基于二代身份证的个人网上理财中心的构建

基于二代身份证的个人网上理财中心的构建

1成立统一的个人网上理财中心目前，大多数国内金融公司都有自己的网站，并在互联网上提供相应的服务。受分业经营限制,国内各金融实体提供的网上理财服务功能相对专一,如银行主要提供网上查账、支付、转账等业务,而证券公司主要提供网上买进买出股票的功能。在未来混业经营的局面下,金融控股集团将渗入多个子行业,因而完全有条件提供综合性网上理财服务。这种业务将具备全面、快速、可伸缩、可扩展的特性,进而成为真正意义上的理财中心,方便用户进行金融理财方案的设计和管理。个人网上理财中心是一个模块化的网上金融服务环境,经过身份认证的个人客户可以对其名下的各类金融产品和服务进行查询、管理和处置。个人用户通过网络登录金融控股集团提供的主登录界面或各个子行业实体网站的原有登录界面,进入个人网上理财中心。在这个理财中心中,有个人用户享用的各类实名制金融服务和产品,而这些金融服务和产品分别由金融控股集团下属的各个经营实体提供。内容丰富、使用方便、快捷安全的个人理财中心将发挥巨大的资源整合作用并创造独特的企业核心竞争力。当前建立个人网上理财中心需要解决的关键问题是身份识别和认证单点登录、信息安全。2在线金融金融中心为个人网络金融产品提供身份认证和认证2.1个人开户,申请办理数字证书数字证书是目前网络识别终端用户的主流手段,它是一种能在互联网开放系统中准确标识某些主体(如一个人或一个网站)的机制。个人需要开通网上理财服务,需要先到金融企业申请办理数字证书,在提交身份证明文件并经审核无误后,CA中心通过RA注册机构颁发给个人一个数字证书。该证书包含用户的个人信息及其公钥信息,还附有CA认证中心的签名信息。在使用网上服务的过程中,证书持有人需要将相关认证信息以自己的私钥加密并发送给服务提供商,服务提供商利用证书持有人的公钥解密认证信息并确认用户身份。2.2隐私保护的必要性现有数字证书的具体形式可分为文件数字证书和可移动式数字证书,各有优缺点。文件证书可直接保存在电脑中,方便易用,可进行复制,无需添加读卡器等附属设备,但由于用户往往将私钥保存于电脑中,因此一旦证书和密钥一同被窃,将造成用户利益损失。移动数字证书不可复制,随身携带,安全性大大加强,但需要添加具有解密技术的读卡设备,使成本增加。另外,随着各类智能卡的不断增多,用户容易混淆和丢失数字证书。如果能够将文件证书和移动证书的优点结合起来,使数字证书同时含有软件因素和硬件因素,无疑将大大提高实用性和安全性。目前已有研究者提出将指纹识别和文件件数字证书结合在一起的方法,但由于指纹识别仪成本高昂,尚不能有效推广。2.3身份证信息加密技术个人网上理财中心适用的身份识别技术应具备通用性、简单性、安全性的特点,并同金融产品实名制相结合。为此,我们设想在现有数字证书体制的基础上,结合我国正在换发的第二代身份证来实现理财中心的身份认证和识别。二代身份证的技术核心包括RFID(射频识别)技术以及数字加密技术身份证中实际存储的信息是经过加密的信息。目前,身份信息的接收、解密及输出功能都被集成在一个电路板中,做成身份证读卡机,再通过API接口将身份证明文信息发送给应用程序。如果考虑将接收证内密文信息的功能模块同解密电路功能模块分离开,并利用证内密文信息同数字证书私钥相关联,则我们就有可能将其用于远程网络身份识别。一种可能的流程如图1和图2所示。在上述机制中,第二代身份证内存储的密文信息仅仅用来生成经散列后的数字校验码,同一开始就存储在文件数字证书中的密文信息校验码相比较,若相同,则同意在文件证书中提取私钥用于身份验证。