網(wǎng)銀身份認證設(shè)備安全性分析
文章出處:http://www.fang1.net 作者:杭州晟元芯片技術(shù)有限公司 郭志 人氣: 發(fā)表時間:2011年12月08日
網(wǎng)銀身份認證設(shè)備的發(fā)展歷史
網(wǎng)上銀行應(yīng)用系統(tǒng)中的安全控制的第一道防線是身份認證。目前,國內(nèi)外網(wǎng)銀的身份認證技術(shù)主要分3個層次,一是網(wǎng)銀推廣初期采用靜態(tài)密碼技術(shù),二是動態(tài)口令技術(shù),三是基于PKI體系的數(shù)字簽名技術(shù)。
靜態(tài)密碼技術(shù)在度過了網(wǎng)銀前期的推廣期后逐漸被淘汰。
動態(tài)口令產(chǎn)品主要有三類:刮刮卡、手機OTP以及時鐘令牌。
基于PKI體系的數(shù)字簽名技術(shù)是目前較新較安全的身份認證技術(shù),目前已經(jīng)從第一代USBKEY逐漸向第二代液晶KEY、按鍵KEY過渡,同時也出現(xiàn)了第三代生物識別KEY、手機SDKEY等高新安全的KEY。
網(wǎng)銀身份認證設(shè)備的發(fā)展歷史
網(wǎng)銀身份認證設(shè)備的原理及安全性能分析
靜態(tài)密碼,就是不變的密碼,這種簡單的認證方式容易被黑客破解、竊取,國內(nèi)銀行已基本取消了靜態(tài)密碼的支付權(quán)限。
動態(tài)口令技術(shù),也稱為一次一密(OTP)技術(shù),即用戶的身份驗證密碼是變化的,密碼在使用過一次后就無效,下次登錄時的密碼是完全不同的新密碼。 其中刮刮卡是基于銀行事先生成好的密碼組,用戶使用一次后自動作廢,刮刮卡成本低廉,使用方法簡單,國內(nèi)銀行在2005年左右開始試推廣,目前已不是銀行的主推產(chǎn)品。手機OTP原理與刮刮卡相同,比刮刮卡更綠色環(huán)保,易用性更高。 動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏、按照專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件,密碼的生成是由用戶專用硬件來完成,降低了動態(tài)密碼泄露及管理風險。
動態(tài)口令技術(shù),改變了靜態(tài)認證的固定密碼口令,通過隨機變化的一次性密碼口令,提升交易的安全性。不可否認OTP技術(shù)作為理論上不可破解的抵御外部被動攻擊的密碼系統(tǒng),在網(wǎng)上銀行防止木馬破解攻擊方面發(fā)揮了廣泛應(yīng)用。但是同樣網(wǎng)絡(luò)黑客很清楚在網(wǎng)上銀行業(yè)務(wù)流程“用戶—網(wǎng)上銀行—銀行數(shù)據(jù)庫”三個環(huán)節(jié)中,突破后兩者很困難,于是,薄弱的用戶端便成了他們攻擊的主要對象。隨著計算機技術(shù)的發(fā)展,在木馬釣魚的作用下,黑客能夠?qū)崿F(xiàn)和用戶電腦的同步,而OTP技術(shù)的密碼口令有效時間,給黑客提供了足夠的截獲、登錄、轉(zhuǎn)賬的操作時間。
PKI(Pubic Key Infrastructure)是一種遵循標準的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等?;赑KI體系的數(shù)字簽名技術(shù),可有效保護用戶私有信息(身份認證信息)的保密性、真實性、完整性及抗否認性。數(shù)字簽名主要是消息摘要和非對稱加密算法的組合。數(shù)字簽名(Digital Signature)應(yīng)用,從原理上講,通過私有密鑰用非對稱算法對信息本身進行加密,即可實現(xiàn)數(shù)字簽名功能。這是因為用私鑰加密只能用公鑰解密,因而接受者可以解密信息,但無法生成用公鑰解密的密文,從而證明用公鑰解密的密 文肯定是擁有私鑰的用戶所為,因而是不可否認的。實際實現(xiàn)時,由于非對稱算法加/解密速度很慢,因而通常先計算信息摘要,再用非對稱加密算法對信息摘要進行加密而獲得數(shù)字簽名。下圖簡要介紹了常用數(shù)字簽名的過程。
