建行网上银行安全性研究.doc

建行网上银行安全性研究 随着前段时间几起网银盗取客户资金的案件发生,网上银行安全性问题也成为大家关注的焦点.很多人因为担心资金的安全不愿意用网上银行这种方便快捷的方式,到底我们建行的网上银行的安全系数多少呢?让我来做一个简要的分析. 一、关于签约流程 最近网银被盗案件的发生引起了建行的高度重视，网上银行的安全措施不断增加，其中签约流程方面的变化是最大的。客户签约网上银行业务，需先在建行网站进行注册。网上注册的第一布是阅读风险提示，其中列出了多种诈骗的手段，通过客户阅读风险提示，能有效防范通过网络诈骗的方式盗取客户资金的行为，避免一些不明真相的客户上当受骗。 客户来柜台做网上银行签约业务，柜员必须向客户核实网上银行的使用目的是否正确，使用地点是否安全，并核对客户所填写的手机号是否为本人所有，通过联网核查系统核实客户的身份证件等，这些措施从源头上保证了客户资金的安全性，确保客户正确使用网上银行，避免一些不法分子钻空子。 二、关于密码 首先，登录网上银行需要客户输入用户昵称/证件号码、登录密码和附加码。无论是有证书客户还是无证书客户，输入正确即可登录建行的网上银行。黑客盗取客户密码的方式，总的来说有以下几种： 1.通过键盘记录盗取密码。键盘记录型的木马是一种比较简单的木马。它的原理就是将木马的服务器程序安装到您的计算机上，也是我们通常所说的“中了木马”，这时，您的键盘敲击的操作就会以点子邮件等方式发送给黑客，这是非常危险的。建行的网上银行有一个比较高级的密码输入器（如下图），建议您在操作的时候不要选择“使用键盘输入”，而是通过点击鼠标的方式使用密码键盘器输入，这样可以有效的对付此种木马。 2.通过记录鼠标动作盗取密码。一些别有用心的木马设计者也许会通过分析您在通过密码键盘器输入密码时鼠标点击的位置判断您的网银密码。黑客盗取您鼠标点击位置的坐标，通过这些坐标模拟出您的密码的几种可能性，这样很容易就能试出密码。建行网银的这个密码键盘器的一个非常安全的设计就是密码键盘器的上面绿色的部分，十个数字显示的顺序是随机的。这样，黑客即使是盗取了鼠标的坐标，也不可能知道您的密码是多少。这就决定了打算靠记录鼠标动作破解密码的黑客完全无法得逞。 3.密码发送型木马盗取密码。此种木马可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。所以提醒各位网银客户注意，尽量不要把密码记在电脑里的某个文件里，如果怕忘记，倒不如记在纸上安全更安全些。 4.暴利破解密码。所谓的暴利破解可不是指的把电脑砸扁，而是通过一次次的运算试出密码。由于电脑运算的强度可能非常大，极有可能造成您的电脑运行速度减慢，所以称之为暴利破解。由于建行的网上银行每天允许密码输入错误的次数只有两次，而且每次登录都需要输入系统随机产生的验证码，所以暴利破解密码的可能性几乎没有。但还是要提醒大家注意，您的密码长度不要太短，也不要设的太简单，单纯的数字和单纯的字母都更容易被破解。最好是将密码修改为数字和字母结合。 如果按照以上注意事项操作了，可以看出，即使是无证书客户，建行的网上银行也是比较安全的，更何况无证书的客户只能办理查询、小额网上交易等风险较小的业务。 二、关于数字证书 让我们看看数字证书是什么。数字证书也叫数字标识 (Digital Certificate，Digital ID)，由权威公正的第三方机构-认证中心，即CA(Certificate Authority)签发，主要用于网上安全交往的身份认证，通俗地讲，数字证书就是个人或单位在网络上的身份证。它实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在电脑硬盘或IC卡中。数字证书用来证明证书主体（证书申请者被发放证书后即成为证书主体）与证书中所包含的公钥的唯一对应关系。证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA数字签名及证书有效期等内容。每个网银用户在浏览器端安装客户证书后，通过证书的保护，可以在客户端浏览器与建行网银系统之间建立起安全的加密通道。