银行应用USB Key身份认证方案

　　前言：本文为USB Key的厂商SafeNet公司提供的宣传稿件，并不代表本博客作者的观点和看法。

　　本文的技术解决方案使用的是SafeNet自身的产品，虽然这个产品支持数字签名和PKI体系，可生成并储存私钥和数字证书，是满足个人身份认证安全级别和存储数字证书的一种选择，不过国内也有相当多的其他品牌型号的USB Key产品可供使用，因此如果大家选择USB Key产品应用的话，应仔细对比各方不同的USB Key产品，方能找到物美价廉的身份认证产品。以下是稿件全文：

银行应用USB Key身份认证方案

　　企业概况

　　某大国有银行始建于1908年，是中国早期四大银行之一，，总行设在上海。目前，该银行拥有辐射全国、面向海外的机构体系和业务网络。在境内的分支机构有:27家省分行、7家直属分行、营业机构近3000个左右。在纽约、东京、香港、新加坡、汉城设有分行，在伦敦、法兰克福设有代表处。他们与全球100多个国家和地区的800家银行的总分支机构建立了代理行关系。现在，全行员工5.5万人。按总资产排名，该银行位列世界1000家大银行的前100位，已跻身全球银行百强行列。

　　为了适应激烈的市场竞争，近年来该银行大力开展网上银行业务。在短短的三年中，该银行完成了网上银行的整体框架构建，形成了以特色信用卡、全国通、外汇宝、基金买卖等功能为支撑的网上银行服务体系和以普通版、大众版、专业版为特征的对公网上银行服务体系，并实现了网上银行的功能完善和业务量的快速增长。然而，随着钓鱼网站、专业偷盗银行账号和密码的木马程序“网银大盗”的泛滥，人们对网上银行的安全性越来越表示质疑。怎样才能加强系统应用的安全性，提升人们对网上银行的信任度，成为各家银行网上银行业务中最为亟待解决的问题。当然，该银行也面临同样的问题。

　　挑战

　　通常国内网上银行都会分为大众版和企业版两个版本，它们的本质区别在于安全级别不同。用户只要凭借身份证号码、账号和密码就可以在网上自助开通大众版网上银行，操作简便，手续极为简单，但运行后安全保密性较差，唯一的防护措施就是客户在开通时自行设置的登录密码和付款密码。

　　而申请专业版网上银行就要复杂得多，首先需要用户本人到银行网点进行业务申请，通过安装应用数字证书和PKI体系实现网上账户资金的交易和转移。

　　数字证书是网上银行业务中确认用户身份的唯一标志，具有不可复制性和不可替代性，所有网上交易必须要事先通过数字证书进行安全认证，它可以看作是用户的网上身份证。既然是网上身份认证的唯一标志，确保其安全性就至关重要。普通个人用户常把数字证书存储在电脑硬盘中，这种做法的危险性不言而喻。对于资金交易量较大的企业用户，为了确保其资金安全，该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制。经过充分的测试和详细的比较后，他们选择SafeNet iKey2032作为其网上银行企业客户的身份验证工具。

　　USB Key解决方案

　　SafeNet iKey2032之所以在这样一家大型国有银行竞标中胜出的原因主要源于其突出的产品特性。iKey2032是一款基于USB接口的可移动身份认证设备, 专门针对银行业或其它数字证书用户。它支持数字签名和PKI体系，可生成并储存私钥和数字证书，是满足个人身份认证安全级别和存储数字证书的理想选择。

　　■ 用双因素认证方式替代不可靠的口令

　　iKey2032系列采用双因素认证机制，用户需要通过iKey硬件和相对应的PIN码两方面共同确认身份，其安全性、可靠性远远高于仅靠密码保护的传统口令认证方式。作为一种智能卡技术的延伸，用户在使用iKey2032产品时，无需购置昂贵的读卡器设备，只需要将它插入电脑USB口即可进行用户身份确认。

