银行第三方数字证书建设
工商银行网银引入第三方证书
16市场观察2008.07安天主机安全评估套件工作原理图评估服务的可承受性及可实施性安全是个整体事件,整个社会大信息系统里的每个小系统都会直接影响到整体的安全性。
小的企业、小的部门一样需要安全,而且他们的安全情况也势必直接影响到其它大企业、大部门所采取的安全措施的有效性。
但目前的现状是,评估服务商每进行一次评估服务都声势浩大,咨询人员、审计人员、渗透人员等一应俱全,当然,花费时间以及价格也就不是一般企业所能承受的了。
在这些方面,自动化的安全评估产品优势明显。
安天主机安全评估套件采用了自动化评估技术,做到了快捷、易用、价格低的同时,直达问题的核心,对主机系统真实的安全状况及配置状况进行全方位的分析和评估。
无疑给中小企业和部门提供另一种更好的选择。
安天主机安全评估套件介绍安天主机安全评估套件(HRA )是针对主机系统实现自动化和可量化评估的软件系统。
主机安全评估套件以U 盘、光盘和工作站为载体,插入主机即可使用,系统全自动化工作,自动完成恶意代码检查和几十处采集点检测、进行综合加权,形成预评估报告,在此过程中,安天主机安全评估套件将进行全面的系统分析,并提取相关可疑程序及其衍生物。
通过安天文件属性确认服务,相关可疑样本可以批量提交到安天安全研究与应急处理中心进行快速确认,用户通过评估支撑中心将确认结果与预分析报告自动整合,即可生成最终的评估报告。
工作原理在插入被检测主机后自动实现系统安全状况的全面检查,同时联动安天后端分析处理体制,在评估过程不仅形成扫描结果生成预评估报告,同时提取可疑样本,经后台分析得出结果后形成最终评估结论。
用户将可疑样本文件发给安天安全研究与应急处理中心,由安天提供的文件属性确认服务和深度行为分析服务对相关可疑样本进行快速确认,并将确认结果反馈给用户。
用户通过评估支撑中心将确认结果与预分析报告自动整合,从而形成最后的评估结果。
产品功能特色木马扫描:该产品嵌入了获得科技部创新基金的安天AV L SDK 反病毒引擎,可以全面检测蠕虫、木马、后门、僵尸程序、黑客工具、流氓软件以及其他多种有害数据和敏感程序。
银行第三方数字证书建设
网银系统与CA系统总体逻辑结构
网银专员 (2人)
网银 内部管理系统 BJCA
各个支行 证书受理点
BJCA RA系统
办理证书 业务 柜员系统 柜员 办理银行 业务 网上银行系统 在线方式 更新证书
互联网
企业用户自助 在线更新系统
页面跳转
互联网
说明: 北京银行建设证书受理点。 受理点功能:新办、更新、吊销。 用户可通过在线方式更新证书。 网银专员负责办理证书业务、关联证书。 一般柜员不参与证书业务。
1 2 客户经理
上门服务 产品推介
大客户洽谈
产品 选购 手写 签名
3
业务办理
证件 识别
26
临柜业务受理无纸化创新方案
纸质银行业务单据与电子单据对比 可鉴定的可靠电子签名单据
27
银行合作客户
网银第三方证书服务 北京银行、华夏银行、华融湘江银行 手机银行证书服务及解决方案 吉林银行 证书应用软件 廊坊银行、韩国友利银行 网银安全评估 韩国企业银行、韩国友利银行 VTM无纸化手写数字签名 上海银行
数字证书应用安全产 品
基础平台
13
全面的信息安全服务
国家风险评估试点项目首批承担单位 国家等级保护试点项目首批承担单位 国家ISMS试点项目首批承担单位
14
立足北京,服务全国
部委客户(十八个部委 ) 区域客户(二十八个省)
•海南国税 •贵州省政府 •国家发展和改革委员会 •黑龙江国税 •深圳市政府 •人力资源和劳动社会保障部 •广西国税 •苏州市政府 •农业部 •淮安国税 •湖北宜昌市 •卫生部 •北京地税 •河北保定市行政审批 •教育部 •中国平安寿险 •温州政府采购 •合众人寿 •河南省济源市 •工业和信息化部 •人保财险 •陕西省安监局 •新闻出版总署 •中意财险 •内蒙古质量技术监督局 •中央国家机关政府采购中心 •新光海航人寿 •四川省商务厅…… 全国税务、卫生、保险行业的最大电子认证服务提供商 •民政部收养中心 •国务院发展研究中心 全国服务范围最广泛的电子认证服务提供商 •……………
网络银行系统数字证书解决方案
网络银行系统数字证书解决方案鉴于网络银行的需求与实际情况,上海市CA中心推荐在网银系统中采用网银系统和证书申请RA功能整合的方案,该方案由上海CA中心向网络银行提供CA证书的签发业务,并提供相应的RA功能接口,网银系统结合自身的具体业务流程通过调用这些接口将RA 的功能结合到网银系统中去。
该方案在技术上的优点基于以下几个方面:1、本方案依托成熟的上海CA证书体系,采用国内先进的加密技术和CA技术,系统的功能完善,安全可靠;方案中网银系统的RA功能与上海CA中心采用的是层次式结构,方便系统的扩充和系统效率的提高。
2、网络银行本身具有开户功能,需要用户输入基本的用户信息,而证书申请时需要的用户信息与之基本吻合,因此可以在网银系统开户的同时结合RA功能为用户申请数字证书。
3、网络银行具有自身的权限系统,而将证书申请,更新,废除等功能和网银系统结合,则可以在用户进行证书申请,更新等操作的同时,进行对应的权限分配和管理。
4、网银系统可以根据银行业务的特性在上海CA CPS所规定的范围内简化证书申请的流程和步骤,方便用户安全便捷的使用网络银行业务。
