令进行验证。中行新版网银推出“动态口令牌”安全认证服务后，由于在安全保障上更为可靠，且使用方便，使得新客户的开户数不断攀升。因中国银行BOCNET网银系统动态口令认证平台目前仅支持单一品牌动态令牌，还不能很好的满足不同用户群的要求，为解决这一局限性，中行决定对动态口令认证平台系统进行升级改造，以支持多品牌的动态令牌，为为客户提高最高性价比的产品和服务，进一步提升中行的形象和同业竞争力。2 、项目技术要求本次采购的动态令牌要求能够接入中行升级改造后的动态口令认证平台系统、并与其他品牌动态令牌协同工作，满足BOCNET网上银行系统身份认证需求，及其他应用系统使用动态令牌进行身份认证的需要。1） 、 仅限于时间同步方式动态令牌。能够满足中国银行网上银行或其他相关应用需求的高性能、高可靠性、高安全性的动态令牌设备。2） 、多动态令牌认证系统互相兼容，协同工作 本次招标的目的是建立一个多动态口令认证系统的动态口令认证平台。要求各家动态令牌系统通过兼容性开发能够接入中行动态口令认证平台系统，并与其他品牌动态令牌同时工作，高效率、高可靠性地完成身份认证等有关业务处理操作；3） 、满足中行网银和其他业务系统的多功能可用性需要可以提供发放（与网银用户逐一对应）、认证（同步）、挂失、挂失解除、锁定解除、注销（删除）、更新、回收等各项管理功能。对于令牌失步的情况，可以在认证客户身份之后重新进行同步4） 、高性能高并发需求认证系统可支持千万量级的的用户认证，并支持至少每秒3000并发认证请求。5） 、动态令牌的硬件安全性动态令牌不易损坏，防篡改，支持6位以上的10进制口令生成，质保年限至少3年。6） 、认证系统的高安全性 认证系统本身具有很强的安全性，无后门程序、无安全漏洞，具有较强的抗攻击能力。二、 盛大密宝动态口令身份认证系统1、 双因素动态口令认证系统常用的传统认证是通过用户名密码的方法。当需要访问网络和系统时，用户通过提供能够证明自己身份的信息即密码进行认证，获得系统允许。其中的密码是静态的，并可以多次重复使用。这种静态密码的方法简单方便，但其中存在的诸多安全问题，是一种不安全的验证方式，如：n 为了便于记忆，用户多选择常用词作密码，因此很容易被人猜测到；n 一个密码多次使用，容易造成泄露；n 黑客可以从网上或电话线上截获密码，可轻易获得用户的关键信息；n 密码自动破译工具使猜测密码的时间大大缩短，并可以破解加密的密码；n 企业员工流动性增大，内部授权密码被带出公司并可能被恶意使用；n 网管或内部其他人员可通过合法授权取得用户密码而非法使用。由于静态密码存在以上诸多缺陷，任何听到或窃取到密码的人都能自由地登录系统，并得到系统认可，进而从事任何想做的工作，给网络和用户信息安全带来极大的威胁。如何克服静态密码的不足，加强身份认证手段是一种出路。双因素是密码学中的一个概念。从理论上讲，身份认证有3个要素： 第1要素：即您所知道的内容，如静态密码和身份证号码等； 第2要素：即您所拥有的内容，如一个动态口令令牌卡、一个IC卡或磁卡等； 第3要素：即您所拥有的特征，如指纹和瞳孔等。普通的用户名与密码只实现了第1要素。通过结合以上两种类型的要素，比如当第1要素和第2要素这两个条件同时满足时，才完成认证过程，这就是所谓的双因素身份认证。动态口令(Dynamic Password)也称一次性密码(One-time Password)。动态口令是变动的密码，且只能使用一次，重复使用会被拒绝。动态口令的变动来源于产生密码的运算因子是变化的。动态口令的产生因子一般都采用双运算因子: 其一，为用户的私有密钥。