　　■ 硬件实现加密算法确保系统安全性

　　iKey2032系列支持公钥体系，可在iKey内部生成密钥对，存储密钥对和X.509数字证书，以及在iKey内部执行签名操作。iKey硬件内部生成密钥对，私钥从生成、管理到销毁始终在Key硬件内部完成，消除了密钥外流的危险性。目前，iKey2032系列通过了 FIPS 140-1, Level 2级认证，该认证为美国最权威的安全产品认证。

　　■ 支持多个CA和PKI应用

　　通过与众多软硬件供应商建立战略合作关系，SafeNet iKey2032具备了广泛的安全解决方案支持能力。ikey2032支持多种CA和Microsoft, Entrust, Computer Associates, VeriSign等公司提供的众多PKI应用。另外，由于iKey2032系列支持PKCS#11和Microsoft CryptoAPI，可以方便地与其他多种客户端应用相互集成。

　　■ 应用简单，携带方便

　　iKey2032外形小巧、携带方便，用户可以把iKey2032挂在钥匙串上随身携带，因而极大提高了使用的方便性和灵活性。另外，iKey2032支持热插拔，当拔出iKey2032后，系统对话自动关闭。

　　应用成效

　　为了更好地满足该银行对网上银行认证的需求，SafeNet专门定制设计了用户登陆界面和产品外观。从2004年1月正式启用，到目前为止，该银行总部及各分行已经共计采购iKey2032已超过2万只，各分行反映应用效果良好。现在，该银行正计划将iKey2032 USB Key从企业客户向个人客户推广。其银行电子银行部经理表示：2年来，使用USB Key的数亿笔往上支付交易没有发生过一笔盗窃事件。我们很欣慰地看到，SafeNet身份认证方案很好的提升了我们银行网上银行系统的认证安全性和竞争优势。对使用者而言，他们需要更加方便、快捷的应用，这一点SafeNet iKey2032也表现出色。

个人所得税改革的感想

　　这几天，新浪网上关于“个税起征点提高到1500元是否合理”这件事讨论的非常热烈，我有几点感慨。

　　中国青年报的一篇报道称“纳税人称没感到权利”，根据国家法律规定，税务机关应把征税后的税款支出对外透明，让纳税人知道所缴的税款用在什么地方。而我国目前在这方面做得很不够。

　　拿我举个例子，我需要养妻儿，养父母，同时还要纳税养政府。我养政府的钱算起来也不少了，但我却没有得到什么回报，体会到的是生活的艰难，等我老了以后，我不知道我会怎样生活，或许生病之后只能在家等死。

　　从纳税的目的来看，个税起征点定在1500元，并且要求全国“一刀切”，规定各地应统一执行该标准，不允许擅自浮动。这显然是为了增加政府的财政收入。因为东部地区几乎所有人的收入都会超过这个标准，因此就成了“人头税”。这恐怕是为了应付庞大的公务员队伍的巨额开销了，或者财政赤字实在太严重。

　　对于高收入者的纳税，按照目前的方案，几乎征收了高收入者收入的一半，这是否合理呢？表面上看来，对“富人”征税天经地义，但如此巨额的“抢劫”，当然会让高收入人群想尽办法偷税漏税，事实上，从这些年来的实施效果看，从高收入人群征得的税是非常小的，这种高额比例形同虚设。

　　另外我发现一个奇怪的现象，就是中西部的网友似乎对东部地区非常敌视，特别希望多征收东部地区的税收，而赞同1500元“一刀切”的方案，这令人感到很惊讶。同时我也感觉到，中国人的心实在不齐，自己喜欢搞内讧，搞大锅饭，不患寡而患不均。多征收东部的税收，难道这些钱会流到西部去吗？可能吗？

　　其实，如果国家真的希望个税改革是调节贫富差距，减轻低收入者负担的话，那就应该将月收入万元以下的全部免税，以上的收统一税率（可以考虑15％）。这样高收入者逃税的动机就轻多了。然后对于数百万遗产征收遗产税，高档消费品征收消费税。这就可以很轻易地实现调节贫富差距。但是我知道这些都是不可能实行的，因为我知道个人所得税的目的根本就不是为了调节贫富差距。

