網(wǎng)銀身份認(rèn)證設(shè)備安全性分析

文章出處：http://compasssalessolutions.com 作者：杭州晟元芯片技術(shù)有限公司 郭志   人氣： 發(fā)表時(shí)間：2011年12月08日

    網(wǎng)銀身份認(rèn)證設(shè)備的發(fā)展歷史 

    網(wǎng)上銀行應(yīng)用系統(tǒng)中的安全控制的第一道防線是身份認(rèn)證。目前，國(guó)內(nèi)外網(wǎng)銀的身份認(rèn)證技術(shù)主要分3個(gè)層次，一是網(wǎng)銀推廣初期采用靜態(tài)密碼技術(shù)，二是動(dòng)態(tài)口令技術(shù)，三是基于PKI體系的數(shù)字簽名技術(shù)。

    靜態(tài)密碼技術(shù)在度過(guò)了網(wǎng)銀前期的推廣期后逐漸被淘汰。

    動(dòng)態(tài)口令產(chǎn)品主要有三類：刮刮卡、手機(jī)OTP以及時(shí)鐘令牌。

    基于PKI體系的數(shù)字簽名技術(shù)是目前較新較安全的身份認(rèn)證技術(shù)，目前已經(jīng)從第一代USBKEY逐漸向第二代液晶KEY、按鍵KEY過(guò)渡，同時(shí)也出現(xiàn)了第三代生物識(shí)別KEY、手機(jī)SDKEY等高新安全的KEY。 

 
網(wǎng)銀身份認(rèn)證設(shè)備的發(fā)展歷史

    網(wǎng)銀身份認(rèn)證設(shè)備的原理及安全性能分析

    靜態(tài)密碼，就是不變的密碼，這種簡(jiǎn)單的認(rèn)證方式容易被黑客破解、竊取，國(guó)內(nèi)銀行已基本取消了靜態(tài)密碼的支付權(quán)限。

    動(dòng)態(tài)口令技術(shù)，也稱為一次一密（OTP）技術(shù)，即用戶的身份驗(yàn)證密碼是變化的，密碼在使用過(guò)一次后就無(wú)效，下次登錄時(shí)的密碼是完全不同的新密碼。 其中刮刮卡是基于銀行事先生成好的密碼組，用戶使用一次后自動(dòng)作廢，刮刮卡成本低廉，使用方法簡(jiǎn)單，國(guó)內(nèi)銀行在2005年左右開(kāi)始試推廣，目前已不是銀行的主推產(chǎn)品。手機(jī)OTP原理與刮刮卡相同，比刮刮卡更綠色環(huán)保，易用性更高。 動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、按照專門的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專用硬件，密碼的生成是由用戶專用硬件來(lái)完成，降低了動(dòng)態(tài)密碼泄露及管理風(fēng)險(xiǎn)。

    動(dòng)態(tài)口令技術(shù)，改變了靜態(tài)認(rèn)證的固定密碼口令，通過(guò)隨機(jī)變化的一次性密碼口令，提升交易的安全性。不可否認(rèn)OTP技術(shù)作為理論上不可破解的抵御外部被動(dòng)攻擊的密碼系統(tǒng)，在網(wǎng)上銀行防止木馬破解攻擊方面發(fā)揮了廣泛應(yīng)用。但是同樣網(wǎng)絡(luò)黑客很清楚在網(wǎng)上銀行業(yè)務(wù)流程“用戶—網(wǎng)上銀行—銀行數(shù)據(jù)庫(kù)”三個(gè)環(huán)節(jié)中，突破后兩者很困難，于是，薄弱的用戶端便成了他們攻擊的主要對(duì)象。隨著計(jì)算機(jī)技術(shù)的發(fā)展，在木馬釣魚(yú)的作用下，黑客能夠?qū)崿F(xiàn)和用戶電腦的同步，而OTP技術(shù)的密碼口令有效時(shí)間，給黑客提供了足夠的截獲、登錄、轉(zhuǎn)賬的操作時(shí)間。

    PKI(Pubic Key Infrastructure)是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等?；赑KI體系的數(shù)字簽名技術(shù)，可有效保護(hù)用戶私有信息（身份認(rèn)證信息）的保密性、真實(shí)性、完整性及抗否認(rèn)性。數(shù)字簽名主要是消息摘要和非對(duì)稱加密算法的組合。數(shù)字簽名(Digital Signature)應(yīng)用，從原理上講，通過(guò)私有密鑰用非對(duì)稱算法對(duì)信息本身進(jìn)行加密，即可實(shí)現(xiàn)數(shù)字簽名功能。這是因?yàn)橛盟借€加密只能用公鑰解密，因而接受者可以解密信息，但無(wú)法生成用公鑰解密的密文，從而證明用公鑰解密的密 文肯定是擁有私鑰的用戶所為，因而是不可否認(rèn)的。實(shí)際實(shí)現(xiàn)時(shí)，由于非對(duì)稱算法加/解密速度很慢，因而通常先計(jì)算信息摘要，再用非對(duì)稱加密算法對(duì)信息摘要進(jìn)行加密而獲得數(shù)字簽名。下圖簡(jiǎn)要介紹了常用數(shù)字簽名的過(guò)程。 

