网上银行安全问题

第一篇：网上银行安全问题姓名：曾凯学号：0900590229网上银行个人认证介质——安全工具目前常用的认证介质有：1.2.3.4.5.6.1密码密码是每一个网上银行必备有认证介质，记得要使用安全好记的密码就是。但是密码非常容易被木马盗取或被他人偷窥。安全系数30%家便捷系数100%1.1网银密码应用需求正确鉴别用户的个人身份及权限保证交易数据的真实性和完整性保证交易数据的机密性抗抵赖审计能力密钥管理密码文件数字证书动态口令卡动态手机口令移动口令牌移动数字证书1.2网银密码应用技术体系框架身份鉴别网上银行系统应识别每个访问实体的真实身份鉴别信息安全鉴别方式静态口令动态口令公钥证书身份鉴别信息与网上银行系统的绑定1.3数据机密性保证敏感数据不被泄露或非授权使用敏感信息包括但不限于身份鉴别信息账户信息账户口令交易指令金额1.4安全审计应详细记录交易日志，为交易的抗抵赖、争议仲裁及责任认定提供依据审计数据产生审计查阅审计事件存储审计日志签名操作抗抵赖原发抗抵赖具有惟一性的数据域表征报文特征的数据域交易相关数据域1.5交付抗抵赖具有惟一性的数据域表征报文特征的数据域交易相关数据域交易应答数据域文件数字证书文件数字证书是存放在电脑中的数字证书，每次交易时都需用到，如果你的电脑没有安装数字证书是无法完成付款的；已安装文件数字证书的用户只需输密码即可。未安装文件数字证书的用户安装证书需要验证大量的信息，相对比较安全。但是文件数字证书不可移动，对经常换电脑使用的用户来说不方便（支付宝等虚拟的一验证手机，而网上银行一般要去银行办理）；而且文件数字证书有可能被盗取（虽然不易，但是能），所以不是绝对安全的。数字证书是一种由权威的公信机构发放的、记录着用户和认证机构有关信息的电子文件。专门负责为网上银行提供安全服务的金融行业统一的认证机构——中国金融认证中心(简称CFCA)用户要想领到中国金融认证中心的证书，需要先到已经开通这项业务的商业银行网点去办理申请手续，得到审批准许后，即可通过一定的步骤从网上下载证书。安全系数70%便捷系数100%（家庭用户）30%（网吧用户）提供商：招商银行中国农业银行2.1通讯过程—用户验银行如果客户A想和银行B通信，他首先必须从数据库中取得银行B的证书，然后对它进行验证。即户A只需验证银行B证书上CA（中国金融认证中心）的签名。用户拿到银行的证书，即获得银行的公钥。用户用公钥加密一串随机数发给银行，若银行能用私钥解密并发回，则证实对方的银行身份。银行验用户网上银行交易双方——银行和用户，都各自持有与其身份绑定的数字证书。在网银交易过程中，双方都要向对方出示证书，以获得相互的信任。用户的私钥被牢牢地封装在智能卡中，黑客是无法拿到的。2.2智能卡---u盾2.2.1u盾在U盾初始化的时候，先将密码算法程序烧制在ROM中，然后通过产生公私密钥对的程序生成一对公私密钥，公私密钥产生后，密钥可以导出到U盾外，而私钥则存储于密钥区，不允许外部访问。对密钥文件的读写和修改都必须由U盾内部的CPU调用相应的程序文件执行，从而U盾接口的外面，没有任何一条指令能对密钥区的内容进行读取、修改、更新和删除，这样可以保证黑客无法利用非法程序修改密钥（除非知道u盾密码）。进行数字签名时以及非对称解密运算时，凡是有私参与的密码运算只在芯片内部即可完成，全程私钥可以不出U盾介质2.2.2u盾工作—对用户的验证将银行发来的一串数据拿到u盾用私钥加密后，发往服务器端对比服务器用公钥解密，然后验证你的身份服务器中的公钥从用户的个人证书中获得动态口令卡动态口令卡是一种类似游戏的密保卡样子的卡。卡面上有一个表格，表格内有几十个数字。当进行网上交易时，银行会随机询问你某行某列的数字，如果能正确地输入对应格内的数字便可以成功交易；反之不能。动态口令卡可以随身携带，轻便，不需驱动，使用方便，但是如果木马长期在你的电脑中，可以渐渐地获取你的口令卡上的很多数字，当获知的数字达到一定数量时，你的资金便不再安全，而且如果在外使用，也容易被人拍照。安全系数50%便捷系数80%提供商：中国工商银行中国农业银行3.1（二）特点一次一密、安全可靠客户为了便于记忆，经常使用位数少、简单，或有规律的静态密码，这样的密码容易被犯罪分子破解；位数多、复杂的静态密码并经常更换的话，又很容易造成密码混乱或是遗忘的情况。相比之下，动态口令一次一密的方法，克服了上述缺点，不需客户记忆，每次按卡使用新的密码，同时简单而有效的解决了“木马”病毒窃取网上银行密码的问题。操作简单、方便快捷动态口令的生成与客户电脑无关，不需要在客户的电脑上安装任何程序。技术成熟、应用广泛动态口令技术有二十多年的发