5、该方案采用的技术标准和接口规范都符合国际标准,从而在很大程度上节省开发周期,同时也为在网银系统中采用更多的安全方案和安全产品打下了良好的基础。
系统结构框架银行RA以及其他的RA居于结构图的第二级,主要担负着下述职能:1、审核用户提交的证书申请信息;2、审核用户提交的证书废除信息;3、证书代理申请;4、证书代理更新功能;5、批量申请信息导入功能。
RA体系本方案中网银系统下属的柜面终端在接受用户申请输入信息时将数据上传给网银系统,网银整合RA系统直接通过Internet网络连接CA系统,由CA系统签发证书给网银整合RA系统,该系统一方面将证书发放给柜面,使用户获得,一方面将证书信息存储进证书存储服务器。
同时该系统还提供证书的查询、更新废除等功能。
RA证书申请、更新、废除:由银行的柜面系统录入用户信息,上传至网银系统和RA系统,在由其将信息传送用户管理系统保存及传送上海CA,由CA签发证书,证书信息回送网银系统和RA系统,由其将证书信息存储用户管理系统并将其发送柜面系统,发放给实际用户。
CFCA技术及证书应用
PKI基本技术手段
身份认证
CA认证中心
用户
用户的私钥
口令信息签名
用户的公钥
验证签名
保险门户
门户对用户身份的识别
身份认证:即确认实体为自己所声明的身份,鉴别身份的真伪。如上图, 双方建立安全连接,互换证书,彼此去CA公开的目录服务器验证证书的有 效性,确认后,用户将自己的用户名、密码等用自己的私钥签名送给保险 门户,保险门户用获得的用户的证书所含的公钥来验证用户的数字签名, 如果该签名谈过验证,则证明用户所声明的身份是确实无误的。
自动 更新
比较 完善
常用PKI名词说明
1:PKI-Public Key Infrastructure 公钥基础设施是一种遵循标准 的利用公钥加密技术为电子商务提供一套安全基础平台的技术和规 范。当前互联网上的安全认证解决方案广泛采用安全先进的PKI技 术和规范。 2:CA-Certificate Authority 证书管理和认证的机构,即认证中心 3:RA-Registration Authority 证书注册审批机构 4:数字证书-CA用其私钥进行了数字签名的包含用户身份、公开密钥、 有效期等许多相关信息的权威性的电子文件,是各实体在网上的电 子身份证。 5:公钥/私钥-可以认为是一种加密/解密的算法凭证,公钥可以公开 获得,私钥是私密的保存 6:数字签名-基于数字证书的一种信息技术处理,类似与传统的手写 签名保证信息的不可抵赖性
CFCA技术架构及PKI基本知识
从技术路线上来区分 CFCA证书及应用分为高级和普通两大类 高级证书:指的双密钥对证书及其应用 普通证书:标准的x.509证书及其应用
证书 普通 密钥 单对 协议 ssl 管理 功能 密钥不 托管 加密密 钥对托 管 自动 更新 没有 CA管理 不完善
建行个人网上银行数字证书使用说明
建行个人网上银行数字证书使用说明数字证书是您在互联网上办理安全交易的保证,怎么备份数字证书,如果要在其他计算机上使用网上银行怎么安装证书呢?我们以IE6.0为例,向您详细介绍证书的导出、导入功能。
一、证书导出(证书备份)1、客户可于“Internet选项(控制面板)—内容—证书”选项导出已有证书。
2、选取需导出的本人证书后点击“导出”功能。
3、点击“下一步”。
4、IE提示是否导出证书私钥,应选择“是,导出私钥”。
注意:如选择不导出私钥,则导出的证书为无效证书,不能在他计算机上使用。
5、IE提示导出后私钥使用方式,可同时选择多项。
注意:“启用加强保护”则导出后的证书只可于限定IE版本或更高版本级别使用,如IE5.0以上;您可根据需使用计算机IE版本选择。
“如果导出成功,删除密钥”则本次证书导出成功后本计算机不保留该证书私钥,如您不再需要于本计算机使用证书,可选择该项,为确保您的证书安全,请您于本机“IE—属性—内容—证书”中删除您的证书。
6、输入证书导入密码,该密码由您自行确定,当您导入证书时需输入本密码。
7、可通过“浏览”的方式选择导出证书存放目录,确认无误后点击“下一步”,建议证书应备份于3.5盘或其他存储设备。
8、点击“下一步”完成证书导出。
二、证书导入(证书安装)注意:其中“标志此密钥为可导出。
这将允许您在稍后备份或传输密钥”,您如选择该项,则可于本计算机导出该证书。
建议您备份证书后,不选择该项,即本机不能导出该证书,如需于其他计算机使用证书,请以已备份证书于需使用计算机中导入(备份证书方法请参见证书导出)4、按需要选择后点击“下一步”,直至系统提示“完成”。
证书已成功导入,您可通过“Internet选项(控制面板)—内容—证书”选项查看证书是否已成功导入,成功导入后即可于本计算机使用网上银行服务。
走近“网银”第三方认证——访中国金融认证中心副总经理曹小青
传输 过程 中有 可能被 恶 意窜 改 。比 如货 款 只有 10 块 .有可能 被改 为 2 0 或者 00 00
更多. 这样 用户 的资金得 不到安全 保障 。
高公众 的安 全意 识 。公 众认识 到 网上 资 金安全 的必要 性 . 却不 愿意 为此 买单 。 但
无论 个 人证 书还 是企 业证 书 我们都 是 收
