文档介绍：28 理论探讨
编者按:当今网络环境日趋复杂,网络应用良莠不齐,利用互联网实施经济犯罪的活动,
正在全球范围蔓延。随着网络用于支付活动大规模增加,为防止可能出现的针对网络交易
的各种犯罪活动,必须采取安全可信的网络支付手段为保障。作为重要的国家金融信息安
全基础设施之一,中国金融认证中心(CFCA)多年来开拓创新,勇于探索,在网上银行身
份认证与交易安全防范方面积累了大量的经验。
网上银行身份认证
与交易安全防范探讨
■中国金融认证中心李晓峰关振胜
网络层安全防范听,提取用户和口令;
网上银行是借助于互联网数字通信技术,向客户提供金认证信息截取/重放:有的信息重新进行简单加密,攻击
融信息发布和金融交易服务的电子银行,它是传统银行业务者无法用上述方法,即用截取/重放方式;
在互联网上的延伸,是电子虚拟世界的银行。在网上银行的字典攻击:也称暴力破译,使用字符串的全集作字典,
网络组成中,为防止外部的黑客的攻击,在一些重点网段设很容易用穷举算法解出用户口令;
置异构的多道防火墙,不同的防火墙,具有不同安全阻断、窥探法:攻击者利用被攻击系统接近的机会,安装监视
过滤非授权攻击的防范机制,黑客即使攻破第一道防火墙, 器或亲自窃探合法用户口令;
不一定能攻破第二道,不同的防火墙要合理地开放不同的接网上钓鱼:即克隆制造一个与真正网站极相似的网页,
口,能有效地防止黑客程序的攻击;再设置安全路由器,以利用人们视觉的错觉,骗取用户输入真实口令。
过滤辅助防火墙防止外部黑客程序的攻击。由于以上实践证明,国内外银行分别取消了这种传统的
设置入侵检测装置IDS。IDS可以自动扫描系统的漏洞, 口令+ID的登录方式。这是人们认识的进步。
扫描来自网络外部的攻击,并能自动杀毒或阻断某些攻击, 动态口令认证。动态口令(Dynamic Password)认证也
它还可以对于某些黑客攻击程序提出报警,用户可以及时断称一次性口令,简称OTP (One Time Password )。银行和客
开系统或启动杀毒程序。户在遭到黑客对静态口令的各种攻击之后,众多银行采取了
设置防黑客软件系统。现在,防止黑客攻击网站的程动态口令。
序已经有很多,需要选择功能较强的产品,安置于网站服务动态口令按其产生的方法,有真随机数和伪随机数的
器。它可以在一定程度上防阻某些黑客程序的攻击和侵入。产生方法。伪随机数的产生还是有重复的可能。前一时间有
在网络层实施安全机制是网上银行安全防范的重点之一。的银行还是为所谓方便客户,向人们推荐了“刮刮卡”,这
其实,上述不安全隐患的发生往往来自银行方面采取种“刮刮卡”是很便宜,银行甚至可以白送客户,但它操作
了不适当的安全机制。银行自以为采取这种最简单的登录方起来十分不方便,银行的维护工作量增加。银行要向客户面
式,在网上银行的开办初期会大量面向普通大众方便上网, 对面发放这种卡,还有建立很大的数据库,将卡号与身份绑
在市场发展期大量吸收客户,但忽略了另外一个问题,就是定。这种卡是伪随机数的产生方法,由X——Y坐标定位,一
黑客们很快就摸清了银行的这种简单认证机制,黑客的“假张卡存有42个口令密码,二维坐标有的定位6位口令,有的
冒通知”也好,“网上钓鱼”也好,