第三代U盾-“网银宝”.doc

网络支付密码保护系统 第三代网络支付密码保护系统 第三代 UKEYUKEY 技术白皮书技术白皮书 北京趋势恒信科技有限公司北京趋势恒信科技有限公司 20112011 年年 6 6 月月 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街辉煌国际大厦 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 I 目目录录 1 概述概述 1 2 产品功能及性能产品功能及性能 2 2 1 产品外观 2 2 2 产品功能 3 2 3 产品性能 4 3 产品部署使用产品部署使用 5 3 1 支持环境 5 3 2 产品使用 5 4 产品特点及优势产品特点及优势 6 4 1 系统特点 6 4 2 产品优势 8 5 FAQ 9 6 技术支持方式技术支持方式 10 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 1 1 概述概述 网上银行又称网络银行 在线银行 是指银行利用 Internet 技术 通过 Internet 向客户提供查询 对帐 行内转帐 跨行转帐 信贷 网上证券 投 资理财等传统服务项目 使客户可以足不出户就能够安全便捷地管理活期和定 期存款 支票 信用卡及个人投资等 可以说 网上银行是在银行在 Internet 上开办的虚拟银行柜台 然而 在极大的提供客户便利性的同时 服务的安全 性是银行考虑的重中之重 也是所有网银系统建设的核心内容 中国银行业监督管理委员会关于客户安全方面有明确的规定 金融机构在 提供电子银行服务时 因电子银行系统存在的安全隐患 违规操作和其他非客 户原因造成的资金损失 由金融机构承担相应责任 因客户泄漏交易密码 或 者未按照服务协议尽到应尽的安全防范和保密义务所造成的资金损失 由客户 承担相应责任 因电子认证服务提供者提供的电子签名认证出现漏洞或失误等 原因造成的损失 电子认证服务提供者不能证明自己无过错的 承担赔偿责任 根据 银行卡联网联合业务规范 规定 联网成员必须采用硬件加密 即 采用硬件加密设备用于保护密钥 产生密钥 个人密码 PIN 的加密和解密以 及报文鉴别 所有机密信息运算操作必须都在硬件设备中完成 以保证密钥和 个人密码 PIN 的安全 防止明码泄露 趋势恒信公司的核心技术产品 网银宝 是根据多年金融行业安全服务经 验 深刻分析目前所有网银 U 盾产品的弱点 而开发的新一代高安全网银保护 产品 它不但解决了目前网银用户遭遇病毒 木马窃取机密数据的问题 而且解 决了遭遇钓鱼站点的攻击 采用了最新的设计思想 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 2 2 产品功能及性能产品功能及性能 2 1 产品外观产品外观 产品经过精心设计 优化 其尺寸为 66mmx33mmx9 5mm 外观如下图 所示 图 2 1 产品外观部件图 1 显示屏 用于显示金额 账号 密码 号等数字和字符 2 logo 区 用于丝印未来用户的 logo 3 数字按键 0 9 数字按键 用于输入客户密码 账号 金额等 4 Mini USB 口 用于连接外部电脑及其他终端设备 5 功能按键 C 取消 功能按键 用于重新输入数字 取消屏幕显示服务内 容等功能 6 功能按键 R 确认 功能按键 用于确认输入数字 确认屏幕显示服务内容 等功能 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 3 2 2 产品功能产品功能 1 基本功能 基本功能 普通 USB Key 证书功能 支持 X 509 V3 标准格式数字证书 RSA 密钥对芯片内生成 密钥安全存储 硬件随机数生成 全球唯一 32 位序列号 可支持 USB 无驱 即插即用 提供 DLL 和 CSP 等开发套件 PIN 加密输出 具备按键输入 PIN 输入交易密码 PIN 自动加密 符合 ANSI X9 8 标准 MAC 数据生成及验证 可根据密钥长度自行选择 ANSI X9 9 或者 ANSI X9 19 标准计算 金额输入 支持按键输入金额 液晶显示金额 账号输入 支持按键输入账号和证件号 液晶显示输入信息 敏感数据加密及解密 支持对敏感数据进行加密和解密 提供 ECB 和 CBC 两种加解密模式 数字签名 验签 支持针对数据进行签名 验签功能 数字信封功能 支持敏感数据数字信封功能 密钥安全管理 支持密钥安全产生 存储 分发 销毁等安全管理功能 符合金融密钥 体系和标准 PKI 体系 2 管理工具 管理工具 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 4 网银宝 管理软件是针对 网银宝 的客户化管理而提供的一套软 件工具 具有友好的人机交互界面以降低 网银宝 的管理和使用难度 主要功能如下 查看证书 对 网银宝 进行证书查看 检查证书有效期 颁发机构等 内容 修改 Ukey 口令 修改 Ukey 口令 确保其安全调用 修改 Ukey 名称 查看和修改 Ukey 名称 2 3 产品性能产品性能 支持标准 支持标准 密码算法 DES 3DES RSA SSF33 SM1 SM2 摘要算法 SHA 1 SM3 符合标准 ANSI X9 8 ANSI X9 9 ANSI X9 19 通讯接口 Mini USB 处理性能 处理性能 DES 算法性能 14Mbps SM1 算法性能 7 2Mbps SF33 算法性能 15Mbps SM3 算法性能 2 2Mbps SM2 256 位签名 150 次 秒 SM2 256 位验签 90 次 秒 RSA 1024 位签名 90 次 