网上证券双因素认证技术应用方案.docx
《网上证券双因素认证技术应用方案.docx》由会员分享,可在线阅读,更多相关《网上证券双因素认证技术应用方案.docx(18页珍藏版)》请在冰点文库上搜索。
网上证券双因素认证技术应用方案
网上证券双因素认证技术应用方案
二〇一一年
1.编写说明
随着证券行业信息技术应用的高速发展,网上交易、手机证券、电话委托等网上证券交易方式已经成为绝大部分证券投资者的首选交易方式。
自2009年6月中国证券业协会颁布《证券公司网上证券信息系统技术指引》(以下简称《指引》)以来,由于历史原因,行业网上证券交易仍以“帐户+静态密码”为主要身份认证方式,该身份认证方式已不能完全适应当前网络信息安全的要求。
《指引》第二十八条明确要求网上证券客户端应提供“交易口令”之外的多种用户认证方式,而“双因素认证系统”可应用于与客户身份认证及交易活动相关的业务,包括网上交易、手机交易、电话委托、现场交易、远程互联等多种交易接入渠道,是落实《指引》要求,推进行业网上证券安全工作的一项重要工作。
为推进《指引》相关要求的落地,促进证券经营机构网上证券业务的规范健康有序发展,2009年8月,中国证监会在北京召开的网上交易安全交流会议上确定国信证券、兴业证券、国泰君安证券和山西证券四家公司参与开展双因素认证系统的行业建设和推广等试点工作。
四家试点公司通过各具特色的试点工作,验证了双因素认证方式的可行性及其在提升网上交易客户端认证安全水平方面的作用,并于2011年1月份通过了行业协会组织的专业评价。
根据《指引》要求及行业试点经验,中国证券业协会组织编制本技术应用方案,从双因素认证技术方案的技术要求、系统构成、技术架构与部署、组织保障及相关配套措施等方面总结出规范的要求,供各证券经营机构(以下简称“公司”)建设实施双因素认证系统参考。
2.双因素认证技术介绍及行业适用性
2.1.双因素认证技术介绍
2.1.1.定义
双因素认证作为密码学的一个概念,具体落实在本行业的应用,是指在传统静态交易密码作为第一种要素的基础上,结合当前技术条件,增加第二种身份认证要素,以增强网上证券客户端身份认证的安全性,使客户身份不易被破解和仿冒的身份认证方式。
2.1.2.双因素认证技术和产品分类
从国内外成熟并可广泛应用于电子商务领域的双因素技术和产品的实现原理方面,主要分类如下:
(1)动态口令
由硬件设备或矩阵式卡片以两端同步的时钟或触发事件为基础,根据专门的算法每隔一定时间生成一个与时间或次数相关的、不可预测的随机数字组合(One-timePassword,OTP),每个口令只能使用一次,以达到口令不可猜测的目的。
根据技术实现的不同可分为时间同步、事件同步、挑战/应答三种类型。
根据终端载体的不同可分为动态令牌、手机令牌、短信口令、刮刮卡等类型。
(2)数字证书
数字证书是由满足国家安全标准或权威公正的第三方机构(即CA中心)签发的,基于PKI技术的个人证书认证体系,通过专用移动存储设备存放包含公开密钥拥有者信息以及公开密钥的文件。
以数字证书为核心的加密技术可以确保网上传递信息的机密性、完整性,以及实现验证身份的真实性、消息的完整性和交易的抗抵赖。
根据客户端载体的不同,可以分为硬件证书(如:
UsbKey)和软件证书两种类型。
(3)特征码绑定
将客户的特征信息,如交易设备的硬件特征(如:
IP、MAC、电话号码等)、客户的生物特征等信息与指定的客户帐户绑定,将客户操作限定只能在所绑定的终端上进行的技术。
2.2.双因素认证技术的行业适用性
2.2.1.行业技术方案和产品选择
上述可选的双因素认证产品和技术方案,在安全性、易用性、客户服务持续投入、刚性成本等方面都有各自的特点,各公司应以防范当前常见的网上证券安全风险为主要目标,从行业的实际情况出发,根据客户的不同安全需求选择合适的双因素认证模式。
