USB Key是一种USB接口的硬件存储设备。USB Key的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USB Key有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法可以实现对用户身份的认证。目前USB Key被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。
USB Key在网上银行中,被用作客户数字证书和私有密钥的载体,在网络上鉴别用户身份处于极其关键的地位。而网上银行首要的关键问题就是安全,安全是所有一切的基础,没有安全的网银还不如没有网银。一些新闻报道的国内某某银行几十万资金通过网银被盗,都给网上银行带来巨大的负面影响,让人对于USB Key的网上银行认证的安全性产生怀疑和顾虑。
本文将从技术的角度出发,详细论述一下目前中国网上银行使用的USB Key的安全性以及可能存在的风险和漏洞。当然,一个网银系统的安全,涉及到的理论知识非常多,不仅仅要懂得大学课程《密码学》的全面知识,还要知道最新加密锁和USB Key的产品动态,进行全面的网银评测并不是那么简单的事情。本文也仅仅起个抛砖引玉的作用,欢迎各方高手继续补充和讨论。
行业安全专家基本都公认USB Key是安全可靠的,那么USB Key为什么是安全的呢?目前有几个重要的性能指标能够说明USB Key的安全性。
1、硬件PIN码保护
黑客需要同时取得用户的USB Key硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
2、安全的存储介质
USB Key的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。
3、公钥密码体制
公钥密码体制和数字证书从密码学的角度上保证了USB Key的安全性,在USB Key初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到USB Key外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出USB Key介质,以此来保证以USB Key为存储介质的数字证书认证在安全上无懈可击。
4、硬件实现加密算法
USB Key内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中。
以上几点是USB Key在理论上安全性的技术保证,但是从技术角度分析,这些安全性能指标往往也存在一些容易被忽视的漏洞。
1、硬件PIN码就绝对安全吗?
目前的大多数银行使用的USB Key的PIN吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到USB Key的PIN码,这也是目前大多数USB Key存在的一个漏洞。知道了PIN码后,如果用户忘记将USB Key从电脑上取出,那么黑客还可以进一步通过PIN码来操作USB Key.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USB Key是否还能保证安全交易呢?我看未必,因为此时USB Key的PIN码已经完全可能会被黑客拦截,当用户操作完一次USB Key后,假如没有立即拔出USB Key,那么黑客完全可能在这个间歇期伪造一次交易,而此时USB Key以及PIN码都可以验证通过。
2、外部真的无法读取Key内部的密钥吗?
USB Key的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”上指的是设计上要绝对安全,如果设计和编写USB Key操作系统COS的人在COS上留了后门,那么这个人就可以从外部读取Key内部的密钥。
3、数字证书
公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方CA机构发放的呢?有些银行的数字证书竟然是银行自己发放的,这就让PKI安全认证大打折扣了。
4、如何保证通讯安全
虽然USB Key内置CPU或智能卡芯片可以完成加密运算,但是数据从电脑上传入USB Key的过程中还是有可能被拦截和修改,USB Key内置的CPU只能保证自身的运算安全,却难以保证数据传入前不被修改。
那么,理想中安全的USB Key应该是什么样子的呢?
1、针对现有USB Key的键盘输入PIN码的漏洞,可以使用生物技术(例如个人指纹)来替换键盘录入PIN码。
也就是说,交易时候接入USB Key,我们不需要再到键盘录入PIN码来验证身份,我们只需要在USB Key的设备上按一下指纹,就能自动验证个人身份,这种身份验证机制带来的安全性和实用性是一种跨时代的提高,用户不可能再忘记密码了,只需要验证指纹即可,指纹的验证实在外部设备上进行的,电脑即使被黑客完全控制也无法截取到用户的指纹,从而保证了PIN码的唯一性和安全性。
2、通过管理或者审计防止COS在设计上留有后门。
3、数字证书应该由独立于用户和银行以外的权威的第三方安全认证机构CA发放,不能由银行自己发放。
4、交易金额从USB Key上录入,以防止数据在传入USB Key之前被篡改。
如果采用了以上我所说的这些安全措施,那么USB Key的安全就可以说达到了“无懈可击”的地步了,实际的安全性可以得到本质上的提高。
当然我也知道,更加安全的USB Key必然会导致其成本的上升,不利于大规模的推广应用,目前智能卡的USB KEY成本已经超过50元,商业银行发布给最终客户的USB Key的价格则会更高,比如招商银行的USB Key需要88元的费用,而工商银行的USB Key需要76元的费用,增加这些新的安全措施带来的成本还是相当大的,在实际应用中需要低成本的替代方案才是现实可行的。
那么,对于现有USB Key,如何更安全的操作呢?我的建议如下:
1、和银行确认存在USB Key中的数字证书是唯一的,用户应该把USB Key随身携带。
2、经常扫描一下电脑是否有木马病毒或者被远程控制。
3、没事不要在电脑接入USB Key,只有在交易的时候接入。
4、交易的时候接入USB Key,输入PIN码交易完成后,立即取走USB Key。
如果用户使用招行和工行的USB Key时候能够像我建议的这样操作,那么也可以在现有的硬件基础上,安全性会得到进一步提高。
总而言之,目前的USB Key的主要优点是具有CPU,类似加密锁或加密狗,能够进行RSA等加密算法运算,私钥无法读取,成本上有一定优势,因此在网络认证等领域得到广泛的应用,越来越多的人将会采用USB Key作为日常理财或进行其它网络交易的工具,而作为国内在此领域应用最早、最成熟且最具潜力的网上银行应用,在技术和应用方面都应该先人一步,及时找到USB Key潜在安全漏洞的补救方法
摘要:
我每星期都要花几个小时看上百封简历。
我并不关心微软收购雅虎对Google带来的业务冲击。
你必须学会迅速做出决策、接受命令,甚至清楚知道什么时候应该放弃命令。
美国次债危机和经济衰退正在考验谷歌 CEO埃里克 . 施密特的商业智慧。
华尔街投资银行近日将Google股票评级上调至“跑赢大盘”,并将目标股价上调至750美元。业界预测,2008年第一季度...
