登錄
注冊
加拿大中央銀行根密鑰安全保護方案
作者:信息中心
來源:RFID世界網
日期:2005-07-09 10:18:28
摘要:加拿大中央銀行根密鑰安全保護方案
關鍵詞:加拿大中央銀行根密鑰安全保護方案
導讀-- 加拿大銀行是第一批采用因特網技術提供服務的機構之一。由于交易處理和用戶認證的方式可以創造新的機會并增加效率,銀行需要一個安全的環境來進行交易,因此他們決定采用公共密鑰體系結構(PKI)技術。
加拿大銀行是加拿大的中央銀行,負責加拿大貨幣政策、發行鈔票、調節和支持著加拿大主要的金融清算和結算系統, 擔當著聯邦政府債務的財政代理職能。雖然不承擔一般銀行業務,但是它在加拿大經濟中的地位和重要性不言而喻,很少有金融機構會比加拿大銀行(BoC)對安全性更加關注。
加拿大銀行是第一批采用因特網技術提供服務的機構之一。由于交易處理和用戶認證的方式可以創造新的機會并增加效率,銀行需要一個安全的環境來進行交易,因此他們決定采用公共密鑰體系結構(PKI)技術。SafeNet能夠確保加拿大銀行CA認證中心的可信性。
挑戰
除了要考慮選擇合適的PKI廠商,加拿大銀行還要考慮如何確保PKI根密鑰的安全性并設立切實可行的安全級別。單獨的PKI軟件不能滿足要求。為遵守加拿大銀行和加拿大政府對PKI安全證書的要求,他們需要使用聯邦信息處理標準(FIPS)140-1第3級驗證的硬件安全模塊(HSM)保護根密鑰。
使用硬件安全產品必須要滿足一些特殊的要求,例如:密鑰必須始終在硬件中生成、簽名、存儲和備份;要和Entrust PKI相兼容;可以運行在Solaris平臺上等。
銀行PKI實施小組已經意識到根密鑰的脆弱性。加拿大銀行安全服務經理Gord Ireland說“對CA的信任依賴于只有本人才能應用自己的簽名,其它任何人都不能模仿。如果CA的簽名密鑰變得不安全,所有由CA頒發的證書不再得到信任,這會導致CA在一個新的CA簽名下頒發新的證書”。
解決方案
Luna CA3根密鑰保護產品是SafeNet的 Ultimate Trust 解決方案之一,作為標志性根密鑰保護產品,其市場地位和可靠性使它脫穎而出成為加拿大銀行的首選方案。由于不在硬盤驅動器和磁帶備份介質上泄漏CA簽名密鑰對,Luna CA3根密鑰保護產品被認為不存在任何安全隱患。
SafeNet Luna CA3必須在部署PKI體系前設置完成以保證CA簽名密鑰對的安全性,不會泄漏到CA服務器的硬盤上(甚至以加密的形式放在硬盤上也不行)。通過在部署之初就實施硬件根密鑰保護,銀行就會達到FIPS 140-1第3級安全標準。因為根密鑰始終被存儲在受保護的,可信的并且符合FIPS 140-1第3級標準驗證的硬件上,軟件自身所帶來的風險會減輕。
“我們對Luna CA3如何滿足我們所有的需求留下了深刻的印象,并對其部署和集成的高性能表現給與很高的期望。我們對該產品和產品提供商感到非常滿意。”加拿大銀行PKI首席技術官Bernard Maltais說。
所獲利益
加拿大銀行在4個月的時間內完成了對CA的安全設施、硬件、軟件、網絡設置、人員安置和培訓,加拿大銀行證書認證中心于1999年4月建立并正式運行。現在,加拿大銀行的遠程員工可以通過PKI體系安全地與銀行系統相連接,并且可以使外部客戶能夠安全進入網頁進行交易。該項目以扣減員工薪水的方式來幫助小公司的員工購買加拿大儲蓄債券。
結論
正如Deloitte & Touche安全咨詢服務機構所評述的那樣,加拿大銀行選擇Luna CA3是業內最成功的一次運作,Luna CA3不但在其內部生成所有根密鑰,而且還具備獨特的可擴展性。
SafeNet為金融業提供以下產品:
Luna SA-適用于根密鑰的保護及加速處理,能在網絡共享部署情況下聚合多個HSM
