欢迎来到牛牛文库! | 帮助中心 分享知识,快乐你我!
牛牛文库
换一换
首页 牛牛文库 > 资源分类 > DOC文档下载
 

网银U盾安全漏洞的分析.doc

  • 资源ID:3422       资源大小:28.00KB        全文页数:4页
  • 资源格式: DOC        下载权限:游客/注册会员/VIP会员    下载费用:15金币 【人民币15元】
快捷注册下载 游客一键下载
会员登录下载
三方登录下载: QQ登录   微博登录  
下载资源需要15金币 【人民币15元】   |   0.1元文档测试下载
邮箱/手机:
温馨提示:
支付成功后,系统会自动生成账号(用户名和密码都是您填写的邮箱或者手机号),方便下次登录下载和查询订单;
支付方式: 微信支付    支付宝   
验证码:   换一换

加入VIP,免费下载资源
 
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

网银U盾安全漏洞的分析.doc

网银 U 盾安全漏洞分析USB Key 是一种 USB 接口的硬件存储设备。USB Key 的模样跟普通的 U 盘差不多,不同的是它里面存放了单片机或智能卡芯片,USB Key 有一定的存储空间,可以存储用户的私钥以及数字证书,利用 USB Key 内置的公钥算法可以实现对用户身份的认证。目前 USB Key 被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。 USB Key 在网上银行中,被用作客户数字证书和私有密钥的载体,在网络上鉴别用户身份处于极其关键的地位。而网上银行首要的关键问题就是安全,安全是所有一切的基础,没有安全的网银还不如没有网银。一些新闻报道的国内某某银行几十万资金通过网银被盗,都给网上银行带来巨大的负面影响,让人对于 USB Key 的网上银行认证的安全性产生怀疑和顾虑。 本文将从技术的角度出发,详细论述一下目前中国网上银行使用的 USB Key 的安全性以及可能存在的风险和漏洞。当然,一个网银系统的安全,涉及到的理论知识非常多,不仅仅要懂得大学课程密码学的全面知识,还要知道最新加密锁和USB Key 的产品动态,进行全面的网银评测并不是那么简单的事情。本文也仅仅起个抛砖引玉的作用,欢迎各方高手继续补充和讨论。 行业安全专家基本都公认 USB Key 是安全可靠的,那么 USB Key 为什么是安全的呢目前有几个重要的性能指标能够说明 USB Key 的安全性。 1、硬件 PIN 码保护 黑客需要同时取得用户的 USB Key 硬件以及用户的 PIN 码,才可以登录系统。即使用户的 PIN 码被泄漏,只要用户持有的 USB Key 不被盗取,合法用户的身份就不会被仿冒;如果用户的 USB Key 遗失,拾到者由于不知道用户 PIN码,也无法仿冒合法用户的身份。 2、安全的存储介质 USB Key 的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由 USB Key 内的程序调用。从 USB Key 接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。 3、公钥密码体制 公钥密码体制和数字证书从密码学的角度上保证了 USB Key 的安全性,在 USB Key 初始化的时候,先将密码算法程序烧制在 ROM 中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到 USB Key 外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出 USB Key 介质,以此来保证以 USB Key 为存储介质的数字证书认证在安全上无懈可击。 4、硬件实现加密算法 USB Key 内置 CPU 或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在 USB Key 内进行,保证了用户密钥不会出现在计算机内存中。以上几点是 USB Key 在理论上安全性的技术保证,但是从技术角度分析,这些安全性能指标往往也存在一些容易被忽视的漏洞。 1、硬件 PIN 码就绝对安全吗 目前的大多数银行使用的 USB Key 的 PIN 吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到 USB Key 的 PIN 码,这也是目前大多数 USB Key 存在的一个漏洞。