 |
|
iKey2032身份认证令牌在CFCA中国金融认证中心的企业应用 |
iKey2032身份认证令牌在CFCA中国金融认证中心的企业应用
iKey2032身份认证令牌在CFCA(中国金融认证中心)系统中的应用主要是用来安全地存放用户证书和用户私钥。由于在PKI体系中用户私钥是用户身份的代表,因此用户私钥的安全也是整个系统的安全。
因为CA一般采用符合业界标准的技术,所以iKey2032身份认证令牌也适用于CFCA以外的证书。
CFCA和iKey2032身份认证令牌
CFCA的Non-SET系统采用了Entrust公司的系统,包括用户客户端软件和后台服务器软件。由于iKey2032身份认证令牌是一个Entrust-ready产品,所以iKey2032身份认证令牌可直接用于Entrust系统用来安全保存用户证书和用户私钥。
iKey2032身份认证令牌被用作存放用户私钥和证书的介质,在网上银行业务中发挥作用。在企业网上银行应用中,用户私钥和证书发挥了传统业务的印章的功能,用以认证用户的身份是否合法,保障用户资金账户的安全。
用户在网上银行进行登录、查询、转账、汇款等业务中,均须使用用户私钥进行签名确认,用用户证书加密和银行服务器之间交换的数据。而用户私钥和用户证书被安全的存放在iKey2032身份认证令牌中。
iKey2032身份认证令牌用硬件实现签名算法,使得用户私钥从生成开始,到使用、更新、销毁的整个私钥生命周期中,用户私钥始终在iKey2032身份认证令牌内部存放,并且全部使用私钥的运算都在iKey2032身份认证令牌内部完成,这样就 大限度的保障了用户私钥的安全。
在Entrust中使用iKey2032身份认证令牌
1, 安装Entrust 客户端软件Direct Client
安装Entrust客户端软件和安装一般的Windows应用程序一样。Entrust的配置参数存放在entrust.ini文件中,这个文件一般在windows\system目录下,或客户端软件的安装目录下。一般管理员会配置一个通用的.ini文件包含网络地址、签名算法、密钥长度等信息。
在安装完Entrust客户端软件后安装iKey2032身份认证令牌软件,如果Entrust客户端软件安装在C:\根目录下,请将整个Entrust客户端软件移动到C:\windows或C:\winnt目录下,在安装iKey2032身份认证令牌软件过程接近结束的时候,如果iKey2032身份认证令牌安装程序发现系统中有Entrust客户端软件以及.ini文件,那么会自动更新.ini文件这样Entrust客户端软件就可以用iKey2032身份认证令牌了。更新的内容为添加类似下面这条语句:
CryptokiLibrary95=c:\windows\system\dkck132e.DLL
该语句指定了iKey2032身份认证令牌提供的CryptKi(PKCS#11)库文件的地址。
2,建立用户配置文件/新建用户
建立用户配置文件的流程如上图所示:
1)
RA初始化建立新用户的流程(选择菜单用户新用户)。一个新用户的资料就被添加到数据库。同时生成并存储用户的第一个密钥对和证书。
2) 管理员生成一组参考码和授权码并安全的传送给用户。
3) 用户在本地选择新建用户,并输入参考码和授权码。
4)
Entrust客户端软件将用户的配置信息装入iKey2032身份认证令牌。在装入过程中,一对签名密钥对在iKey2032身份认证令牌内部生成并且从Entrust
CA处得到一个证书。
5) Entrust管理员将用户状态更新为”激活的”。用户就可以登录到Entrust PKI应用程序中去了。
3,恢复用户配置文件
如果用户的配置文件由于某些原因(如PIN锁死,iKey2032身份认证令牌损坏)而不可操作,配置文件可从Entrust管理系统恢复。由于签名密钥是在iKey2032身份认证令牌内部产生的,所以签名密钥会被重新生成,而相对应的签名证书也会重新从Entrust管理系统处下载。基本的恢复操作步骤如下:
1) 用户通知RA需要恢复配置文件。
2) RA验证用户的身份,并初始化密钥恢复。
3) RA保证安全的传送参考码和授权码给用户。
4) 用户初始化”恢复配置文件”操作。
a, 输入参考码和授权码
b, 选择”将配置文件存到硬件加密设备上”
5) 用户的配置信息从Entrust管理系统中下载并重新安装到iKey2032身份认证令牌中去。
6) Entrust管理系统将用户状态从”恢复密钥”更新到”激活的”状态。
4,更新用户密钥
为了确保安全,用户密钥需要定期更新。Entrust提供了企业级自动密钥管理功能。Entrust管理系统可以为每个用户制定一个密钥更新日程。当密钥更新日程到期,下次用户登陆时Entrust系统和客户端软件会自动更新用户的配置文件。新的加密加密密钥对和证书会自动安装到iKey2032身份认证令牌中去。新的签名密钥和证书也会生成并安装到iKey2032身份认证令牌内。
|
|
iKey2032身份认证令牌在CFCA中国金融认证中心的企业应用 |
泰雷兹(THALSE)收购:金雅拓 (Gemalto)、赛孚耐(SafeNet)、圣天诺(Sentinel)、阿拉丁(HASP),彩虹(Rainbow),金天地加密狗(Dog),公司成为专业软件货币化市场品牌。
武汉市金雅特信息技术有限责任公司是泰雷兹(THALSE)公司授权中国代理商,所售赛孚耐SafeNet加密狗产品的序列号均为独立序列号,赛孚耐加密狗产品关键部件是采用非通用芯片可以防止克隆复制的,可提供30天免费测试。
我公司有多名专业加密技术工程师,可随时为您售前售后服务,帮助您实现硬件加密狗、软锁、云授权许可证License授权管理,提高软件开发商软件销售收入。
产品三包:7天包退换,非物理损坏2年免费更换,2年免费服务 |
|
|
 |
| 加密狗-软件授权许可加密保护 |
|
|
|
|
 |
|
