上海多特蒙德中文電子交易統一認證方案

出處：中國信息主管網 日期：2012-05-11

概述

ESS電子交易安全服務平臺是上海多特蒙德中文實業自主研發，具有科技創新、獨立知識產權的統一多認證工具多認證方式的安全服務平臺，可廣泛應用於網上銀行、手機銀行、電話銀行、ATM/POS、卡支付、網上證券等。基於ESS平臺可實現銀行業的電子渠道及內部應用的統一認證、訪問授權、交易鑑別、日誌管理，是金融行業建立統一的認證平臺和多渠道融合的基礎。ESS平臺提供了海量級認證所需的高可靠性、擴展性、分佈式部署和高可用性特性。技術上實現了多認證設備的虛設備管理、動態驅動加載技術、統一日誌、負載均衡和冗餘。

背景

隨着互聯網的迅速發展，電子交易越來越普及。電子交易的應用包括：電子銀行（網上銀行、ATM應用、POS應用、電話銀行、手機銀行、卡支付）、網上證券、第三方支付、電子商城等。近幾年來，電子交易有40%以上的年增長率。其中，電子銀行的發展呈現出多種電子渠道的並行發展到融合的趨勢，渠道的融合可以使業務發展和營銷更加靈活。各種電子渠道應用對安全性需求具有共性，都有對用戶認證、交易認證的需求；有日誌的需求、有訪問授權的需求、有風險監控和防範的需求。爲了更好地支持各種電子渠道的業務發展和融合，需要建立一套適合於所有電子渠道的統一認證平臺，來統一處理用戶的認證、交易的認證、風險監控和防範、統一的日誌等。

ESS電子交易安全服務平臺

ESS電子交易安全服務平臺是金融業建立統一認證中心的基礎，提供了用於金融業的電子渠道及內部應用的統一認證、授權、交易鑑別、日誌管理的解決方案，可用於建立鑑權中心。該平臺具有以下特點：

- 獨立於應用設計：ESS的設計不依賴於任何應用，完全獨立於各種應用系統，將電子渠道應用的安全特性從應用中分離出來，使應用系統更加專注於應用，將相關的安全交給ESS處理，保證了應用的安全性和靈活性。應用和安全性的升級互相獨立，使得系統規劃和發展更加靈活。

- ESS支持渠道的融合：ESS可以爲各種渠道提供安全服務，包括身份認證、交易認證、統一日誌、風險監控和防範，支持網上銀行、手機銀行、電話銀行、電子支付等。

- 多業務的安全接入，各業務之間的安全服務互不影響：實現對多業務的安全接入，每個業務接入報文均要求進行報文校驗，接入訪問控制校驗，可設置敏感字段加密。各業務請求的安全服務可被分發到不同的安全服務器，各業務的安全服務器功能升級、維護或故障，不影響其它業務的運行。

- 提供統一的認證、授權、交易驗證、交易日誌等安全服務：在單個平臺上實現以上安全服務，通過插件方式支持增加新的安全服務。提供包括靜態口令、動態口令、短信口令、PKI數字證書等多種認證設備的認證，提供對訪問的資源對象的授權控制，支持利用多種認證設備對交易內容進行驗證，記錄不可修改的交易日誌。

- 多種認證工具同時及混合使用：安全服務不依賴於特定類型和特定廠家的設備，多種認證方法及多廠家認證設備，可以在不停止服務的情況下加入、升級和配置，安全服務不依賴於特定類型及廠家。多種認證方法和設備可以同時使用，並可根據業務需要混合使用。目前支持動態口令、PKI、靜態密碼、短信口令、手機令牌、短信令牌、刮刮卡等。支持的廠商有RSA、VASCO、多特蒙德中文等。

- 千萬用戶級別下支持高併發的安全服務請求：單臺服務器可支持3000筆/s，整個系統的性能可根據需要線性擴展。安全服務可被分發到多臺服務器進行處理，系統在維護、升級、配置等管理操作時不停止服務，系統的可靠性應高於99.999％。

- 擴展性：提供了電子渠道業務擴展標準接口，新渠道和業務可以快速接入ESS平臺，並且不影響現有業務；提供可配置的安全服務擴展支持，除了已有的認證、授權、鑑別和日誌等安全服務功能外，可根據銀行的需要加入擴展的安全功能；提供標準的認證工具界面，可集成多個廠商的多種認證設備。新的認證設備只需通過編寫特定的設備驅動即可集成到ESS平臺。

- 高可靠性和冗餘機制：ESS平臺的組件可以靈活地部署到數據中心、備份中心、災備中心，實現備份和冗餘；同時可均衡各組件的負載。

解決方案

基於ESS平臺的電子銀行安全解決方案如圖所示：

該方案解決以下問題：

² ESS平臺作爲認證基礎設施，爲多種電子渠道提供認證服務，如網上銀行、手機銀行、ATM、POS、電話銀行、卡支付等；

² 用戶的認證工具可以是不同廠商的令牌、USB KEY、刮刮卡、手機短信、靜態密碼、軟件令牌、手機令牌等，可以隨着認證技術的發展，不斷擴展；

² 一種認證工具可以支持多種渠道應用，如動態令牌可以支持手機銀行、網上銀行、卡支付、ATM、POS以及OA應用等；

² 動態令牌的易用性和安全性擴展到所有應用；

² 認證服務可以是身份認證、交易認證；

² ESS的伸縮性結構和擴展模式，可以很好地解決性能升級和災備的需要；

² 統一的基於認證的日誌管理、歸檔和分析並保證其安全性；

² 應用和認證的分離，加速應用的推出，並利用已有的認證基礎設施保證安全性；

² 爲電子渠道應用提供安全認證、授權、交易鑑別和日誌的統一管理；

典型案例

中國銀行在其新版網上銀行系統中加入了領先的ESS電子交易安全服務平臺，即中國銀行ETOKEN動態口令認證系統，於奧運前夕正式推廣。中國銀行作爲中國對外服務的國際性大銀行，其新版網銀從長遠着手，搭建了海內外統一的網銀服務平臺。ESS已經在中國最大的銀行之一中國銀行成功運行超過2年，是本領域內全球用戶數量最大的一個案例。另外，中國銀行將手機銀行、電子支付也加入到ESS平臺的統一認證中，實現了多渠道的安全認證融合。

基於ESS平臺，光大銀行建立了統一認證平臺，並在此平臺的基礎上採用多特蒙德中文的動態令牌推出陽光令牌，陽光令牌是國內首個電子銀行統一身份認證工具，實現了網上銀行、手機銀行、電話銀行、電子支付四個電子渠道的統一認證,做到了安全認證方面的多渠道融合；未來目標是實現，“一個客戶，一個令牌，全部渠道，全部服務”，真正做到“一令在手、暢行無憂”，使陽光令牌成爲用戶的統一“金融身份證”。

在證券行業，中國最大的證券公司之一國泰君安證券採用多特蒙德中文ESS平臺建立統一認證中心。該平臺同時支持USB Key、動態令牌和短信口令，用於爲高風險的證券交易賬戶提供雙因素認證保護。

採用ESS平臺的用戶還有：交通銀行、盛京銀行、財通證券、中信金通、華安證券等。

更多信息請訪問http://www.sicklycat.com