网上银行身份认证
近几年来,我国网上银行发展十分迅速,网上银行在提升金融企业核心竞争力的同时,也为众多用户带来实实在在的方便,不受时间和空间的限制,只要有电脑和网络服务,可以在任何时间、任何地点,享受银行的服务。截止2007年6月31日,我国网民人数已达1.62亿人,其中宽带上网网民人数为1.22亿人,网银用户逾7000万,网银的发展对传统银行柜台交易的替代率,已占交易笔数的25%,交易金额的38%。但与此同时,大量的关于网上银行发生骗盗的报道不断见诸报端,网络支付安全问题正受到人们越来越多的关注。
为了提示各商业银行高度关注网上银行安全问题,完善网上银行的安全服务,增进公众网上银行安全知识的普及和深化,使老百姓享受到更加安全、便捷和高效的网上银行服务,中国银监会下发《关于做好网上银行风险管理和服务的通知》,对相关业务安全和操作问题进行了规范。《通知》对网上银行高风险账户操作进行了具体界定,要求各商业银行针对网上银行高风险账户操作采用双重身份认证方式;切实承担起对网上银行客户的安全教育责任,通过各种渠道向公众提示网上银行操作的安全注意事项,包括在本行网站开设网上银行安全教育栏目等;对于对公众危害性较大的假网站、假邮件等违法信息,各商业银行应通过本行网站及其他渠道及时向公众进行通报提示;商业银行应建立规范的网上银行(电子银行)业务投诉处理机制,妥善处理客户投诉事件;商业银行还应加强对与本行系统存在技术和业务连接的第三方机构的管理。
集联身份认证系统是基于令牌动态口令的双因素身份认证系统,符合银监会双重身份认证的要求。
动态口令认证技术
动态口令一般是由一个口令发生器自动地、动态地产生的。常见的口令发生器是一个电子动态口令卡(简称:令牌或口令卡)。令牌设备内置CPU及密码运算单元,一般有一个液晶显示屏用来显示口令,这个口令一般每隔一分钟变化一次。
在网银业务系统的服务器上安装有动态口令认证系统软件(或采用嵌入模式),认证模块和网银系统软件紧密结合。用户在客户端输入令牌上当时显示的动态口令,服务器上的动态口令认证模块对用户的输入的动态口令进行认证,以判定用户身份。
一次性口令原理
为了防止口令泄密引起危险,动态口令只能一次有效,使用过的动态口令不能重复使用。所以即使动态口令被偷看或窃听了也没有危险。
双因素口令原理
因为令牌可能会遗失,静态口令则是记在脑子里,正好弥补这点缺陷。所以把动态口令和静态口令结合起来使用,构成一个双因素口令,既保留了静态口令的特性,又增加了动态口令的优点,具有双保险的意义。
动态口令安全认证的优点
因为认证信息的动态性特点,动态口令具有以下优点:
(1) 动态性:令牌产生的口令每分钟变化一次,不同时刻使用不同口令登录,每个口令都只在其产生的时间范围内有效。
(2) 随机性:动态口令每次都是随机产生的,不可预测。
(3) 一次性:每个动态口令使用过一次后,不能再重复使用。
(4) 抗偷看窃听性:由于动态性和一次性的特点,即使某一个动态口令被人偷看或窃听了,也无法使用。
(5) 不可复制性:动态口令与令牌是紧密相关的,不同的令牌产生不同的动态口令。而且令牌是密封的,卡内密钥数据是断电就丢失的。因此也就保证只有拥有令牌的用户才能使用动态口令,其他用户无法获得、无法共享。
(6) 方便性:令牌随身携带,动态口令显示在令牌的液晶屏上,用户随时随地可以输入口令,无需再为记忆复杂的、定期更改的口令而烦恼。
(7) 危险及时发现性:令牌随身携带,一般和钥匙、钱包放在一起,一旦遗失或失窃,就会及时发现、及时挂失,把损失降到最小甚至避免。
(8) 抗穷举攻击性:由于动态性的特点,如果一分钟内穷举不到,那么下一分钟就需要重新穷举,因为新的动态口令可能在已经穷举过的口令中。另外还可以通过系统设置,限制一分钟内用户登录尝试的次数(例如只有3次),则可将穷举攻击的风险降到最小。
几种身份认证技术比较
技术 |
简介 |
获取 |
收费 |
特点 |
安全性 |
文件证书 |
软件形式的证书,开通后可通过网络下载 |
网点或网络上开通 |
免费 |
要防止证书被木马复制 |
稍差 |
口令卡 |
采用矩阵卡形式的密码卡,每张卡上不同的坐标对应的数字都不同,通过获取一组随机坐标,刮开相应坐标的涂层获得不同的密码口令 |
网点柜台开通 |
免费,一般有使用次数限制 |
离线使用,不怕病毒木马攻击探测。注意防止丢失 |
一般 |
USB-KEY |
存储在USB KEY中的数字证书 |
网点柜台开通 |
60~80元不等 |
在线设备,有被病毒木马攻击探测的可能。注意防止丢失 |
强 |
令牌 |
内置CPU,密码算法芯片的硬件设备,体积小巧 |
网点柜台开通 |
50元左右 |
离线设备,不怕病毒木马攻击探测。注意防止丢失 |
次强 |
系统特点
1.认证服务器的负载均衡和数据备份
认证服务器可以采用双机互备或F5等方式运行,支持负载均衡,同时也支持盘阵等进行数据存储,保障数据安全。
2.应用灵活性
在令牌使用上系统支持多种应用形式。系统支持一个令牌可用于多个账户的认证,并有完善的认证日志系统。
3.集成多样性
集联身份认证系统提供多种集成方式,既可以架设独立的安全认证服务器,也可以提供核心功能模块直接嵌入到网银业务系统中。
4.认证安全性
利用双因素认证和动态口令大大提高了身份认证的安全性。同时有效地保护了用户的口令即使认证口令在传输中被别人截获、破译或使用中被另人窥探。
5.系统实施成本低
印入令牌动态口令的双因素认证系统,网银系统不需要做很大的改造,同时对网上银行客户要求低,大大降低了实施成本缩短了改造周期, 同时降低了系统改造的风险。
|
