从柜台到在线银行服务，网上金融服务已经渐渐走入了大众的生活，并在银行和客户之间搭建起一条便捷高效的网络金融通道。从用户的角度看，用户可以不受时空的限制，只要一台PC、一根电话线，无论在家里，还是在旅途中都可以与银行相连，享受24小时不间断金融理财服务。从银行服务上看，网上银行可以大量减少人力、物力，降低了银行的运营成本；另一方面突破了时间和空间的限制，使得交易活动可以在任何时间、任何地点进行，从而大大提高了银行竞争力和效率，网上银行可以减少固定网点数量、降低经营成本，吸纳更多客户。虽然网上银行好处多多，但是如何确保网上银行的安全性问题，剔除网银应用瓶颈，这些都是金融领域必须认真面对和解决的问题，它们切实关系到银行和广大用户的共同利益。　　

　　加密是确保网上银行安全性的关键。身份认证、数据传输安全、后台系统安全性，这些都与加密息息相关。目前，加强网上银行用户的身份管理，防止用户身份的泄露，是公认的预防网上银行安全隐患的最有效措施。对于身份认证，这里包括两方面的认证，一方面是对网银使用用户的认证，即使用网上银行服务的这个人是不是银行认定的这个人？另一方面是网上银行用户对银行的认证，即他所登陆的网上银行系统是不是真正的银行系统。比如前一段时间不断有假冒的中国银行、工商银行网站出现，如果没有完善的双向认证机制，后果将是及其可怕的。因此绝大部分银行的专业版网上银行系统都是基于PKI技术和数字证书建立起来的。　

　　公开密钥体系（Public Key Infrastructure：PKI），是一种遵循既定标准的密钥管理平台，是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。PKI由公开密钥密码技术、数字证书、认证机构（CA）和有关公开密钥的安全策略等基本部分组成。用通俗的话讲，数字证书就是应用在网上的身份证，它是通过权威认证机构CA颁发的，是证明身份的电子证件。　　

　　现在存储数字证书和用户密钥也有两种方式，一种是直接存储在网银用户的硬盘中，另一种是存储在USB Key中，如SafeNet公司的iKey2032身份认证令牌。无疑，将数字证书存储在计算机硬盘上存在一定的风险性，当网银用户遭受病毒或被黑客种植了木马程序，数字证书很可能就此无法使用或被他人盗用。而把数字证书存储在USB Key中，它的安全性就有保障的多。　　

　　一．客户端身份认证保障----SafeNet iKey2032 USB Key

　　网银用户私钥和数字证书发挥了传统业务的印章的功能，用以认证用户的身份是否合法，保障用户资金账户的安全。用户在网上银行进行登录、查询、转账、汇款等业务中，均须使用用户私钥进行签名确认，用户证书加密和银行服务器之间交换数据。而用户私钥和用户证书被安全的存放在iKey2032中。

　　iKey2032是一个直接与客户端计算机USB口连接的硬件身份认证设备，有32K 安全存储区，网银用户可以使用它存储自己的X.509数字证书。除了存储PKI数字证书（用于公钥加密），iKey2032还可以存储共享密文（用于对称加密），个人信息（比如密码、电话号码、信用卡帐号等），或者其它必须要保证安全的重要信息。iKey2032具有极高的安全性，ASIC级别的物理安全防范能力，硬件内置1024/2048-bit RSA算法，通过挑战响应/签名和硬件来实现RSA算法。iKey2032可硬件实现密钥签名功能，拥有高质量的内置密钥对生成能力，私钥直接在iKey内部产生且从不导出，其安全级别完全符合美国FIPS 140-1 level 2 安全认证标准。