网上银行身份认证技术

・122・　哈尔滨职业技术学院学报 2012年第6期

J o u r n a l o f H a rb i n Vo c a t i o n a l & T e c h n i c a l C o l l e g e

一、前言

网上银行以其便捷性和低费用等优点吸引众多的商家和消费者。但调查显示仍有68%的网民出于对安全性的考虑没使用网上银行。因为网上银行建立在开放的互联网之上，其数据信息是对外开放的。这就要求银行必须绝对保证信息数据的安全不外泄，但我国网上银行的安全技术却并不完善。

在网上银行开办初期,银行通常采用口令+I D 的方式登录，这种登录方式操作简单，因此使用非常普遍。但是由于口令是静态的数据，黑客们很快就弄清了这种简单认证方式的漏洞。“假冒通知”、“网上钓鱼”、“木马程序”、“快乐的耳朵”等等现象的出现,都是为了能够窃取到用户的口令。他们通过向浏览器或网银服务器植入木马程序来窃取口令和I D 。因此，采用这种登录方式常常遭遇到黑客的攻击。

因此国内网上银行相继推出了多样化的认证方式，从之前简单的帐号密码，逐渐新增了数字证书、动态密码、一次性密码等新的认证方式。从2008年开始各大银行在安全认证方面不断加大力度，如工商银行推出了手机短信认证服务、浦发银行推出了“移动数字证书+动态密码”认证方式等。

表1国内几家大型网银采取的安全措施

[收稿日期]2012-07-09

[作者简介]颜颖（1982-），女,福建水利电力职业技术学院助理实验师。

中图分类号：TP393.08 文献标识码：A 文章编号：1008—8970—（2012）05—0122—02

网上银行身份认证技术分析

颜 颖

（福建水利电力职业技术学院， 福建 永安 366000）

摘要：近年来，我国网上银行发展速度很快。银行对网银安全性管理要求很高，通过不断的技术改进，从最初的单一的帐

号密码认证，到当前的多重认证方式。本文对当前身份认证的几种方式进行了比较、分析。

关键词：网上银行；技术分析；身份认证

二、各种安全认证的比较目前，安全认证技术主要有：动态口令、I C 卡、生物特征、U S B 卡等。下面对主要的几种认证技术的安全性和便捷性进行简单的介绍。

I C 卡：是一张内置集成电路的芯片，该芯片存储有关用户身份的信息。I C 卡由专门的设备生产，是不可复制的硬件，它的不可复制性能保证该IC 卡是由用户唯一使用。登录时必须将IC 卡插入读卡器方能读取其中的信息，以验证用户的身份。此操作简单易行，但因为认证信息是静态的，容易被驻留在内存中的木马或网络监听等技术窃取。另外必须在客户端电脑上安装专用的读卡器才能使用。

动态口令：动态口令依据当前时间及使用次数生成密码，生成的密码只能使用一次，即一次一密。由于必须由动态令牌生成密码，必须是合法用户才能持有该硬件，而认证服务器端也依照相同的算法计算当此的密码，所以只要是通过了密码验证就通过了身份认证。用户每次使用的密码都不同，即使不幸被黑客截获一次密码，但在该密码过期后，也无法利用截获的这个密码来仿冒用户登陆。而且黑客也无法通过这个密码推出下次的密码。一次一密能够有效地保证用户身份的安全，可以说是一套比较完美的方案。但它不具有数字签名的功能。另外动态密码采用动态令牌的专用硬件，该硬件内置电源、密码生成芯片和显示屏，成本过高，因此不太利于大规模使用。

生物特征：利用人的指纹、虹膜、掌纹等人体生物特征的唯一性作为身份认证的手段。生物识别系统对生物特征进行取样，并进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中。人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进行比对，从而判定是否为本人。因为每个人的生物特征几乎不会重复，也不可更改，安全性最高。但是这种认证方式并不是最好的。一方面用户的指纹等信息不经意间就会在

银行安全措施

工商银行U 盾、电子银行口令卡、预留信息验证、余额变动提醒、小e 安

全检测、手机短信认证建设银行

网银盾、动态口令卡、短信服务、登录密码和交易密码两种控制、交易限额控制、客户端密码安全检测

农业银行浏览器证书、

K 宝证书、动态口令卡、电子支付卡消费限额中国银行登录：用户名+密码+图形验证码+动态口令+手机短信；交易：限额控制等招商银行

多种证书、免驱动的移动数字证书、数字证书＋取款密码、

每日交易限额交通银行

用户名+用户密码、登录留言、电子证书、手机短信密码、每日交易限额

・123・　哈尔滨职业技术学院学报　2012年第6期　J o u r n a l o f H a rb i n Vo c a t i o n a l&T e c h n i c a l C o l l e g e

公众场合留下，很容易被不法分子窃取；另一方面必须在客户端安装指纹、虹膜等输入设备，而这些设备的成本相对要高些。

三、使用PKI的USBKey

相对于上述介绍的几种认证方式，U S B K e y身份认证方式是一种更为方便、安全、可靠的技术。它采用一次一密的认证模式，能够有效解决用户身份认证的问题。外有电脑通用的U S B接口，无须另外加装输入设备；内有C P U、存储器、芯片操作系统，可以存储用户的密钥和数字证书。C P U可以实现加解密和签名的各种算法，内置的密码算法能够对用户进行身份认证。加解密运算在USBKey内进行，保证了密钥不在计算机内存出现也不在网络中传播，从而杜绝了用户密钥被黑客截取的可能性，安全性有了保障。