保证了客户的信息不会在传输过程中被黑客篡改。对每个客户而言，该证书是唯一的。数字证书是被国内外普遍采用的一整套成熟的信息安全保护措施。 建行的网上银行中数字证书的存储介质有两种，一种是文件证书，一种是磁介质存储，也就是USBKey。由于黑客技术已经发展到能够通过木马程序盗取建行网银文件证书的程度，单纯的文件证书的安全性越来越多的得到质疑，这就迫使我行投入更多的力量去研发更加安全的网银防盗技术。建行现在已经停止了在签约时只选择使用文件证书的方式，取而代之的是动态口令卡和USBKey任选其一。 USB Key是一种USB接口的硬件设备，外形如U盘。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，从而保证了用户认证物理方式的安全性。黑客如果想要通过破解加密狗的方法破解USB Key，那么需要先偷到用户USBKey硬件本身，没有哪个用户会将自己的USBKey拱手奉献给黑客，因此，盗取使用USBKey的客户的证书的难度远比文件证书大的多，目前还没有发生USBKey客户网银被盗案，USBKey是目前保障网银安全的最有力的手段。 三、关于动态口令卡 动态口令卡是动态口令的载体。每张动态口令卡覆盖有30个不同的口令。在启用动态口令卡后，进行网上银行办理转账汇款、缴费支付、网上支付等交易时需按顺序输入动态口令卡上的密码，每个密码只可以使用一次。动态口令是一种动态密码技术，即每次在网上银行进行资金交易时刮开一个密码，进行交易确认。因此使用动态口令能够有效防范“假网站”和“木马”病毒窃取网上银行密码所带来的安全风险，提高网上银行交易的安全性。它不需要设置、记忆，每次都使用新的密码，彻底解决了一些不法分子在客户端利用“木马”病毒窃取网上银行密码的问题，是一种安全、方便、经济的防盗手段。 如果USBKey和动态口令卡同时使用，那就从服务器端和客户端都堵住了黑客下手的突破口，理论上没有盗走客户的资金的可能了。 另外，建行网上银行的账号保护、短信服务、设置私密问题等功能也是有效的安全措施。 由此可见，建行网上银行在安全方面采取了大量人性化的措施，各种安全手段互为补充，共同构筑了建设银行网上银行的安全体系，全面保证了客户的信息和资金安全，最大限度的降低了客户使用网上银行的风险，为客户打消了后顾之忧。您完全可以放心大胆的使用建行的网上银行。不过还有几点是要提醒大家注意的，第一，尽量通过在地址栏中输入“”登录建行网上银行。您可以把这个网址放在收藏夹中方便以后使用。不要点击其它网站上建行网银页面的链接，以免进入“假网站”造成资金风险。事实上，通过诱导网银客户登陆“假网站”窃取网银客户的资金是最容易得逞的一种手段了。这方面的案例也是最多的。第二，对网上银行办理的各项业务做好记录，定期查看交易明细，如发现异常交易或账务差错，应该及时与银行联系。银行网站或者网上银行服务如有变化，会提前公告用户。银行绝不会因为系统调整等原因让用户提供网上银行的密码或口令。如果出现这种情况，一定是有不法分子假冒银行。第三，如果由于登录假网站或数字证书保管不慎等原因发现资金被盗，应立即通知银行，关闭网上银行，及时修改相关交易密码等。避免更大的损失。第四，不要在网吧等公共场合使用建行的网上银行。 当然，没有一劳永逸的安全。电脑上安装杀毒软件和防木马工具并经常升级也是必须的。现在的杀毒软件一般都带有查杀木马的功能。防毒是一个长期的过程。经常杀毒和给杀毒软件升级能有效的阻止黑客的入侵，给自己的电脑筑一个安全的城墙。 既然山东大学的王小云教授曾经破译了几乎标志着世界通信密码标准的MD5，那建行的网上银行系统也不可以说是完全坚不可摧的。但这种可能性微乎其微，几乎是可以忽略掉的。事实上，使用网上银行的安全系数比到银行办理业务的安全系数还要高。因为担心网上银行的安全性而不去使用它就好像担心飞机失事而改乘其他交通工具一样可笑。乘坐飞机的安全系数比乘汽车要高不知道多少倍。 总的来说，网上银行是安全的。只要您有足够的防范措施，您完全可以放心地用。在真正使用它之后，您一定会为它的方便快捷所吸引。网上银行系统安全技术说明：EfJ% 1、什么是CA？ j,v c1 CA （Certification Authority）是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（用数学方法在证书上签字），以防证书被伪造或篡改。 SMzd; hE_l M0Al 2、什么是SSL？ 1t;t,:,1 SSL是一种国际标准的加密及身份认证通信协议，您用的浏览器就支持此协议。SSL（Secure Sockets Layer）最初是由美国Netscape公司研究出来的，后来成为了Internet网上安全通讯与交易的标准。SSL协议使用通讯双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通讯，在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备以下基本特征：信息保密性、信息完整性、相互鉴定。 R|M,jF 1.cqU,kz 3、什么是数字证书？ d|tr(xY 数字证书也被称作CA证书（简称证书），实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在电脑硬盘或IC卡中。数字证书一般是由CA认证中心签发的，证明证书主体（证书申请者获得CA认证中心签发的证书后即成为证书主体）与证书中所包含的公钥的唯一对应关系。证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书有效期等内容。 y!SBr*ZcR 4T0|2o 4、数字证书的作用是什么？ pX50 QJ 数字证书的工作原理是比较复杂的。简单地讲，结合证书主体的私钥，证书在通信时用来出示给对方，证明自己的身份。证书本身是公开的，谁都可以拿到，但私钥（不是密码）只有持证人自己掌握，永远也不会在网络上传播。 在网上银行系统中，有三种证书：银行CA认证中心的根证书、银行网银中心的服务器证书，每个网上银行用户在浏览器端的客户证书。有了这三个证书，就可以在浏览器与银行网银服务器之间建立起SSL连接。这样，您的浏览器与银行网银服务器之间就有了一个安全的加密信道。您的证书可以使与您通讯的对方验证您的身份（您确实是您所声称的那个您），同样，您也可以用与您通讯的对方的证书验证他的身份（他确实是他所声称的那个他），而这一验证过程是由系统自动完成的。 VnG9 z3 +?_Gs? 5、什么是根证书？ )$ IW 根证书是CA认证中心给自己颁发的证书，是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。首次登录网上银行，根据系统提示必须下载并安装建行CA认证中心颁发的根证书及您的客户证书（二者缺一不可），以保证您网上交易的安全。 $HvDYS ;7 Yw 2%G) 6、什么是服务器证书？ $5at f 服务器证书是CA认证中心颁发的、安装在服务器上用以证明服务器身份的证书。 GCu-Z8NDN S%P?NFIB 7、什么是客户证书？ ECM-aK 客户证书又称浏览器证书，是指由CA认证中心颁发的、安装在客户浏览器端使用的8、个人或企业证书。 4t.R:b c E vak(x 8.数字证书应如何正确使用？ rPO mt CA认证中心签发证书后，证书的持有者给其他人、Web站点提供他的证书来证明他的身份，以建立加密的、可信的通讯通道。在银行网上银行系统中，下载客户证书及CA根证书的过程即是将这些证书安装到您的浏览器的过程，浏览器（IE4.0以上版本及NETSCAPE COMMUNICATOR4.0以上版本）会引导您完成安装过程。在用户进入网上银行交易之前，浏览器与服务器之间建立SSL安全通道时，会自动使用双方的证书，所以，在进入交易之前，您应保证您的客户证书及CA根证书已经安装在您的浏览器中。客户证书及私钥是您在INTERNET网上进行安全交易的基础，您应保持私钥的秘密性。在完成证书下载后，建议您立即备份客户证书及私钥。您的私钥是有密码保护的，在导出证书及私钥时，系统将提示提供该密码，因此，您应牢记这个密码，并定期更换密码。这个密码不应告诉别人，否则他可以得到您的证书及私钥，完全冒充您的身份在网上银行交易。 