　　对于开听证会这回事，又消息说扣除标准可能调至1600元，这据说很有可能是最终的标准，也在我的意料之中。

　　说句老实话：征的就是穷人的税，开听证会也就是走走过场罢了。在目前中国这样的社会，只有没本事的人才缴税。那些“有本事”的人在中国活得可多滋润啊！

　　特别是那些资本家，拥有这个地球上最廉价的劳动力市场，最吃苦耐劳的劳工，没有工会组织，多么低的工资都可以招到人，弄死了劳工只需要支付一点点钱。消费任何高档的奢侈品都不用交消费税，使用世界上最便宜的没有税的汽油，没有遗产税，富人根本就不需要交个人所得税，因为一切帐都可以记到公司的帐务上。这可真是富人的天堂，穷人的地狱。

　　马克思在《资本论》里说，资本家会想尽办法维持一个失业者的“后备军”，这些大军急需为自己寻找生路，于是就会成为资本家们残酷压迫工人的筹码。由于无业人群的存在，资本家便能够把一些恶劣的劳动条件强加给员工（如低工资、无休止的工作时间、过快的工作节奏和极低的社会保障等），并有效地阻止预期利润率的下降。今天的中国，正成为马克思眼中那些资本家的天堂！

Z-Blog 1.4 SP2全静态补丁和插件下载

　　今天花了些时间将ZBLOG升级到1.4 SP2，静态化补丁插件也同时升级到SP2。

　　静态化补丁代码部分的变化还是只修改了c_system_event.asp和c_system_lib.asp两个文件，同时提供的PLUGIN功能新增加两个文件，说明文件一个。因此一共是五个文件。

　　使用和安装这个补丁很简单，先下载Z-Blog 1.4 SP2正式版，然后下载Z-Blog 1.4 SP2月光静态版补丁，注意此补丁只能在这个版本上使用，不要在其他版本上使用。将补丁里的两个ASP文件覆盖到原版目录下，catbuild目录放到PLUGIN目录下即可。

　　一般用户使用下面3个操作就可以安装好静态化补丁：

　　1、下载原版Z-Blog 1.4 SP2。

　　2、下载月光静态化补丁1.4 SP1。将其中2个文件覆盖原版文件。同时安装PLUGIN。

　　3、重新进行文件重建操作，然后进入“插件管理”，点击“静态分类目录文件生成”。

　　此时Z-BLOG的目录文件就被静态化了。

　　手工修改

　　如果你的ZBLOG是自己修改过的版本，那么可以使用下面的操作手动进行静态化修改。其操作较为复杂，不建议使用。

c_system_event.asp 文件修改:

651行修改为：

strArchives=strArchives & "<li><a href="""& ZC_BLOG_HOST & ZC_STATIC_DIRECTORY & "/" & Year(dtmYM(i)) & "_" & Right("00"&Month(dtmYM(i)),2) &  "." & ZC_STATIC_TYPE & """>" & Year(dtmYM(i)) & " " & ZVA_Month(Month(dtmYM(i))) & " (" & objRS(0) & ")" +"</a></li>"

1646-1649行修改为：

s=ZC_STATIC_DIRECTORY & "/" &y&"_"&Right("00"&(m-1),2) & "." & ZC_STATIC_TYPE
t=ZC_STATIC_DIRECTORY & "/" &y&"_"&Right("00"&(m+1),2) & "." & ZC_STATIC_TYPE
If m=1 Then s=ZC_STATIC_DIRECTORY & "/" &(y-1)&"_12" & "." & ZC_STATIC_TYPE
If m=12 Then t=ZC_STATIC_DIRECTORY & "/" &(y+1)&"_01" & "." & ZC_STATIC_TYPE