根据行业试点经验,符合当前证券行业业务特点和技术现状的双因素产品方案主要包括:
(1)动态口令卡
也称动态令牌,是基于特定硬件的动态口令安全产品,内置智能芯片,以口令种子为密钥,以“时钟”或“事件次数”为明文,采用特定加密算法每隔一定时间生成一个随机数字组合进行口令的动态显示。
根据试点经验,动态口令卡以采用“时钟型”动态口令为宜。
(2)手机动态口令
在手机中安装特定应用程序并加密存储口令种子和计数器,采用加密算法生成动态口令。
手机动态口令可采取“时钟型”口令或“事件型”口令,具体可根据客户使用习惯、安全风险评估、加密方法强度等方面综合均衡。
(3)短信口令
由客户触发、系统生成并通过短信发送给客户的一次性动态口令,属事件型动态口令。
鉴于行业对交易实时性的要求较高,采用短信口令时应充分考虑信息通道的及时性。
(4)数字证书
采用符合国家数字证书安全标准的客户身份双因素认证技术方案。
在用户端,建议采用基于USBKey的数字证书加密存储方案,以保证数字证书在用户端的安全性;在数字证书发放等后台管理上,可采取自建满足国家标准的“公钥基础设施(PKI)”、或采用具备合法资质的第三方数字机构(CA)等解决方案。
(5)硬件特征码绑定
将用户的计算机硬件、手机硬件、来电号码等客户端硬件特征信息与客户指定帐户绑定,客户操作只能在所绑定的终端上进行。
2.2.2.适用范围
根据证券行业的业务特点和客户使用习惯,目前双因素认证技术暂时仅应用于客户身份认证(帐户登录)环节。
根据“木桶原理”,双因素认证技术应同时应用于包括网上交易、手机交易、电话委托、网页委托等在内的各种非现场交易渠道。
在具体实施过程中,各公司可根据安全产品特点、技术方案成熟度、客户接受程度等因素,分步试点、有序推广,最终实现全面覆盖。
2.2.3.双因素认证技术与各渠道的适用性
根据双因素安全产品和技术方案的特性,适用于证券公司网上证券各交易渠道对应关系如表1所示:
表1:
双因素认证技术与各渠道适用性对照表
交易渠道
双因素产品
网上交易
(客户端/网页版)
手机交易
电话委托
硬件动态令牌
适用
适用
适用
手机动态口令
适用
适用
适用
短信口令
适用
适用
适用
数字证书(Ukey)
适用
不适用
不适用
硬件信息绑定
适用
适用
适用
具体选择双因素产品和技术方案时,应在产品本身的安全性和适用性基础上,综合考虑公司的业务特点、客户群使用习惯,以安全和易用相结合为原则,选择适用的、多层次的整体解决方案。
建议将短信口令作为其它双因素产品的辅助应急方式。
3.双因素认证技术要求
3.1.规划设计要求
3.1.1.设计原则
双因素认证系统作为客户身份认证的统一入口,应充分考虑其与现有各系统之间的联系及定位,因此,各公司应做好双因素认证技术方案的整体规划设计工作,并遵循以下原则:
(1)整体性原则:
双因素认证系统应结合网上证券安全建设进行整体规划;
(2)实效性原则:
双因素认证系统应注重实效性;
(3)易用性与安全性兼顾原则:
双因素身份认证的产品选型、方案设计、功能实现,应同时兼顾易用性与安全性,并进行充分的安全风险评估。
3.1.2.规划设计内容
规划设计方案应统筹考虑技术方案、业务推广、制度流程、故障处置等方面的内容。
其中,双因素认证技术方案应包括双因素认证系统、网上交易服务端和客户端安全加固改造等方面的统一规划设计。
同时,应将入侵检测系统、日志管理系统等纳入该建设方案中,确保技术规划方案能推动公司网上证券信息系统符合《指引》的要求。
3.2.功能要求
双因素认证技术方案应至少满足以下功能要求:
(1)应支持数字证书、动态口令及硬件特征绑定等当前主流的双因素认证方式;
(2)应具备高可用性、开放性、适用性、灵活性、可扩展性以适应未来增加新安全认证手段的需要;
(3)支持双因素认证客户端产品的发放、补发、注销及日常管理等功能;
(4)双因素实时认证、校验功能;