漂
辜
E 移钥。 Y 动匙 或
这 点我 会在 接 之 间进行数 字身份证
全 的加 密通道 中传输 ,任何 人也 不能 够 窃取信 息 。 三是 交易信 息的完 整性 。 买方 在 网上支付过 程 中 . 写 了交 易金 额 . 填 在
样 .以表 明我们 的身份 或某种资格 。数字 证书是一个 加密的电子文件 ,可 以存放 在 电脑里 .也可 以存放在 一个类似 u盘 形状 的硬件 中 ,有人形 象地 把它 叫做 u E —K Y. 或移动钥匙 。这个移 动钥匙里有你 的网上 数字 身份证 .你的个人信息 ,个人数字 的 印章 。当你使用 网上银 行的时候插到计算
( 国信 息化 》 中国金 融认 证 中心 ( 中 :
(FA 于 2 0 年 6月正 式 成 立 ,作 为 目 CC ) 00
前金融行业 中提供 网银认 证的第三 方,外
界 对 于 这 样 一 个 机 构 的职 能 不 是 很 清 楚 ,
请 问c c 是在什 么样 的背景下成立 的? 能 FA
们 为网上 支付解 决 了四个 问题 :一是 身
衿 酌 盲 立 , 网 亦 豆 时 卫 音 耍 古 付 偕
有第三 方认 证管 理机 构和 电子 签名体 系 作保 障 , 但是 也面 临一些 问题 。 首先是没 有 批准 的第三 方 认证 机构 泛滥 ,扰 乱第 三 方认 证市 场 。 目前 政府 正式 批准 的合 法第 三方认 证机构 只有 1 9家。按照 ( ( 第 三方 认证法 》 规定 , 只有 经国家 主管部 门 批 准 的 机构 才能 从 事第 三 方 认证 工作 .
中国金融认证中心介绍
中国金融认证中心介绍中国金融认证中心(China Financial Certification Authority英文简称CFCA),是由中国人民银行牵头,联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、福建兴业银行、上海浦东发展银行等十四家全国性商业银行共同建立的国家级权威金融认证机构,是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。
中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务,为参与网上交易的各方提供信息安全保障,建立彼此信任的机制,实现互联网上电子交易的保密性、真实性、完整性和不可否认性。
同时参与制定有关网上安全交易规则,确立相应技术规范和运作规范,提供网上支付,特别是网上跨行支付的相互认证等服务。
中国金融认证中心认证系统采用基于PKI(公钥基础设施)技术的双密钥机制,在保证核心加密模块国产化的前提下,通过国际招标建立了具有世界先进水平的认证系统,并通过了国家信息安全产品测评认证中心的安全评测。
CFCA认证系统具有完善的证书管理功能,提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务。
目前CFCA具有覆盖全国的认证服务体系,提供多种用途的证书和信息安全服务,支持金融领域及其他各界用户的应用需求,包括网上购物、网上银行、网上证券、网上保险、网上申报缴税、网上购销和其他安全业务(OA、MIS)等等,CFCA证书全面支持电子商务的各种业务运作模式。
中国金融认证中心的突出特点是其金融特色,CFCA证书发放前须经过金融机构审批以规避交易中可能发生的支付风险,证书申请者必须具备合格的金融资信和支付能力才能获得CFCA证书。
此外CFCA证书实现了不同银行之间、银行与客户之间信任关系的连接与传递,为全面解决网上安全支付提供了有力支持。
目前,CFCA证书已实现了网上银行业务的跨行身份认证,用户只需持有一张CFCA证书,即可在多个银行的网银系统中进行身份鉴别。
下调大众版网上支付限额 银行联手第三方另辟捷径
止 “ 鱼 网站 ” 取 客户 资金 的理 由外 , 钓 盗 银行
VP贵 宾 用 户 , 笔和 每 日累计 转 账 的最 高 I 单
限 额 均 由原 来 的 50 00万 元 分 别 调 整 到 2 5 万元 和 5 万 元 , 幅最 多达 9. O 降 9 %… … 5
对 于此 次 下调 限 额 的理 由 , 大 银 行方 各
密码 客户 的总 累计 限额 为 3 0 。 国银行 0元 中 的 政 策 调整 得 最 早 ,业 务 涉 及 面也 最 广 : 3 月 5日起 , 中行 即 大 幅下 调 了 网银 转 账 限
要关注市场需求和用户体验 , 其近期所作出
加 专业 化 的服 务 ” 。
的大额小额限制是 为了控制风险和提供更
金 融 专 家认 为银 行 做 法 或 涉及 与第 三 方 支
j 蒡 : 嚣 m f6 Y .. 2 Y 潮 辩 0 蕊0
数据来源 t C I DC
付 企业 的利 益 博弈 。 至有 金融 业人 士爆 料 甚
称 , 别 银行 网银 降低 单 日交 易额 的主要 目 个
的 是基 于利 益 因素 ,很 可 能是 在 与 第 三 方 “
目前 , 大银 行 信 用 卡通 过 网银 进 行 付 各
