网上银行安全问题_网上银行的安全问题
网上银行安全问题由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“网上银行的安全问题”。
姓名:曾凯
学号:0900590229
网上银行个人认证介质——安全工具
目前常用的认证介质有:
1.2.3.4.5.6.1 密码
密码是每一个网上银行必备有认证介质,记得要使用安全好记的密码就是。但是密码非常容易被木马盗取或被他人偷窥。
安全系数30%
家便捷系数100%
1.1 网银密码应用需求
正确鉴别用户的个人身份及权限 保证交易数据的真实性和完整性 保证交易数据的机密性 抗抵赖 审计能力 密钥管理 密码文件数字证书动态口令卡动态手机口令移动口令牌移动数字证书
1.2 网银密码应用技术体系框架
身份鉴别 网上银行系统应识别每个访问实体的真实身份 鉴别信息安全鉴别方式 静态口令 动态口令 公钥证书 身份鉴别信息与网上银行系统的绑定
1.3 数据机密性
保证敏感数据不被泄露或非授权使用 敏感信息包括但不限于 身份鉴别信息 账户信息 账户口令 交易指令 金额
1.4 安全审计
应详细记录交易日志,为交易的抗抵赖、争议仲裁及责任认定提供依据审计数据产生 审计查阅 审计事件存储 审计日志签名 操作抗抵赖 原发抗抵赖 具有惟一性的数据域 表征报文特征的数据域 交易相关数据域
1.5 交付抗抵赖
具有惟一性的数据域 表征报文特征的数据域 交易相关数据域 交易应答数据域文件数字证书
文件数字证书是存放在电脑中的数字证书,每次交易时都需用到,如果你的电脑没有安装数字证书是无法完成付款的;已安装文件数字证书的用户只需输密码即可。
未安装文件数字证书的用户安装证书需要验证大量的信息,相对比较安全。但是文件数字证书不可移动,对经常换电脑使用的用户来说不方便(支付宝等虚拟的一验证手机,而网上银行一般要去银行办理);而且文件数字证书有可能被盗取(虽然不易,但是能),所以不是绝对安全的。
数字证书是一种由权威的公信机构发放的、记录着用户和认证机构有关信息的电子文件。
专门负责为网上银行提供安全服务的金融行业统一的认证机构——中国金融认证中心(简称CFCA)
用户要想领到中国金融认证中心的证书,需要先到已经开通这项业务的商业银行网点去办理申请手续,得到审批准许后,即可通过一定的步骤从网上下载证书。
安全系数70%
便捷系数100%(家庭用户)
30%(网吧用户)
提供商:招商银行中国农业银行
2.1 通讯过程—用户验银行
如果客户A想和银行B通信,他首先必须从数据库中取得银行B的证书,然后对它进行验证。即户A只需验证银行B证书上CA(中国金融认证中心)的签名。
用户拿到银行的证书,即获得银行的公钥。用户用公钥加密一串随机数发给银行,若银行能用私钥解密并发回,则证实对方的银行身份。
银行验用户
网上银行交易双方——银行和用户,都各自持有与其身份绑定的数字证书。在网银交易过程中,双方都要向对方出示证书,以获得相互的信任。用户的私钥被牢牢地封装在智能卡中,黑客是无法拿到的。
2.2 智能卡---u盾
2.2.1 u盾
在U盾初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,密钥可以导出到U盾外,而私钥则存储于密钥区,不允许外部访问。
对密钥文件的读写和修改都必须由U盾内部的CPU调用相应的程序文件执行,从而U盾接口的外面,没有任何一条指令能对密钥区的内容进行读取、修改、更新和删除,这样可以保证黑客无法利用非法程序修改密钥(除非知道u盾密码)。
进行数字签名时以及非对称解密运算时,凡是有私参与的密码运算只在芯片内部即可完成,全程私钥可以不出U盾介质
2.2.2 u盾工作—对用户的验证
将银行发来的一串数据拿到u盾用私钥加密后,发往服务器端对比服务器用公钥解密,然后验证你的身份
服务器中的公钥从用户的个人证书中获得动态口令卡
动态口令卡是一种类似游戏的密保卡样子的卡。
卡面上有一个表格,表格内有几十个数字。当进行网上交易时,银行会随机询问你某行某列的数字,如果能正确地输入对应格内的数字便可以成功交易;反之不能。
动态口令卡可以随身携带,轻便,不需驱动,使用方便,但是如果木马长期在你的电脑中,可以渐渐地获取你的口令卡上的很多数字,当获知的数字达到一定数量时,你的资金便不再安全,而且如果在外使用,也容易被人拍照。
