有谁能解释一下商业银行网银和USB Key是如何保护客户和银行网站之间数据传输和交易的? - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

有谁能从非对称加密算法的公钥、私钥、数字证书的角度，解释一下网上银行的安全机制，当银行向客户发送数据的时候，银行使用什么加密，客户如何解密，密钥都存储在哪里 ？密钥分别是什么介质形式存在的 ？ 客户向用户发送数据的时候呢 ？
多谢！ 还有那个公钥的概念没搞明白，即用户的公钥是什么，怎么传送到银行服务器上去的 ？银行的公钥又是什么存储载体，怎么下推并保存到用户本地机器的 ？
一句话概括，私钥加密，公约解密。银行用自己的服务器证书(一般是VeriSign的证书)加密，客户端用公钥解密，客户端公钥本身就已经内置在各个主流浏览器中了。密钥都要保存在硬件设备中，客户端就是USBKey，银行端就是SSL网关。
muwooer 发表于 2013-6-5 12:25

一句话概括，私钥加密，公约解密。银行用自己的服务器证书(一般是VeriSign的证书)加密，客户端用公钥解密， ...
客户端的公钥和银行的公钥是怎么来的啊 ？ 客户端公钥是如何内置到各个主流浏览器中的 ？
网银-客户端之间通讯数据的加密是基于SSL协议实现的，SSL协议只定义会话过程，具体采用的密钥是以客户端支持的算法簇为基础，由网银服务器端（具体说是F5）选择的，具体参见RFC 关于SSLv3/TLSv1的描述；
如果SSL通讯要求客户端签名双向认证，则会有一个用户USBKey签名过程，该USBKey的RSA公私钥对是在Key内产生的，银行颁发证书或CFCA证书，至于何时产生，要看银行的Key个人化流程如何做的。这个签名是RSA私钥（USBKey）签名，F5端验签；
关键交易数据会做二次加密，例如登录密码、卡密/介质密/交易密（各行定义不一样）会做二次加密，算法各不相同，但要求是一次一密，卡密/介质密/交易密多是ANSI X9.8；
动账交易会做交易签名，和双向认证类似，但签名内容就复杂了，会包含交易要素，这个签名是RSAiyao签名，服务器端SVS验签；
两个签名使用的证书可能不一样；