款 ,普 遍需 要事 先安 装 密 码控 件 或 数 字 证 书 ,支 付 过 程 中至 少需 要 5到 7 的 跳转 。 步 这 一过 程不 仅 繁 琐 , 给木 马 程序 和钓 鱼 网 也 站 等 留下作 案 空 间。 有 数据 显示 , 目前 国 内网 银 的支 付 成 功
治标 不 治本
对 于银 行 集 体 下 调 网 银 交 易金 额 的行
为 , 间也 有 不 同声 音 。除 去银 行 给 出的 防 坊 还 存在 增 加 收费 的嫌 疑 。
银行企业手机银行服务协议
《银行企业手机银行服务协议》甲方(银行):名称:法定代表人:地址:联系电话:乙方(企业):名称:法定代表人:地址:联系电话:鉴于乙方有使用银行企业手机银行服务的需求,甲方具备提供该项服务的能力和资质,为明确双方的权利和义务,根据《中华人民共和国民法典》《中华人民共和国电子签名法》等相关法律法规的规定,经双方协商一致,订立本协议。
一、定义与解释1. “手机银行服务”:指甲方通过移动互联网技术,为乙方提供的包括账户查询、转账汇款、支付结算、理财服务等在内的金融服务。
2. “用户”:指乙方及其授权使用手机银行服务的人员。
3. “数字证书”:指由权威、公正的第三方机构颁发的,用于证明用户身份和数字签名有效性的电子文件。
4. “电子指令”:指用户通过手机银行服务系统发出的各项业务操作指令,包括但不限于查询、转账、支付等指令。
二、服务内容1. 甲方为乙方提供的手机银行服务包括但不限于以下内容:- 账户查询:查询乙方在甲方处开立的各类账户的余额、交易明细等信息。
- 转账汇款:办理乙方账户之间以及向其他账户的转账汇款业务。
- 支付结算:办理各类支付结算业务,如水电费、电话费等缴费业务。
- 理财服务:提供理财产品查询、购买、赎回等服务。
- 其他服务:甲方根据业务发展和用户需求不断推出的其他手机银行服务。
2. 甲方有权根据业务发展和风险控制的需要,调整手机银行服务的内容和功能。
甲方将通过官方网站、手机银行客户端等渠道提前公告调整内容,乙方应及时关注并按照公告要求进行操作。
三、用户注册与登录1. 乙方应按照甲方的要求,提供真实、准确、完整的注册信息,并对注册信息的真实性、合法性和有效性负责。
2. 乙方注册成功后,将获得手机银行用户名和密码。
乙方应妥善保管用户名和密码,不得将其泄露给他人。
如因乙方保管不善导致用户名和密码泄露,造成的损失由乙方承担。
3. 乙方登录手机银行服务系统时,应按照甲方的要求进行身份验证。
身份验证方式包括但不限于密码验证、数字证书验证、短信验证码验证等。
银行间市场清算所股份有限公司关于做好数字证书升级改造推广准备工作的通知
银行间市场清算所股份有限公司关于做好数字证书升级改造推广准备工作的通知文章属性•【制定机关】银行间市场清算所股份有限公司(上海清算所)•【公布日期】2023.07.13•【文号】•【施行日期】2023.07.13•【效力等级】行业规定•【时效性】现行有效•【主题分类】银行业监督管理正文关于做好数字证书升级改造推广准备工作的通知各市场机构:根据数字证书升级改造工作安排,我公司拟于近期开展业务系统相关证书升级改造推广工作,具体事项通知如下:一、整体安排本次数字证书升级改造推广工作涉及我公司综合业务系统Ⅱ、利率互换集中清算系统、信用违约互换清算系统、大宗商品衍生品中央对手清算业务系统、标准利率衍生品集中清算系统、招标发行系统。
我公司计划于7月至9月进行升级改造推广工作,将目前使用的数字证书由RSA算法的软证书更换为SM2算法的硬证书,并在10月开始全面使用SM2算法的硬证书。
整体安排如下:第一阶段(提前准备期):计划于近期上线证书管理系统并改造现有各业务系统,支持SM2算法硬证书业务,请做好相关准备工作。
第二阶段(推广过渡期):推广过渡期间(预计为1-2个月),不再受理新开立RSA算法软证书的业务申请,即新开立的数字证书均为SM2算法硬证书;原有RSA算法软证书可继续使用,但不再受理对应的换发、补发、重发等业务申请。
第三阶段(全面应用期):推广过渡期后(预计为10月),原则上原有RSA 算法软证书不再使用,在我公司业务系统上使用的均为SM2算法硬证书。
上述系统上线、过渡、推广日期等具体安排另行通知。
综合业务系统直联接口工作及对应证书使用详见我公司官网《关于第二代综合业务系统直联接口升级的公告》。
二、证书申请流程市场机构可通过纸质、电子等方式申请新发SM2算法硬证书。
方式一:已使用我公司第二代综合业务系统的机构,可由管理员用户登陆第二代综合业务系统,为同一持有人账户的系统操作员提交证书申请。
方式二:已使用我公司利率互换集中清算系统、信用违约互换清算系统、大宗商品衍生品清算系统、标准利率衍生品集中清算系统、招标发行系统处理中心客户端的机构,可使用该业务系统的管理员用户名、密码、证书登陆上海清算所证书管理系统,为该业务系统同一机构代码的系统操作员提交证书申请。
网上银行数字证书应用设计
交 易面临的几个根本 问题 : 交易双方身份认证 、 数据保
密、 交易不可否认性和数据完整性 。
二、 数字证 书在网上银行的作用
网上银行依托于互联 网,通过互联 网向用户 提供
对数据进行加密 。 网上银行应用 数字证书能够加强用户 身份认证 和 保护用户资金安全 , 有效地 提高 网上银行 的安全性。当
抵赖 。 3数 据 完 整 性 .