知道了 PIN 码后,如果用户忘记将 USB Key 从电脑上取出,那么黑客还可以进一步通过 PIN 码来操作 USB Key.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USB Key 是否还能保证安全交易呢我看未必,因为此时 USB Key 的 PIN 码已经完全可能会被黑客拦截,当用户操作完一次 USB Key 后,假如没有立即拔出 USB Key,那么黑客完全可能在这个间歇期伪造一次交易,而此时 USB Key 以及 PIN 码都可以验证通过。 2、外部真的无法读取 Key 内部的密钥吗 USB Key 的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”上指的是设计上要绝对安全,如果设计和编写 USB Key 操作系统 COS 的人在 COS 上留了后门,那么这个人就可以从外部读取 Key 内部的密钥。 3、数字证书 公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方 CA 机构发放的呢有些银行的数字证书竟然是银行自己发放的,这就让 PKI 安全认证大打折扣了。 4、如何保证通讯安全 虽然 USB Key 内置 CPU 或智能卡芯片可以完成加密运算,但是数据从电脑上传入 USB Key 的过程中还是有可能被拦截和修改,USB Key 内置的 CPU 只能保证自身的运算安全,却难以保证数据传入前不被修改。 那么,理想中安全的 USB Key 应该是什么样子的呢 1、针对现有 USB Key 的键盘输入 PIN 码的漏洞,可以使用生物技术例如个人指纹来替换键盘录入 PIN 码。 也就是说,交易时候接入 USB Key,我们不需要再到键盘录入 PIN 码来验证身份,我们只需要在 USB Key 的设备上按一下指纹,就能自动验证个人身份,这种身份验证机制带来的安全性和实用性是一种跨时代的提高,用户不可能再忘记密码了,只需要验证指纹即可,指纹的验证实在外部设备上进行的,电脑即使被黑客完全控制也无法截取到用户的指纹,从而保证了 PIN 码的唯一性和安全性。 2、通过管理或者审计防止 COS 在设计上留有后门。 3、数字证书应该由独立于用户和银行以外的权威的第三方安全认证机构 CA 发放,不能由银行自己发放。 4、交易金额从 USB Key 上录入,以防止数据在传入 USB Key 之前被篡改。 如果采用了以上我所说的这些安全措施,那么 USB Key 的安全就可以说达到了“无懈可击”的地步了,实际的安全性可以得到本质上的提高。 当然我也知道,更加安全的 USB Key 必然会导致其成本的上升,不利于大规模的推广应用,增加这些新的安全措施带来的成本还是相当大的,在实际应用中需要低成本的替代方案才是现实可行的。 那么,对于现有 USB Key,如何更安全的操作呢我的建议如下 1、和银行确认存在 USB Key 中的数字证书是唯一的,用户应该把 USB Key 随身携带。 2、经常扫描一下电脑是否有木马病毒或者被远程控制。 3、没事不要在电脑接入 USB Key,只有在交易的时候接入。 4、交易的时候接入 USB Key,输入 PIN 码交易完成后,立即取走 USB Key。 如果用户使用招行和工行的 USB Key 时候能够像我建议的这样操作,那么也可以在现有的硬件基础上,安全性会得到进一步提高。 总而言之,目前的 USB Key 的主要优点是具有 CPU,类似加密锁或加密狗,能够进行 RSA 等加密算法运算,私钥无法读取,成本上有一定优势,因此在网络认证等领域得到广泛的应用,越来越多的人将会采用 USB Key 作为日常理财或进行其它网络交易的工具,而作为国内在此领域应用最早、最成熟且最具潜力的网上银行应用,在技术和应用方面都应该先人一步,及时找到 USB Key 潜在安全漏洞的补救方法。

注意事项

本文(网银U盾安全漏洞的分析.doc)为本站会员(Sky)主动上传,牛牛文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知牛牛文库(发送邮件至niuniuwenku@163.com或直接QQ联系客服),我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2008-2018    牛牛文库网站版权所有 站长QQ:1791658557
工信部备案号: 沪ICP备18011688号-2

收起
展开