第一章前言当前，随着电子化、网络化与业务多样化的发展，金融业务系统的基础设施跨越传统的局域网和广域网，从而充分利用系统网络的强大功能。

这就意味着金融企业需要向员工、承包商、业务伙伴和客户开放系统网络，其中包括客户数据库、人员档案和其他关键性信息资源。

因此，金融企业不得不面对这样的现实：电子工作空间已经不再处于本单位或本部门的完全控制之中。

然而，计算机和信息犯罪在近年来正呈现出上升趋势。

相应事件日益频繁，且导致越来越大的经济损失。

各种调查数据表明：各行各业面对的最大危险来自于内部。

需要着重指出的是，许多最具危害性的犯罪都拥有共同的特点：即绕过密码保护以获取对信息或资金的访问权限。

虽然对于非关键系统的安全性而言，使用基本的密码保护已经足够，但金融企业系统则需要更高层次的保护措施与安全体系。

现在，金融企业正在建立先进的数字化安全系统，如防火墙、VPN及PKI等基础设施系统。

但如果没有对访问用户进行有效的识别和认证，这些安全措施最终也将形同虚设，其后果将相当严重：经济损失巨大，关键性信息被破坏，品牌和名誉受损，核心业务注意力被分散等等。

也就是说，金融业务系统安全的关键在于确切地了解谁正在访问系统，即身份认证。

在这种情况下，需要根据受破坏的可能性，以及可能导致的损失，来评估预防措施的成本。

那么，什么是身份认证呢？身份认证就是系统操作人员在进入系统或访问被保护信息资源时，系统确认该操作人员的身份是否真实、合法和唯一。

身份认证的需求日益迫切，然而不幸的是，大多数金融业务系统所依赖的基于固定口令的身份认证机制既没有提供足够的安全访问控制，也没有在需要追查口令泄露责任时提供明确的用户帐号管理。

同时，这种机制非常容易被攻破。

强大的身份认证安全解决方案是建立在双因素身份认证基础之上的。

第二章集联网络北京集联网络技术有限公司(以下简称集联网络)是金融系统网络的专业集成商，自一九九九年开始，在国家密码管理委员会办公室(以下简称国密办)的支持下，积极从事商用密码产品的研制工作。

SDK02智能令牌?身份认证系统(以下简称智能令牌系统)是固定口令机制与挑战应答机制相结合的双因素身份认证系统，已经与2001年1月通过由国密办组织的技术鉴定。

在金融业务系统中实施基于智能令牌系统的身份认证解决方案，可以从技术上实现金融业务系统的使用安全性和权责确定性。

目前，智能令牌系统已经在北京邮政储汇局和中国建设银行贵州省分行得到应用与实施。

第三章金融业务系统背景根据金融业务的具体要求，现有金融业务系统将各种业务分为普通业务和特殊业务两大类。

普通业务是指普通的操作人员就可以处理的金融业务，如储蓄开户、存取款等等。

特殊业务则是要求有较高权限的操作人员(以下简称授权人员)进行授权才可以处理的金融业务，如冻结、解冻结等等。

也有些金融业务系统将两大类业务再次细化，以区别不同的业务范围。

因此，现有金融业务系统将系统操作人员按不同级别进行划分，以完成相应级别和管理范围的不同业务。

目前，大多数的金融业务系统采用基于固定口令的身份认证机制，但这种机制在实际使用过程中存在不同程度的不安全性。

在很多情况下，口令泄露后，持有人并不能及时发现。

而针对采用这种机制的系统，有多种手段与方式(如数据窃听、截取重放、字典攻击、穷举尝试等等)可导致身份认证控制失败。

由于安全意识不足，在普通操作人员之间，个人在金融业务系统中的登录代码和口令是相互透明的。

很难控制不被某些别有用心的操作人员恶意盗用。

由于代码和口令没有载体，因此此类事件就不能被及时发现并进行有效防范与处理。

现有金融业务系统要求一个授权人员管理一个或数个营业网点，并负责对属于这些营业网点的特殊业务进行授权。

在实际工作中，授权人员同时担任其他业务与管理工作，因特殊业务发生的时间与地点不确定，授权人员很难到达现场进行授权，因而将其授权代码和口令通知了要求授权的普通操作人员。

