网上银行相关安全技术研究与应用(2)
1.2 加强网上安全防范的意义
正当还沉浸在网上银行带给我们的的便利和快捷时,新兴的黑客和“网银大盗”将网民对“一切尽在互联网上”美好生活的憧憬敲的粉碎,尤其是近期社会上频繁出现的网上银行资金、密码被盗事件,更是为网上银行用户心头蒙上了一层阴影。据近几年调查报告显示,79%的互联网用户认为,如何保证资金的安全性是用户使用网上银行首要考虑的问题。
网上购物支付的过程中出现的一些弊端和漏洞,已经给国家、企业和个人消费者带来了许多经济损失;使企业和个人消费者在不同程度上对网上交易的安全性产生怀疑,引发信任危机,从而给社会带来了一定程度的的负面影响。因此,加强网上银行安全防范意义重大,它可以提升网上银行在消费者心中的诚信度,为个人乃至国家减少不必要的经济损失。
2.网上银行的相关技术
2.1 Active X安全控件
各银行依据各自技术实力的不同,对于各自的网银建设也不尽相同。但他们对于WEB登陆的安全措施加密方式多数相同,即银行向非证书认证用户提供的安全手段都是安装安全控件或者动态软键盘。工行、建行、农行、招商银行、交通银行的个人版登陆采取的都是Active X安全控件,用户跳转到网上银行登陆界面时,页面会提醒你加载Active X安全控件,当控件安装完成后用户才能加载成功网上银行的登陆界面。这种安全技术防止了键盘/消息钩子,杜绝了黑客从IE的网络接口处获取密码的可能性。但这种安全技术也存在一些问题,一些银行将安全技术捆绑在了IE上,从而给其它操作系统和非IE用户带来了一些不便。
2.2 软键盘输入
软键盘输入指的是用户通过鼠标点击屏幕上产生的虚拟键盘输入密码。
客户在输入密码时,会发现屏幕上增加了一个虚拟的动态软密码键盘,这是为了防止黑客通过病毒软件截取客户的重要信息。在输入密码信息前,系统自动在屏幕上弹出一个数字键盘,数字键盘上的数字位置每一次都不一样,客户只要用鼠标点击相应的数字即可完成数字的输入。一般来说输入信息需要动用键盘,而目前有一些病毒有从键盘截取客户输入信息的功能,软件盘输入技术的产生杜绝了中病毒的隐患。由于没有硬键盘信息,黑客软件无法确定客户输入的内容。这很大程度上防范了不法分子利用木马窃取用户的键盘记录,但也面临截屏技术和屏幕录像技术的威胁。
2.3 动态口令牌
动态口令牌是一种基于一次性口令的身份认证技术。用户交易时选择动态口令牌,而后口令牌根据特定的算法动态生成随机口令(即密码),短时间更换一次口令密码且密码不可重复使用。口令密码经用户输入并提交到服务器中,交易过程中服务器将对用户提交的密码和验证码进行校验。同时由于密码输入次数存在限制,且不可预测性高,因此动态口令牌技术安全性较高。
2.4 手机短信动态指令
和动态口令牌相同的是,手机短信动态口令也是一种基于动态口令的身份认证技术。只有网银和手机号进行绑定的用户才可以使用收到手机短信动态指令。当用户使用网上银行进行交易时,手机会收到银行服务器终端随机生成密码短信,用户使用该密码短信进行身份验证,验证通过的用户才可以正常交易。
2.5 移动数字证书
移动数字证书被称为电子智能钥匙,也就是我们常说的USB KEY。USB KEY内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,数字证书同时存放在USB KEY和银行服务器里。用户网上交易的过程中,银行会根据用户发送的时间字串,地址字串,交易信息字串,防重放攻击字串进行加密。另外,中国工商银行(以下简称“工行”)和中国建设银行(以下简称“建行”)还在“一代U盾”的基础上率先推出了一种升级版的移动数字证书,名为“二代U盾”,它提供了显示屏和用户确认按键,当用户对显示屏上交易信息确认无误后,按确认键完成签名过程,安全性更高。