數(shù)字簽名的形成與驗證
目前網(wǎng)銀應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY,它是一種USB接口的硬件設(shè)備。它內(nèi)置國密安全芯片,有一定的存儲空間,可以存儲用戶的私鑰以及數(shù)字證書,利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證。由于用戶私鑰保存在國密安全芯片中,理論上使用任何方式都無法讀取,因此保證了用戶認證的安全性。
第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問題,有效預(yù)防了基于釣魚網(wǎng)站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患,當用戶長時間插入USBKEY時,黑客可以通過木馬截獲PIN碼,遠程控制,冒用客戶的USB Key進行身份認證,發(fā)生騙簽事件。針對該隱患各銀行在不斷教育用戶提高自身安全意識,安裝殺毒軟件,防木馬軟件的同時,也開始大力發(fā)展第二代USBKEY產(chǎn)品。
第二代USBKEY產(chǎn)品主要包括液晶KEY、按鍵KEY、語音KEY等產(chǎn)品,該類產(chǎn)品的特點是增加用戶簽名交易時與銀行端的互動,如通過USB Key顯示或報讀的數(shù)據(jù)內(nèi)容就是真正被簽名的內(nèi)容,實現(xiàn)“所見即所簽”,用戶在確認顯示或報讀的內(nèi)容正確無誤后按下物理按鍵即可完成整個交易。雖然在易用性及成本上增加了難度,但在安全性上該類產(chǎn)品是目前比較理想的安全認證終端。該類產(chǎn)品做到了安全的用戶終端設(shè)備對銀行終端設(shè)備的認證,可以有效降低基于網(wǎng)絡(luò)詐騙行為的發(fā)生,然而對于抵御現(xiàn)實生活的有意盜竊,二代KEY在安全上還是顯的有些力不能及。
第三代KEY產(chǎn)品,突破了現(xiàn)有KEY類產(chǎn)品USB接口的束縛,在易用性和安全性上取得了質(zhì)的突破。作為在易用性突破的代表產(chǎn)品,手機SD KEY采用SDIO接口,將KEY的應(yīng)用從電腦擴展到所有帶SD卡槽的手持類設(shè)備,尤其在手機網(wǎng)銀上的應(yīng)用,隨著手機實名制的普及及銀聯(lián)CUPMobile手機支付模式的大力推廣,SD KEY突破理論基礎(chǔ)實現(xiàn)了量產(chǎn)應(yīng)用。同時基于無線KEY的需求將進一步豐富第三代KEY的產(chǎn)品線。
作為安全性突破的代表產(chǎn)品,指紋KEY采用生物識別技術(shù),在技術(shù)上解決了PIN碼輸入的安全隱患,徹底實現(xiàn)所有的安全要素單獨在安全芯片上運行。同時在應(yīng)用上解決了PIN碼遺忘、丟失等易用性問題。目前該類產(chǎn)品由于成本原因主要針對高端用戶。但是隨著國內(nèi)IC設(shè)計企業(yè)晟元芯片的崛起,作為國內(nèi)唯一一家同時擁有電子簽名芯片和指紋芯片的IC設(shè)計公司推出的電子簽名系列芯片之一AS602B,迅速的將指紋KEY的生產(chǎn)成本大幅度降低。同時隨著市場應(yīng)用環(huán)境的更加成熟、指紋識別技術(shù)的發(fā)展以及用戶對安全保障需求的增加,指紋KEY勢必將逐漸走向中端客戶,從而迎來更大的發(fā)展。