工商银行的网银USBkey是什么

U盾1、U盾，即工商银行于2003年推出并获得国家专利的客户证书USBKEY，是工商银行提供的一种用于办理网上银行业务的高级安全工具。 它看起来像一个U盘，其安全性能就像一个盾牌，意思是一个U形的盾牌，所以被命名为“U盾”。2、其作用是保护网银资金安全，规避黑客、虚假网站、木马病毒等各种风险。3、U盾是工商银行推出的国家专利客户证书USBKEY。 它是工商银行提供的一种用于办理网上银行业务的高级安全工具。4、U盾是网上银行电子签名和数字认证的工具。 内置微型智能卡处理器，采用1024位非对称密钥算法对在线数据进行加密、解密和数字签名，确保在线交易的机密性、真实性、完整性和不可否认性。：工商银行U盾的优点是：1 有了U盾，您就不用担心网银被黑客入侵、假冒网站、病毒等风险。保护您的卡号和密码。2付款方式非常方便。不再受各种支付限额的限制。可轻松实现网上转账、汇款、支付和购物支付。3、服务更加多样化。使用U盾，您可以将工行U盾绑定到支付宝账户，使用U盾对支付宝的行为进行认证，确保您的支付宝账户安全。4、如果没有大额支付要求，也不需要经常更换账户，可以考虑网点开通网上银行时可以申请电子密码卡。只要电子密码卡不随卡号一起丢失，不会对网上银行信息造成很大影响，使用起来也比较方便。支付时提供yhk号，根据页面提示，在电子密码卡上刮两格，将看到的数字输入到网页中。4、安全专家提醒网友，在遇到u盾升级等信息通知时要提高警惕。该类网络诈骗是不法分子利用网民网络安全知识匮乏、钓鱼网站识别能力弱等特点，冒充银行，发出“U盾升级，增强网银安全”的虚假提示，诱使受害人登录假冒网银钓鱼网站。一旦网民在钓鱼网站上 *** 作，网上yhk的证书和密码就会保存在钓鱼网站的后台，不法分子就会从后台快速转账。5、U盾升级d窗显示的网站，可以登录电脑管家网站识别页面进行安全检测。

*** 作过程

包含主机的IP、端口、密码

使用sshpass将密码传递给ssh-copy-id , 使得当需要输入密码时, 能够自动读取变量进行输入并完成验证:
脚本cat copy_ssh_idsh如下:

也可以使用单条命令:

注意：

没有提示要求输入yes 进行确认,是我之前就在ssh_config文件中设置了不进行确认:

或者

中银e盾中的CA证书的有效期为五年，您可利用“中行网银USBKey数字安全证书管理工具”（使用64位Windows *** 作系统)查询到期日，证书到期前三个月，您可进入中行网银登录页面（手机或者电脑皆可登录，网站>easyconnect未检测到usbkey可以检查USBKey是否已插入或重新安装USBKey驱动程序。
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。
利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

建行网上银行的证书过期了，需要更新更证书网银盾才能继续使用，用户可以通过以下两种方式办理个人网银盾证书更新：

（1）通过电脑“开始—程序/所有程序—中国建设银行E路护航网银安全组件—证书更新”菜单进行更新。

（2）在建行网银登录界面右侧“更多服务”栏下找到“个人证书到期更新”的选项，进行网银盾证书的更换。更换时，请将原网银盾插入电脑，将新证书导入原网银盾，详情请参考个人证书到期更新按照里面的“帮助与反馈”的指引进行更新证书的 *** 作。

