| 加拿大中央银行根密钥安全保护方案 |
| 行业类别:银行 |
功能类别:系统安全 |
| 方案作者:
加拿大银行 |
发布时间:2005-8-22 13:20:33 |
|
加拿大银行是第一批采用因特网技术提供服务的机构之一。由于交易处理和用户认证的方式可以创造新的机会并增加效率,银行需要一个安全的环境来进行交易,因此他们决定采用公共密钥体系结构(PKI)技术。
加拿大银行是加拿大的中央银行,负责加拿大货币政策、发行钞票、调节和支持着加拿大主要的金融清算和结算系统,担当着联邦政府债务的财政代理职能。虽然不承担一般银行业务,但是它在加拿大经济中的地位和重要性不言而喻,很少有金融机构会比加拿大银行(BoC)对安全性更加关注。
加拿大银行是第一批采用因特网技术提供服务的机构之一。由于交易处理和用户认证的方式可以创造新的机会并增加效率,银行需要一个安全的环境来进行交易,因此他们决定采用公共密钥体系结构(PKI)技术。SafeNet能够确保加拿大银行CA认证中心的可信性。
挑战
除了要考虑选择合适的PKI厂商,加拿大银行还要考虑如何确保PKI根密钥的安全性并设立切实可行的安全级别。单独的PKI软件不能满足要求。为遵守加拿大银行和加拿大政府对PKI安全证书的要求,他们需要使用联邦信息处理标准(FIPS)140-1第3级验证的硬件安全模块(HSM)保护根密钥。
使用硬件安全产品必须要满足一些特殊的要求,例如:密钥必须始终在硬件中生成、签名、存储和备份;要和Entrust PKI相兼容;可以运行在Solaris平台上等。
银行PKI实施小组已经意识到根密钥的脆弱性。加拿大银行安全服务经理Gord Ireland说“对CA的信任依赖于只有本人才能应用自己的签名,其它任何人都不能模仿。如果CA的签名密钥变得不安全,所有由CA颁发的证书不再得到信任,这会导致CA在一个新的CA签名下颁发新的证书”。
解决方案
Luna CA3根密钥保护产品是SafeNet的 Ultimate Trust 解决方案之一,作为标志性根密钥保护产品,其市场地位和可靠性使它脱颖而出成为加拿大银行的首选方案。由于不在硬盘驱动器和磁带备份介质上泄漏CA签名密钥对,Luna CA3根密钥保护产品被认为不存在任何安全隐患。
SafeNet Luna CA3必须在部署PKI体系前设置完成以保证CA签名密钥对的安全性,不会泄漏到CA服务器的硬盘上(甚至以加密的形式放在硬盘上也不行)。通过在部署之初就实施硬件根密钥保护,银行就会达到FIPS 140-1第3级安全标准。因为根密钥始终被存储在受保护的,可信的并且符合FIPS 140-1第3级标准验证的硬件上,软件自身所带来的风险会减轻。
“我们对Luna CA3如何满足我们所有的需求留下了深刻的印象,并对其部署和集成的高性能表现给与很高的期望。我们对该产品和产品提供商感到非常满意。”加拿大银行PKI首席技术官Bernard Maltais说。
所获利益
加拿大银行在4个月的时间内完成了对CA的安全设施、硬件、软件、网络设置、人员安置和培训,加拿大银行证书认证中心于1999年4月建立并正式运行。现在,加拿大银行的远程员工可以通过PKI体系安全地与银行系统相连接,并且可以使外部客户能够安全进入网页进行交易。该项目以扣减员工薪水的方式来帮助小公司的员工购买加拿大储蓄债券。
结论
正如Deloitte & Touche安全咨询服务机构所评述的那样,加拿大银行选择Luna CA3是业内最成功的一次运作,Luna CA3不但在其内部生成所有根密钥,而且还具备独特的可扩展性。
SafeNet为金融业提供以下产品:
Luna SA-适用于根密钥的保护及加速处理,能在网络共享部署情况下聚合多个HSM
Luna CA3—适用于为根CA和对注册机构颁发的数字证书提供根密钥保护
LUNA RA- 适用于存储员工数字证书的智能卡发行
Luna 2 - 适用于数字签名文档
Luna VPN - 适用于远程访问VPN网络的安全硬件加速器
|
|
|
|
|
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
热点方案及案例排行