上海林果电子交易统一认证方案

出处：中国信息主管网 日期：2012-05-11

概述

ESS电子交易安全服务平台是上海林果实业自主研发，具有科技创新、独立知识产权的统一多认证工具多认证方式的安全服务平台，可广泛应用于网上银行、手机银行、电话银行、ATM/POS、卡支付、网上证券等。基于ESS平台可实现银行业的电子渠道及内部应用的统一认证、访问授权、交易鉴别、日志管理，是金融行业建立统一的认证平台和多渠道融合的基础。ESS平台提供了海量级认证所需的高可靠性、扩展性、分布式部署和高可用性特性。技术上实现了多认证设备的虚设备管理、动态驱动加载技术、统一日志、负载均衡和冗余。

背景

随着互联网的迅速发展，电子交易越来越普及。电子交易的应用包括：电子银行（网上银行、ATM应用、POS应用、电话银行、手机银行、卡支付）、网上证券、第三方支付、电子商城等。近几年来，电子交易有40%以上的年增长率。其中，电子银行的发展呈现出多种电子渠道的并行发展到融合的趋势，渠道的融合可以使业务发展和营销更加灵活。各种电子渠道应用对安全性需求具有共性，都有对用户认证、交易认证的需求；有日志的需求、有访问授权的需求、有风险监控和防范的需求。为了更好地支持各种电子渠道的业务发展和融合，需要建立一套适合于所有电子渠道的统一认证平台，来统一处理用户的认证、交易的认证、风险监控和防范、统一的日志等。

ESS电子交易安全服务平台

ESS电子交易安全服务平台是金融业建立统一认证中心的基础，提供了用于金融业的电子渠道及内部应用的统一认证、授权、交易鉴别、日志管理的解决方案，可用于建立鉴权中心。该平台具有以下特点：

- 独立于应用设计：ESS的设计不依赖于任何应用，完全独立于各种应用系统，将电子渠道应用的安全特性从应用中分离出来，使应用系统更加专注于应用，将相关的安全交给ESS处理，保证了应用的安全性和灵活性。应用和安全性的升级互相独立，使得系统规划和发展更加灵活。

- ESS支持渠道的融合：ESS可以为各种渠道提供安全服务，包括身份认证、交易认证、统一日志、风险监控和防范，支持网上银行、手机银行、电话银行、电子支付等。

- 多业务的安全接入，各业务之间的安全服务互不影响：实现对多业务的安全接入，每个业务接入报文均要求进行报文校验，接入访问控制校验，可设置敏感字段加密。各业务请求的安全服务可被分发到不同的安全服务器，各业务的安全服务器功能升级、维护或故障，不影响其它业务的运行。

- 提供统一的认证、授权、交易验证、交易日志等安全服务：在单个平台上实现以上安全服务，通过插件方式支持增加新的安全服务。提供包括静态口令、动态口令、短信口令、PKI数字证书等多种认证设备的认证，提供对访问的资源对象的授权控制，支持利用多种认证设备对交易内容进行验证，记录不可修改的交易日志。

- 多种认证工具同时及混合使用：安全服务不依赖于特定类型和特定厂家的设备，多种认证方法及多厂家认证设备，可以在不停止服务的情况下加入、升级和配置，安全服务不依赖于特定类型及厂家。多种认证方法和设备可以同时使用，并可根据业务需要混合使用。目前支持动态口令、PKI、静态密码、短信口令、手机令牌、短信令牌、刮刮卡等。支持的厂商有RSA、VASCO、林果等。

- 千万用户级别下支持高并发的安全服务请求：单台服务器可支持3000笔/s，整个系统的性能可根据需要线性扩展。安全服务可被分发到多台服务器进行处理，系统在维护、升级、配置等管理操作时不停止服务，系统的可靠性应高于99.999％。

- 扩展性：提供了电子渠道业务扩展标准接口，新渠道和业务可以快速接入ESS平台，并且不影响现有业务；提供可配置的安全服务扩展支持，除了已有的认证、授权、鉴别和日志等安全服务功能外，可根据银行的需要加入扩展的安全功能；提供标准的认证工具界面，可集成多个厂商的多种认证设备。新的认证设备只需通过编写特定的设备驱动即可集成到ESS平台。

- 高可靠性和冗余机制：ESS平台的组件可以灵活地部署到数据中心、备份中心、灾备中心，实现备份和冗余；同时可均衡各组件的负载。

解决方案

基于ESS平台的电子银行安全解决方案如图所示：

该方案解决以下问题：

² ESS平台作为认证基础设施，为多种电子渠道提供认证服务，如网上银行、手机银行、ATM、POS、电话银行、卡支付等；

² 用户的认证工具可以是不同厂商的令牌、USB KEY、刮刮卡、手机短信、静态密码、软件令牌、手机令牌等，可以随着认证技术的发展，不断扩展；

² 一种认证工具可以支持多种渠道应用，如动态令牌可以支持手机银行、网上银行、卡支付、ATM、POS以及OA应用等；

² 动态令牌的易用性和安全性扩展到所有应用；

² 认证服务可以是身份认证、交易认证；

² ESS的伸缩性结构和扩展模式，可以很好地解决性能升级和灾备的需要；

² 统一的基于认证的日志管理、归档和分析并保证其安全性；

² 应用和认证的分离，加速应用的推出，并利用已有的认证基础设施保证安全性；

² 为电子渠道应用提供安全认证、授权、交易鉴别和日志的统一管理；

典型案例

中国银行在其新版网上银行系统中加入了领先的ESS电子交易安全服务平台，即中国银行ETOKEN动态口令认证系统，于奥运前夕正式推广。中国银行作为中国对外服务的国际性大银行，其新版网银从长远着手，搭建了海内外统一的网银服务平台。ESS已经在中国最大的银行之一中国银行成功运行超过2年，是本领域内全球用户数量最大的一个案例。另外，中国银行将手机银行、电子支付也加入到ESS平台的统一认证中，实现了多渠道的安全认证融合。

基于ESS平台，光大银行建立了统一认证平台，并在此平台的基础上采用林果的动态令牌推出阳光令牌，阳光令牌是国内首个电子银行统一身份认证工具，实现了网上银行、手机银行、电话银行、电子支付四个电子渠道的统一认证,做到了安全认证方面的多渠道融合；未来目标是实现，“一个客户，一个令牌，全部渠道，全部服务”，真正做到“一令在手、畅行无忧”，使阳光令牌成为用户的统一“金融身份证”。

在证券行业，中国最大的证券公司之一国泰君安证券采用林果ESS平台建立统一认证中心。该平台同时支持USB Key、动态令牌和短信口令，用于为高风险的证券交易账户提供双因素认证保护。

采用ESS平台的用户还有：交通银行、盛京银行、财通证券、中信金通、华安证券等。

更多信息请访问http://www.linguo.cn