对用户的交易数据进行签名和使用 H s ah算法处理 后, 网上银行系统能够识别交易数据在传输过程 中是否 被他人篡改 ,因此 能够使用 自己的私钥对信息进行加密 , 由于私钥 只有用户本
人持有 , 这样就产生 了别人无法生成 的密文文件 , 形成 数字签名 。使用数字签名 , 能够确认信息是 由签名者发
律基础。
时C A负责管理数字证书 。用 户向 C A提 出证书 申请 , C A确认用户身份 , 审查用户资格 , 决定 是否签发数字证 书。成功 申请数字证 书的用户都有一对公 钥和私钥 , 公 钥连 同用户 的身份信 息 、A的数 字签名等数 据构成用 C
一
、
数 字 证 书 的 原 理
上银行 , 使其成为银行间业务竞争 的新平 台。作 为现代
个密钥由密钥持有人持 有 , 称为私钥 。这一对密钥之 间存在着相互依赖的关系 , 即用其 中一个密钥加密的信 息只能 由另一个密钥才能解密。 如果使用公钥作为加密
密钥 , 私钥作为解密密钥 , 则可 实现多个用户加 密的信
电子商务的重要组成部分 , 网上银行所利用 的数字证 书
方的公钥进行加密 , 密文 只能被对方 读取 , 实现交易数
据的保 密性 。 由于网上银行 系统大多数都提供 S L协议 S (eui okt ae, ScrySce L yr安全套接层协议 ) t 实现用户 和系 统服务器传输链路上的加密 , 能够保证 信息在传输过程 中的秘密性 , 因此网上银行一般不再使用用户数字证书
建设工程数字证书办理指南
建设工程数字证书办理指南一、业务简介交易集团有限公司建设工程招标业务分公司建设工程数字证书(含移动证书),主要使用建设工程数字证书应用于建设工程合同网上电子招投标项目。
企业或企业个人通过办理建设工程数字证书并开通该应用后,在电子标备案系统中使用数字证书。
交易集团有限公司建设工程招标业务分公司建设工程数字证书根据存储介质不同分为两种:1、存放到Key的证书2、存放到手机的移动证书;每个key中的证书都对应有一张移动证书,两种不同存储介质的证书代表同一个证书主体。
备注:根据国家密码局相关文件要求,深圳市政务领域应用系统需升级为SM2算法,因此原有非SM2算法的证书需更换为SM2算法证书。
二、办理方式咨询电话:4008862801电子邮箱:3170592079@方式一:提交电子档资料将申请资料拍照或者扫描发至邮箱3170592079@(电子档资料必须清晰可见)交费方式:转账至以下账户,如个人转账请备注公司名称账户名:深圳小信科技有限公司开户行:招商银行股份有限公司深圳宝安支行账号:755929044510802领取方式:将证书邮寄至业务申请表中的指定地址,收件人默认为经办人,如需其它人签收,请在申请表中注明。
方式二:邮寄办理将申请资料邮寄至指定地址邮寄地址:深圳市宝安区银田路宝安智谷D506 ,收件人:谭先生,电话:4008862801交费方式:转账至以下账户,如个人转账请备注公司名称账户名:深圳小信科技有限公司开户行:招商银行股份有限公司深圳宝安支行账号:755929044510802领取方式:将证书邮寄至业务申请表中的指定地址,收件人默认为经办人,如需其它人签收,请在申请表中注明。
三、业务办理指南(一)新申请、资料变更、介质补办、数字证书解锁、数字证书SM2算法升级、注销、冻结、解冻业务说明:新申请:首次办理建设工程数字证书资料变更:建设工程数字证书有效期内,公司名称/个人信息变更介质补办:建设工程数字证书丢失需要遗失补办数字证书解锁:证书密码忘记数字证书SM2算法升级:原有数字证书,需更换为SM2新算法的证书,再进行相关电子招投标业务➢办理流程深圳公共资源交易网/个人备案(新申请需要备案)-->邮寄申请资料(或发送电子档申请资料至邮箱)--->缴费--->领取证书➢申请资料(参照附件表格)境内企业:1. 《建设工程数字证书申请表》一份,表格一式两联2. 《建设工程机构业务个人数字证书附页》一份(办理建设工程机构业务个人数字证书需填写,并提供个人的有效身份证件复印件)3. 法定代表人授权委托书(原件,加盖企业公章);4. 法人代表证明书(原件,加盖企业公章);5. 标识统一信用代码号的单位证照(如营业执照、事业单位法人证明书或其它相关证照)(加盖公章)6.单位经办人身份证复印件一份(加盖公章)7.付款凭证(付款流水截图,无需盖章)注:以上纸质资料均需加盖单位公章境外企业:1.《建设工程数字证书申请表》一份,表格一式两联2.《建设工程机构业务个人数字证书附页》一份(办理建设工程机构业务个人数字证书需填写,并提供个人的有效身份证件复印件)3.法定代表人授权委托书(原件,加盖企业公章);4.法人代表证明书(原件,加盖企业公章);5. 企业相关证照公证书(核原件收复印件)香港、澳门企业必须在具有中国司法部委托公证人的律师楼出具内地认可有效公证书,公证内容为办理数字证书;其它国家需在中国驻当地大使馆开具相关公证文件,公证内容为办理数字证书;同时还需提供国内具备资质的翻译公司开具的公证文件的中文译文(加盖翻译公司公章)及翻译公司营业执照复印件(加盖翻译公司公章);6. 单位经办人身份证复印件一份(核原件收复印件)7.