（一）ＰＫＩ介绍

PKI是英文Public Key Infrastructure的缩写，中文意思为公共密钥基础设施。P K I技术采用证书管理公钥，通过第三方的可信任机构——认证中心（C A：CertificateAuthority），把用户的公钥和用户的其他标识信息（如名称、E-ma i l、身份证号等）捆绑在一起，在Internet上验证用户的身份[1]。PKI是靠公/私钥对的加/解密运算机制完成PK I服务的[2]。私钥严格保密，公钥方便公布。方便地传递和发布公钥是PK I的优势。PK I 为建立在之上的应用提供了机密性、完整性、不可否认性和身份认证的功能。

（二）ＰＫＩ系统的构成

一个完整的P K I系统一般由如下几个部分组成:

数字证书:是P K I系统中最基本、最核心的元素，是所有安全能够得以实现的基础；它由第三方认证中心（C A）签发,负责网络中数据的加密传输,交易数据的数字签名以及网上身份的证明。能够完成P K I所提供的全部安全服务功能，可以说P K I体系中的一切活动都是围绕数字证书进行的。它相当于虚拟世界的身份证，能够帮助各个实体有效地识别对方的身份和表明自己的身份。数字证书在一个身份和该身份的持有者所拥有的公/私钥建立了一种联系。

C A即认证中心：是P K I系统的核心执行机构。它是一个权威机构，由国家授权，具有法律保证。主要完成证书的申请和颁发、处理用户证书吊销请求等。

R A即注册机构：是C A机构的扩展。帮助C A完成证书申请的登记和审计工作,并将验证过的证书申请交由C A签发。主要完成证书的审核、系统数据的备份和恢复等工作。

证书库和目录服务：将C A颁发的用户证书存储在证书库中并发布到目录服务器上，以便用户查询，同时发布证书失效列表等。

证书策略：一个P K I系统可以根据实际应用的具体需要制定不同的证书策略,包括证书扩展项的选用、C A的部署证书、路径长度等等。

简单说来就是R A验证客户证书申请后提交C A。

C A检查信息完整和数字签名正确后把证书存放到证书库和目录服务器，并将签发证书序列号通知客户和R A。客户即可使用该号通过目录服务器下载证书。

USB Key方便携带和使用，并且成本低廉；搭配上PKI体系较为出色的数据保护机制，因此使用USBKey 存储数字证书已经成为目前较为流行的认证方式[3]。

（三）基于ＰＫＩ的身份认证过程

登录网上银行首先是要确认用户身份的真实性，根据甲乙双方都具有第三方C A所签发的数字证书技术和PK I提供的认证服务（使用数字签名加密技术）可以有效地判明用户的身份[4]。

认证过程大致分为以下三个阶段：

1．客户端依据S S L协议访问网银服务器；

2．网银服务器接收到客户端的访问请求后就要进行认证。认证的内容主要针对该证书是否有效，是否过期及该证书是否已被纳入黑名单。首先要验证客户端证书是否有效。用第三方C A证书的公钥来解密该客户证书的C A私钥签名。如能解密就说明该客户是合法有效的客户，反之则算非法客户；然后网银服务器将该客户的证书再传送至证书库和目录服务器上，通过目录服务器就可以查询到该证书是否在有效期内和是否进入黑名单。如果这些过程都能通过则网银服务器对客户端验证通过。

3.客户端在经过网银服务器验证完的身份后，也要对网银服务器进行身份验证。身份验证的依据就是网银服务器上的证书。

四、安全认证系统遭受攻击事件

中国银行第一代动态令牌遭受钓鱼网站攻击。钓鱼网站是目前国内外不法分子常用的欺骗手段之一。不法分子克隆一个假网站，利用人们马虎的心理欺骗用户登陆，从而获取密码，这就是网络钓鱼现象。持有中行“E令”（动态令牌）的用户登录仿冒中国银行的假主页后，即将静态密码和动态密码暴露给黑客，黑客在动态密码短短60秒的有效期内，登陆中国银行主页并转账。此次事件中行损失惨重。此番事件过后，中国银行新增短信密码作为认证因素[5]。

U盾是工行推出的获得国家专利的客户证书USBke y，是工行提供的高级别安全工具。但是被公认安全系数最高的U盾也遭攻击。2011年4月，不法分子利用木马程序，远程操控用户电脑，在U盾尚未拔掉的情况下，30秒完成转帐。随即，招商银行等各大银行纷纷宣布，大幅下调每日交易限额。如招商银行一卡通客户的网上支付、转账上限由每日的5000元调整为500元；而信用卡客户的网上支付单笔也设定为不超过500元。

网上银行遭受攻击事件时有发生，以上两个例子只是冰山中的一角。

五、结语

网上银行如何让老百姓放心地使用，不必担心隐私信息的泄漏，不必恐慌财产的损失。这是计算机信息安全研究机构势必每时每刻都要关心的问题。我们必须时刻谨记：在实际应用中，没有绝对安全的算法。任何算法都可能被攻破。因此，任何延长攻击时间、增加攻击代价或者将攻击损失降到最低是网上银行安全设计的最大理念。

【参考文献】

[1]江为强,陈波.PKI/CA技术综述[J].网络信息技术,2003,(6).

[2]张之津,李胜广,薛艺泽等.智能卡安全与设计[M].清华大学出版社,2010.

[3]马伟强.我国网上银行身份认证技术分析[J].计算机安全,2012（03）.

[4]张慧娜,董丽丽,闫晓慧.基于的网上银行身份认证的探究[J].计算机安全,2008（07）.

[5]王勉.网上银行的安全认证问题研究[J].现代管理科学,2012（04）.

（责任编辑：董涛）