1、論網上銀行身份驗證的安全性OnlineBankingAuthenticationSecurityChenQinl,ZhangChu2,LiuDelong2(1.BenxiHealthSchool,Benxill7022,China;2.DalianUniversityofTechnology,Dalianl16621,China):AsanewFinancialbusinessplatform,onlinebankhasbeenusedwidelybycustomers.Ensurethesafetyofthebankonthenetidentitycheckasecuritytradings

2、ystemthecoreofonlinesecurity.Theexistingidentityauthenticationtoolsintechnologyandmanagementinvariousdefects,fromnewdynamicpasswordtechnologywiththemanagementpolicycouldbeasolutiontotheproblem.Keywords:Onlinebank;Security;Authentication;Dynamicpassword;Arithmetic;User;Bankingsystem網上銀行是傳統銀行在現有的實體店基礎

3、上，利用互聯網作為新的平臺來為客戶提供各種在線金融業務。借助與互聯網，銀行實現了任何時間，任何地點，任何方式的多樣便利的金融服務。但是另一方面，由于互聯網是一個公開，開放的網絡。網上銀行系統也使的銀行的內部網絡暴露在公開的環境下，面臨著病毒、木馬、釣魚等網絡攻擊帶來的嚴峻挑戰。這些攻擊利用網絡的開放性，實時性可以在短短的時間內盜取客戶的密碼，賬戶等信息，從而實現資金的轉移，損害到銀行及其客戶的利益。因此，如何保障網上交易系統的安全，關系到銀行內部甚至整個金融界的安全。為防止網上銀行的交易服務器受到攻擊，銀行方面往往采取以下多種措施：多重防火墻，殺毒系統、冗余系統，權限系統1。有了這些看似銅墻鐵

4、壁的防御系統，非法用戶較難以入侵到網上銀行內部，但是一旦銀行客戶的密碼被盜取，非法用戶披上合法用戶的外衣，便能夠輕而易舉的繞過重重的防護系統，簡單直接地接觸到網上銀行系統。缺乏有限的身份認證保護，網上銀行其他的安全防護措施如同虛設。由此可見身份驗證技術即密碼技術是網上銀行安全技術體系的核心,只有保障算法和密鑰的安全,才能保障密碼及身份認證的安全。、網上銀行的身份驗證現在各大銀行均采用了多種多樣的身份認證產品，力求能夠有效的準確的驗證客戶身。一）電子證書現在國內銀行主要使用電子證書（根據存儲方式不同分為存儲在瀏覽器中的文件證書和存儲在U盾中的USB證書）、作為網上銀行身份安全驗證的工具。它通過電

5、子證書和電子簽名，與銀行系統數據庫互聯來保障客戶信息的準確性和安全性。二）電子銀行口令卡2電子銀行口令卡是以矩形形式排列，印有若干個符號及字母的密保卡片，其橫豎坐標對應唯一的字符。將對應的字符串作為密碼輸入，由相關系統校驗密碼的正確性。三）預留信息驗證客戶預先在網上銀行預留一些信息，當其登錄個人網上銀行、在購物網站上進行支付時，網頁上會自動顯示預留的信息，以便驗證該網頁是否為真實的相關銀行網站。四）手機短信驗證客戶在交易確認過程利用手機短信信息確認身份的方式。五）網銀助手銀行開發的一項將所有網銀安全軟件和證書打包作為一個整體，可供下載的產品。二、身份驗證產品存在的問題一）高成本以數字證書和移動

6、證書（U盾）為代表的交易保護措施，通常是易用性差，一般的只能用于網上銀行；同時成本高，作為一個小型的電子產品，u盾的制作成本和使用成本都不低。二）使用復雜由于各個銀行的U盾產品之間并不兼容，擁有跨行多個賬戶的客戶在實現網上轉賬時會有多次插拔不同U盾的問題。數字證書和移動證書在交易時都需要多次鍵入密碼，手續復雜。三）技術落后目前各大銀行使用的數組證書和移動證書大多基于單個瀏覽器。兼容性差，無法滿足不同客戶的使用需求。四）靜態密碼，安全性差U盾是通過參與網上銀行交易的全部過程，配合與之配套的電子簽名實現身份驗證的。但其核心使用的靜態密碼，由于具有固定性和長時性，容易被網絡木馬等獲取。由此可見，網上

