網銀身份認證設備安全性分析

文章出處：http://www.xianjuhong.com 作者：杭州晟元芯片技術有限公司 郭志   人氣： 發(fā)表時間：2011年12月08日

    網銀身份認證設備的發(fā)展歷史 

    網上銀行應用系統(tǒng)中的安全控制的第一道防線是身份認證。目前，國內外網銀的身份認證技術主要分3個層次，一是網銀推廣初期采用靜態(tài)密碼技術，二是動態(tài)口令技術，三是基于PKI體系的數字簽名技術。

    靜態(tài)密碼技術在度過了網銀前期的推廣期后逐漸被淘汰。

    動態(tài)口令產品主要有三類：刮刮卡、手機OTP以及時鐘令牌。

    基于PKI體系的數字簽名技術是目前較新較安全的身份認證技術，目前已經從第一代USBKEY逐漸向第二代液晶KEY、按鍵KEY過渡，同時也出現(xiàn)了第三代生物識別KEY、手機SDKEY等高新安全的KEY。 

 
網銀身份認證設備的發(fā)展歷史

    網銀身份認證設備的原理及安全性能分析

    靜態(tài)密碼，就是不變的密碼，這種簡單的認證方式容易被黑客破解、竊取，國內銀行已基本取消了靜態(tài)密碼的支付權限。

    動態(tài)口令技術，也稱為一次一密（OTP）技術，即用戶的身份驗證密碼是變化的，密碼在使用過一次后就無效，下次登錄時的密碼是完全不同的新密碼。 其中刮刮卡是基于銀行事先生成好的密碼組，用戶使用一次后自動作廢，刮刮卡成本低廉，使用方法簡單，國內銀行在2005年左右開始試推廣，目前已不是銀行的主推產品。手機OTP原理與刮刮卡相同，比刮刮卡更綠色環(huán)保，易用性更高。 動態(tài)口令牌是一種內置電源、密碼生成芯片和顯示屏、按照專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件，密碼的生成是由用戶專用硬件來完成，降低了動態(tài)密碼泄露及管理風險。

    動態(tài)口令技術，改變了靜態(tài)認證的固定密碼口令，通過隨機變化的一次性密碼口令，提升交易的安全性。不可否認OTP技術作為理論上不可破解的抵御外部被動攻擊的密碼系統(tǒng)，在網上銀行防止木馬破解攻擊方面發(fā)揮了廣泛應用。但是同樣網絡黑客很清楚在網上銀行業(yè)務流程“用戶—網上銀行—銀行數據庫”三個環(huán)節(jié)中，突破后兩者很困難，于是，薄弱的用戶端便成了他們攻擊的主要對象。隨著計算機技術的發(fā)展，在木馬釣魚的作用下，黑客能夠實現(xiàn)和用戶電腦的同步，而OTP技術的密碼口令有效時間，給黑客提供了足夠的截獲、登錄、轉賬的操作時間。

    PKI(Pubic Key Infrastructure)是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范。PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等?；赑KI體系的數字簽名技術，可有效保護用戶私有信息（身份認證信息）的保密性、真實性、完整性及抗否認性。數字簽名主要是消息摘要和非對稱加密算法的組合。數字簽名(Digital Signature)應用，從原理上講，通過私有密鑰用非對稱算法對信息本身進行加密，即可實現(xiàn)數字簽名功能。這是因為用私鑰加密只能用公鑰解密，因而接受者可以解密信息，但無法生成用公鑰解密的密文，從而證明用公鑰解密的密 文肯定是擁有私鑰的用戶所為，因而是不可否認的。實際實現(xiàn)時，由于非對稱算法加/解密速度很慢，因而通常先計算信息摘要，再用非對稱加密算法對信息摘要進行加密而獲得數字簽名。下圖簡要介紹了常用數字簽名的過程。 

數字簽名的形成與驗證

    目前網銀應用最普遍的基于PKI體系的數字簽名產品是USBKEY，它是一種USB接口的硬件設備。它內置國密安全芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用USB Key內置的公鑰算法實現(xiàn)對用戶身份的認證。由于用戶私鑰保存在國密安全芯片中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性。

    第一代USBKEY產品解決了用戶私有信息的傳輸安全問題，有效預防了基于釣魚網站的詐騙事件的發(fā)生。但是在交換操作方面還存在隱患，當用戶長時間插入USBKEY時，黑客可以通過木馬截獲PIN碼，遠程控制，冒用客戶的USB Key進行身份認證，發(fā)生騙簽事件。針對該隱患各銀行在不斷教育用戶提高自身安全意識，安裝殺毒軟件，防木馬軟件的同時，也開始大力發(fā)展第二代USBKEY產品。

    第二代USBKEY產品主要包括液晶KEY、按鍵KEY、語音KEY等產品，該類產品的特點是增加用戶簽名交易時與銀行端的互動，如通過USB Key顯示或報讀的數據內容就是真正被簽名的內容，實現(xiàn)“所見即所簽”，用戶在確認顯示或報讀的內容正確無誤后按下物理按鍵即可完成整個交易。雖然在易用性及成本上增加了難度，但在安全性上該類產品是目前比較理想的安全認證終端。該類產品做到了安全的用戶終端設備對銀行終端設備的認證，可以有效降低基于網絡詐騙行為的發(fā)生，然而對于抵御現(xiàn)實生活的有意盜竊，二代KEY在安全上還是顯的有些力不能及。

    第三代KEY產品，突破了現(xiàn)有KEY類產品USB接口的束縛，在易用性和安全性上取得了質的突破。作為在易用性突破的代表產品，手機SD KEY采用SDIO接口，將KEY的應用從電腦擴展到所有帶SD卡槽的手持類設備，尤其在手機網銀上的應用，隨著手機實名制的普及及銀聯(lián)CUPMobile手機支付模式的大力推廣，SD KEY突破理論基礎實現(xiàn)了量產應用。同時基于無線KEY的需求將進一步豐富第三代KEY的產品線。

    作為安全性突破的代表產品，指紋KEY采用生物識別技術，在技術上解決了PIN碼輸入的安全隱患，徹底實現(xiàn)所有的安全要素單獨在安全芯片上運行。同時在應用上解決了PIN碼遺忘、丟失等易用性問題。目前該類產品由于成本原因主要針對高端用戶。但是隨著國內IC設計企業(yè)晟元芯片的崛起，作為國內唯一一家同時擁有電子簽名芯片和指紋芯片的IC設計公司推出的電子簽名系列芯片之一AS602B，迅速的將指紋KEY的生產成本大幅度降低。同時隨著市場應用環(huán)境的更加成熟、指紋識別技術的發(fā)展以及用戶對安全保障需求的增加，指紋KEY勢必將逐漸走向中端客戶，從而迎來更大的發(fā)展。