代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：n 基于时间同步（Time Synchronous）认证技术n 基于事件同步（Event Synchronous）认证技术n 挑战/应答方式的非同步（Challenge/Response Asynchronous）认证技术其中，基于时间同步认证技术是把流逝的时间作为变动因子，一般以60秒作为变化单位。所谓“同步”，是指用户密码卡和认证服务器所产生的密码在时间上必须同步。这里的时间同步方法不是用“时统”技术，而是用“滑动窗口”技术，自动在用户口令卡和服务器之间实现矫正和同步。在这几种技术中，由于时间同步具有使用方便等优点，可以在各种大型系统中实现应用，是目前采用最多的认证技术。盛大密宝采用就是这种基于时间同步认证技术。对于动态口令来说，单独掌握密码或者令牌没有丝毫意义。因为密码每分钟都发生变化，花大量时间截获的密码对于黑客没有任何用处，因此不必担心正输入的密码被人窥视。2、 基于时间同步的盛大密宝盛大密宝身份认证识别系统是基于时间同步的双因素动态口令认证系统，其硬件令牌产品称为“盛大密宝” （图） 使用“盛大密宝”身份认证识别系统能够有效的保护用户的帐号和私有信息、财产，能给用户提供更多的增值服务。基于时间同步的动态口令认证机制原理是：每个用户都有一个与众不同的、唯一的身份标志的秘密信息密钥和一个密码产生器盛大密宝。盛大密宝每分钟产生一个动态的密码。盛大密宝被发放给用户时，已经进行了初始化，它存储着用户密钥等重要参数。用户登录时使用的密码（Plogin），就是由固化在动态口令卡上的变换函数产生的。在认证服务器上，也有一个使用相同变换函数的密码生成模块，该模块利用系统数据库中的相应用户信息计算出用户当前的正确密码(Pcurrent)。若 Plogin = Pcurrent ，系统判定正在登录的用户为授权用户；否则，即为非授权用户。盛大密宝每分钟变化一次。用户登录前，开启盛大密宝，盛大密宝上就会显示出当前生成的动态口令，用户在登录窗口输入此密码登录即进行用户身份认证。密宝的技术的核心是一套散列算法，服务器端软件和密宝硬件都包含该算法。由于算法的保密和散列算法的不可逆，所以不能通过动态口令倒推出密钥。盛大密宝已经拥有上百万的用户在使用，并且广泛应用于联通、银行、证券，电信等应用系统。盛大密宝有如下特点：n 安全性高密码依据安全算法每分钟变化、一次一变、无法预测，有效防止重放攻击。n 保密性强在密宝中的秘钥安全存储，密码卡内部信息不可读取，卡被拆开信息自行丢失，最大限度地防止用户身份的泄露。n 集成性好很容易与用户现有系统相集成。对实际使用的大量应用系统仅需作最少的改动。n 内外兼顾密钥生成和管理完全由系统自动完成，最大限度减少人为因素，使系统安全防范对内对外同样坚固3、 盛大密宝认证流程户客户端使用输入登录信息登录结果应用服务器盛大密宝认证服务器盛大密宝（令牌）令牌ID+动态口令用户标识+口令A验证结果动态口令认证结果动态口令 4、 盛大密宝系统体系架构设计4.1、盛大密宝系统逻辑架构设计根据一般应用系统接入外部身份认证系统的模式，盛大密宝密码保护管理平台逻辑架构设分为三层：核心层、应用层和用户层。如下图：1）、核心层核心层主要包括核心数据库服务和认证逻辑中间件。n 核心数据库服务核心数据库服务提供核心过程逻辑，如用户帐号的状况、盛大密宝的状态、种子的计算等均封装于存储过程中，通过存储过程的调用以实现相应处理功能，同时也支持将算法放在COM组件中。n 认证逻辑中间件提供了对数据库业务封装的支持，支持对密宝功能算法的封装，认证逻辑中间件可扩展、可定制。