(5)双因素认证系统的保密性功能;
(6)支持网上交易、电话委托、现场委托、WEB委托等多种客户端接入的数字证书、令牌系统及品牌;
(7)支持对双因素认证系统的日常监控和管理,可实时采集服务器日志信息,并利用模型对日志数据分析,及时发现系统中存在的安全隐患等异常情况;
(8)系统整体功能应满足《证券公司网上证券信息系统指引》的要求。
3.3.性能要求
双因素认证技术方案应至少满足以下性能要求:
(1)系统应具备身份认证历史平均处理能力3倍以上的峰值处理能力,同时还要确保身份认证效率能充分满足业务要求;
(2)明确系统的设备平均/峰值处理能力、周边系统认证延迟、系统认证效率、系统可用性能力等各项性能指标,系统建设完成后对产品性能进行充分测试,具备完备的性能测试报告。
3.4.应急处置要求
公司应全面评估双因素认证系统建设实施过程中的各种风险,做好充分的应急措施,有效应对服务器故障、软件系统及客户端设备异常等突发事件。
双因素认证技术方案应满足以下应急处置要求:
(1)应对客户身份认证处理的环节实施高可靠部署,通过“本地热备份”、“集群互备处理”、“灾备部署”等措施,实现交易认证环节的高可用;
(2)应具备支持极端情况下旁路的功能,一旦双因素认证系统发生故障,可通过参数设置临时豁免所有第二因素认证,即允许客户在极端情况下,可仅凭交易密码直接登录,以保证客户交易的正常进行;
(3)应为客户提供多种双因素认证方式,如利用短信口令、认证方式临时变更等方式作为备份手段,以使客户能在绝大部分异常情况下,顺利完成交易。
3.5.安全性要求
双因素认证技术方案的安全性要求,包括双因素认证系统选型、双因素硬件产品选型、厂商(合作商)选择等三方面:
3.5.1.双因素系统选型的安全性要求
(1)所选择的双因素认证技术和应用应通过国家认可的第三方安全认证机构的认证;
(2)应综合考虑认证方式的算法安全性、私钥安全性、通信安全性、认证效率、可操作性、法律效力、对使用者知识水平的要求等各方面问题;
(3)由于按照不同的分类和实现方法可组合成多种安全方案,且各方案在安全性、易用性、客户服务持续投入、刚性成本等方面都有各自的特点,因此公司应从实际情况出发,根据客户的不同安全需求选择网上证券双因素认证系统的认证模式。
3.5.2.双因素硬件产品选型的安全性要求
(1)硬件产品标准方面,应符合国家有关安全标准的要求,建议采用取得公安部信息安全产品销售许可并由国家密码管理局正式批准的商用密码产品生产定点单位和销售许可单位所生产的产品;
(2)硬件产品质量方面,产品寿命应至少能保证3年的使用,并在产品寿命要求范围内提供明确的售后服务条款;
(3)硬件产品应用规模方面,应保证已拥有一定的用户规模,确保产品在大规模使用中稳定、高效;
(4)对于采用的硬件数字证书产品,应注意查验数字证书产品所支持的加密算法及其安全性是否符合国家安全标准。
3.5.3.外包厂商(合作商)的安全性要求
(1)资质方面,应要求厂商通过公安部、国家密码管理局、国家保密局或具备国家资质的测评中心等机构至少1家以上权威机构的认证;
(2)研发能力方面,应要求厂商拥有充足的研发团队、保证从营业收入中投入一定比例的费用于研发经费等;
(3)供货能力方面,应要求厂商有专业生产团队、顺畅的零配件供货渠道、严格的产品出厂质检控制、与公司客户规模相当的生产能力等,并应在供货合同中明确供货周期。
3.6.运维管理要求
双因素认证系统建设完成后,应做好系统移交运行的工作,实现系统开发建设与运行维护的隔离,并做到以下要求:
(1)应落实相应的操作权限管理制度,按“最小权限原则”严格控制双因素认证系统的相关权限设置,确保双因素认证系统的逻辑安全性;
(2)应监控包括双因素系统在内的网上证券信息系统安全防护与监控子系统,加强相关系统的日志审查工作,以及时发现问题,提高网上证券信息系统的防护能力;
