網(wǎng)上銀行迅猛發(fā)展,網(wǎng)上安全事件不斷增多����。2004年,國(guó)內(nèi)連續(xù)發(fā)生“假冒網(wǎng)站”����、“網(wǎng)銀大盜”、“快樂(lè)耳朵”等事件,給網(wǎng)上銀行和網(wǎng)銀用戶帶來(lái)了非常不利的影響�����。我國(guó)每年因信用缺失造成的損失達(dá)5855億��。在國(guó)內(nèi)各銀行網(wǎng)銀業(yè)務(wù)的1800萬(wàn)個(gè)人用戶和60萬(wàn)企業(yè)用戶中���,懂得如何使用第三方數(shù)字證書(shū)的用戶尚不到三分之一�。根據(jù)“CFCA2005網(wǎng)上銀行調(diào)查報(bào)告”表明��,在被調(diào)查的10個(gè)經(jīng)濟(jì)發(fā)達(dá)城市中�,在個(gè)人用戶中,潛在用戶和不可能用戶擔(dān)心網(wǎng)絡(luò)不安全的分別占68.7%和75.4%����;在企業(yè)用戶中,潛在用戶和不可能用戶擔(dān)心網(wǎng)絡(luò)不安全的分別占54.1%和52.1%�����。
如何才能保證網(wǎng)上交易的安全性呢��?數(shù)字證書(shū)成為有力的安全保障�。數(shù)字證書(shū)是一種由權(quán)威的公信機(jī)構(gòu)發(fā)放的、記錄著用戶和認(rèn)證機(jī)構(gòu)有關(guān)信息的電子文件。網(wǎng)上銀行交易雙方——銀行和用戶��,都各自持有與其身份綁定的數(shù)字證書(shū)�����。在網(wǎng)銀交易過(guò)程中��,雙方都要向?qū)Ψ匠鍪咀C書(shū)��,以獲得相互的信任����。這個(gè)認(rèn)證過(guò)程是以先進(jìn)的公鑰密碼技術(shù)為手段����,通過(guò)相應(yīng)的計(jì)算機(jī)程序?qū)崿F(xiàn)。每張數(shù)字證書(shū)都對(duì)應(yīng)著1對(duì)或2對(duì)密鑰——公鑰和私鑰��。公鑰在網(wǎng)上公開(kāi)����,私鑰則由用戶惟一保管。通常��,用戶的私鑰被牢牢地封裝在智能卡中,黑客是無(wú)法拿到的�����。由于私鑰的惟一性和不會(huì)泄漏的特點(diǎn)�����,使用數(shù)字證書(shū)認(rèn)證具有極安全的身份鑒別能力���。除此之外�,利用私鑰和密碼技術(shù)可以實(shí)現(xiàn)數(shù)字簽名�。經(jīng)過(guò)數(shù)字簽名的交易信息是不可竄改和不可抵賴的。在網(wǎng)上銀行交易過(guò)程中�,數(shù)字證書(shū)機(jī)制在認(rèn)證過(guò)程中還建立了高強(qiáng)度的密碼傳輸連接,以對(duì)交易信息加密����,從而保證了交易信息的真實(shí)性、保密性��、完整性和不可否定性����,極大地保證了網(wǎng)上銀行的交易信息安全��。從世界范圍看�,數(shù)字證書(shū)技術(shù)已經(jīng)被廣泛地應(yīng)用在國(guó)內(nèi)外網(wǎng)上銀行系統(tǒng)中���,至今尚未發(fā)現(xiàn)一例由于數(shù)字證書(shū)被攻破而使網(wǎng)銀詐騙得逞的案件����。
但從目前流行的一種說(shuō)法�,認(rèn)證USB Key缺乏安全性�����。針對(duì)目前出現(xiàn)的這種質(zhì)疑��,中國(guó)金融認(rèn)證中心(簡(jiǎn)稱CFCA)聯(lián)合中國(guó)工商銀行����、中國(guó)農(nóng)業(yè)銀行、中國(guó)建設(shè)銀行等15家商業(yè)銀行向廣大用戶鄭重聲明:就目前的技術(shù)水平��,只要正確使用了放在USB Key里的數(shù)字證書(shū)����,網(wǎng)上銀行就是牢不可破的�,廣大用戶可以放心使用�。
頻頻出現(xiàn)的假網(wǎng)站、網(wǎng)絡(luò)釣魚(yú)�����、木馬病毒���、短信詐騙等網(wǎng)絡(luò)盜竊案件讓網(wǎng)銀用戶“望網(wǎng)卻步”��,于是各家銀行都紛紛向用戶推薦數(shù)字證書(shū)和USB Key(數(shù)字證書(shū)是含有用戶身份信息的電子文件��,USB Key是用來(lái)存放證書(shū)和用戶私鑰并具有處理能力的一種帶智能的芯片����,形狀類似于U盤(pán))�����。但最近出現(xiàn)了一些對(duì)USB Key安全性質(zhì)質(zhì)疑的傳聞���,引起了中國(guó)金融認(rèn)證中心(CFCA)和各家銀行的高度重視�。本著對(duì)我國(guó)的網(wǎng)上銀行����、網(wǎng)上支付以及廣大用戶認(rèn)真負(fù)責(zé)的態(tài)度����,CFCA聯(lián)合15家商業(yè)銀行�,對(duì)當(dāng)前環(huán)境下USB Key的安全性再次進(jìn)行了謹(jǐn)慎的研究。為了搞清楚USB Key是否足夠安全�,是否能抵御黑客攻擊,CFCA代表15家商業(yè)銀行���,咨詢了國(guó)家計(jì)算機(jī)病毒防治的權(quán)威機(jī)構(gòu)��、查閱了USB Key技術(shù)的文獻(xiàn)資料、走訪了USB Key的生產(chǎn)廠商��,同時(shí)還和行業(yè)安全專家進(jìn)行了深入的探討�����。
