RFID世界網(wǎng) >
技術(shù)文章 >
其他 >
正文
加拿大中央銀行根密鑰安全保護方案
作者:信息中心
來源:RFID世界網(wǎng)
日期:2005-07-09 10:18:28
摘要:加拿大中央銀行根密鑰安全保護方案
關(guān)鍵詞:加拿大中央銀行根密鑰安全保護方案
導(dǎo)讀-- 加拿大銀行是第一批采用因特網(wǎng)技術(shù)提供服務(wù)的機構(gòu)之一。由于交易處理和用戶認(rèn)證的方式可以創(chuàng)造新的機會并增加效率,銀行需要一個安全的環(huán)境來進行交易,因此他們決定采用公共密鑰體系結(jié)構(gòu)(PKI)技術(shù)。
加拿大銀行是加拿大的中央銀行,負(fù)責(zé)加拿大貨幣政策、發(fā)行鈔票、調(diào)節(jié)和支持著加拿大主要的金融清算和結(jié)算系統(tǒng), 擔(dān)當(dāng)著聯(lián)邦政府債務(wù)的財政代理職能。雖然不承擔(dān)一般銀行業(yè)務(wù),但是它在加拿大經(jīng)濟中的地位和重要性不言而喻,很少有金融機構(gòu)會比加拿大銀行(BoC)對安全性更加關(guān)注。
加拿大銀行是第一批采用因特網(wǎng)技術(shù)提供服務(wù)的機構(gòu)之一。由于交易處理和用戶認(rèn)證的方式可以創(chuàng)造新的機會并增加效率,銀行需要一個安全的環(huán)境來進行交易,因此他們決定采用公共密鑰體系結(jié)構(gòu)(PKI)技術(shù)。SafeNet能夠確保加拿大銀行CA認(rèn)證中心的可信性。
挑戰(zhàn)
除了要考慮選擇合適的PKI廠商,加拿大銀行還要考慮如何確保PKI根密鑰的安全性并設(shè)立切實可行的安全級別。單獨的PKI軟件不能滿足要求。為遵守加拿大銀行和加拿大政府對PKI安全證書的要求,他們需要使用聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)140-1第3級驗證的硬件安全模塊(HSM)保護根密鑰。
使用硬件安全產(chǎn)品必須要滿足一些特殊的要求,例如:密鑰必須始終在硬件中生成、簽名、存儲和備份;要和Entrust PKI相兼容;可以運行在Solaris平臺上等。
銀行PKI實施小組已經(jīng)意識到根密鑰的脆弱性。加拿大銀行安全服務(wù)經(jīng)理Gord Ireland說“對CA的信任依賴于只有本人才能應(yīng)用自己的簽名,其它任何人都不能模仿。如果CA的簽名密鑰變得不安全,所有由CA頒發(fā)的證書不再得到信任,這會導(dǎo)致CA在一個新的CA簽名下頒發(fā)新的證書”。
解決方案
Luna CA3根密鑰保護產(chǎn)品是SafeNet的 Ultimate Trust 解決方案之一,作為標(biāo)志性根密鑰保護產(chǎn)品,其市場地位和可靠性使它脫穎而出成為加拿大銀行的首選方案。由于不在硬盤驅(qū)動器和磁帶備份介質(zhì)上泄漏CA簽名密鑰對,Luna CA3根密鑰保護產(chǎn)品被認(rèn)為不存在任何安全隱患。
SafeNet Luna CA3必須在部署PKI體系前設(shè)置完成以保證CA簽名密鑰對的安全性,不會泄漏到CA服務(wù)器的硬盤上(甚至以加密的形式放在硬盤上也不行)。通過在部署之初就實施硬件根密鑰保護,銀行就會達(dá)到FIPS 140-1第3級安全標(biāo)準(zhǔn)。因為根密鑰始終被存儲在受保護的,可信的并且符合FIPS 140-1第3級標(biāo)準(zhǔn)驗證的硬件上,軟件自身所帶來的風(fēng)險會減輕。
“我們對Luna CA3如何滿足我們所有的需求留下了深刻的印象,并對其部署和集成的高性能表現(xiàn)給與很高的期望。我們對該產(chǎn)品和產(chǎn)品提供商感到非常滿意?!奔幽么筱y行PKI首席技術(shù)官Bernard Maltais說。
所獲利益
加拿大銀行在4個月的時間內(nèi)完成了對CA的安全設(shè)施、硬件、軟件、網(wǎng)絡(luò)設(shè)置、人員安置和培訓(xùn),加拿大銀行證書認(rèn)證中心于1999年4月建立并正式運行?,F(xiàn)在,加拿大銀行的遠(yuǎn)程員工可以通過PKI體系安全地與銀行系統(tǒng)相連接,并且可以使外部客戶能夠安全進入網(wǎng)頁進行交易。該項目以扣減員工薪水的方式來幫助小公司的員工購買加拿大儲蓄債券。
結(jié)論
正如Deloitte & Touche安全咨詢服務(wù)機構(gòu)所評述的那樣,加拿大銀行選擇Luna CA3是業(yè)內(nèi)最成功的一次運作,Luna CA3不但在其內(nèi)部生成所有根密鑰,而且還具備獨特的可擴展性。
SafeNet為金融業(yè)提供以下產(chǎn)品:
Luna SA-適用于根密鑰的保護及加速處理,能在網(wǎng)絡(luò)共享部署情況下聚合多個HSM
