网上银行身份认证技术探究.docx

1、 网上银行身份认证技术探究 陈小龙，余跃飞（河南省数字证书认证中心，河南郑州450046）摘要：本文叙述了几种常见的电子支付身份认证技术，并对这几种技术进行了分析研究。关键词：网上银行；安全；数字证书TP393.08 ：A ：1671-1122( 2011) 03-0015-02The Bank on the Net the Identity Authentication Technology ExploreCHEN Xiao-long, YU Yue-fei( Henan Province Authenticatron Center, Zhengzhou Henan 450046, Chin

2、a )Abstract: Th/s paper describes several common electronic payment identity authentication technology, and amongthese technologies were analyzed and studied.Key words: the bank on the net; Security; Digital certificate引言随着电子信息化的不断发展，以及社会对生产效率不断提高的需求，在以安全、信任、准确为目标的银行业，也在近几年大步迈入网络阵营，各家银行纷纷推出网上银行，攻城掠地

3、，抢占网络金融市场，而网络这个以自由、不受约束而广泛传播的地域如何能确保资金安全呢？通过科学技术的不断进步，密码学领域的不断扩展，PKI体系的不断完善与建设，网络信息传递已经可以变为一种可控、保密、准确、信任的安全操作行为 。目前各家银行网上银行大多推出了如下几种安全措施，以确保信息、支付指令的安全可信。1电子银行动态密码口令卡口令卡相当于一种动态的电子银行密码。口令卡上以矩阵的形式印有若干字符串，客户在使用电子银行（网上银行或电话银行）进行对外转账、购物、缴费等支付交易时，电子银行系统就会随机给出一组口令卡坐标，客户根据坐标从卡片中找到口令组合并输入电子银行系统。只有当口令组合输入正确时，客

4、户才能完成相关交易。这种口令组合是动态变化的，使用者每次使用时输入的密码都不一样，交易结束后即失效，从而杜绝不法分子通过窃取客户密码盗窃资金，保障电子银行安全。动态密码口令卡背面有一个被涂层覆盖的区域，涂层覆盖了坐标对应位置的密码，需要查看使用该方位密码时，只需刮开涂层即可。与USBKey（移动数字证书）相比，口令卡客户虽然有一定的交易额度和功能限制，但价格远比USBKey（移动数字证书）低，并且使用方便，安全性能也有保证。在使用口令卡时，仍然需要妥善保管好自己的电子银行口令卡片，不要将动态密码口令卡借予他人，并防止他人复制口令卡或对口令卡拍照。目前，有一些钓鱼网站假冒网上银行，利用网民对银行

5、的信任以及对细节上的疏忽，来迷惑网银使用者，企图骗取客户密码以及电子银行动态口令卡上的区域坐标密码。在假冒网站上，犯罪分子企图骗取客户手中动态密码卡中的全部密码，来达到复制的目地，而真正的银行网站是不会同时要客户输入全部动态密码的，通常只要求客户输入两三个坐标密码。另外，最近有人反映，在使用某网游提供的类似密码卡在登陆过程中，被诱骗重复输入某一区域的密码后，帐号被盗取，游戏点币遭受损失，事后分析有可能是搜索浏览网站时被加载了木马程序。所以我们在使用时要注意细节，谨防假冒网站盗取密码，目前动态密码口令卡以其价格低廉、使用方便受到众多网站及客户欢迎，多用在涉及款项不多，保密要求不是特别高的网站项目

6、上应用21。2手机动态密码手机动态密码，是指银行以手机短信形式发送到客户预留手机号码上的6位随机密码。通过客户在相关页面输入手机动态密码和相关业务密码，认证客户的网银用户身份，达到对客户使用网上银行进行对外转账和其它重要交易的安全性认证。使用手机动态密码，每次收到银行通过移动运营服务商发来的动态密码，会产生一定的短信费用，如果长期频繁使用也会产生相应成本，不少银行采用免费与收费互相搭配的服务办法。另外，手机动态密码接收的及时性会因手机服务网络情况受到影响，因此实效性有一定制约；同时还要考虑到，手机动态密码只会发送到前期相关指定的手机上，不能随意变更，如果操作人有事，需要交由代办人操作网银，就会