國(guó)家計(jì)算機(jī)病毒防治的權(quán)威機(jī)構(gòu)的負(fù)責(zé)人表示���,沒(méi)有聽(tīng)到或發(fā)布過(guò)任何有關(guān)木馬病毒能夠攻USB Key的消息��。作為國(guó)家計(jì)算機(jī)病毒的專業(yè)防治結(jié)構(gòu)����,他們的態(tài)度是一向不贊成由廠商通過(guò)媒體去曝光病毒事件,因?yàn)檫@種曝光會(huì)使黑客收手����,從而妨礙公安部門取證和破案。公安部門(反病毒中心屬于公安部門的一部分)的做法是先取證調(diào)查��,有了結(jié)果以后才會(huì)發(fā)布�����。據(jù)這位負(fù)責(zé)人說(shuō)�����,曾經(jīng)出現(xiàn)過(guò)U盤(pán)上的數(shù)據(jù)被黑客的木馬程序竊取拷貝走的事件�����,但那不是指USB Key中的數(shù)字證書(shū)和私鑰被偷走了��,U盤(pán)和USB Key兩者不是一回事����。
行業(yè)安全專家認(rèn)為����,從目前情況來(lái)看�,USB Key是安全可靠的,并從幾個(gè)方面論述了USB Key的安全性��。USB Key中的所有數(shù)據(jù)都是以文件形勢(shì)存儲(chǔ)����,密鑰文件存儲(chǔ)在E2PROM之中。對(duì)密鑰文件的讀寫(xiě)和修改都必須由USB Key內(nèi)的程序調(diào)用��。從USB Key接口的外面����,沒(méi)有任何一條命令能夠?qū)γ荑€區(qū)的內(nèi)容進(jìn)行讀出、修改���、更新和刪除。除非設(shè)計(jì)和編寫(xiě)USB Key操作系統(tǒng)COS的人自己在COS上留了后門��,只有他才知道如何從外部調(diào)出密鑰區(qū)的內(nèi)容�。但是討論問(wèn)題時(shí)已經(jīng)排除了黑客與COS設(shè)計(jì)者相勾結(jié)的這種概率極小的前提。
產(chǎn)生公私密鑰對(duì)的程序(指令集)是USB Key生產(chǎn)商根據(jù)需求和有關(guān)標(biāo)準(zhǔn)設(shè)計(jì)并燒制在芯片中的ROM中�。公私密鑰產(chǎn)生后���,公鑰可以導(dǎo)出到USB Key外,而私鑰則存儲(chǔ)于密鑰區(qū)����,不允許外部訪問(wèn)。進(jìn)行數(shù)字簽名時(shí)以及非對(duì)稱解密運(yùn)算時(shí)��,有私鑰參與的密碼運(yùn)算只在芯片內(nèi)部即可完成�。在PKI安全認(rèn)證過(guò)程中,外部計(jì)算機(jī)中的安全認(rèn)證應(yīng)用軟件使用USB Key的API調(diào)用的方式���,輸入?yún)?shù)�、數(shù)據(jù)和命令���,啟動(dòng)USB Key內(nèi)部的數(shù)字簽名運(yùn)算����、解密運(yùn)算等�����,并獲得返回結(jié)果。由于USB Key內(nèi)部的CPU可以完成這些操作�����,全過(guò)程中私鑰可以不出USB Key介質(zhì)����,因此黑客程序沒(méi)有機(jī)會(huì)去截獲私鑰。由此可見(jiàn)��,以USB Key為存儲(chǔ)介質(zhì)的數(shù)字證書(shū)認(rèn)證在安全上無(wú)懈可擊��。
從物理方法上講�����,對(duì)USB Key芯片中的內(nèi)容作整體拷貝也是幾乎不可能的����。雖然聽(tīng)說(shuō)有人能夠從USB Key芯片在操作過(guò)程中發(fā)生的微弱的電場(chǎng)變化,以及I/O口上反映出的微弱的電平變化中分析出芯片中的代碼�。但現(xiàn)在國(guó)際上對(duì)USB Key生產(chǎn)商的技術(shù)要求很高,要求上述的指標(biāo)要低到不能夠被測(cè)出來(lái)�����。國(guó)際上能夠生產(chǎn)USB Key的公司只有少數(shù)幾家����,他們都采用了種種安全措施,確保USB Key內(nèi)部的數(shù)據(jù)不能用物理方法從外部拷貝�。
綜上所述,網(wǎng)上銀行USB Key數(shù)字證書(shū)是安全可靠的���。