在NETSCAPE COMMUNICATOR4.04中备份证书及私钥的方法是：选择安全按钮，选证书中的你的，在显示的证书中选择用于银行网银中心的客户证书，选择输出按钮，最好将其存储在软盘上，放在安全的地方。在INTERNET EXPLORER4.0中备份证书及私钥的方法是：选择查看按钮，选INTERNET选项，在内容标签中选择证书的个人按钮，选择用于银行网银中心的客户证书，选择导出按钮，最好将其存储在软盘上，放在安全的地方。 $c03wUU W3:m;14 9、数字证书下载失败怎么办？ 25Yw#;R 证书下载时，因网络中断等原因将造成下载失败。如果您是在开户时下载证书失败，请按浏览器的后退键，退回到网上开户的页面，再重新开户申请；如果您是在证书更新时下载失败，您只需重新下载。 J#MZ56 C. zH, 10、数字证书不小心丢了怎么办？ F1l?v 如果因为病毒、PC机重装等原因而遗失证书时，您可以恢复已备份的客户证书（注意：导入时必须键入备份时的密码），具体分为以下两种情况。在NETSCAPE COMMUNICATOR 中恢复证书的方法是：选择安全按钮，选证书中的你的，选择输入证书按钮；在INTERNET EXPLORER 中恢复证书的方法是：选择工具按钮，选INTERNET选项，在内容标签中选择证书的个人按钮，选择导入按钮。但最安全的做法是终止网银服务，然后重新开户。 H#$Q,9C ERU 5c 11、数字证书到期后怎么办？ :qbuF8 某些银行CA认证中心提供的数字证书有一年或两年的有效期限。数字证书到期后您将不能再进入网上银行交易系统。因此，在证书到期前您需要及时更换新的证书。到期换证有两种途径：登录网上银行时，网银系统将提示您证书即将到期，请到CA站点上自动换证，并提供CA站点的URL超链接。您只需点击该URL到CA站点实时下载新的证书即可。换证后您客户个人证书的CN不会发生变化；如果证书已经过期，您就只能到CA中心提供的一个专门站点申请换证，具体操作步骤参见网银外部网页上的有关说明。有关数字证书的几点认识：一、什么是数字证书数字证书也被称作证书（简称证书），实际是一串很长的数学编码，包含有客户的基本信息及的签字，通常保存在电脑硬盘或卡中。数字证书一般是由认证中心签发的，证明证书主体（“证书申请者”获得认证中心签发的证书后即成为“证书主体”）与证书中所包含的公钥的唯一对应关系。证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的的数字签名及证书有效期等内容。二、数字证书的作用是什么数字证书的工作原理是比较复杂的。简单地讲，结合证书主体的私钥，证书在通信时用来出示给对方，证明自己的身份。证书本身是公开的，谁都可以拿到，但私钥（不是密码）只有持证人自己掌握，永远也不会在网络上传播。三、例解建行的三种证书在建行网上银行系统中，有三种证书：建行认证中心的根证书、建行网银中心的服务器证书，每个网上银行用户在浏览器端的客户证书。有了这三个证书，就可以在浏览器与建行网银服务器之间建立起连接。这样，您的浏览器与建行网银服务器之间就有了一个安全的加密信道。您的证书可以使与您通讯的对方验证您的身份（您确实是您所声称的那个您），同样，您也可以用与您通讯的对方的证书验证他的身份（他确实是他所声称的那个他），而这一验证过程是由系统自动完成的。根证书是认证中心给自己颁发的证书，是信任链的起始点。安装根证书意味着对这个认证中心的信任。首次登录建行网上银行，根据系统提示必须下载并安装建行认证中心颁发的根证书及您的客户证书（二者缺一不可），以保证您网上交易的安全。服务器证书是认证中心颁发的、安装在服务器上用以证明服务器身份的证书。对于建行网上银行系统而言，就是安装在建行网银服务器上的证书。客户证书又称浏览器证书，是指由认证中心颁发的、安装在客户浏览器端使用的个人或企业证书。四、数字证书应如何正确使用：认证中心签发证书后，证书的持有者给其他人、站点提供他的证书来证明他的身份，以建立加密的、可信的通讯通道。 以建设银行为例，在建行网上银行系统中，下载客户证书及根证书的过程即是将这些证书安装到您的浏览器的过程，浏览器（4.0以上版本及 4.0