摘要:
如何分析K线图
K线图这种图表源处于日本,被当时日本米市的商人用来记录米市的行情与价格波动,后因其细腻独到的标画方式而被引入到股市及期货市场。目前,这种图表分析法在我国以至整个东南亚地区均尤为流行。由于用这种方法绘制出来的图表形状颇似一根根蜡烛,加上这些蜡烛有黑白之分,因而也叫阴阳线图表。通过K线图,我们能够把每日或某一周期的市况表现完全记录下来,股价经过一段时间的盘档后,在图上即...
摘要:
股票短线操作须知
有很多次的股市实战例子表明,通过股市短线操作可以获取"投机"收益,有的时候短线"投机"收益还非常可观。中、小投资者切莫因为"投机"二字而对短线获利技巧不屑一顾。要想在短线炒作行情中获取收益,以下"六不要"必须引起投资者的注意。
1、不要墨守成规。股市如棋局常常新,证券市场是变化最大、最快...
摘要:
炒股的经验
股票做了也有4年了,从2245点至今,风风雨雨经历了很多,现在,已经有了自己的思路和方法,回想起来,曾经的困惑拿出来和大家探讨。
从一开始的盲目到现在的谨慎,是一个必然的过程,我所追求的不是资金净值的大幅起落,而是稳定的增长,如果能把这个基调定好,将指引自己操作的方向。下面是我曾经的困惑和一些体会。
1.合理的盈利目标。股神巴菲特每年的盈利是26%左右,而我进入股市曾...
摘要:
什么是K线图
K线又被称为蜡烛图,据说起源于十八世纪日本的米市,当时日本的米商用来表示米价的变动,后被引用到证券市场,成为股票技术分析的一种理论。K线是一条柱状的线条,由影线和实体组成。影线在实体上方的部分叫上影线,下方的部分叫下影线。实体分阳线和阴线。
一根K线记录的是股票在一天内价格变动情况。将每天的K线按时间顺序排列在一起,就组成了股票价格的历史变动情况,叫做K线图。
...
摘要:
股市术语解释
牛市
股票市场上买入者多于卖出者,股市行情看涨称为牛市。
熊市
熊市与牛市相反。股票市场上卖出者多于买入者,股市行情看跌称为熊市。
多头、多头市场
多头是指投资者对股市看好,预计股价将会看涨,于是趁低价时买进股票,待股票上涨至某一价位时再卖出,以获取差额收益。一般来说,人们通常把股价长期保持上涨势头的股票市场称为多头市场。多头市场股价变化的主要特征...
摘要:
股票开户程序
投资者如需入市,应事先开立证券账户卡。分别开立深圳证券账户卡和上海证券账户卡。
(一)办理深圳、上海证券账户卡
深圳证券账户卡
投资者:可以通过所在地的证券营业部或证券登记机构办理,需提供本人有效身份证及复印件,委托他人代办的,还需提供代办人身份证及复印件。
&nbs...
摘要:
投资股票的风险
市场上常有人说:投资股票九成会赔钱。虽然并没有确实的资料可以显示到底多少人赔钱,但打听一下周围的朋友,似乎赔钱的人不在少数。为什么会如此?
很多散户投资人在股市追高杀低,焉有不赔钱的道理。这些人多半是:
一、没有认真做功课
不了解所投资的公司产品是什么、产业地位如何,如何评估这家公司的正确价值? 不了解公司正确价值为何,便容易犯追涨杀跌的毛病。(在此,在提醒一...
摘要:
任何一种投资工具都有其风险与报酬。当然,报酬率越高者,风险性也较高。以一般保守的投资人最爱的定存来说,定存每年的报酬率大约都在5%以下,不过却少有风险。至于期货、房地产就属于高报酬高风险的投资工具了。
买股票与银行储蓄存款及购买债券相比较,它是一种高风险行为,但同时它也能给人们带来更大的收益。
那么购买股票能带来哪些好处呢?
