"基于CPU卡的PKI柜员身份认证系统"
基于CPU卡的PKI柜员身份认证系统是一种创新型身份认证系统,旨在解决传统柜员身份认证系统的安全性不强、数据容易被盗取的缺点。该系统采用PKI公钥基础设施技术, 将密钥存放在安全性高、抗攻击能力强的CPU卡芯片中,确保了系统和资金的安全。
系统的拓扑结构主要由两个部分组成:身份认证服务器和供柜员使用的CPU卡和前置终端。身份认证服务器是与业务服务器协同工作的专用网络服务器,提供对柜员前置终端的CPU卡密钥进行认证,同时也将身份认证和身份资料的保持整合在一起。
CPU卡是IC卡的一种,拥有自己的CPU、操作系统和可多达16K的存储空间,并提供对称和非对称的加密功能。在该PKI柜员身份认证系统中,我们将数字证书、密钥以及其他相关柜员保密信息(如柜员号、柜员密码和柜员状态等)存放在芯片上的安全文件系统中,并采用可加密的数据通信方式与IC卡读写器进行数据交换。
该系统中CPU卡分为柜员卡和服务器卡:柜员卡中存储有柜员卡号、柜员代号、柜员网点号、柜员密码、柜员姓名等信息。柜员代号和柜员密码保证了只有柜员自己才能使用该CPU卡,柜员卡号、柜员网点号和柜员的姓名标识了CPU卡用户的真实身份;服务器卡中存储有服务器卡卡号、柜员卡号、柜员网点号、柜员状态、服务器代号等信息。服务器代号用于确定用户是该卡的合法拥有者,柜员状态包括正常、锁死、挂失或者作废等。
该系统的工作原理主要包括双因素身份认证和双卡权限控制。双因素身份认证即系统登录时采用“柜员号+密码”登录与CPU卡PKI认证相结合的方式。柜员号+密码登录在前置终端上完成,即柜员登录系统前需在前置终端上根据系统提示输入柜员代号和密码,确认该柜员是该CPU卡的合法拥有者后,执行后台的CPU卡PKI认证。对CPU卡的认证在身份认证服务器上完成。
CPU卡可设置多级应用,可增加系统动态密码认证功能,系统与CPU卡具有相同的种子密钥与算法,系统在每次认证前提供一个随机密钥,使得系统更加安全可靠。
该基于CPU卡的PKI柜员身份认证系统是一种高安全性和可靠性的身份认证系统,能够满足金融电子化程度越来越高的需求,保护金融网络资源和服务的安全。