1652行修改为：

strCalendar=strCalendar & "<p class=""y""><a href="""&ZC_BLOG_HOST &s&""">&lt;&lt;</a>  <a href="""& ZC_BLOG_HOST &ZC_STATIC_DIRECTORY & "/"&y&"_"&right("00"&m,2)& "." & ZC_STATIC_TYPE&""">"&y&"·"&m&"</a>  <a href="""&ZC_BLOG_HOST &t&""">&gt;&gt;</a></p>"

c_system_lib.asp修改:

110行修改为：

Url = ZC_BLOG_HOST & ZC_STATIC_DIRECTORY & "/" & "cat_" & ID & "." & ZC_STATIC_TYPE

1355行修改为：

s=ZC_BLOG_HOST & "catalog.asp?"& t &"page=1"

1374行修改为：

s=ZC_BLOG_HOST & "catalog.asp?"& t &"page="& i

1376行修改为：

s=ZC_BLOG_HOST & "catalog.asp?"& t &"page="& intAllPage

　　如果有不愿意手工修改的，就直接下载下面的文件覆盖就可以了。

IIS网站防盗链下载的解决方案

　　“盗链”的定义是：此内容不在自己服务器上，而通过技术手段，绕过别人放广告有利益的最终页，直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址（比如一些音乐、图片、软件的下载地址）然后放置在自己的网站中，通过这种方法盗取大网站的空间和流量。

　　为什么会产生盗链

　　一般浏览有一个重要的现象就是一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面，那么最先的一个Http请求被传送回来的是这个页面的文本，然后通过客户端的浏览器对这段文本的解释执行，发现其中还有图片，那么客户端的浏览器会再发送一条Http请求，当这个请求被处理后那么这个图片文件会被传送到客户端，然后浏览器回将图片安放到页面的正确位置，就这样一个完整的页面也许要经过发送多条Http请求才能够被完整的显示。基于这样的机制，就会产生一个问题，那就是盗链问题：就是一个网站中如果没有起页面中所说的信息，例如图片信息，那么它完全可以将这个图片的连接到别的网站。这样没有任何资源的网站利用了别的网站的资源来展示给浏览者，提高了自己的访问量，而大部分浏览者又不会很容易地发现，这样显然，对于那个被利用了资源的网站是不公平的。一些不良网站为了不增加成本而扩充自己站点内容，经常盗用其他网站的链接。一方面损害了原网站的合法利益，另一方面又加重了服务器的负担。

　　我遇到的盗链

　　我的网站遇到最多的是两类盗链，一是图片盗链，二是文件盗链。曾经有一个访问量极大的网站盗链我网站的图片，一天竟然消耗了数G的流量。同时，我站放的不少几十兆的大型软件也常遭到文件盗链，大量消耗我站资源。

　　盗链的解决方案

　　其实通过WEB服务器的URL过滤技术，这个伤脑筋的问题会很容易得到解决。 

　　如果WEB服务器用的是APACHE的话，那么使用APACHE自带的Url Rewrite功能可以很轻松地防止各种盗链，其原理是检查REFER，如果REFER的信息来自其他网站则禁止访问所需要的资源。

　　那么，IIS支持UrlRewrite吗？

　　答案很简单，不支持。但是我们可以通过安装第三方服务器扩展让IIS支持。

　　目前有一种产品能比较好地支持IIS的UrlRewrite，名字叫ISAPI_Rewrite。

　　下载地址在： http://www.helicontech.com/download/

　　这里只有ISAPI Rewrite的一个LITE版本是免费的，其它都是trial版本。ISAPI Rewrite Lite的版本功能不支持虚拟站点配置，元数据监测和自动缓存清理。 但是基本的UrlRewrite功能都支持。

　　如何进行UrlRewrite的设置？

　　isapi_rewrite利用正则表达式进行替换规则的表示。

　　下面是一个简单的例子，我想让我们的用户输入 http://localhost/test-12314.html 实际上访问的是 http://localhost/test.asp?id=12314 。那么我们的匹配表达式应该是 /test-([0-9]*).html 对应的格式化表达式应该为 /test.asp?id=$1 。

