上海林果电子交易统一认证方案
出处:中国信息主管网 日期:2012-05-11
概述
ESS电子交易安全服务平台是上海林果实业自主研发,具有科技创新、独立知识产权的统一多认证工具多认证方式的安全服务平台,可广泛应用于网上银行、手机银行、电话银行、ATM/POS、卡支付、网上证券等。基于ESS平台可实现银行业的电子渠道及内部应用的统一认证、访问授权、交易鉴别、日志管理,是金融行业建立统一的认证平台和多渠道融合的基础。ESS平台提供了海量级认证所需的高可靠性、扩展性、分布式部署和高可用性特性。技术上实现了多认证设备的虚设备管理、动态驱动加载技术、统一日志、负载均衡和冗余。
背景
随着互联网的迅速发展,电子交易越来越普及。电子交易的应用包括:电子银行(网上银行、ATM应用、POS应用、电话银行、手机银行、卡支付)、网上证券、第三方支付、电子商城等。近几年来,电子交易有40%以上的年增长率。其中,电子银行的发展呈现出多种电子渠道的并行发展到融合的趋势,渠道的融合可以使业务发展和营销更加灵活。各种电子渠道应用对安全性需求具有共性,都有对用户认证、交易认证的需求;有日志的需求、有访问授权的需求、有风险监控和防范的需求。为了更好地支持各种电子渠道的业务发展和融合,需要建立一套适合于所有电子渠道的统一认证平台,来统一处理用户的认证、交易的认证、风险监控和防范、统一的日志等。
ESS电子交易安全服务平台
ESS电子交易安全服务平台是金融业建立统一认证中心的基础,提供了用于金融业的电子渠道及内部应用的统一认证、授权、交易鉴别、日志管理的解决方案,可用于建立鉴权中心。该平台具有以下特点:
- 独立于应用设计:ESS的设计不依赖于任何应用,完全独立于各种应用系统,将电子渠道应用的安全特性从应用中分离出来,使应用系统更加专注于应用,将相关的安全交给ESS处理,保证了应用的安全性和灵活性。应用和安全性的升级互相独立,使得系统规划和发展更加灵活。
- ESS支持渠道的融合:ESS可以为各种渠道提供安全服务,包括身份认证、交易认证、统一日志、风险监控和防范,支持网上银行、手机银行、电话银行、电子支付等。
- 多业务的安全接入,各业务之间的安全服务互不影响:实现对多业务的安全接入,每个业务接入报文均要求进行报文校验,接入访问控制校验,可设置敏感字段加密。各业务请求的安全服务可被分发到不同的安全服务器,各业务的安全服务器功能升级、维护或故障,不影响其它业务的运行。
- 提供统一的认证、授权、交易验证、交易日志等安全服务:在单个平台上实现以上安全服务,通过插件方式支持增加新的安全服务。提供包括静态口令、动态口令、短信口令、PKI数字证书等多种认证设备的认证,提供对访问的资源对象的授权控制,支持利用多种认证设备对交易内容进行验证,记录不可修改的交易日志。
- 多种认证工具同时及混合使用:安全服务不依赖于特定类型和特定厂家的设备,多种认证方法及多厂家认证设备,可以在不停止服务的情况下加入、升级和配置,安全服务不依赖于特定类型及厂家。多种认证方法和设备可以同时使用,并可根据业务需要混合使用。目前支持动态口令、PKI、静态密码、短信口令、手机令牌、短信令牌、刮刮卡等。支持的厂商有RSA、VASCO、林果等。
- 千万用户级别下支持高并发的安全服务请求:单台服务器可支持3000笔/s,整个系统的性能可根据需要线性扩展。安全服务可被分发到多台服务器进行处理,系统在维护、升级、配置等管理操作时不停止服务,系统的可靠性应高于99.999%。
- 扩展性:提供了电子渠道业务扩展标准接口,新渠道和业务可以快速接入ESS平台,并且不影响现有业务;提供可配置的安全服务扩展支持,除了已有的认证、授权、鉴别和日志等安全服务功能外,可根据银行的需要加入扩展的安全功能;提供标准的认证工具界面,可集成多个厂商的多种认证设备。新的认证设备只需通过编写特定的设备驱动即可集成到ESS平台。
- 高可靠性和冗余机制:ESS平台的组件可以灵活地部署到数据中心、备份中心、灾备中心,实现备份和冗余;同时可均衡各组件的负载。
解决方案
基于ESS平台的电子银行安全解决方案如图所示:
该方案解决以下问题:
² ESS平台作为认证基础设施,为多种电子渠道提供认证服务,如网上银行、手机银行、ATM、POS、电话银行、卡支付等;
² 用户的认证工具可以是不同厂商的令牌、USB KEY、刮刮卡、手机短信、静态密码、软件令牌、手机令牌等,可以随着认证技术的发展,不断扩展;
² 一种认证工具可以支持多种渠道应用,如动态令牌可以支持手机银行、网上银行、卡支付、ATM、POS以及OA应用等;
² 动态令牌的易用性和安全性扩展到所有应用;
² 认证服务可以是身份认证、交易认证;
² ESS的伸缩性结构和扩展模式,可以很好地解决性能升级和灾备的需要;
² 统一的基于认证的日志管理、归档和分析并保证其安全性;
² 应用和认证的分离,加速应用的推出,并利用已有的认证基础设施保证安全性;
² 为电子渠道应用提供安全认证、授权、交易鉴别和日志的统一管理;
典型案例
中国银行在其新版网上银行系统中加入了领先的ESS电子交易安全服务平台,即中国银行ETOKEN动态口令认证系统,于奥运前夕正式推广。中国银行作为中国对外服务的国际性大银行,其新版网银从长远着手,搭建了海内外统一的网银服务平台。ESS已经在中国最大的银行之一中国银行成功运行超过2年,是本领域内全球用户数量最大的一个案例。另外,中国银行将手机银行、电子支付也加入到ESS平台的统一认证中,实现了多渠道的安全认证融合。
基于ESS平台,光大银行建立了统一认证平台,并在此平台的基础上采用林果的动态令牌推出阳光令牌,阳光令牌是国内首个电子银行统一身份认证工具,实现了网上银行、手机银行、电话银行、电子支付四个电子渠道的统一认证,做到了安全认证方面的多渠道融合;未来目标是实现,“一个客户,一个令牌,全部渠道,全部服务”,真正做到“一令在手、畅行无忧”,使阳光令牌成为用户的统一“金融身份证”。
在证券行业,中国最大的证券公司之一国泰君安证券采用林果ESS平台建立统一认证中心。该平台同时支持USB Key、动态令牌和短信口令,用于为高风险的证券交易账户提供双因素认证保护。
采用ESS平台的用户还有:交通银行、盛京银行、财通证券、中信金通、华安证券等。
更多信息请访问http://www.linguo.cn