论网上银行身份验证的安全性

摘要：网上银行作为新的金融业务平台为广大客户所使用。保障网上银行身份验证的安全性成为保障网上交易系统安全的核心。现有的身份验证工具还在技术和管理上从在种种弊端，新的动态密码技术结合管理层的政策可以很好的解决这一问题。

关键词：网上银行；安全；身份验证；动态密码；算法；用户；银行体系

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 16-0000-02

Online Banking Authentication Security

Chen Qin1,Zhang Chu2,Liu Delong2

(1.Benxi Health School,Benxi117022,China;2.Dalian University of Technology,Dalian116621,China)

Abstract:As a new Financial business platform,online bank has been used widely by customers. Ensure the safety of the bank on the net identity check a security trading system the core of online security.The existing identity authentication tools in technology and management in various defects,from new dynamic password technology with the management policy could be a solution to the problem.

Keywords:Online bank;Security;Authentication;Dynamic password;Arithmetic;User;Banking system

网上银行是传统银行在现有的实体店基础上，利用互联网作为新的平台来为客户提供各种在线金融业务。借助与互联网，银行实现了任何时间，任何地点，任何方式的多样便利的金融服务。

但是另一方面，由于互联网是一个公开，开放的网络。网上银行系统也使的银行的内部网络暴露在公开的环境下，面临着病毒、木马、钓鱼等网络攻击带来的严峻挑战。这些攻击利用网络的开放性，实时性可以在短短的时间内盗取客户的密码，账户等信息，从而实现资金的转移，损害到银行及其客户的利益。因此，如何保障网上交易系统的安全，关系到银行内部甚至整个金融界的安全。

为防止网上银行的交易服务器受到攻击，银行方面往往采取以下多种措施：多重防火墙，杀毒系统、冗余系统，权限系统[1]。

有了这些看似铜墙铁壁的防御系统，非法用户较难以入侵到网上银行内部，但是一旦银行客户的密码被盗取，非法用户披上合法用户的外衣，便能够轻而易举的绕过重重的防护系统，简单直接地接触到网上银行系统。缺乏有限的身份认证保护，网上银行其他的安全防护措施如同虚设。

由此可见身份验证技术即密码技术是网上银行安全技术体系的核心，只有保障算法和密钥的安全，才能保障密码及身份认证的安全。

一、网上银行的身份验证

现在各大银行均采用了多种多样的身份认证产品，力求能够有效的准确的验证客户身。

（一）电子证书

现在国内银行主要使用电子证书（根据存储方式不同分为存储在浏览器中的文件证书和存储在U盾中的USB证书）、作为网上银行身份安全验证的工具。它通过电子证书和电子签名，与银行系统数据库互联来保障客户信息的准确性和安全性。

（二）电子银行口令卡[2]

电子银行口令卡是以矩形形式排列，印有若干个符号及字母的密保卡片，其横竖坐标对应唯一的字符。将对应的字符串作为密码输入，由相关系统校验密码的正确性。

（三）预留信息验证

客户预先在网上银行预留一些信息，当其登录个人网上银行、在购物网站上进行支付时，网页上会自动显示预留的信息，以便验证该网页是否为真实的相关银行网站。

（四）手机短信验证

客户在交易确认过程利用手机短信信息确认身份的方式。

（五）网银助手

银行开发的一项将所有网银安全软件和证书打包作为一个整体，可供下载的产品。

二、身份验证产品存在的问题

（一）高成本

以数字证书和移动证书（U盾）为代表的交易保护措施，通常是易用性差，一般的只能用于网上银行；同时成本高，作为一个小型的电子产品，U盾的制作成本和使用成本都不低。

（二）使用复杂

由于各个银行的U盾产品之间并不兼容，拥有跨行多个账户的客户在实现网上转账时会有多次插拔不同U盾的问题。数字证书和移动证书在交易时都需要多次键入密码，手续复杂。

（三）技术落后

目前各大银行使用的数组证书和移动证书大多基于单个浏览器。兼容性差，无法满足不同客户的使用需求。

（四）静态密码，安全性差

U盾是通过参与网上银行交易的全部过程，配合与之配套的电子签名实现身份验证的。但其核心使用的静态密码，由于具有固定性和长时性，容易被网络木马等获取。

由此可见，网上银行系统缺乏：安全性强，使用简单，经济性强，可适应于网上银行所有应用场景的身份认证产品

三、解决方案

（一）技术层面

采用动态密码机制：即用户在操作时动态的获取具有时效性的一次易密码，由于密码的产生随机的，同时实现了密码产生完全物理隔离，从而避免了静态密码易被盗取的问题，确保交易从发起、传递、到最终接受都处于动态保护之中。同时，动态密码成本低廉，使用简单，可适应与网上银行所有的业务场景。