安全系数50%便捷系数80%提供商:中国工商银行中国农业银行
3.1
(二)特点
一次一密、安全可靠
客户为了便于记忆,经常使用位数少、简单,或有规律的静态密码,这样的密码容易被犯罪分子破解;位数多、复杂的静态密码并经常更换的话,又很容易造成密码混乱或是遗忘的情况。相比之下,动态口令一次一密的方法,克服了上述缺点,不需客户记忆,每次按卡使用新的密码,同时简单而有效的解决了“木马”病毒窃取网上银行密码的问题。
操作简单、方便快捷
动态口令的生成与客户电脑无关,不需要在客户的电脑上安装任何程序。 技术成熟、应用广泛
动态口令技术有二十多年的发展历史,在国外网上银行的使用也有六年多的时间,在网上银行业务较发达的北欧地区,动态口令的使用十分普及。目前香港地区正在大力推进动态口令在网上银行的应用。
量身定做、便于携带
我行推出的网上银行动态口令卡,是专门针对网上银行个人客户的需要设计开发的,外表和银行卡一样大小,便于客户携带。每张动态口令卡上印有30个密码,按照客户平均每月办理2-3次网上银行资金交易计算,一张卡可以满足客户一年的使用需求。今后,还将陆续为客户推出其它载体形式的动态口令,给客户以更多、更好的选择。动态手机口令
当你尝试进行网上交易时,银行会向你的手机发送短信,如果你能正确地输入收到的短信则可以成功付款,反之不能。
不需安装驱动,只需随身带手机即可,不怕偷窥,不怕木马。相对安全。但是必须随身带手机,手机不能停机(手机停机,无法付款;无法汇款,就会一直停机。就像给证明就给开箱,不开箱没有证件就无法证明一样了),不能没电,不能丢失。而且有时通信运营商服务质量低导致短信迟迟没到,影响效率。
安全系数80%~90%便捷系数80%(手机随身,话费充足,信号良好)30%~80%(手机不随身,经常停机,信号差,有时还会弄丢手机)提供商:招商银行 中国工商银行 光大银行邮政储蓄银行移动口令牌
类似梦幻西游的将军令,一定时间换一次号码。付款时只需按移动口令牌上的键,这时就会出现当前的代码。一分钟内在网上银行付款时可以用凭这个编码付款。如果无法获得该编码,则无法成功付款。
不需要驱动,不需要安装,只要随身带就行,不怕偷窥,不怕木马。口令牌的编码一旦使用过就立即失效,不用担心我付款时输的编码被他们看到他们在一分钟内再付款。
安全系数80%~90%
便捷系数80%
提供商:中国银行移动数字证书
移动数字证书,工行叫U盾,农行叫K宝,建行叫网银盾,光大银行叫阳光网盾,在支付宝中的叫支付盾。
它存放着你个人的数字证书,并不可读取。同样,银行也记录着你的数字证书。
当你尝试进行网上交易时,银行会向你发送由时间字串,地址字串,交易信息字串,防重放攻击字串组合在一起进行加密后得到的字串A,你的U盾将根据你的个人证书对字串A进行不可逆运算得到字串B,并将字串B发送给银行,银行端也同时进行该不可逆运算,如果银行运算结果和你的运算结果一致便认为你合法,交易便可以完成,如果不一致便认为你不合法,交易便会失败。
(理论上,不同的字串A不会得出相同的字串B,即一个字串A对应一个唯一的字串B;但是字串B和字串A无法得出你的数字证书,而且U盾具有不可读取性,所以任何人都无法获行你的数字证书。并且银行每次都会发不同的防重放字串(随机字串)和时间字串,所以当一次交易完成后,刚发出的B字串便不再有效。综上所述,理论上U盾是绝对安全的)
安全系数95%
便捷系数50%(持有需要驱动的移动数字证书的网吧用户)
80%(持有免驱的移动数字证书的网吧用户或家庭用户)
提供商:中国工商银行、中国农业银行、中国建设银行、招商银行、光大
银行和民生银行总结
现行网上银行一般都是密码结合后五种中的一种。
从安全角度:移动数字证书最安全因为只要不丢失是万无一失的;手机动态口令、移动口令牌二种也很安全,但是最好不要被偷窥。
从便捷角度,家庭用户使用文件数字证书最方便,付款只需密码即可,而且也比较安全。网吧用户使用免驱移动数字证书(暂时没有银行提供,招行虽然免驱但是要安客户端)、动态口令牌、手机动态口令、动态口令卡方便。
从经济角度,文件数字证书、动态口令卡、动态手机口令不需费用或很低。而移动数字证书(一般30元至70元不等,看具体牌子)、动态口令牌(一般66元左右)费用较高。
客户的安全意识
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失。