扩展资料：

建行网银盾证书更新规则

除捷德外的个人网银盾客户可在任意时间内，通过E路护航安全组件或网站办理证书更新，相关更新规则如下：

（1）每日支持 *** 作十次证书更新，超过次数后请次日再试。

（2）不能同时插入多个网银盾进行证书更新。

（3）如已注销网银服务，则无法进行证书更新 *** 作。

（4）证书更新失败时，系统会提示失败原因。若有疑问，请提供错误提示或代码，方便我们查询核实具体原因。

参考资料来源：建设银行-快捷提问-如何更新个人网银盾证书

建设银行-快捷提问-网银盾证书更新规则

本文涉及到支付宝SDK的内容，均摘自支付宝开放平台。

因为支付宝SDK使用RSA来加密和生成数字签名，所以本文中涉及到的概念也都是针对于RSA的。

一对儿密钥生成后，会有公钥和私钥之分，我们需要把私钥保存下来，而把公钥发布出去。一对儿公钥和私钥，不能由其中一个导出另一个。

比如使用支付宝SDK的时候，我们商户端会生成一对儿密钥A和B，A是私钥，B是公钥，支付宝也会生成一对儿密钥C和D，C是私钥，D是公钥。我们商户端需要把商户端私钥A保存下来，而把商户端公钥B发布出去给支付宝，支付宝需要把支付宝私钥C保存下来，而把支付宝公钥D发布出去给我们商户端。

加密是指我们使用一对儿密钥中的一个来对数据加密，而使用另一个来对数据解密的技术，需要注意的是公钥和私钥都可以用来加密，也都可以用来解密 ，并不是规定死了只能用公钥加密私钥解密，但是加解密必须是一对儿密钥之间的互相加解密，否则不能成功。

加密的目的是为了保证数据的不可读性，防止数据在传输过程中被截获。

知道了加密这个概念，我们先看一下支付宝的加密过程，再引出数字签名这个概念。接着第1小节的例子，当我们商户端和支付宝互相发布了公钥之后，我们商户端手里就有 商户端私钥 和 支付宝公钥 两个密钥，支付宝手里也有 商户端公钥 和 支付宝私钥 两个密钥。现在假设我们商户端要给支付宝传输订单信息，那么为了保证传输订单信息时数据的安全性，结合我们商户端手里所拥有的密钥，可以有两套加密方案

貌似这两套加密方案都能达到对订单信息加密的效果，而且如果采用方案二，我们商户端甚至只需要存储支付宝公钥这一个密钥，都不用去申请一对儿商户端的公私钥来维护，支付宝也不用保存我们一堆商户那么多的商户端公钥了，这不是更简单吗，那为什么支付宝开放平台让我们采用的是方案一而不是方案二呢？下面来回答一下。

支付宝开放平台说明：当我们采用RSA（1024位密钥）来加密的时候，支付宝分配给所有商户的支付宝公钥都是一样的，即支付宝针对那么多的商户只负责维护一对儿支付宝公私钥，这就意味着支付宝公钥随便什么人拿到后都是一样的；而当我们采用RSA2（2048位密钥）来加密的时候，支付宝会分配给每个商户单独的一个支付宝公钥，即支付宝为每一个的商户单独的维护一对独立的支付宝公私钥，当然一个商户下的多个App的支付宝公钥是一样的。RSA是早就支持的，RSA2是最近才支持的。

知道了上面这段话，现在假设我们采用的是方案二，并且采用RSA加密（很多老业务并没有使用RSA2加密），业务逻辑将会是下面这样。

这就出问题了， RSA加密下，支付宝公钥是公开发布的，而且所有的商户用的都是同一个支付宝公钥（上面声明了RSA2加密下，支付宝才针对每个商户维护了一对儿公私钥），攻击者很容易就能获取到，而 notify_url 也很容易被截获，那攻击者拿到这两个东西就可以做和商户一样的 *** 作来发起支付请求，这样就会一直给小明充钱了。

所以 支付宝就需要确认支付请求确实是商户发给他们的，而不是攻击者发给他们的。 这就用到了 数字签名 ，我们会通过方案一的实现流程来引出数字签名的具体概念。如果我们采用的是方案一，我们商户端保存的就是商户端私钥和支付宝公钥，而支付宝保存的就是需要存着商户端公钥和支付宝私钥的，业务逻辑将会是下面这样。

这样就可以保证交易的安全性了，我们也可以看出使用支付宝SDK保证交易的安全性注重的其实不是订单信息是否加密，而是如何确保商户端和支付宝能够互相确认身份，订单信息是明文的，但是后面拼接了数字签名。

数字签名其实就是明文数据加密之后得到的一个密文，只不过它是用私钥加密生成的而已，我们一般会把数字签名拼接在明文数据后面一起传递给接收方，接收方收到后用公钥解密数字签名，从而验证发送方的身份、以及明文数据是否被篡改。数字签名的生成过程其实就是一个加密过程，数字签名的验签过程就是一个解密过程。

