网银身份认证设备安全性分析
文章出处:http://www.singbon.com 作者:杭州晟元芯片技术有限公司 郭志 人气: 发表时间:2011年12月08日
网银身份认证设备的发展历史
网上银行应用系统中的安全控制的第一道防线是身份认证。目前,国内外网银的身份认证技术主要分3个层次,一是网银推广初期采用静态密码技术,二是动态口令技术,三是基于PKI体系的数字签名技术。
静态密码技术在度过了网银前期的推广期后逐渐被淘汰。
动态口令产品主要有三类:刮刮卡、手机OTP以及时钟令牌。
基于PKI体系的数字签名技术是目前较新较安全的身份认证技术,目前已经从第一代USBKEY逐渐向第二代液晶KEY、按键KEY过渡,同时也出现了第三代生物识别KEY、手机SDKEY等高新安全的KEY。
网银身份认证设备的发展历史
网银身份认证设备的原理及安全性能分析
静态密码,就是不变的密码,这种简单的认证方式容易被黑客破解、窃取,国内银行已基本取消了静态密码的支付权限。
动态口令技术,也称为一次一密(OTP)技术,即用户的身份验证密码是变化的,密码在使用过一次后就无效,下次登录时的密码是完全不同的新密码。 其中刮刮卡是基于银行事先生成好的密码组,用户使用一次后自动作废,刮刮卡成本低廉,使用方法简单,国内银行在2005年左右开始试推广,目前已不是银行的主推产品。手机OTP原理与刮刮卡相同,比刮刮卡更绿色环保,易用性更高。 动态口令牌是一种内置电源、密码生成芯片和显示屏、按照专门的算法每隔一定时间自动更新动态口令的专用硬件,密码的生成是由用户专用硬件来完成,降低了动态密码泄露及管理风险。
动态口令技术,改变了静态认证的固定密码口令,通过随机变化的一次性密码口令,提升交易的安全性。不可否认OTP技术作为理论上不可破解的抵御外部被动攻击的密码系统,在网上银行防止木马破解攻击方面发挥了广泛应用。但是同样网络黑客很清楚在网上银行业务流程“用户—网上银行—银行数据库”三个环节中,突破后两者很困难,于是,薄弱的用户端便成了他们攻击的主要对象。随着计算机技术的发展,在木马钓鱼的作用下,黑客能够实现和用户电脑的同步,而OTP技术的密码口令有效时间,给黑客提供了足够的截获、登录、转账的操作时间。
PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。基于PKI体系的数字签名技术,可有效保护用户私有信息(身份认证信息)的保密性、真实性、完整性及抗否认性。数字签名主要是消息摘要和非对称加密算法的组合。数字签名(Digital Signature)应用,从原理上讲,通过私有密钥用非对称算法对信息本身进行加密,即可实现数字签名功能。这是因为用私钥加密只能用公钥解密,因而接受者可以解密信息,但无法生成用公钥解密的密文,从而证明用公钥解密的密 文肯定是拥有私钥的用户所为,因而是不可否认的。实际实现时,由于非对称算法加/解密速度很慢,因而通常先计算信息摘要,再用非对称加密算法对信息摘要进行加密而获得数字签名。下图简要介绍了常用数字签名的过程。
数字签名的形成与验证
目前网银应用最普遍的基于PKI体系的数字签名产品是USBKEY,它是一种USB接口的硬件设备。它内置国密安全芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在国密安全芯片中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
第一代USBKEY产品解决了用户私有信息的传输安全问题,有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患,当用户长时间插入USBKEY时,黑客可以通过木马截获PIN码,远程控制,冒用客户的USB Key进行身份认证,发生骗签事件。针对该隐患各银行在不断教育用户提高自身安全意识,安装杀毒软件,防木马软件的同时,也开始大力发展第二代USBKEY产品。
第二代USBKEY产品主要包括液晶KEY、按键KEY、语音KEY等产品,该类产品的特点是增加用户签名交易时与银行端的互动,如通过USB Key显示或报读的数据内容就是真正被签名的内容,实现“所见即所签”,用户在确认显示或报读的内容正确无误后按下物理按键即可完成整个交易。虽然在易用性及成本上增加了难度,但在安全性上该类产品是目前比较理想的安全认证终端。该类产品做到了安全的用户终端设备对银行终端设备的认证,可以有效降低基于网络诈骗行为的发生,然而对于抵御现实生活的有意盗窃,二代KEY在安全上还是显的有些力不能及。
第三代KEY产品,突破了现有KEY类产品USB接口的束缚,在易用性和安全性上取得了质的突破。作为在易用性突破的代表产品,手机SD KEY采用SDIO接口,将KEY的应用从电脑扩展到所有带SD卡槽的手持类设备,尤其在手机网银上的应用,随着手机实名制的普及及银联CUPMobile手机支付模式的大力推广,SD KEY突破理论基础实现了量产应用。同时基于无线KEY的需求将进一步丰富第三代KEY的产品线。
作为安全性突破的代表产品,指纹KEY采用生物识别技术,在技术上解决了PIN码输入的安全隐患,彻底实现所有的安全要素单独在安全芯片上运行。同时在应用上解决了PIN码遗忘、丢失等易用性问题。目前该类产品由于成本原因主要针对高端用户。但是随着国内IC设计企业晟元芯片的崛起,作为国内唯一一家同时拥有电子签名芯片和指纹芯片的IC设计公司推出的电子签名系列芯片之一AS602B,迅速的将指纹KEY的生产成本大幅度降低。同时随着市场应用环境的更加成熟、指纹识别技术的发展以及用户对安全保障需求的增加,指纹KEY势必将逐渐走向中端客户,从而迎来更大的发展。