返回
银行柜员系统动态令牌

银行柜员系统动态令牌

ID:32577626

大小:62.30 KB

页数:5页

时间:2019-02-12

银行柜员系统动态令牌_第1页
银行柜员系统动态令牌_第2页
银行柜员系统动态令牌_第3页
银行柜员系统动态令牌_第4页
银行柜员系统动态令牌_第5页
资源描述:

《银行柜员系统动态令牌》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、银行柜员系统动态令牌 身份认证解决方案银行业务系统把各种业务分为普通业务和特殊业务两大类。普通业务是指普通的操作人员日常处理的金融业务,如储蓄开户,存取款等等。特殊业务则是要求有较高权限的操作人员(以下简称授权人员)进行授权才能处理的金融业务,如冻结账户、资金转账等。也有些银行的业务系统将两大类业务再次细分,以区别不同的业务范围。因此,现有银行业务系统把系统操作人员按不同级别进行划分,以完成相应的级别和管理范围不同的业务。  目前,大多数的银行业务系统仍然采用基于固定的静态口令的身份认证机制,但这种机制在实际使用过程中存在不同程度的安全

2、隐患。在很多情况下,口令泄露后,持有人并不能及时发现。而针对采用这种机制的系统,有多种手段与方式(如数据窃听,截取重放,字典攻击,穷举尝试等等)可导致身份认证控制失败。  在现实中,由于安全意识不足,在普通操作人员之间,个人在银行业务系统中的登录代码和口令都是相互透明的,很难保证不被某些别有用心的操作人员恶意盗用。由于口令没有载体,密码被盗用的事情就不能及时被发现并进行有效防范和处理。  现有银行业务系统要求一个授权人员管理一个或数个营业网点,并负责对属于这些营业网点的特殊业务进行授权。在实际工作中,授权人员同时要负责其他业务和管理工作

3、,而特殊业务发生的时间和地点不确定,授权人员往往很难及时到达现场进行授权,因而往往将其授权代码和口令告知要求授权的普通操作人员。久而久之,这些授权代码和口令都成为不是秘密的秘密。显然,这种情况更是加大口令被恶意盗用的危险。  在某些银行业务系统中,普通操作人员需要在数个营业网点之间进行轮岗,为管理方便,轮岗人员在其轮岗网点内均有有效的授权身份(代码+口令)。显而易见,当该操作人员轮岗到一个网点时,轮岗的其他网点中的授权身份存在被恶意盗用的可能性。  针对固定口令机制的安全隐患,银行为此配合了相应的严格管理制度,例如,要求定期更换密码;规

4、定“章随人走,卡不离身”;成立稽查部门对柜员遵守制度的情况进行检查;对违反制度的柜员进行处罚等。这些管理制度虽然可以在一定程度上提高了系统的安全性,但并不能从根本上解决问题。柜员内控管理上的问题依然存在,如柜员临时离柜、业务授权人员临时有事离岗,节假日值班等情况,都可能在主观和客观上造成安全隐患,口令泄露引发的系统安全问题数不胜数;口令泄露后,对系统的侵入和攻击也不容易分清肇事者的责任。近年来,银行内部工作人员盗用他人密码,伪装身份访问超过自身权限的系统,非法窃取和挪用储户资金的案件时有发生,是每个银行都迫切需要解决的问题。  根据上述

5、分析,金融业务系统需要更为完善的技术手段进行身份认证,以保障其安全性。  动联动态口令身份认证解决方案作为银行综合业务系统的内部管理子系统,可以为银行内部管理和银行业务管理系统提供安全可靠的身份认证支撑。  动联动态令牌动态口令身份认证解决方案,采用在现有的银行业务系统中应用动态口令令牌的方式,很好地解决现在固定口令机制的安全隐患。有一套完整的解决方案来为银行业务系统的柜员登录提供安全保障。例如:令牌产生的口令本身有PIN码保护;令牌持有人在令牌丢失后能立即挂失;他人不能同时得到令牌及PIN码,也就不能冒用令牌持有人的身份进入银行业务系

6、统;令牌产生的密码一次性有效,也不用担心被人盗用密码。  在现有银行业务系统中应用动态口令身份认证解决方案,需要在操作人员的系统登录和业务授权两个阶段实施静态口令和动态口令双因素身份认证控制。同时,动态口令身份认证解决方案可以很好地解决操作人员轮岗时的安全问题,并能向所有的普通操作员和授权人员提供安全的保护机制。系统登录  在操作人员的系统登录过程中,通过在登录窗口同时实施静态口令和动态口令两项认证。  首先,前台操作员必须要在登录窗口输入用户名,并且输入正确的静态口令。同时,还必须要知道所持有令牌的生成的动态口令,把动态口令正确输入到

7、登录窗口的动态口令提示窗口后,系统确认。才能接受操作人员的登录请求,通过业务系统的身份认证。  (1)营业员登录业务系统时,输入帐号、PIN和OTP;  (2)系统首先判断输入的帐号是否存在,如果不存在,直接返回认证失败,如果存在,则继续进行认证。  (3)银行业务系统服务器首先验证静态密码是否正确,如果不正确,直接返回认证失败,如果静态密码正确,则继续进行认证。  (4)动联动态口令认证服务器验证OTP是否正确,如果不正确,直接返回认证失败,如果正确,营业员登录银行业务系统成功。  通过实施上述认证过程,银行业务系统确保了操作人员使用

8、系统的合法性,安全性,并能正确确定操作人员的身份。     业务授权  在操作人员使用系统和处理业务的过程中,当其权限不足以完成某项业务功能时,可向相应授权人员申请对此项业务该笔交易的权限,例如当普通操作人

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。