　　进行正则表达式的编写的时候，可以利用isapi_rewrite提供的正则表达式测试工具（默认安装提供），进行调试。做好了匹配表达式和格式化表达式，我们可以把它们放到安装目录下的httpd.ini里面。文件保存后，不需重新启动iis即可生效。

　　对于我的网站，我防盗链的方法是在httpd.ini里面加入如下语句

RewriteCond Host: (.+)
RewriteCond Referer: (?!http://1.*).*
RewriteRule .*.(?:gif|jpg|png|exe|rar|zip) /block.gif [I,O]

　　然后重启IIS，这时防盗链就开始起作用了，其他网站盗链过来的请求都会被拒绝。

　　至此，我也终于可以摆脱了被盗链的烦恼了。

Alexa调整计算方法，中国网站排名再次跳水

　　9月13日，国内网站在受到关注的Alexa排名上再次上演集体跳水。包括21CN、Hao123、eNet硅谷动力以及博客网等众多中国站点排名出现大幅下滑，大部分网站排名下滑均在50%以上，其中21CN更是从49名惨跌至697名，Hao123则从61名狂跌至845名。

　　Alexa是在中国比较受到关注的全球网站排名，根据介绍，Alexa主要依赖于其全球装机量超过千万的工具条对网民浏览习惯进行监测。目前，影响Alexa排名的主要有两个因素：一是Alexa采集的信息，二是Alexa对这些信息进行深加工的计算方法。

　　由于国内目前暂时缺乏类似的排名信息，不少网站都借用于该排名进行业务推广、广告招商以及获取投资等。一位不愿透露姓名的专家表示，国内有不少网站就在通过各种方法对网站进行专门“优化”以提高Alexa排名。在这些带有作弊嫌疑的“优化”过程中，不乏一些知名网站。

　　专家介绍，此次国内网站上演的排名高台跳水，主要原因就是Alexa方面已经根据中国网站的类似“优化”调整了计算方法。

　　事实上，在去年10月和今年1月底的时候，Alexa就曾经几次进行过调整，其中甚至针对部分作弊比较疯狂的网站实施了清零处理。

　　不过，在国内针对Alexa排名的质疑，也如针对它的“优化”一样，一直没有中断过。“Alexa工具条始终只有英文版，一直就没有中文版。”一位专家据此认为其排名对于以中国市场为主的网站并不具备代表意义。

　　此前亦曾有报道说，目前已有资深的Web开发工程师可以轻松编写Alexa工具条返回码生成器欺骗其采集服务器，以达到迅速提高某网站排名的效果。（新浪网/金磊）

Google提供BLOG搜索服务

　　Google公司给其搜索产品家族增添了一名新成员：BLOG搜索。

　　本周三上线的这一新的搜索服务处于beta测试阶段，用户可以通过多个网址访问该服务，其中包括http://blogsearch.google.com/和http://search.blogger.com/。

　　据该服务的“常见问题解答”网页上的内容称，Google坚信以BLOG为代表的自出版现象有着美好的前景，希望Blog Search能够帮助我们更有效地探索BLOG世界，促使更多的人加入到这场革命中来。

　　新的搜索服务不仅仅只能够搜索Google自己的BloggerBLOG服务，索引数据库将被不间断地更新，内容包括使用英语、法语、意大利语、德语、西班牙语、中文、日语等语言写的BLOG。

　　用户可以通过输入关键词进行基本搜索，也可以进行高级搜索，自己指定一些参数，例如在一个具体的BLOG，或用某种语言写的BLOG，或某个作者的BLOG中搜索。

　　Google的BLOG搜索服务还向用户提供了订购利用RSS或Atom feed的搜索结果的选项。这意味着，如果用户搜索“卡特里娜飓风”，Google的BLOG搜索服务使他可以在BLOG阅读器中增加一个feed，当Google的搜索数据库中出现新的与搜索关键词“卡特里娜飓风”匹配的新条目时会自动通知用户。（中国计算机世界日报）