付款凭证(付款流水截图,无需盖章)注:以上纸质资料均需加盖单位公章➢收费标准机构数字证书服务年费:200元/年机构业务数字证书服务年费:200元/年机构个人数字证书服务年费:150元/年证书介质费:200元/个数字证书解锁:免费数字证书SM2算法升级:免费➢办理时效➢两个工作日回寄证书(从接收到申请资料且款项到账当天算起)(二)证书续期业务说明:证书续期:建设工程数字证书到期➢办理流程邮寄申请资料(或发送电子档申请资料至邮箱)--->缴费--->领取证书➢申请资料(参照附件表格)境内企业:1. 《建设工程数字证书申请表》一份,表格一式两联2. 《建设工程机构业务个人数字证书附页》一份(办理建设工程机构业务个人数字证书需填写,并提供个人的有效身份证件复印件)3. 单位经办人身份证复印件一份(核原件收复印件)4.付款凭证(付款流水截图,无需盖章)注:以上纸质资料均需加盖单位公章境外企业:1.《建设工程数字证书申请表》一份,表格一式两联2.《建设工程建机构业务个人数字证书附页》一份(办理建设工程机构业务个人数字证书需填写,并提供个人的有效身份证件复印件)3. 单位经办人身份证复印件一份(核原件收复印件)4.付款凭证(付款流水截图,无需盖章)注:以上纸质资料均需加盖单位公章➢收费标准机构数字证书服务年费:200元/年机构业务数字证书服务年费:200元/年机构个人数字证书服务年费:150元/年办理时效两个工作日回寄证书(从接收到申请资料且款项到账当天算起)(三)移动证书申请业务说明:1、移动数字证书是指保存到手机里的数字证书,每张移动证书,可有多个被授权人(即:一张移动证书可授权给多人下载保存至手机),但仅有一个管理员。
保障网上银行安全的第三方认证——访中国金融认证中心总经理李晓峰
原则 , 客户要 主张权利 , 要求 银行赔付 , 却很难举证 , 因
为相对银行来说 , 客户难 以掌握 证据 , 话语权并不在他 们那里。
李晓峰 : 安全 问题 , 中国的网上银行也好 , 电子支付 也好 , 关键问题都是安全。
从软件环境到硬件 环境 , 安全包括 的问题很 多。比 如, 安全 的机房 、 电子屏蔽手段 , 中包括消防 、 电等 ; 其 配 在管理 、 主机 、 设备 、 备份 、 安全策略等方面 的问题 ; 在制
法 遵 循 的有 技 术 中立 原 则 、 术 特 定 原 则 、 中原 则 , 技 折 法
数字证书的用户仅有 2 %,而这恰恰是我们认 为最安全
的手段 。 显然这里存在的 问题太 多了。 从媒体上不断曝
光 的案件来看 , 安全 问题太突出了。 安全问题解决不好 , 网上银行和 电子支付 的发展肯定要受到 限制。
网上银行 案件 中的责任 ,是 网上银行发展 中各家银行 、 相关监管机构及认证服务机构需 要面对并妥善解 决的
问题。这些问题的广泛宣传和相关措施 , 也成为制约我 国网上银行发展的关键 因素。 目前 网上银行的发展来 就
看, 电子签名技术是打造相对安全 的网上银行 的有力措
施 ,而这一技术 的实现需 要引入第三 方认证 ,成立于
使用用 户名 、 密码方式不存在第三方 , 只是客户和
银行约定好 , 双方就按照这种方式做 , 出了问题大家都
扯不清楚。如果引入电子签名第三方 , 就具有 了法律意
义 , 电子签名法》 以下简称《 名法》 、电子认证服 有《 ( 签 )《
务管理办法》 的保障。 在电子银行领域一些银行没有使用第 三方认证 机 构, 使用 的是 自己的认证 。有法律界人士曾经提出。 通过
银行数字证书服务方案
银行数字证书服务方案银行数字证书服务方案一、引言随着信息技术的飞速发展,数字证书作为一种安全、有效的身份认证机制,已经在各行各业得到广泛应用,尤其在银行业务中具有重要意义。
银行数字证书服务旨在通过数字证书技术,保障银行与客户之间的交互过程的安全性和可信度,提高银行业务的效率和便利性。
二、服务内容1.数字证书申请与管理:银行为客户提供数字证书申请服务,包括生成和发布数字证书的相关流程和文件,确保数字证书的合法性和完整性。
同时,银行提供数字证书的有效期管理服务,及时提醒客户证书的过期时间并协助客户进行证书的更新和续期。
2.数字证书验证与撤销:为了保证数字证书的可信度,银行将实施数字证书验证服务,通过验证证书的颁发机构和序列号等信息,确认证书的合法性。
同时,银行还将提供数字证书的撤销服务,及时撤销处于非法状态的证书并通知相关各方,确保数字证书的安全性。
3.数字证书使用指导:银行将为客户提供数字证书使用的指导和技术支持,包括数字证书的安装、使用及相关软件的配置和操作等。
通过提供详细的操作手册和培训课程,帮助客户快速了解和掌握数字证书的使用方法,提高客户的使用效率。
4.数字证书技术支持:银行将提供数字证书技术支持服务,包括解答客户在数字证书使用过程中遇到的技术问题和疑问,并提供问题的解决方法和建议。
同时,银行将定期更新数字证书的相关技术资料和通知,确保客户始终能够使用最新、最安全的数字证书服务。
三、服务优势1.安全性高:银行数字证书服务采用国际标准的加密算法,确保客户的个人信息和交易数据在传输过程中不被窃取和篡改,提高银行业务的安全性和可靠性。
2.便利性好:客户可以通过网上银行、手机客户端等多种渠道申请和管理数字证书,无需亲自到银行网点办理,提高了服务的便利性和效率。
3.时效性强:银行数字证书服务将通过自动化的流程和系统,大大缩短证书的申请和发放时间,提高服务的时效性和效率。
4.后续支持:银行将继续跟踪和更新数字证书相关技术,及时提供最新的安全防护措施和解决方案,确保数字证书服务始终满足客户的需求和安全要求。
银行数字证书的保管制度
