网上银行身份认证方式比较与分析
哮朱论坛
网上银行身份认证方式比较与分析①
戴元军’周娟2
(1.宁夏银行电子银行部宁夏银JIl
750000;2.大坝发电有限责任公司财务科宁夏青铜峡
751soo)
擒耍:一上银行在王示其巨大的发展潜力和空同的同时,安全同是也El益受捌关注。本文比较并分析了各种一上银行身份认证方式。提出了一上瓠行身份认证技术最新发展方向。关键词:一上银行身份认证密码数字证书中图分类号:F832TP393.08文献标识码lA文章编号:1672--3791(2009)04(b)--0212-02网上银行是银行以互联网平台作为业务提交渠道,通过网关把银行业务衍生到互联网上的终端用户。可以说,网上银行是在互联网上的虚拟银行柜台。网上银行能够突破时空的限制,为银行客户提供7×24小时金融服务,与传统银行相比,不仅方便了银行客户,而且可降低银行运营成本,提高服务效率,成为银行实现业务创新、提升品牌形象,提高综合竞争能力的丰要电子渠道。网上银行在显示其巨大的发展潜力和空间的同时,安伞问题也日益受到关注,并成为阻碍网银使用的最人因素。本文通过对网上银行各种身份认证方式的比较,分析网上银行身份认证环节存在的安全问题和防范措施,提出了网上银行身份认证最新发展方向。
和这个动态密码器同一种算法产生该随机数字,保证动态密码器和网银服务器的单一认证,每个客户都有了独一无二的身份认证。动态口令牌每分钟生成一个密码,使得网银客户无论在网银登录时还是支付交易时都是一次一密的身份认证,保证客户使用网银的安全性。
1.2.2动态门令卡
口令卡大小类似于银行卡,背面以矩阵形式印有80个3位数字串,申领时该卡片与网银客户绑定建立一一对应关系,新卡有专用覆膜保护。使用网上银行进行对外支付交易时,网上银行系统会随机给出一组口令卡坐标,客户从卡片上找到坐标对应的数字组合成密码并输入网E银行系统,只有当密码输入正确时,才能完成相关交易。这种挑战应答式的密码组合动态变化,每次交易密码仅使用一次,交易结束后即失效,能有效地避免静态交易密码被黑客窃取。目前,工行和农行使用这种动态口令卡的身份认证方式,客户的对外支付交易有一定的交易限额控制。
1.2.3手机动态密码
客户在申请网银时登记手机号码,并且校验该手机号码归属客户的真实性;客户在进行网银支付交易时,fI司银动态密码服务器生成一个密码由短信服务平台发送到客户手机,客户在一定时效内输入该密码进行身份认证,完成支付交易。该种认证方式客户无须携带几令牌、口令卡和证书key等认证工具,通过随身的手机就能够完成身份认证,但该认证需要第三方系统(手机通信系统)实时地支持,而且需要由银行或客户来承担认证密码的短信服务
费。
数字证书是由一个权威的,公正的,可
信赖的第三方机构——c
(Certificate
A
i正书授权
Authority)中心发行的,人们可
以在互联网交往中用它来识别对方的身份,其作用类似于司机的驾驶执照或日常生活中的身份I正。数字证书具有唯一性和可靠性,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。氲个用户自己设定一把特
定的仅为本人所有的私有密钥(私钥),用它进
行解密和签名;同时设定一把公共密钥(公钥)由cA公开并且共享,用于加密和验证签名。当发生一笔网卜交易时,发送方使用接收方的
公钥对数据加密,而接收方则使用自己的私钥
1网上银行身份认证方式
1.1静态密码认证
通常使用静态密码做为网上银行的登录密码,该密码由字母和数字组成,一般不少8位。用于大众版本客户登录网银时身份认证,这种认证方式安全级别比较低,只能应用于网银账户查询和本人名下账户小额转账等无风
险业务。
解密,这样交易信息就可以安全无误地到达目的地了。
数字证书被存储干专用的USBkey中。存储于USBkey中的证书不能被导出或复制,且使用证书认证时需要输入USBkey的保护密码。使用该证书需要物理上获得其存储介
质USBkey,且需要知道USBkey的保护密码,
