赖瑞龙



网银客户账号高级认证分析

赖瑞龙

福建省经济信息中心

如何保障客户的帐号安全是网银系统面临的一个重点技术课题，鉴于目前网络不法分子所采用的各种窃取网银账号信息的手段进行分析，行业专家认为只有增加辅助认证设备，如手机短信、动态密码锁、USB Key等硬件认证才可以真正保证网银帐号的安全，该文就此对当前主流网银帐号的高级安全认证技术进行讨论。

网络银行 帐号安全 认证分析

中国的网银自起步以来，这种全新的银行服务使客户可以不受时空的限制，只要能够上网，都可以安全便捷地管理自己的资产和享受到银行的服务，受到了普遍的欢迎，并且普及率不断提高。但多年以来，关于网银发生骗盗的事件时有发生，不法分子通过窃取客户的卡号和密码，大量盗窃资金和冒用消费，使得银行在推广网银上面临非常巨大的风险，解决问题的根本是提高网银的安全性能。目前网银出现的安全问题一部分是由于客户本身的安全意识不强造成，这里暂不做此类讨论，本文的假设是所有不带有身份认证令牌硬件设备的网银系统都是不安全的。这些系统包括各种无证书的网银，以及一些所谓的软证书“专业版”，因为他们从本质上来讲，所有的运行代码都是在电脑内存中运行的，客户所有的操作都有可能被木马所截获，从理论上讲，黑客完全可以伪造客户进行系统登录。因此，真正意义上只有脱离客户的电脑系统，使用独立的身份认证硬件设备，才能构造出安全的网银系统。下面就如何构造这种高级的安全认证的网银系统来分类讨论：

1 手机网银短信验证码

手机网银短信验证码服务是网银登录时服务器通过借助现在移动通讯服务商的平台，通过协商的接口生成一次性的验证码，然后借助移动通迅服务商以短信形式发送的一次性验证码给客户认证。

手机短信验证码，在各大电子商务平台上已经得到广泛的使用，只有持有手机终端的合法客户才能看到本验证码，所以只要密码验证通过，系统就可以认为该客户的身份是可靠的。而客户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法客户的身份，因为下一次登录必须使用重新获取一个短信验证码。

黑客要想破解客户密码，要从物理上获得客户的手机终端，这种窃取手机方式风险高，针对普通客户还是相当适用的，这完全区别于普通网络平台的木马窃取技术，在网银实际应用还要考虑成本，目前手机是比较普及的，这一方面的硬件成本几乎可以省略，只需要银行和移动通讯服务商做好接口协议即可，因此，通过手机短信验证码技术在各行各业都得到了越来越多的实际应用。手机短信认证存在的一个缺点是，手机短信无线信号还是祼露未加密的，如果黑客潜入客户附近，采用监听无线信号监听器方式捕获，仍然是不安全的。

2 动态密码锁认证技术

动态密码通常称为一次性密码，指客户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，其中数字键用于输入客户PIN码，显示屏用于显示一次性密码。每次输入正确的PIN码，都可以得到一个当前可用的一次性动态密码。

这种产品的密码生成芯片运行专门的密码算法，根据当前时间以及使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法客户才持有该硬件，所以只要密码验证通过，系统就可以认为该客户的身份是可靠的。而客户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法客户的身份，因为下一次登录必须使用另外一个动态密码。动态密码锁系统需要两个密码要素，一个要素是静态PIN码，由客户自行设置、保管。另一个要素是动态密码，由密码令牌动态生成，不可预测，并且与后台服务器的接入控制保持同步，由后台服务器进行检验。因此，客户必需输入正确的静态PIN码和动态密码，才能通过身份认证。