7、受到手机这个通信工具的制约，通常情况下，因个人隐私等原因无法将手机交由代办人保管使用。此外，我们还要考虑到手机动态密码，目前多由银行服务设备直接发送给用户，这种密码不具备第三方认证及监督功能，在法律层面还处在真空状态，如遇到纠纷，举证以及证据的可信程度将受到质疑。3动态密码锁（动态口令牌）动态密码，也称一次性密码，是指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码锁也叫作动态口令牌，是一种集内置电源、密码生成芯片和显示屏于一体，并可根据专门的算法每隔一定时间自动更新动态口令的专用硬件。动态口令牌的使用十分简单，无需安装驱动，用户只要根据网上银行系统的提示，输入动态口令牌

8、当前显示的动态口令即可。动态口令密码，每60秒随机更新一次，其优点在于一个口令在认证过程中只使用一次，下次认证时则更换使用另一个口令，使得不法分子难以仿冒合法用户的身份，用户也不需要去记忆密码。动态密码锁（口令牌）技术看起来比较完美，以提高硬件设备的成本，增加了相对安全系数，但不能忽略的是，动态密码技术也有相应的安全隐患，如在服务器端的认证系统里，可以计算出所有动态密码，所以服务器安全就尤其重要，有一定的安全威胁，另外这个系统同时由服务器系统相关管理员控制，服务器系统相关管理员可以在服务器层面修改动态密码锁的规则，此处风险也同时需要控制。4浏览器数字证书（浏览器证书） 浏览器数字证书，简称浏览

9、器证书，是将数字证书存储于IE浏览器中，可任意备份证书。客户端不需要安装驱动程序（根据情况可能需要下载安装最新的签名控件），且无需证书成本。IE浏览器证来自WWW书比较适合有固定上网地点的客户。但IE浏览器证书的缺点是：1）如是共用电脑则存在使用风险；2）浏览器证书容易被黑客盗取；3）存在被远程控制欺骗银行假冒用户转款、消费风险；4）系统重新安装则无法使用，需要重新安装浏览器证书；5）只能在一台电脑上使用证书，不利于分权管理和移动办公。由于浏览器证书风险大，目前已不被广泛推广，5 USBKey硬证书（移动数字证书）USBKey是一种有USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储

10、空间，可以存储用户的数字证书，利用USBKey内存储的数字证书签名加密技术实现对用户身份的认证。由于用户私钥证书保存在密码锁中，理论上使用任何方式都无法导出，因此保证了用户认证的安全性。USBKey移动数字证书，就是将数字证书下载到USBKey硬件设备中，防止数字证书被盗用或被复制。目前国内大多数银行采用USBKey硬件数字证书作为客户端解决方案，在这个基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USBKey内产生，并且不可导出到USBKey外部。在网上银行对客户身份的来自www.LW安全认证中，以及对网银交易的数据电子签名都是在USBKey内部完成的，并受到USBKey的PIN码

11、保护。同时不少银行都对该硬件数字证书产品有各自的商品名称，如U盾，阳光网盾等。河南CA推出的安易网盾也广泛应用在网上税务申报、在线交易、网上竞价、银行划款、财政招标等领域。如何才能安全使用USBKey证书呢？不使用硬件数字证书时，定要记得拔下USB key移动数字证书，对于专业版网上银行来说，如果数字证书是存储在操作者的计算机中，当你较长时间离开你的电脑时，攻击者可以远程控制你的电脑，在你的电脑上转移网上银行中的款项，这和操作者本人进行本地在线银行业务没有任何区别。对于使用移动数字证书的网上银行用户，千万注意，用完就拔掉数字证书，不要给攻击者任何机会。目前，硬件数字证书安全加密技术正在得到不断

12、发展，不久增加具有物理按键、显示模块、语音模块、指纹加密等功能的USBKey数字证书硬件设备将会逐步推广应用。在一系列安全手段的保卫下，网络世界将会变为安全、可信任的服务平台。（责编杨晨）参考文献：1深圳CA.PKI技术体系EB/OLl.http:/www.szca.gov，cnproduct/PKllnfo.aspx,2011 -01- 16/2011-02-10.2深度技术论坛“网络钓鱼”高发期防范机制日趋完善EB/OLhttp:/bbs.deepin.org/thread-1 823506-1 -l.html,2011 -02-09/2011 -02-10.3江民，银行应加强推广硬件数字证书EB/OLl. 854370.html,2009-04-08/2011-02-10. -全文完-