論網(wǎng)上銀行身份驗證的安全性

1、論網(wǎng)上銀行身份驗證的安全性OnlineBankingAuthenticationSecurityChenQinl,ZhangChu2,LiuDelong2(1.BenxiHealthSchool,Benxill7022,China;2.DalianUniversityofTechnology,Dalianl16621,China):AsanewFinancialbusinessplatform,onlinebankhasbeenusedwidelybycustomers.Ensurethesafetyofthebankonthenetidentitycheckasecuritytradings

2、ystemthecoreofonlinesecurity.Theexistingidentityauthenticationtoolsintechnologyandmanagementinvariousdefects,fromnewdynamicpasswordtechnologywiththemanagementpolicycouldbeasolutiontotheproblem.Keywords:Onlinebank;Security;Authentication;Dynamicpassword;Arithmetic;User;Bankingsystem網(wǎng)上銀行是傳統(tǒng)銀行在現(xiàn)有的實體店基礎

3、上，利用互聯(lián)網(wǎng)作為新的平臺來為客戶提供各種在線金融業(yè)務。借助與互聯(lián)網(wǎng)，銀行實現(xiàn)了任何時間，任何地點，任何方式的多樣便利的金融服務。但是另一方面，由于互聯(lián)網(wǎng)是一個公開，開放的網(wǎng)絡。網(wǎng)上銀行系統(tǒng)也使的銀行的內部網(wǎng)絡暴露在公開的環(huán)境下，面臨著病毒、木馬、釣魚等網(wǎng)絡攻擊帶來的嚴峻挑戰(zhàn)。這些攻擊利用網(wǎng)絡的開放性，實時性可以在短短的時間內盜取客戶的密碼，賬戶等信息，從而實現(xiàn)資金的轉移，損害到銀行及其客戶的利益。因此，如何保障網(wǎng)上交易系統(tǒng)的安全，關系到銀行內部甚至整個金融界的安全。為防止網(wǎng)上銀行的交易服務器受到攻擊，銀行方面往往采取以下多種措施：多重防火墻，殺毒系統(tǒng)、冗余系統(tǒng)，權限系統(tǒng)1。有了這些看似銅墻鐵

4、壁的防御系統(tǒng)，非法用戶較難以入侵到網(wǎng)上銀行內部，但是一旦銀行客戶的密碼被盜取，非法用戶披上合法用戶的外衣，便能夠輕而易舉的繞過重重的防護系統(tǒng)，簡單直接地接觸到網(wǎng)上銀行系統(tǒng)。缺乏有限的身份認證保護，網(wǎng)上銀行其他的安全防護措施如同虛設。由此可見身份驗證技術即密碼技術是網(wǎng)上銀行安全技術體系的核心,只有保障算法和密鑰的安全,才能保障密碼及身份認證的安全。、網(wǎng)上銀行的身份驗證現(xiàn)在各大銀行均采用了多種多樣的身份認證產(chǎn)品，力求能夠有效的準確的驗證客戶身。一）電子證書現(xiàn)在國內銀行主要使用電子證書（根據(jù)存儲方式不同分為存儲在瀏覽器中的文件證書和存儲在U盾中的USB證書）、作為網(wǎng)上銀行身份安全驗證的工具。它通過電

5、子證書和電子簽名，與銀行系統(tǒng)數(shù)據(jù)庫互聯(lián)來保障客戶信息的準確性和安全性。二）電子銀行口令卡2電子銀行口令卡是以矩形形式排列，印有若干個符號及字母的密?？ㄆ錂M豎坐標對應唯一的字符。將對應的字符串作為密碼輸入，由相關系統(tǒng)校驗密碼的正確性。三）預留信息驗證客戶預先在網(wǎng)上銀行預留一些信息，當其登錄個人網(wǎng)上銀行、在購物網(wǎng)站上進行支付時，網(wǎng)頁上會自動顯示預留的信息，以便驗證該網(wǎng)頁是否為真實的相關銀行網(wǎng)站。四）手機短信驗證客戶在交易確認過程利用手機短信信息確認身份的方式。五）網(wǎng)銀助手銀行開發(fā)的一項將所有網(wǎng)銀安全軟件和證書打包作為一個整體，可供下載的產(chǎn)品。二、身份驗證產(chǎn)品存在的問題一）高成本以數(shù)字證書和移動

6、證書（U盾）為代表的交易保護措施，通常是易用性差，一般的只能用于網(wǎng)上銀行；同時成本高，作為一個小型的電子產(chǎn)品，u盾的制作成本和使用成本都不低。二）使用復雜由于各個銀行的U盾產(chǎn)品之間并不兼容，擁有跨行多個賬戶的客戶在實現(xiàn)網(wǎng)上轉賬時會有多次插拔不同U盾的問題。數(shù)字證書和移動證書在交易時都需要多次鍵入密碼，手續(xù)復雜。三）技術落后目前各大銀行使用的數(shù)組證書和移動證書大多基于單個瀏覽器。兼容性差，無法滿足不同客戶的使用需求。四）靜態(tài)密碼，安全性差U盾是通過參與網(wǎng)上銀行交易的全部過程，配合與之配套的電子簽名實現(xiàn)身份驗證的。但其核心使用的靜態(tài)密碼，由于具有固定性和長時性，容易被網(wǎng)絡木馬等獲取。由此可見，網(wǎng)上

