您好,欢迎访问三七文档
网上银行U盾网络的发展,出现了电子商务,并且迅速地发展。电子商务有着无比的优越性:方便,高效,快速,经济等,被人们推崇。但涉及到钱的问题,所以对安全很明感,必须要有一整套的安全措施来保障交易的安全。网银网上银行又称网络银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转账、信贷、网上证劵、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说,网上银行是在Internet上的虚拟银行柜台。网上银行又被称为“3A银行”,因为它不受时间、空间限制,能够在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyway)为客户提供金融服务。U盾U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。•支付更方便●•交易更安全●•功能更全面●•服务更多样●特点传统的安全保障措施就是用户名和密码,显而易见,这是很不安全的。IC卡:是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据。IC卡由专门的设备生产,是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。简单易行,但容易被留驻内存的木马或网络监听等黑客技术窃取。U盾安全性分析现在的网络支付中存在着很多缺陷!•在用户和银行交易的过程中,被第三方通过各种方法截获数据流,分析数据中的信息从而得到用户的信息。网络数据流的•用户电脑中了病毒或者木马之后,电脑被监听,用户和银行交易的信息被木马记录,用户的信息就这样被盗了。木马的窃听•如果持卡人的密码是未经过改动的初始密码或一个特殊、容易被分析的数字,则密码很容易被攻击者穷举出来。穷举攻击•第三方假冒银行或者交易的网站,对没有认真辨别的情况下,用户很容易上当从而泄露自己的信息。网络钓鱼U盾---网银安全的卫士U盾又作移动数字证书,它存放着你个人的数字证书,并不可读取。同样,银行也记录着你的数字证书。当你尝试进行网上交易时,银行会向你发送由时间字串,地址字串,交易信息字串,防重放攻击字串组合在一起进行加密后得到的字串A,你的U盾将根据你的个人证书对字串A进行不可逆运算得到字串B,并将字串B发送给银行,银行端也同时进行该不可逆运算,如果银行运算结果和你的运算结果一致便认为你合法,交易便可以完成,如果不一致便认为你不合法,交易便会失败。采用了目前国际领先的信息安全技术,核心硬件模块采用智能卡CPU芯片,内部结构由CPU及加密逻辑、RAM、ROM、EEPROM和I/O五部分组成,是一个具有安全体系的小型计算机U盾U盾的安全措施1.硬件PIN码保护U盾采用了使用以物理介质为基础的个人客户证书,建立基于公钥PKI技术的个人证书认证体系(PIN码)。黑客需要同时取得用户的U盾硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码泄露,U盾没有丢失,合法用户的身份就不会被仿冒,如果用户U盾丢失,其他人不知道用户的PIN码,这也是无法假冒合法用户的身份。2.安全的密钥存放U盾的密钥存储于内部的智能芯片中,用户无法从外部直接读取,对密钥文件的读写和修改都必须由U盾内部的CPU调用相应的程序文件执行,从而U盾接口的外面,没有任何一条指令能对密钥区的内容进行读取、修改、更新和删除,这样可以保证黑客无法利用非法程序修改密钥。3.双密钥密码体制为了提高交易的安全,U盾采用了双钥密码体制保证安全性,在U盾初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,密钥可以导出到U盾外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,凡是有私参与的密码运算只在芯片内部即可完成,全程私钥可以不出U盾介质,从而来保证以U盾为存储介质的数字证书认证在安全上无懈可击。4.硬件实现加密算法U盾内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在U盾内进行,保证了用户密钥不会出现在计算机内存中。(二)U盾进行银行和客户身份的双向认证1、基于冲击-响应认证模式USBKey内置单向散列算法(RSA),预先在USBKey和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给客户端PC上插着的USBKey,此为“冲击”。USBKey使用该随机数与存储在USBKey中的密钥进行RSA运算得到一个运算结果作为认证证据传送给服务器,此为“响应”。与此同时,服务器使用该随机数与存储在服务器数据库中的该客户密钥进行RSA运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。2.基于PKI的数字证书的认证模式PKI(PublicKeyInfrastructure)即公共密钥体系,即利用一对互相匹配的密钥进行加密、解密。一个公共密钥(公钥,publickey)和一个私有密钥(私钥,privatekey)。其基本原理是:由一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地存放起来。每个用户拥有一个仅为本人所掌握的私钥,用它进行解密和签名;同时拥有一个公钥用于文件发送时加密。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。(三)U盾的交易过程使用U盾前,一般都要安装驱动,使U盾能正常工作。另外安装数字证书认证身份。当用户需要交易向银行提交订单要支付的时候,这时要验证用户的身份,系统提示用户插入U盾,并输入U盾的密码,系统会在后台验证,用户看不到过程,一经验证通过,用户就可以使用继续输入网上支付密码和验证码,验证都正确后交易就完成。有了U盾,交易就是很安全的,可以说是无懈可击。超级网银超级网银(Sup央行er-Internet-Bank)具有:统一身份验证、跨行账户管理、跨行资金汇划、跨行资金归集、统一直联平台、统一财务管理流程、统一数据格式等七种产品特色。使用传统网银,想知道自己在各家银行账户情况如何,需进行多次登陆、查询操作。而Super-Bank通过统一的操作界面,查询管理多家商业银行开立的结算账户资金余额和交易明细,一个工行U盾完成所有银行网银登陆。使用Super-Bank,可直接向各家银行发送交易指令并完成汇款操作。Super-Bank并有强大的资金归集功能,可在母公司结算账户与子公司的结算户之间建立的上划下拨关系。超级网银安全隐患也随之显现使用第一代网银系统时,黑客若入侵需从各家银行逐个突破。但是一旦使用第二代支付系统之后,黑客只要攻破其中一家,便将盗取用户所有账户上的资金。对于“超级网银”的收费,此前有媒体援引央行内部人士的说法称,超级网银在前期推广阶段很可能免费,但“一切都以央行红头文件为准”。分析人士认为,目前各家银行各项费用存在差异,但新系统使得各家银行网银成本减少,转账手续费标准有一定下调的空间。
本文标题:18U盾安全分析
链接地址:https://www.777doc.com/doc-3247855 .html