网上银行安全认证问题研究.docVIP

网上银行安全认证问题研究 　　 摘要：网上?行指?行通过信息网络提供的各种金融服务。?行对网?安全性管理要求很高，通过持续技术升级，为用户提供多重安全保障。目前国内网上?行的安全认证方式呈现多样化发展， 从最初依赖简单帐号密码，发展新增了数字证书、 动态密码、 一次性密码等新的认证方式， 单一的认证已不能满足用户需求，网?认证正朝着多重认证的方向发展。 　　关键词：网上?行；安全认证；身份识别 　　 　　一、 引言 　　 目前国内网上?行的安全认证方式呈现多样化发展，从之前更多依赖简单的帐号密码，逐渐新增了数字证书、动态密码、一次性密码等新的认证方式。2008年至今各大?行在安全认证方面不断加大力度，工行推出了手机短信认证服务、浦发推出了“移动数字证书+动态密码”认证新方式等。可以发现，单一的认证已不能满足用户的需求，网?认证正朝着多重认证的方向发展。 　　 二、 网络?行安全系统概述 　　 1. 网络节点安全。网络?行的节点安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等，主要靠防火墙实现。 　　 （1）防火墙：防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而做出允许/拒绝等正确的判断。通过灵活有效运用这些功能，制定正确的安全策略，将能提供一个安全高效的Intranet系统。 　　 （2）防火墙安全策略:基于防火墙的安全策略建立了全方位的防御体系来保护机构的信息资源，安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。 　　 （3）安全操作系统：防火墙是基于操作系统的。如果信息通过操作系统后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。 　　 2. 商务安全。 　　 （1）通信和链路安全。???子商务系统的数据通信主要存在于：①客户浏览器端与电子商务WEB服务器端的通讯；②电子商务WEB服务器与电子商务数据库服务器的通讯；③?行内部网与业务网之间的数据通讯。 　　 此外，在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。 　　 （2）应用程序的安全。即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。 　　 （3）用户的认证管理。 　　 ①身份认证：电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。 　　 ②CA证书：要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。 　　 三、 各种安全认证的比较 　　 目前安全认证技术主要有：动态口令、USB卡、IC卡、磁卡、虹膜、指纹、CA数字证书、掌纹、声纹、面像等。在此对主要认证技术简单进行应用安全性和实现方便性上的比较。 　　 1. 安全性比较，（如表2示）。 　　 2. 便捷性比较，（如表3示）。 　　 在安全认证领域，安全性与便捷性成反向关系，U盾的安全等级高于动态令牌，但是U盾会遇到计算机、操作系统、防火墙等软硬件适配性方面的问题，也会面临手机、iPad等移动终端没有USB接口方面的问题。原来认为短信密码相对安全性比较高，但在单独使用过程中，会遭遇无线信号未覆盖、短信的时间滞后，SIM卡被克隆，电信主机被侵入，密码被盗后无法确认是电信责任还是网上?行的责任等方面的问题。因此，一般认证体系在相同便捷性情况下，选择安全等级高的认证系统，在认证强度不足的情况下，采用双因素的认证。另外，将认证强度与交易金额上限相关，实现既便捷又相对安全的的认证方式。 　　 四、 安全认证系统遭到攻击的事件 　　 理论上被认为需要几百万年才能被攻破的系统，存在事后被认为显而易见的漏洞。