久而久之，授权代码和口令已经成为不是秘密的秘密，显然，这种情况存在被恶意盗用的危险。

在某些金融业务系统中，普通操作人员需要在数个营业网点之间进行轮岗，为管理方便，轮岗人员在其轮岗网点内均有有效的授权身份(代码+口令)。

显而易见，当该操作人员轮岗至某网点时，其轮网的其他网点中的授权身份存在被恶意盗用的可能性。

针对固定口令机制的安全隐患，金融企业为此配合了相应的管理制度。

这些管理制度虽然可以在一定程度上提高了系统的安全性，但并不能从根本上解决问题。

口令泄露引发的系统安全问题数不胜数，口令泄露后，对系统的侵入和攻击不容易分清肇事者的责任。

根据上述分析，金融业务系统需要更为完善的技术手段进行身份认证，以保障其安全性。

第四章系统安全控制在现有金融业务系统中应用智能令牌系统，可以很好地解决现有固定口令机制的安全隐患。

令牌持有人在令牌丢失后立即挂失；他人不能同时得到智能令牌及开机口令，也就不能冒用令牌持有人的身份进入金融业务系统；身份认证数据一次性有效而不用担心被盗用……在现有金融业务系统中应用实现智能令牌系统，需要在操作人员的系统登录和业务授权两个阶段实施固定口令机制与挑战应答机制相结合的双因素身份认证控制。

同时，智能令牌系统的身份认证机制可以很好地解决操作人员轮岗时的安全问题，并能向所有的普通操作人员和授权人员提供安全的告警机制。

一、系统登录在操作人员的系统登录过程中，实施固定口令机制与挑战应答机制两项认证。

要求只有在固定口令机制认证成功后才能进行挑战应答机制认证，并且仅当挑战应答机制认证成功后才确认操作人员的登录申请通过了业务系统的身份认证。

实施上述认证控制的金融业务系统确保了操作人员使用系统的合法性、安全性和确定性。

二、业务授权在操作人员使用系统和处理业务过程中，当其权限不足以完成某项业务功能时，可要求相应授权人员对此项业务的这笔交易进行授权，例如普通操作人员需要处理冻结业务时。

实施智能令牌系统，通过如下流程完成业务授权：1. 操作人员使用相应授权人员的授权代码和口令向业务系统申请授权2. 若授权代码与口令通过固定口令认证，系统会生成新的用于授权的挑战数3. 操作人员将授权挑战数及业务情况通知授权人员4. 授权人员用其智能令牌计算出相应的授权应答数5. 操作人员在输入业务数据的同时，输入授权应答数以进行挑战应答认证6. 若挑战应答认证成功，系统完成业务处理；否则，系统提示授权不足或授权失败，并拒绝处理业务实施上述认证流程，限制业务授权的一次性有效，从而确保业务授权的合法性。

三、轮岗管理在实施智能令牌系统身份认证的金融业务系统中，操作人员的授权身份与智能令牌是分开管理的，当某一授权身份使用某一智能令牌时，只需要将授权身份中的智能令牌标识信息与相应智能令牌关联即可(系统根据授权身份中的智能令牌标识信息来检索智能令牌的关键信息以用于身份认证)。

如此，对于轮岗而言，该类操作人员的所持有的唯一的智能令牌对于其所有的授权身份均有效。

四、告警机制智能令牌是挑战应答机制的动态口令计算器，提供安全和告警两种模式进行挑战应答计算。

当普通操作人员或授权人员处于危险或受迫环境下，可以使用告警模式完成系统登录或业务授权，系统可以立即识别其告警性质，并在管理中心以响铃和消息等方式向系统管理员报警，由此启动相应的告警处理机制，对相应人员提供援助。