(3)应对双因素认证校验信息、安全产品发放和管理记录等数据进行集中统一管理,做好双因素认证系统相关认证数据的备份工作,保证备份数据的准确性、完整性、可用性,使系统数据管理满足审计要求,满足监管部门现场检查要求及司法机构调查取证的要求;
(4)应建立规范的系统变更管理流程,控制因双因素认证系统建设过程中可能带来的变更风险。
对双因素认证系统的重要设施、设备的接触、检查、维修和应急处理,应有明确的权限规定、责任划分和操作流程,做好日志记录,并妥善保管相关记录;
(5)应将双因素认证系统的应急预案纳入网上证券信息系统应急处理体系,并按照有关规定进行演练。
4.双因素认证系统的构成
本节结合行业应用对动态口令、数字证书、特征码绑定等不同类型的双因素认证技术方案进行具体说明。
4.1.动态口令系统
动态口令系统由后台系统和前端应用构成,前端应用包括动态口令卡、手机动态口令及短信口令等方式。
4.1.1.动态口令后台系统
动态口令后台系统包括动态口令认证引擎和集中式管理系统,其主要由三个模块组成:
认证服务器、动态令牌、认证应用编程接口(API)组成,如图1所示:
图1:
动态口令后台系统
其中,核心模块是“身份认证软件”,除了提供标准接口供应用系统独立调用外,还可以通过编程接口(API)给公司提供定制化的编程的接口,使公司在不改变系统架构的前提下,获得一个可集成于原应用系统内的动态口令认证内核。
该平台应具备以下功能:
(1)高效的认证效率(满足公司性能指标要求),支持大用户量的身份认证;
(2)阅读被加密的种子文件,并用这些数据来认证客户;
(3)验证当前的动态令牌的动态密码;
(4)支持时间型、事件型等动态口令方式;
(5)可以和已有的系统及数据库进行集成。
4.1.2.动态口令卡
动态口令卡使用特制的硬件设备,产生一个随机但专用于某个用户的动态口令,定时(如每60秒)自动更新一次。
动态口令只有对指定用户在特定的时刻有效。
用户密码和令牌的动态口令的双重使用使用户的电子身份难以被模仿、盗用或破坏。
根据国内外应用案例,动态口令的算法有很多种,但大致过程基本相同,都包括经过明文组织、运算、截短和转换几个过程。
算法大致可以分为两类,分别是“块加密算法”和“散列算法”:
(1)常用的块加密算法是AES、DES、3DES等。
块加密算法主要被各家令牌厂商采用作为厂商专用算法,具体算法可能会在标准算法上稍有调整。
(2)常用的散列算法包括:
Sha1、SM3等。
Sha1算法是国际标准,SM3是中国的一个散列算法。
硬件动态口令的生成一般采用时间为明文,采用种子为密钥,进行AES加密运算,运算的结果为16字节密文,对密文按照动态的偏移量进行偏移和截短,转换为10进制的可显示数,即为动态密码。
为了克服因硬件动态令牌中时钟芯片的时间偏移、动态口令输入和传输的时延,同时保持系统的安全性,硬件动态令牌必须具备“时间窗口”。
所谓时间窗口就是一个时间范围,在该时间范围内,认证按照设置的逻辑进行。
时间窗口可根据:
实时认证偏移窗口、时钟同步偏移窗口等功能,并综合安全性、易用性来设计。
4.1.3.手机动态口令
手机动态口令技术就是把动态认证技术用软件方式(例如手机的J2ME)进行实现,在手机安装客户端并加密存放口令密钥种子,利用手机的运算能力生成并显示一次有效、不可猜测的动态口令。
当用户登录时只需打开手机运行该程序就会得到动态口令,动态口令依据安全算法每次都会变化并且每个口令只能使用一次。
用户使用得到的口令进行登录,服务器接收到用户口令后进行验证,验证通过后,即可允许用户与服务器连接。
经过定制开发,手机令牌可以在目前市场上各类常用的手机操作系统中使用。
手机令牌的管理等可以整合到动态口令的统一管理平台中。
其中,手机口令的展现实现方式可分为:
(1)独立显示:
将手机终端作为动态口令硬件令牌的终端,适用于需要单独输入动态口令的应用,如将手机动态口令作为网上交易、电话委托等动态口令的输入;
