金融信息化:深化电子银行安全问题的解决

标签:技术前沿金融

访客:22630  发表于:2012-04-27 15:08:10

  随着电子信息的迅猛发展,国内各家商业银行抓住历史机遇,依靠先进的计算机网络技术积极开展金融业务创新,不断推出多渠道的电子银行综合服务体系。电子银行的出现大幅降低了银行的经营成本,显著缓解了柜面人员的工作压力,拓宽了银行新的服务渠道。电子银行的飞速发展使得商业银行的服务效率大大提高,经济效益得到显著提高,提升了银行的社会形象。但是,在电子银行赢得社会认可的同时,人们越来越关注电子银行的安全问题。

电子银行安全除了防病毒、防火墙、入侵监测等多个方面的安全防御体系外,电子银行身份认证安全防御体系,更是商业银行极为关注的核心问题。电子银行身份认证是对用户身份确认过程而产生的科学方法,鉴于保护用户的无形资产,防止传播计算机病毒、僵尸网络、黑客入侵盗取用户身份起着重要作用。目前电子银行身份认证一般采用用户所知道的东西:例如口令、密码等;用户拥有的东西:例如密码产品刮刮卡、动态口令令牌、智能卡、数字证书USB Key等;用户所具有的生物特征:例如指纹、掌纹、声音、视网膜等,作为确认用户身份以及不可抵赖的法律证据。用户身份认证作为电子银行防护资产的第一道关口,如何确认电子银行用户身份;如何解决电子银行用户身份信息;如何实现电子银行通信过程中对用户身份信息的安全传输和用户身份的鉴别;这是一项身份认证系统工程,而不是简单地设置一个密码、口令或者采用某种密码产品来能够替代用户身份,也不是依靠用户生物特征通过各个部分的机械组合或简单地相加,而是需要身份认证的每个要素都处在一定的位置上起着特定的作用,要素之间相互紧密关联,构成一个不可分割的整体。

为深化电子银行安全问题研究,解决电子银行安全问题。

一、需要解决身份认证系统与电子银行交易系统形成二个通道的系统。由于用户交易敏感数据在一个通道的系统中传输容易被黑客捕捉、拦截和破解。例如数字证书 USB Key它采用软硬件相结合、一次一密的强双因子认证模式,是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。由于PIN码是在用户电脑上输入的,因此黑客依然可以通过程序截获用户PIN码。如果用户不及时取走USB Key,那么黑客可以通过截获的PIN码来取得虚假认证。另外证书存储式USB Key证书还存在被复制的可能,插入USB Key后就存在被盗用的风险。

二、需要解决身份认证信息安全。在电子银行交易系统,用户身份认证信息安全是一个重要的基本要素,也是整个电子银行交易安全体系的基础。如果用户身份认证信息防御失败的话,电子银行交易系统及服务器的防御功能无论多么出色,用户身份认证信息都将会受到严重的威胁。例如静态密码,在使用过程中从客户端输入,系统传输以及服务器端的认证存在较多安全缺陷。动态密码,中国科学院研究生院信息安全国家重点实验室“在实验中发现一种针对动态口令系统的有效木马攻击方法,能够完成针对目前大部分商业动态口令系统的攻击。在动态口令身份认证系统中,大量地使用了基于动态口令的强身份鉴别技术,用于保护用户的有形和无形资产,随之而来的针对动态口令系统的攻击,严重威胁动态口令系统所保护的资产本身”。密码矩阵卡,在密码矩阵卡上以矩阵形式印有若干字符串,用户在客户端登录时,认证系统会随机给出一组密码卡坐标,用户根据坐标从卡片中找到口令组合并输入动态密码登录,只有密码组合正确的用户才能完成相关交易,该密码组合一次有效,交易结束后即失效。矩阵卡动态密码在使用过程中存在被攻击冒充操作或被木马多次记录被破解的安全缺陷。

三、实现数字签名;在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而在电子银行的虚拟世界中,每笔交易数据是以电子的形式表现和传递的。在表现和传递上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来替代。能够在表现和传递中识别交易人的真实身份,保证电子银行交易的安全性和真实性以及不可抵赖性,起到与手写签名或者盖章同等作用的签名的电子技术手段。

四、保证数字签名的真实性;数字签名私钥或规则应该安全存储,无法捕捉、无法探测、无法穷举,无法重放。否则,图有其名。例如:数字证书存储式USB Key证书存在被复制的可能,插入USB Key后就存在被盗用的风险。因此,数字签名就会失去真实性。

五、身份认证通用性;身份认证必须能够满足电子银行各个服务渠道的通用。否则,在其不能通用的服务渠道就容易会产生风险,例如IC智能卡在网络银行和电话银行就容易产生风险,使用USB Key证书在ATM、POS、电话银行就容易产生风险。综上所述,解决电子银行安全问题的重点是对用户身份认证安全防御。能使电子银行在瞬息万变的商业竞争中保证信息安全、提升整体运作协调性增加社会和经济效益。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");