随着多宗网络银行犯罪事件的发生,网上银行安全越来越被人重视,如何才能加强系统应用的安全性,提升人们对网上银行的信任度,成为网上银行业务中最亟待解决的问题,本文为读者带来指纹U-KEY,以供大家参考。
自二十世纪九十年代以来,Internet在中国迅猛发展,“网络银行”这一名词人们已不再陌生。随着网银在线交易金额的不断扩大,使得网络信息安全问题日益凸显,消费者也越来越关注网上银行的安全问题,一系列与网上银行安全相关的事件层出不穷,网络钓鱼、偷盗银行账号和密码的木马程序、黑客侵入、内部盗窃等都对网络银行的安全性提出了新的需求。怎样才能加强系统应用的安全性,提升人们对网上银行的信任度,成为网上银行业务中最亟待解决的问题。
目前网上银行普遍采用的认证方式
用户名+密码
由用户到银行办理手续,然后从网上下载证书并进行安装,在交易、转账等操作时基于Web方式,输入PIN和PassWord,然后进行数字证书认证来进行,但是这种方式由于Web方式输入用户名+密码,难免会受到木马、不良窥测等方式盗取,而且数字证书基于PC的OS文件存储,存在被人用木马程序盗取、记录等重大的安全隐患问题(详见图1)。
[nextpage]输入PIN码+移动存储证书(硬件KEY)
为解决证书安全存储的问题,出现了一种专门基于PKI技术的硬件证书载体USB Key。私钥和证书存储在设备中,并且私钥永不导出,防止用户复制私钥和证书进行操作,USB Key解决了证书PC存储的缺陷,一定程度上提高了银行的安全性,但是这些技术还有一些重大安全隐患:一是此种方式在交易时需要用户输入PIN码,从而没有彻底解决黑客拦截PIN码,模拟用户交易的风险;二则还存在硬件KEY丢失或被盗时被人冒用的风险。因而不能真正意义上认证到人(参见图2)。
未来网银系统的安全门——指纹U-KEY技术
指纹U-KEY技术真正实现网上银行的安全
随着身份识别技术的发展,指纹技术已经非常成熟,目前已经成功地应用在银行柜员内控管理、门禁系统、指纹锁、汽车驾驶员培训、安全身份认证等各种领域,指纹以它固有的不变性、唯一性、不可遗失性运用在网上银行是最为安全的解决方案。
指纹U-KEY采用指纹识别技术,并通过硬件层通信专利技术的结合,推出了网银指纹身份认证解决方案,其能够将用户信息、指纹信息、数字证书信息统一集成到硬件中,与普通USB KEY不同的是,该系列指纹U-KEY即使所有用户资料被盗,由于有指纹识别技术和安全芯片技术保护硬件数据,他们也无所作为。
此指纹U-KEY解决了USB KEY的安全瓶颈,以指纹确定持有人身份,提升密钥管理的安全等级,应用于网上银行身份认证,彻底解决了现行技术和办法中存在的漏洞,可以有效地完成个人证书的管理。而用户通过认证指纹来开启用户名及密码,只有通过指纹认证才能进行身份确认。此外还使用户免除了记忆口令和丢失口令的烦恼,同时真正做到认人不认物,提高了安全性。此指纹U-KEY还存储客户的个人信息、交易记录、账本等信息,通过指纹进行访问,方便个人管理(参见图3)。[nextpage]
网银指纹身份认证方案系统特点
1、指纹身份识别+硬件加密技术
指纹算法完全由独立硬件实现,所有算法都在设备内实现(指纹特征提取和比对等),指纹特征数据也存储在安全芯片中,实现真正的安全。
2、权威加、解密技术
采用经过国密办认可的加密芯片和加密算法,真随机数发生器,支持高速硬件RSA加密和DES、3DES、SSF33等算法,密钥永不导出。
3、有效解决现有安全问题
没有输入PIN码等交互过程,不存在PIN码输入和传输的漏洞,最大程度降低了对电脑的依赖性,有效地解决了目前银行存在的木马攻击、病毒、假网站等多种形式的网络攻击,使网上银行用户能够放心使用。
4、不担心遗失、被盗问题
若指纹U-KEY丢失,由于指纹的唯一性,即使网络银行用户全部资料被窃,没有活体指纹,恶意者也“无所作为”。真正做到认人不认物,不存在遗失的风险。[nextpage]
5、支持活体认证
使用指纹识别保护PIN和Password,并支持活体指纹认证,有效地防止利用指纹采样进行攻击的可能。
6、对现有系统改造小,改造成本低
·可方便地同网络银行现有系统集成;
·无需对网络银行现有安全机制做太大改动;
·无需改编现有银行应用软件架构;
·无需改遍银行安全通信机制,同现有系统兼容性强,有效减少实施成本。
三种模式的综合对比分析(参见表1)。
结语
未来,身份认证技术将朝着更加安全、易用、多种技术手段相结合的方向发展。随着指纹识别技术的成熟和成本的降低,USB Key将会使用指纹识别来保证硬件本身的安全性,指纹U-KEY会成为身份认证硬件的主要发展方向和必然趋势。
在探寻信息安全领域过程中,需要更多的业界人士积极参与,加大技术产品化,产品市场化的步伐,所有人一起努力,将中国网上银行交易变得更加安全,更加方便,更加快捷。(本文作者严玉才现任职于杭州中正生物认证技术有限公司)