(2)集成应用:
将动态口令集成至手机证券应用软件中,客户不用专门输入生成的口令,实现口令生成、输入一体化。
4.1.4.短信口令
短信口令是动态口令的一种实现方式,通过客户(前端应用软件)触发,在动态口令身份认证平台上产生一次性口令并通过手机短信发送给客户。
在后台应对短信校验的有效时间进行检查,同时为确保短信口令的及时性,应配套可靠的发送平台。
4.2.数字证书系统
4.2.1.公钥基础设施(PKI)系统
(1)PKI系统组成
目前数字证书均基于非对称密钥算法,目前在国内外,支持数字证书的相关密钥算法、公钥基础设施(PKI)系统均有成熟的解决方案及国家安全标准。
一般情况下,PKI数字认证系统由密钥管理中心KMC、证书认证中心(CA)、证书注册审核中心(RA)、证书/CRL发布及查询系统以及和应用系统间的接口等部分组成,同时,在公司身份认证处理层,还应部署“验证服务系统”,以对PKI系统发布的数字证书及相关签名信息进行合法性校验。
(2)PKI系统实施
●租用第三方CA
可采取租用经国家认证的、第三方CA中心的PKI实施方案。
在该方案中,证书的发放、管理均由第三方独立完成,与公司原有系统和业务相对隔离,可有效保证数字证书的合法性和安全性。
●自建CA
对于需要大规模发放数字证书的公司,也可采用自建CA的PKI建设方案。
如采取该方案,则相关厂商应具备国家安全资质、产品应具备国家权威机构的安全认证,且在CA中心的日常运营和管理中,应充分遵循国家的有关标准和规范。
(3)以上两种方案,均应至少包含以下设备和应用:
●PKI应用接口:
便于外部应用系统(如柜台系统)调用,以实现证书发放、管理等功能与原有业务流程的集成;
●验签服务器:
实现对客户数字证书进行合法性校验等功能;
●同时,如果采用自建CA方案,还应至少包含以下组成设备和系统:
Ø加密机:
对PKI系统根证书(根密钥)按安全标准进行安全存放;
ØCA与RA系统:
实现数字证书的各项管理和业务处理功能。
4.2.2.Ukey证书加密存储和访问
根据现阶段数字证书技术的发展,在客户端应采用Ukey加密存储和访问数字证书。
Ukey加密芯片的安全功能应满足国家安全标准并具备国家权威机构的认证资质,保证客户私钥不能被读取,并自带符合国家安全标准的密码算法。
可采用Ukey提供的“MSCryptoAPI”或“PKCS#11”等用户接口以进行应用程序调用(如:
网上交易客户端、证书发放和管理客户端等);为了保证接口的安全性和唯一性,也可采取由Ukey厂商定制接口的方案。
随着技术的发展,除加密存储功能外,目前Ukey已经发展至“二代”产品,即同时具备“按键确认、指纹识别”等“复核确认型”功能。
4.3.硬件特征绑定应用
硬件特征绑定可使用可识别特定客户终端的如下信息:
(1)桌面终端信息:
如MAC地址、硬盘序列号、CPU序列号等,或这些信息的综合计算值;
(2)手机终端信息:
如手机IMEI号等手机特征信息;
(3)电话号码:
如手机号码、固定电话号码等特征信息。
硬件特征绑定可集成于集中交易系统中,或者相对交易系统单独部署。
系统在处理客户登录请求时,应同时校验其硬件特征信息与后台记录是否一致。
5.双因素认证系统技术架构与功能说明
5.1.双因素认证系统技术架构图
图2:
双因素认证系统技术架构图
5.2.客户端层
客户端层包括客户交易终端、客户业务和服务端两大类。
5.2.1.客户交易终端
应在网上证券终端原有功能的基础上,增加以下双因素认证的前端支持功能:
(1)客户端对Ukey数字证书的访问,以及对数据进行签名发送的处理等;
(2)提供硬件动态口令的输入界面,并对动态口令合法性校验进行处理;
(3)提供短信口令生成的交互界面,提供短信口令输入界面,并对其合法性校验进行处理;
(4)提供手机动态口令的生成、处理、校验处理等功能;