这也被称为双因子认}正。这种认证手段是目前在Intemet最安全的身份认证手段之一。2网上银行身份认证方式的比较
网上银行的几种身份认}正方式从安全级别、数字签名、认证范畴、交易级别,认证工具、认证服务器和密码服务费几个方面进行
比较,具体见表l。
1.2动态密码认证
动态密码认证有动态订令牌(e-Token)、动态口令卡和手机动态密码三种技术方式。
1.2.1动态口令牌
动态口令牌拥有内置芯片和一个可以显示6位数字密码的LCD窗口,与网银客户绑定建立一对一对应美系,使用唯一的128位种子将其初始化・其内部芯片使用特殊的密码算法。每一分钟组合该种子与当前时间生成一个随机的数字。而银行网银认证服务器则采取
1.3数字证书认证
表1网上银行身份认证方式的比较
认证方式
安全级别
静态密码
低无登录.转账
动态口令稗
较高无登录.支付和转账
动态口令卡
较高无登录.支什和转账
查询.有较高的支付和转账限额
有有无
手机动态密码
较高无
登录.支什和转账
查询.有较高的支什和转账限额
无有有短信费用
数字证书
一商有
登录.支付和转账
查询.专忖和
数字签名认证范畴
交易级别
从表l可看出,从安全级别上,静态密码安全级别最低,客户自行设置密码且不经常更改,有泄露和被盗取的可能t动态密码认证方式有较高的安会级,它们都采取一次一密码的认}止原则,且每次的认证密码都具有时效性,过期该密码将无效,其中动态几令牌一分钟生成一个密码,同时与认i正服务器生成的密码同步;动态u令卡采取挑战应答式,认证服务器给出L1令卡的坐标值,客户根据坐标值的数值组成密码完成认证;手机动态密码是由认l正服务器利用加密算法计算出认证密码并通过手机短信发送给客户。数字i正书认证m0采用安
全级别最高的公钥加密算法,而且同时使用证书Key和验证USBkey的密码完成交易认征,
查询.本人名下小颔转账
查询.有较高
的支付和转嚼长限额
转账.限额不高于网银限额
有有有证书年费
认证工具认证服务器认证服务费
无无无
有有无
是高安全级别的双因子认证。
在数宁签名方面,数字证书可对客户操作及交易信息进行数宁签名,已签名的交易对于客户来说不可抵赖,而其它认证方式不具备数
字签名功能。
从认证范畴和交易级别上,静态密码、
动态口令牌和数字证书均能提供登录网银时
①作者简介:戴元军,1974年6月生,信息安全博士,工程师,现工作单位。
宁夏银行电子银行部。周娟,1979年12月生,在读研究生,会计师,宁夏大坝发电有限责任公司财务部。
212
科技资讯SCIENCE&TECHNOLOGY
INFORMATION
scIENCE&TECl--INOLOOY
学术论坛
身份认证。其中数字证书认证时,需要插入证书key才能打开登录页面,登录认证的安全级别更高。所有认证方式都能进行查询及转账交易,但静态密码由于其安全级别低只能用于
IN—FORMATION匝匿鄹
■U盏孟盆啦l
更为严重的是,这些传统的身份识别方法无法
区分真正的身份标识物的拥有者和仿冒者。
过程。
3.3多因子的身份认证
网上银行身份认证一个重要的发展趋势是结合多种认证技术或多个因子来完成交易认证过程。如不单纯使用动态密码技术,还将数字i正书F载到用户的计算机IE测堕器中,不仅通过动态密码认证交易身份,还能对交易信
一旦一些别有用心的人获得了标识他人身份
的事物,就拥有了与真正拥有者相同的权利,这是相当严重可怕的事情,严重危及个人和社会的安全。
本人名下的小额转账交易,通常采用网银交易
密码或账户交易密码。使用动态密码认i正可进行交易限额以下的支付转账。I斫数字证书可以
生物认证技术可以从根本上解决传统身
份识别技术上的不足,并正在被逐渐的认可。
对交易进行数字签名,可防止客户抵赖,因此
交易金额只受限于网银渠道限额。