银行数字证书的保管制度银行数字证书的保管制度是指银行为保护数字证书的安全性所采取的措施和规定。
银行数字证书是用于保护和验证客户身份的重要安全工具,因此仅有授权人员可以访问和使用数字证书。
以下是银行数字证书的保管制度的一些主要方面:1. 角色分离:银行应确保数字证书的发行、管理和操作角色的分离。
不同的人员负责数字证书的申请、批准、签发、更新和注销等不同环节,以避免权力过于集中和滥用。
2. 安全设施:银行必须建立安全设施,用于保护存储数字证书的服务器和数据库。
这些设施应采取物理和逻辑安全措施,包括访问控制、加密保护、入侵检测和监控等,以防止未经授权的访问和攻击。
3. 密码保护:银行应采取措施保护数字证书的密码安全。
这包括密码策略的制定,如密码的复杂性要求、定期更换密码和禁止密码共享等。
同时,还可以采用密码保险库、加密设备和安全存储介质等技术手段来加强密码的保护。
4. 访问控制:银行应设定严格的访问控制策略,仅授权人员可以访问和使用数字证书。
这包括限制特定的员工或部门访问数字证书的权限,以及建立审计机制,监控和记录数字证书的访问和使用情况。
5. 审计和监控:银行应定期进行数字证书的审计和监控,以确保数字证书的使用符合规定和政策。
这包括对数字证书的使用情况进行审计,检查数字证书的有效期和使用权限,以及监控异常活动和安全事件的发生。
6. 存档和备份:银行应建立数字证书的存档和备份机制,以防止不可预见的数据丢失或意外损坏。
这可以通过定期备份和存储数字证书的副本,并采用灾难恢复计划来保障数字证书的持久性和可用性。
总之,银行数字证书的保管制度是确保数字证书安全和可信性的关键措施。
通过建立严格的角色分离、安全设施、密码保护、访问控制、审计和监控以及存档备份等机制,银行可以有效地保护数字证书的安全,并防范潜在的风险和安全威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
参与科技部:可信电子凭 证课题
11
网络信任的基础设施
北京电子政务重要基础设施 奥运、人大政协会议信息安全保障先 进单位
12
自主知识产权技术为核心的电子认证服务体系
可信的 数字身份
可信的 数据电文
网络信任服务
可信的 网络行为
(截止到2013.12月)
8 12 50
质量管理(12) 技术咨询(50) 项目实施(121)
攻防实验室(8) 客户服务(90) 产品管理(9) 产品研发(68)
90 121
9
68
7
公司主营业务
电子认证服务 信息安全服务
数字证书的发放、管理用等电子认证服 务
电子签名、数字认证的软件产品和解决 方案,为电子政务、电子商务、企业 信息化的发展构建安全、可靠的信任 环境
27
银行合作客户
网银第三方证书服务 北京银行、华夏银行、华融湘江银行
手机银行证书服务及解决方案 吉林银行
证书应用软件 廊坊银行、韩国友利银行
网银安全评估 韩国企业银行、韩国友利银行 VTM无纸化手写数字签名 上海银行
SSL服务器证书服务 中国银行、光大银行、广发银行、北京银行、汉口银行、韩国企业银 行、渤海银行、珠海商业银行、青岛银行、宜宾商业银行、鄂尔多 斯银行、华夏银行、盛京银行……
完整性和不可篡改性。 数字签名信息保存在服务器中,发生纠纷时可获取并验证。
22
北京银行数字证书定制化相关工作 介质的集中采购与包装
自2003年起,北京银行数字证书的外包装、产品说明 书及Ukey设备采购均通过BJCA完成。
23
北京银行数字证书定制化相关工作
合作紧密(宇信易诚) 积极完成定制化需求开发
信息安全服务领域
工信部《计算机信息系统集成企业资质》(叁级) 国家保密局《涉及国家秘密的计算机信息系统集成乙级资质》 国家保密局《涉及国家秘密的计算机信息系统单项(软件开发)资质》 国家信息安全测评信息安全服务资质(安全工程类一级) 北京市信息安全服务能力等级证书(一级) 信息安全服务资质认证证书(应急处理服务资质三级) 信息系统安全集成服务资质一级
产品培训
每次证书定制开发或新建分行后,都协助北京银行对新产品和新分行 进行证书业务培训。
24
VTM电子签名应用方案设计
1 选择业务,阅读协议
2 身份证扫描
监控摄像头 液晶手写屏
手写签名 密码模块
3
远程核 实身份
4 信息录入
5 电子业务单
屏幕共享确认
7 顾客电子签名确认
8 协议交付
25
移动营销正成为业务范围拓宽,业绩提升的重要手段
移动通讯
中国移动 北京电信 苏州电信 四川电信
电子商务
北京银行 湖南人民银行 华夏银行 华融湘江银行 京东商城 国美在线 平安金融交易所 中体彩公司 中体骏彩公司 爱波网、彩乐瀑 宇龙计算机通信科技 首信易支付 中国投资担保公司
18
2 BJCA北京银行网银证书建设介绍
19
北京银行数字证书应用历程和使用情况
银行 网银第三方数字证书应用建设
2014年12月
Confidential
北京数字证书认证中心 2007年10月
1
目录
BJCA公司简介 北京银行网银证书建设案例介绍
2
1 BJCA公司简介
3
公司的使命:
提供高品质的信息安全服务,帮助用户创造安全可信的网络空间
成立于2001年,以自主知识产权技术为核心的 网络信任与信息安全服务提供商 首批获得《电子认证服务许可资质》的专业电子 认证服务提供商 2011年更名为“北京数字认证股份有限公司” 注册资金6000万
)
国家发展和改革委员会 人力资源和劳动社会保障部 农业部 卫生部 教育部