2）、应用层应用层主要提供以下多种服务：n 认证服务认证服务实现了为应用系统如银行、证券、OA等用户提供动态口令认证服务的功能。n 管理服务管理服务主要是提供给系统管理人员使用，管理人员可以通过该服务对认证系统进行管理。n 监控与报警服务该服务主要是提供给接入盛大密宝认证功能的应用系统的内部管理人员使用，使用了B/S架构对认证系统的工作状态进行监控和报警。n 统计分析服务统计分析服务提供对认证系统的基础业务数据进行分析，并以报表形式提供给管理者，以供决策和分析。n 用户自助服务该服务提供了基于WEB的用户自助管理服务，通过此服务来完成用户的自助操作，用户自助服务不但为用户提供了灵活的自助管理令牌的方式，同时也可以减轻应用系统管理人员的工作量。此服务可根据应用系统需要提供。n 应用认证引擎应用认证引擎需要部署在于接入盛大密宝认证功能的各应用系统上，为各种需要动态口令服务的应用提供一个简单的、易开发的SDK包。应用认证引擎提供多种常规开发语言接口包，可扩展性强，并可根据用户的各种应用进行定制。还可以根据银行、证券等行业用户定制专用的、更高安全级别的应用认证引3）、用户层是指应用系统中盛大密宝的使用者，例如：应用系统用户在启用并绑定了密宝后，以后每次登录都需要输入密宝，通过认证服务器的认证后方可登录系统。对于比较特殊和重要的行业用户，例如：银行和证券用户在认证时需要考虑采用加密协议来解决加密传输的问题。另外还要考虑防止因客户端中了诸如“网银大盗”等盗号类木马，而被利用键盘钩子盗取用户键盘输入的情况。 4.2盛大密宝架构设计特点和先进性实际应用中应用系统和身份认证系统体系可能会面临着应用方案的改变，应用系统的扩容以及各种各样的安全风险，如黑客、木马、病毒的入侵等，密宝认证系统作为应用系统安全的第一道屏障，自身的安全尤为重要。为此在密宝平台的设计首要考虑了平台的安全性、可扩展性、兼容性等，力求设计一个安全性高，扩展性好，兼容性强，可和应用系统无缝接入，提供持续服务的动态口令认证平台。1） 、认证与管理功能的分离：认证系统与管理应用系统独立设置，互不影响，认证系统的功能单一，响应速度快；2） 、支持动态负载均衡多台密宝认证服务器实现动态负载均衡，任何一台认证服务器软件或者硬件以及网络的故障不会影响认证服务的持续性，认证客户端可以在多台服务器之间自动切换；3） 、高可用性和无缝接入支持RADIUS、Tacacs+等国际标准协议，具有高度的通用性；可无缝接入支持第三方RADIUS认证的防火墙、VPN和RAS设备，为其提供登陆用户身份的验证；也可以无缝集成到支持标准协议的的应用系统中。自定义的接口SDK包，支持多种语言和环境，安全性高，对应用系统改动很小。4） 、防“中间人攻击”的安全设计“中间人“攻击是动态口令认证系统遇到的比较难以解决的安全性问题，盛大密宝平台提供了防中间人攻击的客户端安全输入控件和后台的对抗中间人攻击的二次认证服务。在传统的基于时间同步的基础上增加了挑战应答方式，进一步提高了动态口令的安全性。有效的解决了中间人工具，保证了交易中用户身份的安全性。5） 、支持MSCHAP V2盛大密宝支持MSCHAP V2等国际通用认证模式，支持通过MSCHAP V2实施用户和服务器的双向认证，兼容性强。6） 、功能丰富的监控报警系统平台提供了完善监控报警系统，可全面可配置的监控整个系统安全状况和资源使用情况，为管理监控系统提供了有效指导和可靠保证； 7） 、完善的权限控制管理设计了多级管理员机制，不以级别的管理员只拥有相应级别的访问权限。根可配置的细分权限控制功能，只允许授权的用户访问平台，避免了非法用户的访问对系统安全造成的影响。