7、銀行系統(tǒng)缺乏：安全性強，使用簡單，經(jīng)濟性強，可適應于網(wǎng)上銀行所有應用場景的身份認證產(chǎn)品三、解決方案一）技術層面采用動態(tài)密碼機制：即用戶在操作時動態(tài)的獲取具有時效性的一次性交易密碼，由于密碼的產(chǎn)生隨機的，同時實現(xiàn)了密碼產(chǎn)生完全物理隔離，從而避免了靜態(tài)密碼易被盜取的問題，確保交易從發(fā)起、傳遞、到最終接受都處于動態(tài)保護之中。同時，動態(tài)密碼成本低廉，使用簡單，可適應與網(wǎng)上銀行所有的業(yè)務場景。1 .硬件令牌3動態(tài)口令硬件卡一種內置電源、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件。以中國銀行的動態(tài)口令牌為例，基于該動態(tài)密碼技術的系統(tǒng)又稱一次一密（OTP系統(tǒng)4。密碼在使用過一

8、次后就失效，下次登錄時的密碼是完全不同的新密碼。動態(tài)口令牌的優(yōu)點集中體現(xiàn)在安全和方便：口令具有一次性；使用十分簡單，無需連接電腦設備，實現(xiàn)了與電腦的完全物理隔離；并且用戶也不需要記憶密碼，只需按照提示，輸入當前動態(tài)口令即可。作為一種重要的認證工具，動態(tài)口令牌被廣泛地運用于安全認證領域。動態(tài)口令牌可以大大提升網(wǎng)上銀行的登錄和交易安全。目前，加拿大帝國商業(yè)銀行等以成功實現(xiàn)該技術的推廣使用。2 .手機短信令牌手機令牌是安裝在手機客戶端動態(tài)生成密碼的軟件。作為手機軟件，其產(chǎn)生密碼不會帶來任何的通信費用，也不受欠費，無信號等外在條件的干擾。手機短信令牌具有高安全性，低成本性，便攜性等顯著優(yōu)3 .銀行卡和

9、身份驗證融合最新的動態(tài)密碼實現(xiàn)方式是將銀行卡和身份驗證融為一體。國際知名信用卡品牌VISA即將發(fā)行的新一代信用卡加入了產(chǎn)生動態(tài)密碼5的芯片，可以使客戶在每次網(wǎng)上銀行交易時產(chǎn)生一個新的支付密碼。這樣的結合體便于攜帶，較硬件令牌降低了成本，一體機制更方便客戶攜帶和廣泛使用。二）管理層面用戶方面：作為網(wǎng)上銀行交易系統(tǒng)的主體用戶在使用網(wǎng)上高安全意識，在網(wǎng)銀操作的方方面面多加留意。交易系統(tǒng)時應該提高安全意識，注意以下幾點1,使用事項客戶應避免在公用的計算機上使用網(wǎng)上銀行。安裝防毒軟件并經(jīng)常升級，不要下載不明程序。同時，客戶要注意將安裝網(wǎng)上銀行的電腦讓他人使用，將電腦交給他人維修時一定要確保安全。2 .選

10、取密碼謹慎使用密碼，密碼應避免與個人資料有關系，不要選用諸如身份證號碼、出生日期等作為密碼。建議選用字母、數(shù)字混合并提高密碼位數(shù)的方式，以提高密碼破解難度。3 .留心記錄切記要保護好密碼，并經(jīng)常查詢交易記錄，及時發(fā)現(xiàn)異常。關注交易記錄，客戶對網(wǎng)上銀行辦理的轉賬和支付等業(yè)務做好記錄,定期查看歷史交易明細，如發(fā)現(xiàn)異常交易或賬務差錯，立即與銀行聯(lián)系。4 .安全設置用戶可以常用的電腦上做一定的設置。例如將網(wǎng)銀系統(tǒng)的個性設置中設定轉款的每日最高金額，并開通轉款短信實時通知；使用網(wǎng)上銀行后技術清理網(wǎng)頁上自動保存的密碼，賬號等信息；及時更新網(wǎng)上系統(tǒng)的安全補丁等。銀行方面：網(wǎng)上銀行的網(wǎng)絡都是大型網(wǎng)絡，采用多種

11、通信媒介，有多種協(xié)議網(wǎng)互聯(lián)而成的復雜網(wǎng)絡。為確保系統(tǒng)安全，銀行必須采用綜合性的智能管理網(wǎng)絡系統(tǒng)，提供一體化的網(wǎng)絡管理服務5,通過監(jiān)管網(wǎng)絡資源，對網(wǎng)絡進行安全檢測管理，安全報告管理，安全恢復管理，以便交易系統(tǒng)能更可靠、安全和高效的運行。同時，銀行形成一套完整的安全管理方案，細化到各個步驟，用以明確部門內各自職責，從而保障安全管理的順利高效行。金融信息監(jiān)管部門方面：金融信息的監(jiān)管部門應該加大監(jiān)管力度，定期排查各大銀行的網(wǎng)上銀行系統(tǒng)的安全漏洞。同時，監(jiān)管部門要制定網(wǎng)上銀行身份驗證的安全管理問題的標準和相關規(guī)定，督促各大銀行在網(wǎng)銀的安全問題上加大資金和人力物力的投入，以便達到相關的標準。監(jiān)管部門還應該做好引導作用，鼓勵國內各大銀行與國際相關方面領先的銀行或者金融機構學習，加快與其推廣的技術與本地現(xiàn)行的技術的融合，提高