由于现在人们投资股票的主要目的并非在于充当企业的股东,...
摘要:
股票常识
什么是股票
股票是股份公司发给投资者用以证明其在公司的股东权利和投资入股份额、并据以获得股利收入的有价证券。股票的持有人就是股东,在法律上拥有股份公司的一部分所有权,享有一定的经营管理上的权利与义务,同时承担公司的经营风险。
股票的基本特征
时间性:购买股票是一项无确定期限的投资,不允许投资者中途退股。价格波动性:股票价格受社会诸多因素影响,股价经常处于波动起伏的状...
摘要:
客户要参与股票交易,首先要开立帐户。帐户分为股票帐户和资金帐户。
股票帐户
股票帐户分为上海证券公司股票帐户和深圳证券公司股票帐户两种,投资者可根据需要决定办理一种或两种。(
股票帐户在分设在各地的证券登记公司办理。办理股票帐户开户手续时,客户需准备好身份证(或户口簿),分别填写相应的表格,并缴纳一定的开户费用,领取股票帐户卡。
资金帐户
资金帐户在投资者准备委托的证券商...
摘要:
雪花屏不是象大家想象的那样,满屏的雪花。不知道谁取的这个名字,让人看了之后心生歧意。测试雪花屏的最简单方法就是把显示器设置为白色背景。屏幕透出阴天般的灰色,不白亮,却感觉很刺眼,就是雪花屏了。
摘要:
A卡的主要市场是图形图像处理,所以他的优点是运行大型绘图软件,比如:CAD、PHOTOSHOP、3DMAX。图像效果非常流畅。
N卡的主要市场是游戏图像,所以他的优点是对游戏、电影类的图像支持非常好。
A卡的缺点是对游戏支持有缺陷,有时候会造成游戏不能正常运行或者花屏。
N卡的缺点是对图形图像软件支持不稳定,对比较精细的绘图设计等的误差精细度要高。
简单说就是要办公就买A卡,...
摘要:
目前INTEL和AMD的CPU的区别之处
intel的前端总线是800最高也就是1066而AMD的是1.4G~2.6G,拿现在的双核心来比较一下INTEL的二及CACHE是2M或者4M共享的而AMD的是两刻核心分别来运算的.INTEL的内存管理是由南桥来控制的而AMD的是直接有CPU来控制的.INTEL的优点在于他逻辑运算比较快适合于视频,音频文档类的处理.而AMD的浮点运算比较快比较适...
摘要:
INTEL和AMD是世界上最大制造CPU机构。
INTEL最先面世,特点是功耗小,发热量小,品牌因素,是世界上最贵的处理器(同频率)
AMD在性能上也很强,特点是功耗稍微大一点,发热量大一点,更适合超频!价格相对INTEL要便宜很多(同频率)
英特尔发展史
Intel CPU的各种型号简介 个人电脑使用的CPU以Intel品牌为主, PC机CPU发展的历史就等于Intel公司...
摘要:
迅驰是英特尔公司针对手提电脑提出的无线移动计算技术解决方案
迅驰移动计算技术包括:
·一个微处理器
·相关的芯片组
·802.11(Wi-Fi)无线联网功能。
2003年1月9日,英特尔正式宣布即将推出的无线移动计算技术的品牌名称:迅驰移动计算技术。
2003年3月,一代平台代号Carmel
2004年5月,二代平台代号s...
摘要:
2007年6月最受网友关注笔记本排行榜
http://www.sina.com.cn 2007年07月05日 13:40 IT.COM.CN
[笔记本报价]
[笔记本新品]
[笔记本行情]
[笔记本论坛]
[笔记本大全]
[笔记本频道]
作者:小海海
2007年的6月份,正是新旧产品开始交替的月份,迅驰4笔记本不断上市,而且开始接...
摘要:
笔者从市场上了解到,惠普hp3704的替代版--惠普hp3802近日即将到货南京。这款惠普hp3802和hp3704的唯一区别在于把光驱由DVD刻录机降为Combo光驱,价格也从6千(hp3704)降到5800元。其他配置和外观都是一样的。有兴趣的网友不妨关注一下这款惠普hp3802笔记本。
惠普最便宜的带NVIDIA GeForce 8400M GS独显笔记本hp3704,一直都是6K...
摘要:
1、BBS:①Bulletin Board System的缩写,指电子公告板系统,国内统称论坛。②波霸,Big-Breasted Sister的缩写。
2、斑竹:版主,也可写作板猪。由于拼音输入造成的美妙谐音。副版主叫“板斧”。
3、马甲:注册会员又注册了其他的名字,这些名字统称为马甲,与马甲相对的是主ID。 例句:青眉建议斑竹进行版务管理时,不可以用马甲发言...