3采用以授权中心为的多点登录模式单点登陆,即SingleSign-On(SSO),也叫做单一登陆,简单的说,SSO技术是一种认证和授权机制,它允许用户只登录到系统上一次,而后授权访问其它连接的系统,无需再进行登录考虑到金融系统的跨域操作性,我们倾向于选用一种以授权中心为主的单点登录模式。在这种模式中,起到关键作用的是一个授权中心服务机构CAS(CentralAuthenticationService)。3.1cas模式的基本结构3.1.1cas服务器CAS服务器是整个单点登录系统中唯一知道用户密码的特殊服务器,有两个作用,一是对用户进行授权,二是传输和证明被授权用户的身份3.1.2http技术引擎为实现CAS模式的单点登录,网页浏览器必须具备以下特点:(1)拥有一个基于HTTP的加密引擎;(2)可实现HTTP的重定向并可运行基本的JAVA小程序;(3)可存储cookies,为了保证安全,还需要cookies只能由生成他们的电脑负责传输。典型网页浏览器如IE6.0等都满足以上要求。3.1.3应用服务器一个兼容CAS客户列表的网络应用程序或者一个采用CAS授权模式的网络服务器都可以称为一个应用服务器。应用服务器仅向预先得到CAS服务器认证授权的客户提供资源和服务。在个人网上理财中心体系中,金融集团下属各子行业的独立网站即为应用服务器。3.2在线金融媒体中心采用cas模式后的基本工作流3.2.1cas授权服务器tcg在金融集团下属的任何一个实体网站均可以登录个人网上理财中心,初次登录时,应用服务器先检查用户是否被已经被授权(具体方式是查看有否CAS种下的cookie),若没有被授权,则重定向至CAS授权服务器。当然,用户也可以直接通过金融集团窗口网站直接登录CAS授权服务器。CAS授权服务器接到登录请求后,要求用户输入用户名和密码,同时要求客户使用身份证和数字证书进行身份认证。身份认证通过后,CAS服务器将在自己内部给客户的网页浏览器建立一个TGC(TicketGrantingCookie)。具体流程详如图3所示。这个TGC实际上是CAS服务器给网页浏览器颁发的一个通行证,它被设定了一个较短的生存周期,通常是几个小时。TGC是网页浏览器从CAS服务器获取应用服务器登录票据的凭证,有了TGC,网页浏览器在申请应用服务器服务的时候,不需要再向其进行身份认证。TGC是以cookie的形式存放在CAS服务器上的,在保证CAS服务器安全的前提下,TGC将被严格保密并且不会被传输给网页浏览器。所有存于CAS服务器上的TGC对于用户都是不透明的,也就是说TGC中不包含任何用户信息。它只是CAS服务器和网页浏览器之间的一个进程识别部件。3.2.2cas体系的构成客户的网络浏览器得到TGC后,将可以使用应用服务器。在具体的网站页面设置上,可以参考图4安排。当拥有TGC的网页浏览器向应用服务器申请服务时,需要经历以下几个步骤:(1)应用服务器首先将网页浏览器重定向到CAS服务器;(2)已经在初次登录时得到认证的网页浏览器向CAS提供自己的TGC;(3)CAS获取了网页浏览器的TGC后,向网页浏览器发送一个服务票据ST(ServiceTicket),这个服务票据对于用户而言也是不透明的,即其中不包含任何用户信息。它只有在需要它的应用服务器那里得到使用。(4)CAS在发送ST的同时,将网页浏览器重定向到刚才申请的应用服务器上。应用服务器得到服务票据后,就可以对用户提供服务。事实上,上述步骤对于用户而言是不可见的,他们都是CAS体系中各个部件之间的沟通和联络。从用户角度看来,他在初次登录CAS服务器后,再登录其他应用服务器,都不需要再重新认证了,这样就实现了单点登录。4产品实名制的应用通过上述分析可以看出:一方面,以第二代身份证的射频识别功能同已经成熟的数字证书技术相结合,可以建立起针对金