8） 、认证系统安全性 认证服务器可采用封闭式结构，系统配置完成后，不带控制台和终端，以求最大限度减小外界干预。提供认证通信协议支持加密方式9） 、先进的管理工具和完善的服务我公司有多个自开发的安全辅助工具，可对应用系统环境进行安全管理和配置，提升应用系统环境的整体安全性。对于Windows服务器，在安装配置好以后，我公司的网络安全部的安全工程师将对服务器进行安全加固，通过调整服务器配置、关闭不必要的系统服务、修改注册表的某些键值，使用服务器自身的安全性得到较大的提高10） 、完善的日志审计功能平台管理员用户的所有操作记录均有日志记录，可以对管理员的操作行为进行审计；同时对用户的认证登陆请求和业务类型进行详细记录，为事后核查提供依据。5、 密宝的安全机制及安全目标基于时间同步的动态口令认证系统有五个方面来保证密码的安全性：第一，令牌产生的动态口令和用户的应用账号和静态密码组合使用，非法使用者仅拿到令牌毫无作用。第二、动态口令根据变化的时间参数经由只能被令牌本身读取的初始化密钥来产生，无法被反推算，或者穷举法等方法进行计算和破解；第三、动态口令使用一次后即告作废，及时在登录时被偷窥或者嗅探，窃密者使用该密码再次登录，将被系统拒绝；第四，密码只在规定的时间窗口内登录有效。一般时间窗口设置为3分钟-5分钟之间，在产生密码过后超过时间窗的分钟数后登陆，系统将拒绝该密码登录；第五，在连续生成多个密码(<10 个)的时候，一旦用户使用序列中最后一个密码成功登录系统，则前面产生的密码都将被系统视为失效。从而，既防止了偷窥，也防止了网络嗅探等窃密行为。保证了很高的安全性5.1用户密钥的唯一性和安全性盛大密宝认证系统中，令牌密钥是用以鉴别用户的最关键、最秘密的信息，因此，一定要保证密钥的唯一性和安全性。用户密钥的产生是一个复杂的过程，其中，硬件噪声源的使用保证了随机数字的不可预测和唯一性，随机多项式的使用进一步加强了唯一性和安全性。5.2 双因素认证机制系统采用双因素认证机制来鉴别用户身份。用户登录时，除了一个记忆在头脑中的密码外，还必须提供他拥有的盛大密宝所生成的密码。只有同时使用正确的用户静态密码和动态口令卡才有可能进入网络，使网络安全性大大提高。5.3 一次一密认证机制动态认证服务器对访问服务器送来的动态口令，进行一次一密认证。由于动态口令无法予测，有效防止了密码的重发攻击。5.4 用户信息的高度保密在该系统中，所有用户的重要信息（如密钥、密码）均以密文形式存储在存储设备中或在信道中传输。5.5 动态口令令牌的安全保护盛大密宝最终将发放给用户使用，因此有必要对密宝本身进行安全保护，措施有：Ø 在电路设计和芯片中，利用芯片的总线不开放特性和EPROM禁读设置，使密宝上的程序和数据无法读出，这样对单个卡的攻击不能获得关键数据；Ø 密码卡不能随意打开，否则，密宝内的保护设置将切断电源，密宝内密钥将丢失。5.6 动态认证服务器的安全保护认证服务器是系统的核心，它除了为客户服务器提供认证功能外，同时也存储着用户的信息数据，因此对它进行安全保护是十分必要的：Ø 该服务器采用封闭式结构，当系统配置完成后，不带控制台和终端，以求最大限度减小外界干预；Ø 服务器上的用户数据以密文形式存在于存储设备中；5.7 对客户网络系统安全性的增强Ø 该系统的动态口令机制保证登录密码每分钟都在变化，无法预测，从而给客户的网络系统和信息资源构筑起一道安全屏障。Ø 该系统采用双因素认证机制来鉴别客户网络系统中用户的身份。用户登录时，必须提供他拥有的盛大密宝所生成的密码。只有同时使用正确的静态密码和密宝才有可能通过系统认证。