令牌持有人以告警模式使用智能令牌时，只需要在智能令牌提示输入开机口令(每次挑战应答计算都需要输入开机口令)时输入告警口令即可，其后计算生成的应答数即为告警应答数，系统在验证时即可识别出该应答数的告警性质。

第五章实现方案简介一、安全认证机制及原理对普通操作人员或授权人员(以下简称用户)的安全的身份认证采用固定口令机制与挑战应答机制相结合的双因素认证方式。

每个用户都持有一个系统分配的智能令牌。

该智能令牌内置种子密钥和算法。

当用户需要访问系统时，系统首先提示输入代码和固定口令。

认证通过后，系统再下传一个随机生成的挑战数(通常为一个数字串)，用户将该挑战数输入到智能令牌中，智能令牌利用内置的种子密钥和算法计算出相应的应答数(通常也是一个数字串)。

用户将该应答数输入系统。

系统根据保存的该用户的相应智能令牌信息(种子密钥和算法)计算出应答数，并与用户输入的应答数进行比较。

如果两者相同，允许该用户访问系统，否则拒绝。

由于每个智能令牌的种子密钥不同，因此不同用户的智能令牌对同样的挑战数计算出应答数也并不相同。

只有用户持有指定的智能令牌才能计算出正确的应答数以通过系统认证。

从而可以保证该用户是持有指定智能令牌的合法用户。

同时，该挑战数与应答数只能在这次挑战应答认证过程中有效，下次认证时系统会生成不同的挑战数，相应的应答数也会发生变化，因此不必担心挑战数与应答数被他人截取，从而保证很高的安全性。

二、发行、分配与管理管理中心统一发行智能令牌，负责智能令牌的新增、删除和预个人化等工作，负责系统内各项流水记录的审计工作。

智能令牌管理系统前台采用运行SCO Unix或MS Windows操作系统的PC终端，在终端上连接令牌初始化适配器，完成令牌的预个人化工作。

用于身份认证的智能令牌有两种分配与管理模式：管理中心统一分配与管理模式、二级管理机构分布式分配与管理模式。

分配与管理的内容包括：建立操作人员管理档案数据；负责操作人员的身份管理工作(包括新增、删除、暂停等)；负责智能令牌的分配管理工作(包括查询、变更、挂失和停用等)。

三、应急处理智能令牌系统的管理系统(以下简称智能令牌管理系统)为暂时无法使用其授权智能令牌的用户提供应急处理功能，处理方式为一次性应答数、特定时间内有效的应答数或备用智能令牌。

在具体使用时，管理人员可根据实际情况为用户指定一种方式。

当管理人员使用智能令牌管理系统为某用户下放一次性应答数后，系统会为该用户设定应急标志。

当该用户进行挑战应答认证时，应输入该一次性应答数，经系统识别后确认通过认证。

该一次性应答数不论该用户是否通过认证，都从系统中消失，保证该应答数一次性有效。

特定时间内有效的应答数只有在指定的相应的特定时间内使用才有效。

备用智能令牌是管理人员为用户提供备用的智能令牌，智能令牌管理系统将将备用智能令牌信息与相应用户信息进行关联后，该用户就可使用备用的智能令牌进行登录和授权。

四、认证工作方式根据现有金融业务系统的实际情况选择智能令牌系统在业务系统中的工作方式。

I. 嵌入式认证将智能令牌系统的安全认证服务模块与安全认证访问模块内嵌于金融业务系统的服务器程序(以下简称应用主机程序)中，由应用主机程序通过安全认证访问模块与安全认证服务模块交互以完成安全认证。

这种工作方式的优点在于只改变应用主机程序的认证处理过程，缺点在于将安全认证的系统负载聚集在金融业务系统的服务器设备上，其负载加大，提高对硬件的性能要求。