在交易成本L,除r静态密码认证.其它认证方式都需要有专门的认证服务器,数字证书方式除r本地的RA服务器,还需要与远程的CA服务器进行交互来完成认证服务,手机密码认证除r密码认证服务器,还需要有短信平台和第三方通信网络支持;除r静态密码认证和手机密码认证,其它认证方式都需要有专门的认证工具(口令牌,口令卡和USBkey)。这也需要银行或客户投入相应的交易成本。最后,在认证服务费用方面,银行需要给cA证书授权中心支付数宁证书服务年费,而手机密码认}正方式每次交易认I正时都将支付短信息服务费,其它认址方式在认ilE过程再无需任何交易成本。
综上,静态密码方式成本最低,安全级别低,适用认证范围和交易功能少;动态密码方式认证成本中等,安令级别中等,适用所有认证范围和交易功能,但因为不具有数宁签名功能,无交易防抵赖性,支付转账有一定的限额控制。数字证书方式安全级圳最高,成本也较高,适用于所有认证范围和交易功能,具备交
息进行数字签名・另外,将动态密码认证上具
和数宁证书USBKey¥1]结合使用,相当于要有USBKey、证书密码和口今牌或手机密码多个认证因子,才能完成一笔交易认证。还有,在动态口令卡客户进行网上银行交易时,将动态口令卡的坐标值以短信方式发送到客户的手机上,客户收到短信后输入口令卡相应坐标上的数值完成交易认证,这也是一种需要M时拥
生物认证技术是指通过计算机技术,利用人类
个体自身的生理特征,进行个体身份自动识别
的一种新技术。这些个体特征包括指纹、虹膜、声音、人脸、视网膜、耳廓等人体的生物特征。生物特征之所以能用来进行个体身份
识别,是因为生物特征具存每个个体都拥有的普遍性及每个个体都不同的唯一性,以及不随年龄增长而变化的稳定性。与传统身份识别方法相比较,基于生物特征的生物认}正技术具
有动态口令卡,手机及认证密码的多因子认证方式。
有不会被遗忘和丢失,不易被伪造或被盗,随
时随地都可以使用等优点。
北京农村商业银行已经将指纹认证技术
4结语
网卜银行身份认证技术不断日新月异,有
应用于网上银行的认汪服务,提供使用指纹充
当“密码”的网E银行。“指纹Key”类似一
效地控制了网£银行的业务风险,保障了网上
银行的交易安全。生物认证方式是未来的发展方向,但由下成本高、技术复杂及客户认可度等方面的影响,与其它认证方式相比,目前还未能广泛地应用于网}:银行。而现有的认
个小型鼠标,通过USB接口与电脑相连,椭圆
形外观中央的。凹槽”读取指纹。当插入“指纹Key”后,网银窗口自动打开,点击网
上银行后,可进行“指纹密码发置”和数字
密码设置。该指纹银行一个账号可绑定8个
指纹,可输入自己的指纹,也可输入家人的指
纹,登录时只需其中的一个指纹便可登录。登录后n丁根据自己的喜好,再设置一个数字密
证技术不断地突破创新和升级换代,以及将现有认证方式有机地整合成多因子认证方式,将大大地提高r嘲银客户资金交易的安全,也提
升了客户使用网I二银行的信心,随着网上银行身份认证技术的提高与完善,网上银行客p群
易防抵赖性,支付转账只受蚓银渠道限额的控
制。码,形成双保险。
3.2现有身份认证技术的升级换代
以往的数字证书USBKey都需要安装驱动程序才能使用,提高易用性成为USBKey的发展方向,因此无驱刮的USBKey应运而生并
和交易量将不断增加;网上银行也将真正地成
为人们家中的银行。
3网上银行身份认证的发展方向
3.1生物身份认证技术
人们一直依靠证件、介质和密码等传统物品和特定知识来达到辨5jU身份的目的。然而随着社会信息化程度的越来越高。这种传统的身份验i正方式的局限性和弊端越来越明显。从身份验址的机制卜看,传统的身份识别方法是把身份识别问题转化为一些标识个体身份的事物如证件、介质,用户名及密码。这些标识个体身份的事物容易仿冒、丢失和遗忘。
参考文献
【1】乔聃,刘燕.我国网络银行面临的安全问题
且广】眨应用于网l:银行的身份认证。为厂杜绝因计算机被黑客完全控制而可能造成的非
法交易,更高级别地保护用户的交易安全,USBKey被设计成为用户通过可控按钮进行交易确认,同时内置了液品显示或语音提示芯片,将用户交易账号和金额通过液品屏显示出来,或通过内置扬声器读出来,用广,核对无误
与其防范措施【J】.时代经贸(下旬刊),2007
(5).
