分享银行KEY:互联网金融安全问题之新解

未央网 作者: 李中元

最近媒体大量报道了各种网络诈骗,各地警方也发出了警示信息,有些地方警方的公共信息网络安全监察处(大队)对常见的网络诈骗进行了总结,犯罪分子大都通过电子邮件、免费WIFI、假冒网站、“木马”和“黑客”技术、短信链接、破解用户“弱口令”、补办用户SIM卡、伪基站等非法获取用户的账号、密码、手机验证码、动态口令等信息,然后窃取用户账户资金。

网上交易平台一般采用静态密码、密码控件、生物识别、图片验证码、短信验证码、Token、软证书和硬证书等进行交易认证。这些认证方式可以分为弱认证和强认证,交易验证的手段越强,越可以有效地防范交易风险,但便利性会差。各认证方式的功能及可能问题如下表:

分享银行KEY:互联网金融安全问题之新解

被普遍使用的校验客户静态交易密码的认证方式,具有其局限性,一是客户的风险意识不强,无意识地泄露了自己的账户信息和交易密码,就有可能“说者无心,听者有意”,导致账户安全受到威胁。二是此种方式容易被恶意偷窥、木马窃取等方式盗用,黑客可以利用这些方式恶意操纵客户账户、从中谋取非法利益。

关于短信验证码的方式,央视新闻近期推送的《“伪基站”说了这么多次,你要还不了解,很可能被骗》的文章中,对伪基站的手法、后果进行了分析;人民银行2016年3月正式下发《金融业信息安全风险提示》风险提示表明,提示手机验证码短信被黑客拦截的手段、风险和后果。

分享银行KEY:互联网金融安全问题之新解

上述交易认证方式中,认证效力最强、最安全的认证方式就是硬数字证书的方式。数字证书的存放介质,在国家GB/T《信息安全技术公钥基础设施 签名生成应用程序的安全要求》中明确规定:以文件证书形式存放是不安全的,更不能存放在硬、软盘中。也就是说虽然数字证书是网络身份证,但并不能作为“文件证书”存放在PC机的硬盘中,即用即插,用完收存,有效避免被窃取。

我们到各商业银行开通网银特别是专业版网银时,一般都会被推荐办理一个类似U盘的东西,不同银行对其的命名各异,如usbkey、Ukey、优K、K宝、U盾、网银盾等。这些名称不同、实际功能一致的硬件设备统称为key,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,这种认证手段是目前网络世界里最安全的认证手段。现代密码学认为“一切秘密蕴于密钥”,只有保证密钥的安全,才能保证认证体系的安全。加密安全运算在密钥内部完成,使攻击者无法跟踪分析,可以有效地保护加密主体的安全。

硬数字证书的安全性毋庸置疑,银行、税务、政府部门等对安全性高的部门对重要的交易普遍采用了这种方式,分析一下,上述部门都具有如下特征:

分享银行KEY:互联网金融安全问题之新解

也就是说,自发数字证书有两个条件必须满足,一是资金雄厚,技术实力强大,因为自发key的资金投入至少上百万,还要有较强的技术整合能力。可以理解为“腰粗”。二是拥有遍布全国各地的网点,也就是有受理机构来完成key的面签、发放、更换等环节,可以理解为“腿多”。

各行各业都发自己的key,从最终用户角度来说就是一人多key,携带、管理非常不方便,从社会的角度来说,就造成了资源的浪费。公安部三所、电信运营商意识到了问题的存在,提出的解决方案是:利用其特有的优势资源发行他们的跨行业key,来替代各行业key。公安部三所依托公安部发行互联网身份证——eID,电信运营商在给客户更换的USIM卡中置入数字证书,但都要给最终用户发放或更换硬件。

是否有更好的方法?我们想到了目前风靡全世界互联网金融圈的比特币、区块链技术,其实每一个账户就是数字证书的公钥,掌握相对应私钥的人就认为是该账户的所有人。这种公钥向全世界公开,私钥自己掌握的使用方式是否能用于银行、税务、政府部门等所发行的数字证书?就这个问题,山东大学网络信息安全研究所孔凡玉副教授介绍表示:数字证书是在PKI体系框架下公钥的表现形式,可以公开,但私钥必须保密,银行、税务、政府部门等发放的key内私钥不能导出,我们只要获得相应的公钥,完全可以应用到别的行业,实现key共享。

实际上,依据《电子签名法》发放数字证书的CA也提供数字证书查询功能,如下图就是某个CA的查询结果:

分享银行KEY:互联网金融安全问题之新解

分享银行KEY:互联网金融安全问题之新解

也有很多互联网金融企业认识到key的安全性,从发放的网点、成本、技术等方面考虑,尝试使用银行、税务、政府部门等所发行的key,其中比较有影响力的是工行U盾应用于支付宝。

分享银行KEY:互联网金融安全问题之新解

互联网金融的本质还是金融,金融行业一个明显的特征是“利润当前、风险滞后”,金融行业的风险具有隐蔽性,“隐患险于明火”。在互联网金融如火如荼发展的阶段,被安全拖了后腿,非常可能“辛辛苦苦几十年,一夜回到解放前”,绝对的得不偿失。2016年是互联网金融从乱到治的关键转型期,提前自我升级的从业者将有更大机会脱颖而出,有远见的互联网企业应该投入精力引入更为先进的安全技术和产品,占据先机。

其实,分享的银行key除了提供最安全最便捷的交易认证外,依据《电子签名法》还可以提供电子证据,有机会再详细说。