论网上银行身份验证的安全性

1、论网上银行身份验证的安全性OnlineBankingAuthenticationSecurityChenQinl,ZhangChu2,LiuDelong2(1.BenxiHealthSchool,Benxill7022,China;2.DalianUniversityofTechnology,Dalianl16621,China):AsanewFinancialbusinessplatform,onlinebankhasbeenusedwidelybycustomers.Ensurethesafetyofthebankonthenetidentitycheckasecuritytradings

2、ystemthecoreofonlinesecurity.Theexistingidentityauthenticationtoolsintechnologyandmanagementinvariousdefects,fromnewdynamicpasswordtechnologywiththemanagementpolicycouldbeasolutiontotheproblem.Keywords:Onlinebank;Security;Authentication;Dynamicpassword;Arithmetic;User;Bankingsystem网上银行是传统银行在现有的实体店基础

3、上，利用互联网作为新的平台来为客户提供各种在线金融业务。借助与互联网，银行实现了任何时间，任何地点，任何方式的多样便利的金融服务。但是另一方面，由于互联网是一个公开，开放的网络。网上银行系统也使的银行的内部网络暴露在公开的环境下，面临着病毒、木马、钓鱼等网络攻击带来的严峻挑战。这些攻击利用网络的开放性，实时性可以在短短的时间内盗取客户的密码，账户等信息，从而实现资金的转移，损害到银行及其客户的利益。因此，如何保障网上交易系统的安全，关系到银行内部甚至整个金融界的安全。为防止网上银行的交易服务器受到攻击，银行方面往往采取以下多种措施：多重防火墙，杀毒系统、冗余系统，权限系统1。有了这些看似铜墙铁

4、壁的防御系统，非法用户较难以入侵到网上银行内部，但是一旦银行客户的密码被盗取，非法用户披上合法用户的外衣，便能够轻而易举的绕过重重的防护系统，简单直接地接触到网上银行系统。缺乏有限的身份认证保护，网上银行其他的安全防护措施如同虚设。由此可见身份验证技术即密码技术是网上银行安全技术体系的核心,只有保障算法和密钥的安全,才能保障密码及身份认证的安全。、网上银行的身份验证现在各大银行均采用了多种多样的身份认证产品，力求能够有效的准确的验证客户身。一）电子证书现在国内银行主要使用电子证书（根据存储方式不同分为存储在浏览器中的文件证书和存储在U盾中的USB证书）、作为网上银行身份安全验证的工具。它通过电

5、子证书和电子签名，与银行系统数据库互联来保障客户信息的准确性和安全性。二）电子银行口令卡2电子银行口令卡是以矩形形式排列，印有若干个符号及字母的密保卡片，其横竖坐标对应唯一的字符。将对应的字符串作为密码输入，由相关系统校验密码的正确性。三）预留信息验证客户预先在网上银行预留一些信息，当其登录个人网上银行、在购物网站上进行支付时，网页上会自动显示预留的信息，以便验证该网页是否为真实的相关银行网站。四）手机短信验证客户在交易确认过程利用手机短信信息确认身份的方式。五）网银助手银行开发的一项将所有网银安全软件和证书打包作为一个整体，可供下载的产品。二、身份验证产品存在的问题一）高成本以数字证书和移动

6、证书（U盾）为代表的交易保护措施，通常是易用性差，一般的只能用于网上银行；同时成本高，作为一个小型的电子产品，u盾的制作成本和使用成本都不低。二）使用复杂由于各个银行的U盾产品之间并不兼容，拥有跨行多个账户的客户在实现网上转账时会有多次插拔不同U盾的问题。数字证书和移动证书在交易时都需要多次键入密码，手续复杂。三）技术落后目前各大银行使用的数组证书和移动证书大多基于单个浏览器。兼容性差，无法满足不同客户的使用需求。四）静态密码，安全性差U盾是通过参与网上银行交易的全部过程，配合与之配套的电子签名实现身份验证的。但其核心使用的静态密码，由于具有固定性和长时性，容易被网络木马等获取。由此可见，网上