1.硬件令牌[3]

动态口令硬件卡一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。以中国银行的动态口令牌为例，基于该动态密码技术的系统又称一次一密（OTP）系统[4]。密码在使用过一次后就失效，下次登录时的密码是完全不同的新密码。

动态口令牌的优点集中体现在安全和方便：口令具有一次性；使用十分简单，无需连接电脑设备，实现了与电脑的完全物理隔离；并且用户也不需要记忆密码，只需按照提示，输入当前动态口令即可。

作为一种重要的认证工具，动态口令牌被广泛地运用于安全认证领域。动态口令牌可以大大提升网上银行的登录和交易安全。目前，加拿大帝国商业银行等以成功实现该技术的推广使用。

2.手机短信令牌

手机令牌是安装在手机客户端动态生成密码的软件。作为手机软件，其产生密码不会带来任何的通信费用，也不受欠费，无信号等外在条件的干扰。手机短信令牌具有高安全性，低成本性，便携性等显著优点。

3.银行卡和身份验证融合

最新的动态密码实现方式是将银行卡和身份验证融为一体。国际知名信用卡品牌VISA即将发行的新一代信用卡加入了产生动态密码[5]的芯片，可以使客户在每次网上银行交易时产生一个新的支付密码。这样的结合体便于携带，较硬件令牌降低了成本，一体机制更方便客户携带和广泛使用。

（二）管理层面

用户方面：作为网上银行交易系统的主体---用户，应该提高安全意识，在网银操作的方方面面多加留意。用户在使用网上交易系统时应该提高安全意识，注意以下几点

1.使用事项

客户应避免在公用的计算机上使用网上银行。安装防毒软件并经常升级，不要下载不明程序。同时，客户要注意将安装网上银行的电脑让他人使用，将电脑交给他人维修时一定要确保安全。

2.选取密码

谨慎使用密码，密码应避免与个人资料有关系，不要选用诸如身份证号码、出生日期等作为密码。建议选用字母、数字混合并提高密码位数的方式，以提高密码破解难度。

3.留心记录

切记要保护好密码，并经常查询交易记录，及时发现异常。关注交易记录，客户对网上银行办理的转账和支付等业务做好记录，定期查看历史交易明细，如发现异常交易或账务差错，立即与银行联系。

4.安全设置

用户可以常用的电脑上做一定的设置。例如将网银系统的个性设置中设定转款的每日最高金额，并开通转款短信实时通知；使用网上银行后技术清理网页上自动保存的密码，账号等信息；及时更新网上系统的安全补丁等。

银行方面：网上银行的网络都是大型网络，采用多种通信媒介，有多种协议网互联而成的复杂网络。为确保系统安全，银行必须采用综合性的智能管理网络系统，提供一体化的网络管理服务[5]，通过监管网络资源，对网络进行安全检测管理，安全报告管理，安全恢复管理，以便交易系统能更可靠、安全和高效的运行。同时，银行形成一套完整的安全管理方案，细化到各个步骤，用以明确部门内各自职责，从而保障安全管理的顺利高效行。

金融信息监管部门方面：金融信息的监管部门应该加大监管力度，定期排查各大银行的网上银行系统的安全漏洞。同时，监管部门要制定网上银行身份验证的安全管理问题的标准和相关规定，督促各大银行在网银的安全问题上加大资金和人力物力的投入，以便达到相关的标准。监管部门还应该做好引导作用，鼓励国内各大银行与国际相关方面领先的银行或者金融机构学习，加快与其推广的技术与本地现行的技术的融合，提高本国银行在网上银行身份验证安全问题管理上的水平。

四、结论

在这个信息化高度发展的社会，网上银行为越来越多的人所使用。但是，开放的网络也将网上银行的安全暴露在种种攻击之下。现在的网上银行身份验证的安全措施还有种种的问题。要改变这种现况，需要用户，银行还有金融信息监管部门一起努力，从技术方面。管理方面等改进，共同营造一个安全的，快捷的，高效的网上银行环境。

参考文献：

[1]李云鹏.网上银行安全操作技术规范与计算机系统安全性能评价及风险防范实用全书[M].中国知识出版社,2008

[2]中国工商银行.http：//.cn/icbc/

[3]Zhang k Threshold proxy signature schemes.In:Proc.of the 1997 Information Security Workshop.Japan,1997,191-197

[4]Huang XY,Mu Y,Susilo W,Wong DS,Wu W.Certificateless signature revisited.In:Proc.of the Acisp 2007.LNCS 4586,Springer-Verlag,2007,308-322

[5]张波,任新利.网上支付与电子银行[M].华东理工大学出版社,2009,12