北京商用密码行业协会

网上银行蓝牙型智能密码钥匙密码应用解决方案

时间：2019-12-15

1.概述

网上银行是传统银行业与现代信息网络技术紧密结合而形成的一种新型的金融形态。为了保证这一新形态的良好发展，近些年来我国陆续颁布了一系列的法律规范其发展，例如，《中华人民共和国电子签名法》、《电子银行业务管理办法》等。在法律的推动下，基于国产密码的安全产品被越来越广泛的应用在金融领域。

2.需求分析

互联网特别是移动互联网已经成为现代社会生活中不可或缺的一部分，但随着互联网的发展，使用者在进行网上交易和通信时，其信息安全日益受到网上黑客、网络侦听设备、病毒及其它形式的威胁。金融领域作为国计民生的基础领域也暴露在这样的危险下，伴随着网上银行的普及和越来越的客户选择使用手机银行，对网上银行和手机银行的转账环节攻击成了重点“灾区”，例如，钓鱼网站骗签导致了所见非所签，而基于传统的手机短信码和动态令牌的转账交易保护形势已经无法适应新形势下的安全威胁。

在这种背景下，我公司研制了新型蓝牙KeyPod产品，商用密码产品型号SJK1447，以应对越来越复杂的使用环境，保证银行用户在进行转账操作时的资金安全。

3.方案架构

3.1 技术架构

图 3 1产品架构图

COS（片上操作系统）：COS是USBKey的关键。COS是位于安全芯片中的一套嵌入式软件程序。

密码中间件： USBKey属于安全产品，必须为应用者提供安全的密码服务，为众多上层应用提供统一的调用接口。

3.2 产品部署图

图 3 2 产品部署图

3.3 主要功能

跨终端使用：采用USB + 蓝牙双重通信协议既能够支持传统PC网银使用又能够支持移动端的手机银行使用。

可信执行和运算：基于国产密码算法，在可信终端显示签名内容、确认签名内容、输入敏感信息、保护敏感信息，保障身份认证和交易过程安全。

可信显示：采用了按键和LCD显示屏的设计，通过增加输入和输出功能提供一种可交互的使用环境实现所见即所签。

3.4 主要技术指标

本产品支持SM2证书存储，最多支持存放八张证书（签名证书和加密证书）及其对应的密钥对。

1、性能指标：

SM2生成公私钥速度：0.1秒/次

SM2签名速度：20次/秒

SM3算法性能：650Kbps

SM4加密速度：299Kbps

SM4解密速度：298Kbps

2、安全中间件支持的操作系统及浏览器：

WindowsXP及以上版本的操作系统、MAC OS X 10.6及以上系统、Linux系统、国产麒麟系统、IOS6.0及以上系统、Android4.4及以上系统。

IE浏览器、Edge浏览器、Firefox浏览器、Chrome浏览器、Safari浏览器以及其它主流浏览器。

硬件接口符合USB 1.1规范，在USB1.1、USB2.0或USB3.0接口上都能正常工作；支持经典蓝牙协议和蓝牙BLE协议。

4.方案特色

4.1系统设计的安全性

产品在硬件设计上充分考虑安全因素，选择安全可靠的元器件作为核心组件来组成和实现产品，在功能设计上需要从安全的角度出发来考虑和完善产品的功能。

系统设计遵循国产密码技术应用规范，采用支持国产密码算法的安全产品，设计具有自主技术、自主知识产权的安全产品。

4.2系统的可靠性

作为提供给银行使用的安全认证类产品其使用必须可靠，能够满足不同人群、不同环境、不同气候的使用，在保障安全性的条件下，提供可靠的功能。在异常操作或误操作的情况下，产品能够自动回复到安全状态，并能继续提供正确的功能。

4.3产品的可操作性

大多数产品用户是计算机的普通使用者，这些用户的日常使用习惯和安全知识、计算机知识参差不齐，更多追求应用的便捷性和易用性，而在这些特性上很多方面是和安全性相矛盾的，因此需要在系统设计上平衡这两者之间的关系，在首先保证安全性的前提下兼顾考虑用户的体验。例如，蓝牙快速无感连接技术，能够极大的提升用户使用手机银行的满意度。

4.4系统的可维护性

产品的设计一般伴随着升级，尤其是软件产品的升级是相对普遍的，产品设计时，必须考虑后期产品的维护升级。另一方面，产品设计时，考虑产品可能存在的问题，进行模块化设计，方便产品模块的升级，减少模块升级引起的系统风险，提升产品可维护性。

5.适用领域