7、銀行系統缺乏：安全性強，使用簡單，經濟性強，可適應于網上銀行所有應用場景的身份認證產品三、解決方案一）技術層面采用動態密碼機制：即用戶在操作時動態的獲取具有時效性的一次性交易密碼，由于密碼的產生隨機的，同時實現了密碼產生完全物理隔離，從而避免了靜態密碼易被盜取的問題，確保交易從發起、傳遞、到最終接受都處于動態保護之中。同時，動態密碼成本低廉，使用簡單，可適應與網上銀行所有的業務場景。1 .硬件令牌3動態口令硬件卡一種內置電源、密碼生成芯片和顯示屏、根據專門的算法每隔一定時間自動更新動態口令的專用硬件。以中國銀行的動態口令牌為例，基于該動態密碼技術的系統又稱一次一密（OTP系統4。密碼在使用過一

8、次后就失效，下次登錄時的密碼是完全不同的新密碼。動態口令牌的優點集中體現在安全和方便：口令具有一次性；使用十分簡單，無需連接電腦設備，實現了與電腦的完全物理隔離；并且用戶也不需要記憶密碼，只需按照提示，輸入當前動態口令即可。作為一種重要的認證工具，動態口令牌被廣泛地運用于安全認證領域。動態口令牌可以大大提升網上銀行的登錄和交易安全。目前，加拿大帝國商業銀行等以成功實現該技術的推廣使用。2 .手機短信令牌手機令牌是安裝在手機客戶端動態生成密碼的軟件。作為手機軟件，其產生密碼不會帶來任何的通信費用，也不受欠費，無信號等外在條件的干擾。手機短信令牌具有高安全性，低成本性，便攜性等顯著優3 .銀行卡和

9、身份驗證融合最新的動態密碼實現方式是將銀行卡和身份驗證融為一體。國際知名信用卡品牌VISA即將發行的新一代信用卡加入了產生動態密碼5的芯片，可以使客戶在每次網上銀行交易時產生一個新的支付密碼。這樣的結合體便于攜帶，較硬件令牌降低了成本，一體機制更方便客戶攜帶和廣泛使用。二）管理層面用戶方面：作為網上銀行交易系統的主體用戶在使用網上高安全意識，在網銀操作的方方面面多加留意。交易系統時應該提高安全意識，注意以下幾點1,使用事項客戶應避免在公用的計算機上使用網上銀行。安裝防毒軟件并經常升級，不要下載不明程序。同時，客戶要注意將安裝網上銀行的電腦讓他人使用，將電腦交給他人維修時一定要確保安全。2 .選

10、取密碼謹慎使用密碼，密碼應避免與個人資料有關系，不要選用諸如身份證號碼、出生日期等作為密碼。建議選用字母、數字混合并提高密碼位數的方式，以提高密碼破解難度。3 .留心記錄切記要保護好密碼，并經常查詢交易記錄，及時發現異常。關注交易記錄，客戶對網上銀行辦理的轉賬和支付等業務做好記錄,定期查看歷史交易明細，如發現異常交易或賬務差錯，立即與銀行聯系。4 .安全設置用戶可以常用的電腦上做一定的設置。例如將網銀系統的個性設置中設定轉款的每日最高金額，并開通轉款短信實時通知；使用網上銀行后技術清理網頁上自動保存的密碼，賬號等信息；及時更新網上系統的安全補丁等。銀行方面：網上銀行的網絡都是大型網絡，采用多種

11、通信媒介，有多種協議網互聯而成的復雜網絡。為確保系統安全，銀行必須采用綜合性的智能管理網絡系統，提供一體化的網絡管理服務5,通過監管網絡資源，對網絡進行安全檢測管理，安全報告管理，安全恢復管理，以便交易系統能更可靠、安全和高效的運行。同時，銀行形成一套完整的安全管理方案，細化到各個步驟，用以明確部門內各自職責，從而保障安全管理的順利高效行。金融信息監管部門方面：金融信息的監管部門應該加大監管力度，定期排查各大銀行的網上銀行系統的安全漏洞。同時，監管部門要制定網上銀行身份驗證的安全管理問題的標準和相關規定，督促各大銀行在網銀的安全問題上加大資金和人力物力的投入，以便達到相關的標準。監管部門還應該做好引導作用，鼓勵國內各大銀行與國際相關方面領先的銀行或者金融機構學習，加快與其推廣的技術與本地現行的技術的融合，提高