1.2、金融--手机银行--网银

项目背景

1、网上银行

随着我国银行业及网络技术的发展，各大银行大力推广网上银行、电话银行、手机银行等电子银行业务，电子银行已经越来越普遍地出现在我们的生活之中。电子银行的安全随着业务普及，逐渐就成为人们关注的焦点，便捷的电子支付业务随之而来的安全需求被银行提上议程。

2、手机银行

手机银行也称为移动银行，指利用手机、PAD和其他移动设备等实现客户与银行的对接，为客户办理相关银行业务或提供金融服务。手机银行既是产品，又是渠道，属于电子银行的范畴。

3、密码改造

为应对目前银行业密码算法应用中存在的安全问题，相关部门从国家层面提出了国密算法应用的战略。国密算法是我国自主研制完成的一系列密码算法，具有较高安全性，由国家密码管理局认可和推广。近年来，国家密码管理局公布了SM2、SM3、SM4等一系列国密算法，用以保障我国信息安全。

项目需求

１、业务需求

• 公共信息发布
• 电子信息查询
• 电子支付和转账

２、安全需求

电子银行应用（包括网上银行、电话银行、手机银行、ATM、POS等）面临的风险来自如下方面：假银行网站欺诈，骗取用户账号及密码信息；通过种植木马等程序进行密码窃取。为保障网银用户的安全，银行采用了数字证书和动态密码作为保障用户登录安全的主要手段。

身份认证：保障电子银行用户身份认证的安全性；

数据加密：保障电子银行业务数据的机密性；

数据完整性：保障电子银行交易信息的完整性；

不可否认性：保障电子银行交易信息的不可否认性；

另外：还要保障业务系统的连续性，可用性等。

项目方案

１、动态口令解决方案

采用动态口令认证主要包含短信验证码认证（需要短信网关），动态令牌认证（单键、多建、手机令牌）等。

２、数字证书解决方案

 采用数字证书认证除了Ukey和签名服务器外，需要数字证书认证系统，如发证机构CA，证书存储LDAP等。

３、改造方案

为了确保安全，电子银行一般都引进权威的第三方认证机制，使用第三方认证中心的证书完成网上交易，以可靠地解决网上信息传输安全和信用问题。目前国内的网上银行的第三方认证机构通常是CFCA（中国金融认证中心），为目前国内最具权威性的金融认证机构。

国密改造可分为多个阶段实施，例如：XX银行首先进行网上银行个人网银签名验签的改造，然后进行国密SSL的改造。

软硬件设备

１、Ukey：一代key，二代key；

2、动态密码服务器：动态认证；所有密码厂商；

3、签名验签服务器：数字签名；所有密码厂商；

4、SSL安全网关：通信数据加密；深信服，吉大正元，格尔，信安世纪，江南天安等

5、负载均衡设备：链路负载，服务器负载；F5，深信服，吉大正元，格尔，信安世纪，迪普等

6、数字证书：签名证书，加密证书，SSL证书；CFCA