即使密宝丢失或被盗，用户可以立刻挂失，而传统的静态密码网络用户不易觉察密码何时被窃取。Ø 通过动态认证服务器验证的正确密码只能被使用一次，杜绝了密码泄露的可能。6、 盛大密宝密钥安全性 在盛大密宝安全认证系统中，令牌种子密钥是用以鉴别用户的最关键、最秘密的信息，因此，种子密钥的唯一性和安全性至为重要。硬件噪声源的使用保证了随机数字的不可预测和唯一性，随机多项式的使用进一步加强了种子密钥的唯一性和安全性。为了保证用户的种子密钥的安全性，我们推荐如下的种子生成和传输方案：1）为了尽量减少机密的泄漏，种子文件的产生和传输应该尽量减少中间环节，把能够接触这些机密文件的人减到最少。2）种子文件可以放在客户方生成和管理。种子文件生成后直接以通过AES加密算法加密后以密文方式存放。每个客户的端的加密密钥唯一。种子文件生成完之后，可通过对整个文件通过winzip9.0的AES256位的加密方式加密整个文件，设置15位以上由大小写字母，数字和符号组成的密码。3）客户方生成的加密的种子文件通过机密方式（网络或光盘，由客户方选择）传输给生产工厂。4）生产工厂通过程序把种子解密并写入密宝。这个解密和写入的过程是由程序自动执行，所以工厂的工人也不会知道真实的种子。5） 令牌生产完成之后，工厂根据协议，在客户指定人员的监督下销毁种子文件。通过此方案，生产过程中的种子文件只有客户方和生产工厂能够接触，而且生产工厂只有经过强度很高的加密方式解密文件后生生产令牌。生产工厂看不到明文的种子文件，同时通过保密协议，保证生产工厂在写完卡之后把在可在客户指定人员的监督下销毁全部种子文件。有效的保证了密宝种子密钥的唯一性和安全性7、 盛大密宝算法安全性保证盛大密宝动态口令认证系统采用自定义的动态口令生成后算法。该算法经过了多位资深算法安全专家的评估和认可，算法的保墒性、产生密码的随机性可以得到充分保证，具有认证速度快、随机性强、攻击难度大的特点。7.1动态口令生成的详细流程1）收到令牌动态口令认证请求；2）根据令牌ID或用户名从数据库检查令牌的状态是否正确，合法状态进入下一步；其他状态则返回状态；3）根据令牌ID或用户名从数据库取出令牌对应的加密的种子密钥，令牌初始化时间，令牌上次认证成功时间、令牌的时钟误差以及该令牌对应的生成密码长度；4）；用当前时间和令牌初始化时间比对，确定时间的正确性。5）检查当前时间和上次认证成功时间是否在同一分钟，是则拒绝；6）调用密码生成散列算法EKEY（当前时间，令牌初始化时间，令牌的时钟误差，种子密钥）生成一串数据，从改数据中截取指定位数作为当前动态口令；7）比较生成的动态口令和用户输入密码是否一致，一致则返回认证成功并设置令牌对应的认证错误次数为0；不一致则进入下一步8）根据认证系统设定的时间窗口参数，继续在正负一分钟内调用EKEY算法生成动态口令并和用户输入的密码比对，比对成功返回认证成功，并设置令牌对应的认证错误次数为0，不成功则继续比对；9）如果在时间窗口内没有认证成功，设置令牌对应的认证错误次数为当前数据+1并返回认证失败；7.2明文数据装配格式说明动态口令生成的明文数据装配格式如下：当前时间：tNow，发卡时间：tIssue，令牌误差时间iReviseTime，密码长度PasswordLen，密钥种子tkey【32】，算法EKEY，生成密码串 Keystr，当前动态口令；EKEY（For（i=0,i<31;i+）(tNow-tIssue +iReviseTime)+tkeyi)=Keystr；acPassword= Strcat（Keystr，PasswordLen）；acPassword即为生成的当前的动态口令。