开始玩真三国无双4猛将传

　　今天去签服务器托管的协议，顺便也去电子市场看看，猛然发现《真三国无双4猛将传》游戏已经出售了，天啊，这个游戏不是九月十五日才刚发售的吗？4494日元的游戏这么快D版就出来了啊？如此极品游戏，赶快买来。同时感慨，这样经典的游戏D版竟然只卖5块钱。

　　回了家以后就立刻开玩真三国无双4猛将传。说老实话，因为没有时间，真三国无双3猛将传我都没怎么玩，因为人物练的太烂。真三国无双4的人物我可是练的非常好，大把人物都被我练满了（感谢白帝城之战啊）。因此我对真三国无双4猛将传就特别感兴趣。和上一代一样，猛将传可以导入正传的数据，这样人物和武器就都不用重新练了。

　　我开始先打了几个外传，如“道术书争夺战”等等，不过我对其另外新增加的一个游戏模式“立志模式”很感兴趣。在该模式中,玩家可以通过自己建立的角色来从一个普通士兵的立场体会真三国无双的世界。

　　“立志模式”是专为原创角色准备的，三国系列一直以来都没有能够在原创武将上作出一下新颖的动作，虽然操纵史实上的武将的确其乐无穷，但是“立志模式”的出现相信会弥补玩家心中的遗憾。玩家可以选择性别，脸形，体格以及所属的上司武将。

　　在立志模式中，玩家将扮演原创角色，以三国名将部下的身份战斗,在战斗中获得功勋之后可慢慢成为长官的亲信,或者接受其他势力的劝降,在三国的历史世界纵横,角色的命运由玩家自己作主。

　　立志模式的主要流程包括以下几项：

　　角色作成

　　按照水镜的指引，作成玩家身份的角色。

　　决定好各组件后，玩家的所属势力将会依最终的武将选择而由魏吴蜀当中决定。　　　

　　自宅

　　进行战斗的准备或储存。于战斗后返回这里，可以以支付所获得的“技能点数”来换取技能，或者是换装所获得的防具(编辑武将用组件)。

　　概况

　　君主会对下一个战斗的概要进行说明。在此之后，会接受到由当时的长官对于有关于军团目标或者是战斗中所应注意事项所做的情报提示。类似无双模式的概况说明般的画面。

　　作战讲解

　　针对接下来的战斗，进行胜负条件的确认、个人目标的设定，以及武器的装备。会以从好几个选项当中，选择如“10分钟之内击倒100人”之类的形式进行个人目标设定，如果目标达成的话，于战斗结束后，可以获得额外的技术点数。

　　战斗

　　进行战场动作模式的战斗。

　　因为游戏刚开始后的玩家仅是一名兵卒，因此一般攻击最多只能连续攻击2次，再加上无法使用无双乱舞，处于非常弱小的状态。但是其能力将会因为于战场活跃后的身份提升，以及获得技能或武器而获得成长。有关于技能方面，除了有可以让攻击段数等攻击能力成长的技能之外，也准备了可以与我方的弓箭攻击进行协同攻击的“援护射击”，或者是火烧敌据点的“火计”等无双模式所没有的能力。

　　长官武将如果于自身附近战斗的话，除了会给予玩家恢复物品外，还会通过下达号令来提升玩家的攻击力，是一个可靠的存在。因此当玩家角色还弱小时，就靠着长官的协助稳步向前吧。

　　评定

　　任务终了后，玩家会依照于战斗中的活跃度，而获得升迁、武器，或者是技能。

　　另外，有时也能获得新的编辑组件以做为奖赏。

　　策略

　　因玩家的活跃受到注目，而收到由敌方武将所发出之劝说信函，或者是由军师所下达之潜入其它势力的“埋伏之毒”密令。是否接受全看玩家的抉择。