秒 RSA 1024 位验签 650 次 秒 RSA 2048 位签名 12 次 秒 RSA 2048 位验签 160 次 秒 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 5 3 产品部署使用产品部署使用 3 1 支持环境支持环境 支持操作系统 Windows 2000 Windows XP Windows 2003 Vista Windows7 等 支持浏览器 IE6 IE7 IE8 等浏览器 3 2 产品使用产品使用 产品使用过程为 1 将 网银宝 插入到客户端电脑中 MiniUSB口口 2 登录银行网银站点 并下载安装 网银宝 的控件 3 银行网银 Web 服务器验证网银宝内部的个人证书 通过后 进入到网 银系统内部 4 当客户进行转账 汇款等操作时 需要输入交易口令 PIN 则此时需 要通过 网银宝 上面的数字按键输入客户交易密码 5 客户交易密码经过 网银宝 自动加密和处理后 由信息交互控件读 取后传送到银行网银系统内部 6 银行内部处理后 将结果返回 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 6 4 产品特点及优势产品特点及优势 4 1 系统特点系统特点 一一 完整的安全设计方案完整的安全设计方案 内置全数字功能按键 具备加密键盘 内置全数字功能按键 具备加密键盘 PINPAD 功能 功能 内置 0 9 取消 确认 功能按键 用户密码 PIN 内部加密功能 有效防止 PIN 的 HOOK 攻击 规避了病 毒 木马攻击 加密符合 ANSI X9 8 Docutel IBM 等多种标准的 PINBLOCK 格式规 范 具备具备 PKI 证书功能证书功能 支持 X 509 v3 标准证书格式 提供标准安全中间件接口 CSP PKCS 11 实现签名 验签 数据 加密 解密 数字摘要等功能 支持密钥安全存储 支持国内 国外多种对称和非对称加密算法支持国内 国外多种对称和非对称加密算法 支持 DES 3DES SM1 SSF33 等对称算法 支持 RSA SM2 等非对称算法 支持 SHA 1 SHA 256 SM3 等摘要算法 支持 64bit 128bit 192bit 的 DES 3DES 算法 支持 1024 bit 2048 bit RSA 算法 支持 160 192 224 256 位长的 SM2 算法 ECC 处理器 完备的密钥管理体系 确保密钥安全完备的密钥管理体系 确保密钥安全 内部真随机产生密钥 包括对称 非对称密钥 密钥 证书内部安全存储 内部实现用户密码 PIN 加密 交易报文 MAC 密钥明文不允许读出到 外部 内部实现数据的签名 验签 加密 解密 数字摘要 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 7 密钥加密安全输出 支持 一次一密 交易 密钥类型的用途独立性 加密保护输出 高性能安全处理芯片 确保硬件安全高性能安全处理芯片 确保硬件安全 32 位 RISC 高速处理芯片 硬件真随机数发生器 具有 64 位唯一硬件序列号 硬件支持生成 1024 2048 位 bits RSA 密钥对 支持 RSA DES 3DES SHA 1 和 SHA 256 算法 优化的 ECC 处理器 支持 160 192 224 256 位长的 SM2 算法 优化的 HASH 处理器 支持 SM3 算法 支持 SM1 SSF33 算法 硬件 CRC 模块 存储器加密机制 防 DPA SPA 分析 硬件防火墙机制 安全自主操作系统安全自主操作系统 CSCOS 确保系统安全 确保系统安全 内置安全自主操作系统 CSCOS 完善 优化 CSCOS 安全文件系统 处理性能高 安全的输入 输出处理机制 二二 易于集成 应用简单易于集成 应用简单 免驱设计 即插即用免驱设计 即插即用 使用微软内置驱动 无需安装驱动程序 MiniUSB 标准设计 支持 USB2 0 标准 内置液晶屏 易于显示金额 账号等信息内置液晶屏 易于显示金额 账号等信息 点阵式液晶屏 61 16 像素 显示 1 8 个字符 可根据需求定制显示内容 提供标准的提供标准的 C JAVA 接口 实现加密功能接口 实现加密功能 提供标准 C JAVA 接口 实现硬件 PIN 加密 MAC 计算 接口提供与应用加密系统无缝集成 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 8 提供标准提供标准 CSP PKCS 11PKCS 11 接口接口 方便开发和集成 方便开发和集成 提供标准 CSP PKCS 11 接口 实现硬件数字签名 验签 加密 解密 摘要等 接口提供与证书系统无缝集成 三 外观小巧 方便携带外观小巧 方便携带 外观尺寸 66mm 33mm 9 5mm 精致小巧 提供外观颜色 丝印字体选择 4 2 产品优势产品优势 完备的安全设计 同时具备证书 USB Key 和加密键盘功能 支持敏感信息 一次一密 地高强度硬件加密 有效防止了病毒 木马 的攻击 支持国内 国外多种标准算法 易于应用安全集成 完善的密钥管理机制 应用接口丰富 扩展性强 性价比高 网络支付密码保护系统技术白皮书 北京趋势恒信科技有限公司 地址 Add 北京市海淀区上地十街 1 号院 4 号楼 1402 室 电话 Tel 86 10 82176582 传真 Fax 86 10 82176320 邮编 P C 100085 9 5 FAQ 1 忘记 网银宝 口令 错误尝试 6 次后导致 网银宝 锁定 怎么办 答 为保障您的 网银宝 安全 校验 网银宝 口令错误 6 次后 会提示 网 银宝 锁定 您可到银行网点进行解锁