动态密码技术可以完美解决客户端客户的安全性问题，因为黑客无论使用什么方法，也无法方便地窃取客户的密码，即使黑客窃取了一次密码也无法登录使用。从技术上讲，动态密码技术是比较完美的方案，然而可惜的是，动态密码锁的成本过高，大部分成本都高于100元，不利于大规模使用。中国目前有一些银行采用了此法的变形，如中国工商银行推出的使用一种文字卡片类型的所谓动态密码卡，也是用来实现较为原始的动态密码技术。实际上，这种低成本的卡片具有的缺陷是非常明显的，卡片内容极易被复制，且没有保护PIN码，别人偷盗或者复制这张卡片即可冒名登录，其安全性远不及真正的动态密码锁身份认证系统。另外，动态密码技术也有一个安全隐患，就是服务器端的安全性。动态密码的本质是单钥加密，密钥只有一个。在服务器端的认证系统里，可以计算出所有动态密码，因此黑客如果将精力放在破解银行认证服务器系统，那么还是有可能对银行系统造成一定安全威胁，另外这个系统也依赖于网银的管理员，网银的管理员可以在服务器端修改动态密码锁的规则，也具有一定的安全隐患。

3 USB Key认证技术

USB Key是当前银行业推出网银主流的认证技术，和单钥的动态密码锁不同的是，USB Key采用双钥加密的认证模式，USB Key是一种USB接口的硬件设备，外形如同U盘。它内置单片机或智能卡芯片，有一定的存储空间，可以存储客户的私钥以及数字证书，利用USB Key内置的非对称算法实现对客户身份的认证。由于客户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了客户认证的安全性。

USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果客户PIN码被泄漏，只要USB Key本身不被盗用即安全。黑客如果想要通过破解加密狗的方法破解USB Key，除非能先得到客户手中USB Key的物理硬件。另外，USB Key的一个最重要的优点就是成本低廉，很利于大规模普及应用。USB Key目前在网上银行应用十分广泛，例如大家看到工行的U盾、还有其它银行优KEY等都是这种产品。另外，为了增加银行与客户双方的相互信任程度，有的引入第三方的CA认证机制又是原有USB Key技术的一个提升，如兴业银行推出的兴业网盾，采用基于PKI体系第三方数字证书认证独立于交易双方的任何一方，因此更具有权威性和公正性，能有效保障网上交易双方身份的真实性、交易的私密性和不可否认性。

USB Key的使用方法是，当登录网银系统的时候，在电脑上插入USB Key，然后输入PIN码，如果验证通过，则可以进行相关交易。这种加密方式使用了双钥加密，私钥安全地保存在Key中，在网络应用的环境下，可以更安全，弥补了动态密码锁单钥加密的一些缺陷。然而，USB Key虽然在一些地方优于动态密码技术，但是实际使用中却有一些动态密码所没有的安全性问题，这个安全问题主要在于客户端而不是服务器，由于PIN码是在客户电脑上输入的，因此黑客依然可以通过程序截获客户PIN码，如果客户不及时取走USB Key，那么黑客可以通过截获的PIN码来取得虚假认证，仍然存在安全隐患。而动态密码锁使用随机的一次性密码，不存在这样的问题。

4 综述

对于上述三种硬件辅助的认证方法的改进就是采用各项技术结合于一体的认证技术，优势互补，如动态密码卡加上短信验证码结合技术，还有改造现有的USB Key，增加输入键，使其PIN码可以在USB Key上输入，这样就不会被电脑上的木马拦截，或通过手机验证码动态生成其PIN码等。还有一种更理想的安全模式，是将这两种加密方式结合在一起，USB Key的PIN码使用动态密码生成，这样两种加密锁结合在一起，服务器端和客户端的安全性就都得到了保障。黑客截取的PIN码是一次性的，而网银管理员无法获得USB Key的客户密码进行身份验证。这样的网银帐号系统，其安全性就非常高了。

[1] 帅青红. 电子支付结算系统[M]. 成都: 西南财经大学出版社，2006.

[2] 张峰. 网络银行[M]. 北京: 清华大学出版社，2008.

[3] 周虹. 电子支付与网络银行[M]. 北京: 中国人民大学出版社，2006.