7、银行系统缺乏：安全性强，使用简单，经济性强，可适应于网上银行所有应用场景的身份认证产品三、解决方案一）技术层面采用动态密码机制：即用户在操作时动态的获取具有时效性的一次性交易密码，由于密码的产生随机的，同时实现了密码产生完全物理隔离，从而避免了静态密码易被盗取的问题，确保交易从发起、传递、到最终接受都处于动态保护之中。同时，动态密码成本低廉，使用简单，可适应与网上银行所有的业务场景。1 .硬件令牌3动态口令硬件卡一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。以中国银行的动态口令牌为例，基于该动态密码技术的系统又称一次一密（OTP系统4。密码在使用过一

8、次后就失效，下次登录时的密码是完全不同的新密码。动态口令牌的优点集中体现在安全和方便：口令具有一次性；使用十分简单，无需连接电脑设备，实现了与电脑的完全物理隔离；并且用户也不需要记忆密码，只需按照提示，输入当前动态口令即可。作为一种重要的认证工具，动态口令牌被广泛地运用于安全认证领域。动态口令牌可以大大提升网上银行的登录和交易安全。目前，加拿大帝国商业银行等以成功实现该技术的推广使用。2 .手机短信令牌手机令牌是安装在手机客户端动态生成密码的软件。作为手机软件，其产生密码不会带来任何的通信费用，也不受欠费，无信号等外在条件的干扰。手机短信令牌具有高安全性，低成本性，便携性等显著优3 .银行卡和

9、身份验证融合最新的动态密码实现方式是将银行卡和身份验证融为一体。国际知名信用卡品牌VISA即将发行的新一代信用卡加入了产生动态密码5的芯片，可以使客户在每次网上银行交易时产生一个新的支付密码。这样的结合体便于携带，较硬件令牌降低了成本，一体机制更方便客户携带和广泛使用。二）管理层面用户方面：作为网上银行交易系统的主体用户在使用网上高安全意识，在网银操作的方方面面多加留意。交易系统时应该提高安全意识，注意以下几点1,使用事项客户应避免在公用的计算机上使用网上银行。安装防毒软件并经常升级，不要下载不明程序。同时，客户要注意将安装网上银行的电脑让他人使用，将电脑交给他人维修时一定要确保安全。2 .选

10、取密码谨慎使用密码，密码应避免与个人资料有关系，不要选用诸如身份证号码、出生日期等作为密码。建议选用字母、数字混合并提高密码位数的方式，以提高密码破解难度。3 .留心记录切记要保护好密码，并经常查询交易记录，及时发现异常。关注交易记录，客户对网上银行办理的转账和支付等业务做好记录,定期查看历史交易明细，如发现异常交易或账务差错，立即与银行联系。4 .安全设置用户可以常用的电脑上做一定的设置。例如将网银系统的个性设置中设定转款的每日最高金额，并开通转款短信实时通知；使用网上银行后技术清理网页上自动保存的密码，账号等信息；及时更新网上系统的安全补丁等。银行方面：网上银行的网络都是大型网络，采用多种

11、通信媒介，有多种协议网互联而成的复杂网络。为确保系统安全，银行必须采用综合性的智能管理网络系统，提供一体化的网络管理服务5,通过监管网络资源，对网络进行安全检测管理，安全报告管理，安全恢复管理，以便交易系统能更可靠、安全和高效的运行。同时，银行形成一套完整的安全管理方案，细化到各个步骤，用以明确部门内各自职责，从而保障安全管理的顺利高效行。金融信息监管部门方面：金融信息的监管部门应该加大监管力度，定期排查各大银行的网上银行系统的安全漏洞。同时，监管部门要制定网上银行身份验证的安全管理问题的标准和相关规定，督促各大银行在网银的安全问题上加大资金和人力物力的投入，以便达到相关的标准。监管部门还应该做好引导作用，鼓励国内各大银行与国际相关方面领先的银行或者金融机构学习，加快与其推广的技术与本地现行的技术的融合，提高