数字签名的目的有两个：一、发送方和接收方互相验证身份；二、验证数据是否被篡改。

从上面第一部分我们知道为了确保商户和支付宝交易的安全性，约定采用的是给订单信息加数字签名传输的方式。支付宝也为我们提供了 一键生成RSA密钥的工具 ，可以帮助我们很快的生成一对商户端公私钥。以下会对支付宝SDK的支付流程做个大概的解释，并点出实际开发中我们使用支付宝SDK时应该注意的地方。

由我们商户端自己生成的RSA私钥（必须与商户端公钥是一对），生成后要保存在服务端，绝对不能保存在客户端，也绝对不能从服务端传输给客户端。

用来对订单信息加签，加签过程一定要在服务端完成，绝对不能在客户端做加，客户端只负责用加签后的订单信息调起支付宝来支付。

由我们商户端自己生成的RSA公钥（必须与商户端私钥是一对），生成后需要填写在支付宝开放平台。

用来给支付宝服务端验签经过我们加签后的订单信息，以确保订单信息确实是我们商户端发给支付宝的，并且确保订单信息在传输过程中未被篡改。

这个和我们就没关系了，支付宝私钥是他们自己生成的，也是他们自己保存的。

用来对支付结果进行加签。

支付宝公钥和支付宝私钥是一对，也是支付宝生成的，当我们把商户端公钥填写在支付宝开放平台后，平台就会给我们生成一个支付宝公钥，我们可以复制下来保存在服务端，同样不要保存在客户端，并且不要传输给客户端。

用来让服务端对支付宝服务端返给我们的同步或异步支付结果进行验签，以确保支付结果确实是由支付宝服务端返给我们服务端的，而且没有被篡改，对支付结果的验签工作也一定要在服务端完成。

上面已经说过了： 订单信息的加签和支付结果的验签是一定要在服务端做的，绝对不能在客户端做。

下面是在客户端对订单信息加签的过程，仅仅是为了模拟服务端来表明订单信息是如何通过加签最终转变为orderString的， 千万不要觉得订单信息的加签过程也可以放在客户端完成 。

假设我们服务端收到了来自支付宝服务端的支付结果，即： 支付结果+数字签名 。

那么我们服务端就会对支付结果进行验签，怎么个验法呢？

一、中国银行网上银行USBKEY序号是16位的。其中前五位95566代表中国银行，第六位为厂商代号，比如飞天诚信的代号为2，第七位A表示个人证书，Z表示企业证书。后面为8位序列号和1位校验位。
二、请先自行在网上银行对USBKey做初始化处理，然后携带USBKey到位于中国大陆任何地区的中国银行营业网点重置USBKey并重新下载CA证书。它内置单片机或智能卡芯片，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。由于用户私钥保存在密码锁中、中国银行全称是中国银行股份有限公司（Bank of China Limited，有一定的存储空间，总行(Head Office)位于北京复兴门内大街1号。
2、利用USB Key内置的公钥算法实现对用户身份的认证、可以存储用户的私钥以及数字证书，简称BOC）　
3、USB Key是一种USB接口的硬件设备，进入“证书下载”或者“证书更新” *** 作页面：
客户登录首页面：在您进行证书下载或证书更新等 *** 作时，在页面会出现如下所示的提示框：特别提示，点击“下一步”；输入USBKey序号和验证码。
4、中国银行网银证书 *** 作流程：
鼠标右键点击地址栏下的**提示框。登录“中国银行证书下载及自助更新平台”，中国银行网银证书下载安装，选择 “为此计算机上的所有用户安装此加载项” ，没有开通的朋友可以到相关银行任何一个营业网点都可以办理。
网上银行非常方便快捷，基本上使用yhk的朋友都开通了网上银行，请务必保证USBKey与计算机连接状态良好，“证书更新控件”将自动安装到客户计算机上，系统提示客户安装“证书更新”控件。
5、可以拨打95566电话询问。
注意：“USBkey初始化”按钮并非用于初始key密码，该按钮点击后会自动删除证书，需经柜台补发证书，顾客重新下载后才能使用，只有在key的密码被锁或遗忘时才能点击。

---