7.3样品对应的种子密钥见密钥文件 ekey.txt8、 盛大密宝的的时钟同步机制 随着时间推移以及令牌所处环境的影响，令牌的时钟可能会产生一定的偏移。而时钟是基于时间同步的动态令牌认证系统的关键因素之一，盛大密宝保证年飘移时间范围不大于2分钟，并提供了多中同步手段来保证令牌发生时钟漂移时的可用性。1）滑动窗口，同步跟随所谓“同步”，是指用户密码卡和认证服务器所产生的密码在时间上必须同步。这里的时间同步方法不是用“时统”技术，而是用“滑动窗口”技术，自动在用户口令卡和服务器之间实现矫正和同步。在认证时，当时时间内生成的密码匹配失败时，系统自动在时间窗口范围内匹配，匹配成功时会记录匹配的时间误差，作为下一次匹配的基点，有效避免了令牌长时间不用带来的时钟漂移导致的认证失败和并降低了令牌时钟发生漂移时对认证系统的认证压力。2） 强制时间同步技术 当令牌在用户长时间不用或外界条件的影响下发生较大的偏移时，为了保证认证系统的安全性，时间窗口不宜设置过大，一般为3分钟左右。此时可能导致用户认证失败。为了避免此种情况给用户带来的不便，系统提供了强制同步的功能来实现令牌的同步，具体做法是要求用户输入令牌上产生的的连续三个动态口令，认证系统在此三个密码均验证成功后，会根据此时匹配的时间误差来设置用户参数，保证用户下次成功认证的可能。9、 盛大密宝的令牌安全性1) 盛大密宝令牌防拆解功能盛大密宝令牌防暴力拆解，在强力破坏外壳并读取硬件数据的情况下，存储在MCU的RAM中初始种子密钥自毁；2) 盛大令牌生命周期的安全性 动态令牌的开发和生产符合国家商用密码管理局制定的商用密码生产管理规定，由通过了ISO9000体系认证的指定制造商生产，签订了严格的保密协议和委托加工合同，生产过程有盛大派出的质量控制人员监督检查。动态令牌的运输和发放由盛大专业的物流管理部门负责。 10、 盛大密宝动态口令认证系统主要技术指标10.1支持的操作系统n 认证前端：Windows 2000/2003n 认证后台：SUN Solaris/ IBM AIX/HP-UX等主流的UNIX系统 n Agent：支持Windows、Linux、Sun Solaris、AIX 、HP-UX等主流的操作系统10.2支持的认证协议n 支持自定义的认证协议n 支持RADIUS协议n 支持PAM认证n 支持GINA认证10.3支持的数据库系统支持主流的数据库，主要包括：n SQL Server；n Oracle 10gn DB2n Sybasen 等10.4 应用程序接口API对于有源代码的应用系统，我们提供丰富的API接口，包括各种主流的系统平台Unix、Windows、Linux等。接口方式包括：n JAR包，用于JSP/Java等语言调用n COM+，用于ASP/ASP.NET等脚本语言调用n SO,用于PHP等脚本语言调用n Windows DLL，用于C/C+等高级语言n 等除以上API接口外，并我们还可以按网通的实际需求在较短的时间内进行定制开发。10.5支持的应用系统环境支持的应用系统环境包括：n Windows 操作系统环境n HP Unix /AIX/Linux操作系统环境n 等10.6认证服务器技术指标n 认证服务器的设计用户数： 10,000,000用户以上 （部署3台认证服务器，可满足1000万用户的容量) n 认证服务器支持的网络协议：TCP/IP；n 单台认证服务器系统的认证速度： 1500次/秒（单台认证服务器），11、盛大密宝认证系统的特点和优势1）、近10年产品研发、应用经验，系统稳定可靠、安全性高2）、国内动态令牌产品唯一家单一平台300万以上用户的应用和充分检验，大用户量和高并发支持；3）、多样性令牌终端，满足不同层次、不同身份用户的需要；4）、多语言API接口并支持标准身份认证协议，方便与现有系统整合，兼容WINDOWS, UNIX；5）、完全自主知识产权核心技术，保障系统安全； 6）、认证系统24小时不间断运行。