數(shù)字簽名的形成與驗(yàn)證

    目前網(wǎng)銀應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY，它是一種USB接口的硬件設(shè)備。它內(nèi)置國(guó)密安全芯片，有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書(shū)，利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。由于用戶私鑰保存在國(guó)密安全芯片中，理論上使用任何方式都無(wú)法讀取，因此保證了用戶認(rèn)證的安全性。

    第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問(wèn)題，有效預(yù)防了基于釣魚(yú)網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患，當(dāng)用戶長(zhǎng)時(shí)間插入U(xiǎn)SBKEY時(shí)，黑客可以通過(guò)木馬截獲PIN碼，遠(yuǎn)程控制，冒用客戶的USB Key進(jìn)行身份認(rèn)證，發(fā)生騙簽事件。針對(duì)該隱患各銀行在不斷教育用戶提高自身安全意識(shí)，安裝殺毒軟件，防木馬軟件的同時(shí)，也開(kāi)始大力發(fā)展第二代USBKEY產(chǎn)品。

    第二代USBKEY產(chǎn)品主要包括液晶KEY、按鍵KEY、語(yǔ)音KEY等產(chǎn)品，該類產(chǎn)品的特點(diǎn)是增加用戶簽名交易時(shí)與銀行端的互動(dòng)，如通過(guò)USB Key顯示或報(bào)讀的數(shù)據(jù)內(nèi)容就是真正被簽名的內(nèi)容，實(shí)現(xiàn)“所見(jiàn)即所簽”，用戶在確認(rèn)顯示或報(bào)讀的內(nèi)容正確無(wú)誤后按下物理按鍵即可完成整個(gè)交易。雖然在易用性及成本上增加了難度，但在安全性上該類產(chǎn)品是目前比較理想的安全認(rèn)證終端。該類產(chǎn)品做到了安全的用戶終端設(shè)備對(duì)銀行終端設(shè)備的認(rèn)證，可以有效降低基于網(wǎng)絡(luò)詐騙行為的發(fā)生，然而對(duì)于抵御現(xiàn)實(shí)生活的有意盜竊，二代KEY在安全上還是顯的有些力不能及。

    第三代KEY產(chǎn)品，突破了現(xiàn)有KEY類產(chǎn)品USB接口的束縛，在易用性和安全性上取得了質(zhì)的突破。作為在易用性突破的代表產(chǎn)品，手機(jī)SD KEY采用SDIO接口，將KEY的應(yīng)用從電腦擴(kuò)展到所有帶SD卡槽的手持類設(shè)備，尤其在手機(jī)網(wǎng)銀上的應(yīng)用，隨著手機(jī)實(shí)名制的普及及銀聯(lián)CUPMobile手機(jī)支付模式的大力推廣，SD KEY突破理論基礎(chǔ)實(shí)現(xiàn)了量產(chǎn)應(yīng)用。同時(shí)基于無(wú)線KEY的需求將進(jìn)一步豐富第三代KEY的產(chǎn)品線。

    作為安全性突破的代表產(chǎn)品，指紋KEY采用生物識(shí)別技術(shù)，在技術(shù)上解決了PIN碼輸入的安全隱患，徹底實(shí)現(xiàn)所有的安全要素單獨(dú)在安全芯片上運(yùn)行。同時(shí)在應(yīng)用上解決了PIN碼遺忘、丟失等易用性問(wèn)題。目前該類產(chǎn)品由于成本原因主要針對(duì)高端用戶。但是隨著國(guó)內(nèi)IC設(shè)計(jì)企業(yè)晟元芯片的崛起，作為國(guó)內(nèi)唯一一家同時(shí)擁有電子簽名芯片和指紋芯片的IC設(shè)計(jì)公司推出的電子簽名系列芯片之一AS602B，迅速的將指紋KEY的生產(chǎn)成本大幅度降低。同時(shí)隨著市場(chǎng)應(yīng)用環(huán)境的更加成熟、指紋識(shí)別技術(shù)的發(fā)展以及用戶對(duì)安全保障需求的增加，指紋KEY勢(shì)必將逐漸走向中端客戶，從而迎來(lái)更大的發(fā)展。