Luna CA3—適用于為根CA和對注冊機構(gòu)頒發(fā)的數(shù)字證書提供根密鑰保護
LUNA RA- 適用于存儲員工數(shù)字證書的智能卡發(fā)行
Luna 2 - 適用于數(shù)字簽名文檔
Luna VPN - 適用于遠(yuǎn)程訪問VPN網(wǎng)絡(luò)的安全硬件加速器
加拿大銀行是加拿大的中央銀行,負(fù)責(zé)加拿大貨幣政策、發(fā)行鈔票、調(diào)節(jié)和支持著加拿大主要的金融清算和結(jié)算系統(tǒng), 擔(dān)當(dāng)著聯(lián)邦政府債務(wù)的財政代理職能。雖然不承擔(dān)一般銀行業(yè)務(wù),但是它在加拿大經(jīng)濟中的地位和重要性不言而喻,很少有金融機構(gòu)會比加拿大銀行(BoC)對安全性更加關(guān)注。
加拿大銀行是第一批采用因特網(wǎng)技術(shù)提供服務(wù)的機構(gòu)之一。由于交易處理和用戶認(rèn)證的方式可以創(chuàng)造新的機會并增加效率,銀行需要一個安全的環(huán)境來進行交易,因此他們決定采用公共密鑰體系結(jié)構(gòu)(PKI)技術(shù)。SafeNet能夠確保加拿大銀行CA認(rèn)證中心的可信性。
挑戰(zhàn)
除了要考慮選擇合適的PKI廠商,加拿大銀行還要考慮如何確保PKI根密鑰的安全性并設(shè)立切實可行的安全級別。單獨的PKI軟件不能滿足要求。為遵守加拿大銀行和加拿大政府對PKI安全證書的要求,他們需要使用聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)140-1第3級驗證的硬件安全模塊(HSM)保護根密鑰。
使用硬件安全產(chǎn)品必須要滿足一些特殊的要求,例如:密鑰必須始終在硬件中生成、簽名、存儲和備份;要和Entrust PKI相兼容;可以運行在Solaris平臺上等。
銀行PKI實施小組已經(jīng)意識到根密鑰的脆弱性。加拿大銀行安全服務(wù)經(jīng)理Gord Ireland說“對CA的信任依賴于只有本人才能應(yīng)用自己的簽名,其它任何人都不能模仿。如果CA的簽名密鑰變得不安全,所有由CA頒發(fā)的證書不再得到信任,這會導(dǎo)致CA在一個新的CA簽名下頒發(fā)新的證書”。
解決方案
Luna CA3根密鑰保護產(chǎn)品是SafeNet的 Ultimate Trust 解決方案之一,作為標(biāo)志性根密鑰保護產(chǎn)品,其市場地位和可靠性使它脫穎而出成為加拿大銀行的首選方案。由于不在硬盤驅(qū)動器和磁帶備份介質(zhì)上泄漏CA簽名密鑰對,Luna CA3根密鑰保護產(chǎn)品被認(rèn)為不存在任何安全隱患。
SafeNet Luna CA3必須在部署PKI體系前設(shè)置完成以保證CA簽名密鑰對的安全性,不會泄漏到CA服務(wù)器的硬盤上(甚至以加密的形式放在硬盤上也不行)。通過在部署之初就實施硬件根密鑰保護,銀行就會達(dá)到FIPS 140-1第3級安全標(biāo)準(zhǔn)。因為根密鑰始終被存儲在受保護的,可信的并且符合FIPS 140-1第3級標(biāo)準(zhǔn)驗證的硬件上,軟件自身所帶來的風(fēng)險會減輕。
“我們對Luna CA3如何滿足我們所有的需求留下了深刻的印象,并對其部署和集成的高性能表現(xiàn)給與很高的期望。我們對該產(chǎn)品和產(chǎn)品提供商感到非常滿意?!奔幽么筱y行PKI首席技術(shù)官Bernard Maltais說。
所獲利益
加拿大銀行在4個月的時間內(nèi)完成了對CA的安全設(shè)施、硬件、軟件、網(wǎng)絡(luò)設(shè)置、人員安置和培訓(xùn),加拿大銀行證書認(rèn)證中心于1999年4月建立并正式運行?,F(xiàn)在,加拿大銀行的遠(yuǎn)程員工可以通過PKI體系安全地與銀行系統(tǒng)相連接,并且可以使外部客戶能夠安全進入網(wǎng)頁進行交易。該項目以扣減員工薪水的方式來幫助小公司的員工購買加拿大儲蓄債券。
結(jié)論
正如Deloitte & Touche安全咨詢服務(wù)機構(gòu)所評述的那樣,加拿大銀行選擇Luna CA3是業(yè)內(nèi)最成功的一次運作,Luna CA3不但在其內(nèi)部生成所有根密鑰,而且還具備獨特的可擴展性。
SafeNet為金融業(yè)提供以下產(chǎn)品:
Luna SA-適用于根密鑰的保護及加速處理,能在網(wǎng)絡(luò)共享部署情況下聚合多個HSM
Luna CA3—適用于為根CA和對注冊機構(gòu)頒發(fā)的數(shù)字證書提供根密鑰保護
LUNA RA- 適用于存儲員工數(shù)字證書的智能卡發(fā)行
Luna 2 - 適用于數(shù)字簽名文檔
Luna VPN - 適用于遠(yuǎn)程訪問VPN網(wǎng)絡(luò)的安全硬件加速器