系统采用现今成熟技术设计，利用软件设计架构下的最佳算法，以及互联网技术的高速带宽，使系统性能得到最大优化，保证实时认证和高并发量处理； 7）、自主研发的多服务器负载均衡技术，实时进行大请求数据流负载均衡；8）、 支持多种认证方式，除了支持标准的Radius协议外，还支持Windows的GINA认证，Linux的PAM认证等；对防火墙、VPN和RAS设备的支持：密宝系统支持使用RADIUS协议的防火墙、VPN和RAS设备；9）、管理界面简洁易用友好，采用基于WEB的图形化管理界面，极大的方便了管理员对系统进行集中的管理、维护、审计工作；10）、系统管理功能：后台管理通过百万级用户量管理的实践检验，结合成熟完善的体系及产品售后服务经验，开发出的用户自助服务功能，简单、易用，同时还可按客户的要求进行灵活定制；11）、完全自有知识产品，可以根据客户业务需求灵活定制各种功能模块；12）、安全性的保障：数据库存储的信息均经过加密处理；认证通信协议支持加密传输；系统提供了加密传输机制；在时间同步的基础上增加了挑战应答方式；密宝密码只能成功认证一次，可提供安全登录控件，可有效防止键盘钩子截取用户键盘输入；12、 盛大密宝的分类及规格盛大密宝经近10年的发展，形成了适合不同应用、不同用户需求的4个系列共计8款产品，包括60秒系列产品：D6A8E8；30秒系列产品: X6X8,双种子系列:C6C8,USB接口系列:S6.。包括：30秒密宝、60秒密宝、USB密宝、可更换电池的密宝、8位长度动态口令的密宝、挑战应答方式密宝。i. 变化周期分：30秒、60秒ii. 接口方式分：LCD显示型，USB接口型iii. 电池寿命分：一次性电池型寿命2年以上，可更换电池型寿命更长；iv. 密码强度分：6位密码、8位密码v. 同步机制分：时间同步、事件同步、挑战应答、混合型X6 E8 A8 采用同步及挑战应答两种认证机制30秒变一次6位密码 60秒变一次8位密码 增强认证系统的安全性三、 盛大密宝在中国银行网银系统的应用解决方案1、 中行网银系统身份认证现状中国银行在2008年底推出的新版网上银行采用了国际流行的动态口令牌，。中行新版网银推出“动态口令牌”安全认证服务后，由于在安全保障上更为可靠，且使用方便，使得新客户的开户数不断攀升。但是目前中国银行BOCNET网银系统动态口令认证平台目前仅支持单一品牌动态令牌，还不能很好的满足不同用户群的要求，为解决这一局限性，中行决定对动态口令认证平台系统进行升级改造，以支持多品牌的动态令牌。2、 中行网银系统动态口令身份认证平台需求分析2.1业务需求各家厂商的动态令牌，应能够接入中国银行动态口令认证平台系统，并与其他品牌动态令牌同时工作，高效率、高可靠性地完成身份认证等有关业务处理操作；为了保证银行原有系统的正常运行，需要与原业务管理系统进行对接，同时实现银行业务身份认证，需要实现以下功能需求：² 安全的数据传输机制。² 保证动态口令身份认证系统与银行业务系统的对接。² 完善的审计日志和报表，以保证对操作记录的跟踪1）、令牌高安全性需求 动态令牌要求能抗强行破解，不易受外界环境影响。2）、 认证系统安全性需求银行业务系统的高安全性要求要求系统自身不能有安全漏洞和木马。有一定的抗攻击能力。