【21谭彬,薛质,王轶骏.网络支付体系的安全
性分析与研究【J】.信息安全与通信保密,2007(11).
后,可按FUSBKey的确认按钮才能完成交易
(上接2”页)
比如说广东省新档案馆,精心营造r一个具有浓郁文化氛围,展尿兰台人卓越。;^位的文化建筑,为公众提供r一个舒适、优美、文雅的文化休闲场所,非常富有文化的眼光。成功的档案馆建筑,可以改变人们心目中档案馆与世隔绝、神秘莫测的亥Ⅱ板印象。3.4代表建筑文化
布局中体现出文化性,展现出文化美。离开r文化美.档案馆建筑就会缺少个性,与其他建筑混为一同,成为“遗憾”的建筑。
欧美等发达国家的档案馆建筑足从社会大
忽视的一个方面,但外部环境既是对档案馆建
筑的烘托,又是对利.}tf者心境的陶冶,因此还要
考虑与周围环境建设的交融、和谐。如档案馆的选址是否安全,地理位置是否方便、便捷,周匍环境是否幽雅宁静,与附近建筑物是否保持r适当的距离,足否会有碍将来档案馆库
文化的角度去考虑它的环境选择和建筑风格,
使其与图书馆,博物馆等浑然一体。成为大文化之一族去贴近民众,在一・些细节的设计和
场馆的设施上也体现出可贵的人本观念。这
一点值得我们借鉴和学习。3.5代表和谐文化
从本质l:说,文化离不开人与自然的关系,
的扩建等等。除r馆外的设汁,在馆内适当地张贴蝗壁画、摄影图片、名人字画,不仅
能改观室内立面效果,而且能起到启迪人们心灵的作用。阅览审书架、桌椅的陈列,色调的组合也是体现档案馆文化的一种方式,和谐
文化是一个海洋。档案馆建筑按照行-Jk
来区分,又属下建筑文化的范畴,也就是说建筑同样具有文化性。美是具有广泛的幸J=会实践性的,而建筑文化一开始就表现为这种实践的美,而且这种建筑文化的荚是JF放的,融合的、创新的,既注意吸取东、西方建筑学中的先进成分,又结合本民族、本地区的特有土壤,突fIj民族,地区特色。建筑经常被称之为遗憾的作品,而档案馆建筑追求的最大目标是在体现建筑美的同时,力求从馆房设计、
人必须与外部环境进行物质交换才能存在。
人以自己为目的,通过实践的活动,使客观tH=界
的色彩会对人的心理产生一定的导向、暗示
作用,使人心情愉悦,视觉收缩自如。
总之,2l世纪的档案馆建筑要抓住现代气息和档案文化的结合点,围绕文化性,使档案馆真正地面向公众,贴近百姓,满足社会公众的不
合乎人的生存需要,这种以人的存在为轴的物
质生产活动,是人类文化的根基。建筑也是一样,需要与周围的建筑环境和谐相处.“互不相扰”,翻造一个和谐环境来维持自身的自由式发展。美观固然是档案馆建筑设计中不可
同层次的需求。
科技资讯SCIENCE&TEcHNOLOGYINFORMATION
213
网上银行身份认证方式比较与分析
作者:作者单位:刊名:英文刊名:年,卷(期):
戴元军, 周娟
戴元军(宁夏银行电子银行部,宁夏银川,750000), 周娟(大坝发电有限责任公司财务科,宁夏青铜峡,751600)
科技资讯
SCIENCE & TECHNOLOGY INFORMATION2009(11)
参考文献(2条)
1. 谭彬;薛质;王轶骏 网络支付体系的安全性分析与研究[期刊论文]-信息安全与通信保密 2007(11)2. 乔聃;刘燕 我国网络银行面临的安全问题与其防范措施[期刊论文]-时代经贸 2007(05)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_kjzx200911180.aspx