(5)提供客户终端信息读取、生成,以及对其合法性校验进行处理等功能。
5.2.2.客户业务和服务端
在原有客户业务和服务端增加以下双因素认证相关的应用前端:
(1)现场业务与服务:
●客户临柜现场办理双因素认证和各项服务的功能;
(2)远程业务与服务:
●呼叫中心远程提供双因素认证相关的服务和业务办理;
●网上营业厅提供双因素认证远程自助服务和业务办理;
●专用客户端提供双因素认证的业务办理与服务处理等。
5.3.身份认证处理层
身份认证处理层主要在原交易接入和交易处理的应用上,增加双因素认证功能,具体包括:
(1)客户识别:
对客户双因素状态进行判断,对具备双因素状态的客户进行双因素认证处理;
(2)应急处理措施:
●双因素客户临时豁免:
系统在特定的时间段内,临时解除客户双因素安全状态,以应对特定客户双因素产品失效(如产品过期、损坏、遗忘等原因)的应急措施;
●双因素旁路功能:
系统临时取消对全部双因素客户进行双因素校验的功能,以应对双因素身份认证系统发生全局性故障;
(3)双因素身份认证:
●硬件动态口令认证:
对客户输入的动态口令进行合法性校验;
●数字证书认证:
对客户数字证书进行验证,包括客户数字证书的合法性(由指定机构颁发),以及客户私钥加密信息的正确性;
●短信口令认证:
对客户输入的短信口令进行合法性验证,包括是否在有效时间内,以及口令是否满足动态口令计算要求;
●手机口令验证:
对客户输入的手机动态口令进行合法性校验;
●客户端信息绑定:
验证输入的客户端信息数据是否与后台记录相一致。
5.4.业务办理和服务处理层
在交易业务柜台、呼叫中心、网上营业厅、专用客户端中,根据公司制定的业务管理规定,在相关应用系统中实现以下功能:
(1)双因素开通、产品发放:
包括现场(临柜)开通和安全产品发放,非现场开通和安全产品配送(推送)等,相关业务包括:
●硬件动态令牌的发放和开通;
●数字证书签发和Ukey产品发放;
●手机动态口令推送和手机口令客户端软件安装(升级);
●短信口令开通;
●客户帐户与客户端硬件信息绑定。
在具体业务实现中,还应重点包括:
客户身份审核、业务风险提示、协议签署、产品使用培训等重要环节。
(2)双因素挂失、解挂、注销,包括:
●在客户发现硬件产品遗失情况下进行挂失处理;
●在客户找回硬件产品后进行解挂处理;
●在客户改变双因素方式或取消双因素方式时,进行注销处理;
(3)动态口令偏移同步:
对动态口令的时钟偏移或次数偏移进行校验同步。
包括由客户在终端自助同步,或由公司客服人员通过呼叫中心或柜台前端进行人工协助同步;
(4)产品到期主动提醒:
在安全产品预计的使用寿命到期前(包括硬件产品到期、数字证书到期、动态口令种子到期),应提供“产品到期前主动提醒”服务,通过短信、电话、客户端登录提醒等方式,提醒客户提前进行产品更新。
5.5.后台管理系统层
通过部署双因素认证的后台系统,实现相关管理功能,具体包括:
(1)双因素认证后台系统
●动态口令后台管理系统;包括动态口令种子管理系统、动态口令客户管理系统等;
●数字证书后台管理系统:
主要包括公钥基础设施(PKI)系统和证书管理系统,或与第三方CA中心的数字证书业务接口及其处理系统。
●硬件信息绑定管理系统:
记录客户硬件信息,并与客户帐户、交易方式等相绑定。
(2)双因素认证管理系统
将上述后台系统与原交易管理系统相结合,配合相关管理流程、业务流程,主要实现以下双因素认证相关的管理功能:
●实物管理:
包括双因素硬件产品(硬件动态令牌、Ukey等)的采购、入库、领用、统计、盘点等管理;
●客户手机号码管理:
通过手机号码登记、修改确认、定期核对等方面,提升客户手机号码的管理,确保其准确、有效;
●动态口令种子管理:
包括对厂商提供的动态口令种子的接受、导入、存放、使用等管理功能,在整个管理过程中须着重保证动态口令种子的安全性