海南国税 黑龙江国税 广西国税 淮安国税 北京地税 中国平安寿险
贵州省政府 深圳市政府 苏州市政府 湖北宜昌市 河北保定市行政审批 温州政府采购
工业和信息化部
合众人寿
河南省济源市
新闻出版总署
人保财险
陕西省安监局
中民央政国部家收全机养关中国政心税府务采购、中卫心生、保中新险意光行财海业险航人的寿最大电内四子蒙川认古省证质商量务服技厅务…术…提监督供局商
承担行业标准制定
承担国家安标委网络信任 体系相关安全接口规 范、技术要求和服务 规范的制定
主持制定北京市地方证书 标准和应用接入规范 的制定
参与人力资源和社会保障 部的电子认证服务标 准制定
参与卫生部电子认证相关 行业标准制定
参与国家课题研究攻关
参与科技部863高安全弹性 CA技术研究课题
参与国家发改委“新型电 子认证服务体系”国家 信息化试点
获得软件著作权30项 国家专利5项数字证书认证 服务可信数据电文 服务
数字身份管理 服务
数字证书应用安全产 品
基础平台
13
全面的信息安全服务
国家风险评估试点项目首批承担单位 国家等级保护试点项目首批承担单位 国家ISMS试点项目首批承担单位
14
立足北京,服务全国
部委客户(十八个部委
区域客户(二十八个省)
17
成功实践(续)
集团客户
联想集团 北京汽车集团 神华集团 赛迪集团 山东能源集团 内蒙古伊利集团 中国储备粮管理总公司 深圳市爱施德公司 中交兴路公司 上海鹰商信息科技公司 吕梁煤炭 成都交通信息港
文化教育
清华大学 软件测评中心(赛迪) 中国科学院信息工程研究
所 工信部教育考试中心 中国新闻出版研究院
1、在提升客户体验方面
(1)完善数字证书下载流程5次,降低准入门槛。 (2)将证书管理内嵌入网银,方便客户查找。
2、在安全方面
(1)完成文件证书的停发,支持已发证书正常使用。
(2)更换电子密盾介质,并做好与原有Ukey的并行使用。
3、其他
(1)登陆控件 (2)密码控件 (3)配合统计,营销活动进行的若干改造
北京政务
北京市市委 北京市国资委 北京市交通委员会 北京市密码管理局 北京市机要局 北京市水务局 北京市民政局 北京市监狱管理局 北京市人力社保局 北京市食品药品监督管理
局 首都之窗
地方政务
潮州市行政服务中心 德州市行政服务中心 鄂尔多斯资源交易中心 呼和浩特资源交易中心 杭州市经信委 黄石市政府 十堰市国土局 苏州市信息办 苏州昆山财政局 苏州市吴江区社保局 苏州市张家港社保中心 威海市公积金
企业网银在网银服务器上部署BJCA的证书应用中间件产品,在网银 应用系统通过调用相关接口,实现登录认证和签名应用;个人网银 今年改用验签服务器。
在用户登录和进行关键操作签名时均需要输入PIN口令。 登录过程进行双向验证,能够有效杜绝和防止钓鱼网站以及仿冒攻击
。 通过服务器端产生的随机数签名和验证的方式实现抗重放攻击。 用户在网银系统中进行的每一笔交易都进行数字签名,以确保数据的
28
4
国有控股股东
北京市国有资产经营有限责任公司
北京国资公司是经北京市人民政府授权 的、专门从事资本运营的大型国有投资 控股公司。 北京国资公司直接和间接持有本公司 71.64%股权,为公司的实际控制人。
5
公司组织机构
BJCA现有员工710余人,是业内规模最大的电子认证服务机构
6
强大的技术支撑
技术人员团队:358人
高端人群上门服务(理财产品/基金 产品/银行增值业务/票据/挂失...) 私人银行业务上门服务
信用卡发卡
特殊场景营销(校园营销/专 场推介会/合作企业平台...)
1
2 客户经理
上门服务 产品推介
大客户洽谈 3 业务办理
产品 选购
手写 签名 证件 识别
26
临柜业务受理无纸化创新方案
纸质银行业务单据与电子单据对比 可鉴定的可靠电子签名单据
哈尔滨市第一医院
北京天坛医院
内蒙古包钢医院
北京同仁医院
……
保险证券
太平洋保险 新华人寿保险 招商信诺保险 长城人寿保险 中航三星保险 海康人寿保险 东吴人寿保险 都邦财产保险 东方证券 民族证券 西南证券 中信建投证券 掌上网
税务
海南省国税 黑龙江省国税 湖南省国税
北京市地税 深圳地税 河北省地税 陕西省地税 甘肃省地税 淮南市地税
9
持续的积累成长
赛迪2012《电子认证服务业发展蓝皮 书》:电子认证服务机构竞争力综合 评估排名,依法设立的32家电子认证 机构中,北京数字认证股份公司名列 第一。
10
行业领先的信息安全服务提供商
参与行业规划
中国PKI论坛理事单位 全国信息安全标准化技术
委员会成员 国家信息安全风险评估、
信息安全管理体系建设 试点技术支撑单位 参与人力资源和社会保障 部网络信任体系规划 参与卫生部部网络信任体 系规划
用户可通过在线方式更新证书。 网银专员负责办理证书业务、关联证书。
一般柜员不参与证书业务。
互联网
页面跳转
企业用户
企业用户自助 在线更新系统
21
证书用户在北京银行网银系统中的应用模式
网银企业为Key证书,个人网银使用Key+挑战应答方式。 证书用途:登录认证、转账等关键交易的签名以及签名的验证。 证书应用集成方式如下:
2003年开始 2008年
2014年
北京银行推出网 银品牌,并在个 人和企业网银使 用文件证书和存 储型Ukey介质证
书。
停发文件证书, 已发文件证书保 持使用。
个人网银更换为电 子密盾,是集数字 证书和动态口令一 体安全设备。手机
银行和网银均可使
Ukey证书存储介 用。