3）、平滑过渡需求银行业务系统对储户提供36524小时不间断服务，因此要求身份认证系统的采用不能对原系统造成影响，具体来讲：² 动态口令身份认证系统与静态密码认证两种方式在过渡期间内共存；² 动态口令身份认证系统先应用到部分柜员管理中，根据使用情况再逐步过渡到全系统；² 在过渡初期如因特殊原因出现动态口令身份认证系统失效的情况，要求能立即启用原静态密码认证系统，不影响银行的正常业务；4）、高效、高可靠性需求银行业务系统的实时性、高可靠行、高安全性的性质要求“密宝”动态口令认证系统认证速率不能成为原系统的瓶颈，并要求保持系统无单点故障。5）、可管理性需求从易用、易维护等考虑，要求“密宝”动态口令认证系统具有很强的可管理性，主要包括以下内容：l 管理界面友好，功能清晰，符合使用习惯；l 简单、快速的查询、统计、审计功能；l 数据备份和恢复功能；l 报警和故障诊断功能；2.2功能需求1）、业务功能需求实现网银系统及其他应用系统的用户ID信息与动态令牌的关联，动态令牌只有在与网银用户关联之后才可以在网银系统中激活使用可以提供发放（与网银用户逐一对应）、认证（同步）、挂失、挂失解除、锁定解除、注销（删除）、更新、回收等各项管理功能。对于令牌失步的情况，可以在认证客户身份之后重新进行同步2）、接口需求提供C/C+、JAVA等类型的标准API接口，以便动态口令认证系统可接入中行动态口令认证平台系统，以实现以下功能。3）初始化需求要求动态令牌出厂时做好初始化（该初始化过程应当对信息内容可控，保证信息不泄露），在网点对操作员进行签约操作时只进行关联、注销等网银用户ID与动态令牌的关联操作，柜员不对动态令牌硬件本身进行包括写入信息等操作内容，并且要求动态令牌本身不能被复制、修改和破解。4）、统计与分析需求提供包括但不限于按指定或既定时间段（时间点）的区分不同层级机构各种状态（开/销户数、更换数、挂失/解挂数等）的记录信息等统计分析报表。5）、可管理性需求使用浏览器的系统界面，并可根据中国银行要求支持到网点级的功能使用。6）、认证功能需求仅对与中国银行网银用户ID关联后的动态令牌进行无需人为干预的认证，并支持在 银行网银用户登录时和网银用户的关键交易中使用动态口令进行认证。同时能与中国银行使用的CA等其他安全措施不冲突并能同时使用；经过与中国银行动态口令认证平台系统的兼容性开发，可与其他品牌的动态令牌同时使用。7）、支持令牌的批量制牌和发放根据中行业务系统需要，可以批量初始化并发放令牌。3、盛大密宝身份认证系统中行网银安全解决方案3.1中行网银系统的动态口令认证平台架构设计原则针对中行网银系统的安全身份认证要求和平台设计方案，本方案采用独立认证的模式，即动态口令认证服务器集成在中行动态口令认证平台中，中行的网银应用和其他业务应用根据用户使用令牌的的厂家代码调用相关厂家的API来认证其动态口令的正确性。本方案基本设计原则是：1） 最大限度地发挥动态口令身份认证系统的性能；2） 动态口令身份认证系统相对独立于中国银行业务系统，分工明确，便于身份认证系统的维护、管理和升级；3） 动态口令身份认证平台中各家动态口令认证系统功能基本一致，管理界面和操作界面基本一致，界面友好简单，便于系统管理人员和客户的使用；4） 各家动态口令身份认证平台接入的接口统一，易于管理，实施和安装调试；5） 独立设置动态口令认证系统，对中行原有网银和业务系统的改动很少，易于用户系统的实时运行；6） 动态口令身份认证系统与业务系统之间的关键认证数据加密传输，便于确保事后核查审计；3.2中行网银系统的动态口令认证平台架构设计 根据中行的动态口令认证平台的规划，中国银行将建立多家动态口令认证系统组成的统一动态口令认证平台，为中行网银和