Luna CA3—適用于為根CA和對注冊機構頒發的數字證書提供根密鑰保護
LUNA RA- 適用于存儲員工數字證書的智能卡發行
Luna 2 - 適用于數字簽名文檔
Luna VPN - 適用于遠程訪問VPN網絡的安全硬件加速器
加拿大銀行是加拿大的中央銀行,負責加拿大貨幣政策、發行鈔票、調節和支持著加拿大主要的金融清算和結算系統, 擔當著聯邦政府債務的財政代理職能。雖然不承擔一般銀行業務,但是它在加拿大經濟中的地位和重要性不言而喻,很少有金融機構會比加拿大銀行(BoC)對安全性更加關注。
加拿大銀行是第一批采用因特網技術提供服務的機構之一。由于交易處理和用戶認證的方式可以創造新的機會并增加效率,銀行需要一個安全的環境來進行交易,因此他們決定采用公共密鑰體系結構(PKI)技術。SafeNet能夠確保加拿大銀行CA認證中心的可信性。
挑戰
除了要考慮選擇合適的PKI廠商,加拿大銀行還要考慮如何確保PKI根密鑰的安全性并設立切實可行的安全級別。單獨的PKI軟件不能滿足要求。為遵守加拿大銀行和加拿大政府對PKI安全證書的要求,他們需要使用聯邦信息處理標準(FIPS)140-1第3級驗證的硬件安全模塊(HSM)保護根密鑰。
使用硬件安全產品必須要滿足一些特殊的要求,例如:密鑰必須始終在硬件中生成、簽名、存儲和備份;要和Entrust PKI相兼容;可以運行在Solaris平臺上等。
銀行PKI實施小組已經意識到根密鑰的脆弱性。加拿大銀行安全服務經理Gord Ireland說“對CA的信任依賴于只有本人才能應用自己的簽名,其它任何人都不能模仿。如果CA的簽名密鑰變得不安全,所有由CA頒發的證書不再得到信任,這會導致CA在一個新的CA簽名下頒發新的證書”。
解決方案
Luna CA3根密鑰保護產品是SafeNet的 Ultimate Trust 解決方案之一,作為標志性根密鑰保護產品,其市場地位和可靠性使它脫穎而出成為加拿大銀行的首選方案。由于不在硬盤驅動器和磁帶備份介質上泄漏CA簽名密鑰對,Luna CA3根密鑰保護產品被認為不存在任何安全隱患。
SafeNet Luna CA3必須在部署PKI體系前設置完成以保證CA簽名密鑰對的安全性,不會泄漏到CA服務器的硬盤上(甚至以加密的形式放在硬盤上也不行)。通過在部署之初就實施硬件根密鑰保護,銀行就會達到FIPS 140-1第3級安全標準。因為根密鑰始終被存儲在受保護的,可信的并且符合FIPS 140-1第3級標準驗證的硬件上,軟件自身所帶來的風險會減輕。
“我們對Luna CA3如何滿足我們所有的需求留下了深刻的印象,并對其部署和集成的高性能表現給與很高的期望。我們對該產品和產品提供商感到非常滿意。”加拿大銀行PKI首席技術官Bernard Maltais說。
所獲利益
加拿大銀行在4個月的時間內完成了對CA的安全設施、硬件、軟件、網絡設置、人員安置和培訓,加拿大銀行證書認證中心于1999年4月建立并正式運行。現在,加拿大銀行的遠程員工可以通過PKI體系安全地與銀行系統相連接,并且可以使外部客戶能夠安全進入網頁進行交易。該項目以扣減員工薪水的方式來幫助小公司的員工購買加拿大儲蓄債券。
結論
正如Deloitte & Touche安全咨詢服務機構所評述的那樣,加拿大銀行選擇Luna CA3是業內最成功的一次運作,Luna CA3不但在其內部生成所有根密鑰,而且還具備獨特的可擴展性。
SafeNet為金融業提供以下產品:
Luna SA-適用于根密鑰的保護及加速處理,能在網絡共享部署情況下聚合多個HSM
Luna CA3—適用于為根CA和對注冊機構頒發的數字證書提供根密鑰保護
LUNA RA- 適用于存儲員工數字證書的智能卡發行
Luna 2 - 適用于數字簽名文檔
Luna VPN - 適用于遠程訪問VPN網絡的安全硬件加速器
