鉴于网上银行用开放性的Web技术与互联网技术,为全面解决网上银行应用安全需求,一般用PKI体系。基于数字证书技术,网上银行可有效处理用户身份认证、敏感数据保密性、交易数据完整性和交易操作不可抵赖性问题,使银行企业客户和个人客户非常方便。事实上,数字证书(U盾)已成为国内网上银行的标准配置。如果无数字证书,企业用户将不让使用网上银行。上亿个人用户己借助数字证书访问网上银行来转账或汇款等。

1.关联方

网上银行业务涉及的关联方主要有以下4类:

①网银用户:即个人或单位,顺利获得网银得到各种银行业务服务。

②商业银行:借助网银给个人或单位各种银行业务服务。

③合作单位:用网银给个人或单位网上购物、缴费、充值等非银行业务服务。

④CA组织:给网银业务涉及的上述3个关联方颁发数字证书,给予电子认证服务。不用第三方电子认证服务时,CA组织属于商业银行。

2.系统构成

网上银行整体系统主要有以下4部分:

①客户端系统:指基于互联网技术的各种终端系统,如计算机、智能终端等。主要由密码设备、客户端系统软件与网银软件构成。网银用户借客户端系统访问网上银行与合作单位系统。客户端系统借互联网与网银与合作单位系统互联。

②网银系统:实现网银业务服务、客户管理、安全保障等功能。主要由对外服务、用户管理和数据服务3个模块构成。网银系统借专网与银行核心系统、互联网或专网同合作单位系统互联。

③合作单位系统:可选,部分业务不包括此系统。

④核心系统:处理银行内核心账务和管理客户信息。

⑤CA系统:管理数字证书的生命周期。

客户端系统主要有:

①密码设备:实现用户密钥安全存储和密码安全运算。主要有USB-Key、IC卡、动态令牌等。

②客户端系统软件:管理本地资源,并保证密码设备与客户端网银软件能通信。主要有操作系统、密码设备驱动等。

③客户端网银软件:访问密码设备与网银系统。对于BS方式主要包括:浏览器、控件Applet/插件、客户端软件(可选)等。

网银系统主要包括：

①对外服务模块:实现网银业务服务。对于BS方式,包括Web服务模块和应用服务模块。

②用户管理模块:实现用户信息管理和身份认证等安全保障功能。

③数据服务模块:实现数据存储功能。

④密码设备:实现网银系统密钥安全存储和密码安全运算。主要包括:加密机、加密卡、SSL加速器等。