我已授权

注册

陈良:电子银行安全与创新

2015-12-10 16:07:26 和讯 

  和讯网消息首届中国(北京)国际互联网+金融博览会(简称"互联网金融展")将于2015年12月10-13日在北京中国国际展览中心老馆举办,和讯网全程播报。

  北京华虹金融业务部产品经理陈良出席本次会议并发表主题演讲。

  陈良:大家好!非常荣幸今天能来互联网金融论坛,与大家分享一些关于电子银行安全的问题。刚才听了前面几位嘉宾的讲话,互联网有几个特点,一是免费,二是去硬件化,实际我们公司的产品是非常反互联网的,北京华虹集成电路设计有限公司是一家做智能卡研发和智能卡应用公司,主要的产品,比如电信卡、电子银行相关的U盾这些产品,实际和互联网金融不太沾边,我接到邀请之后也在想到底和互联网讲了什么呢?互联网P2P和众筹是近两年的事儿,电子银行整个发展过程中,经历了层出不穷的安全风险,这的对互联网金融来说是有非常大的借鉴意义。所以,我今天给大家介绍一下电子银行安全发展过程,以后我们对互联网安全创新的一些思考。

  互联网金融来说,互联网是个定语,金融是本质,互联网只是个渠道,提供服务也是金融服务,服务接受方接受的也是金融服务,所以它本质是金融。金融有个特点,十分关注的东西就是安全,所以我们认为金融活动中安全是非常基础的东西,没有这个基础的东西金融活动很难开展。我们去银行经常和柜员之间隔着厚厚的玻璃,这说明安全在金融活动中非常重要,信息安全的本身分为六个方面,鉴定、认证、授权、完整性、机密性,不可否认性,这是技术角度的阐述。通俗地讲,证明我是谁,首先金融参与者要证明你是谁,然后证明我有什么,我帐户上有多少钱,之后再可以证明我干了什么,包括转帐,这转帐是不是我转的。证明我是谁这件事儿其实本身不是很容易,右边的图片是今年8月份《华西都市报》的一个报道,有一个小伙子去办一个证,办证机关要求他去派出所去出具一份我是我的证明,他去派出所去办我是我的证明,派出所就觉得特别荒谬,怎么能出这种证明呢?现实生活中证明我是我这件事儿也不是那么容易。我们去银行办银行卡或业务时拿身份证,银行柜员拿着你的身份证喃喃自语,说这不像你,是你吗?你才证明我是我。传统的金融面对面的活动可以用证件的我证明我是我,问题是互联网来了,互联网和金融结合在一起了,你现在需要在互联网上证明我是我。

  (漫画)这是非常著名的漫画,1993年刊登在《纽约客》的漫画,作者根据这张画赚了5万美元,他下面有个标题在互联网上很难证明我是条狗,在互联网上证明我是人都很难了,更何况证明我是谁。

  这是网上银行开始的,信息技术与商业银行的创新,从50年代开始,从磁条卡开始,事实上磁条卡本身就代表着一种身份的认证,用磁条卡去银行取钱去刷卡时,它能帮助你证明你是你自己。

  到了上世纪90年代网上银行出来了,它面临很多问题,我们对网上银行安全产品做了很多次升级,从最开始的静态口令,动态口令,一代U盾、二代U盾,增强型U盾。这代表了最开始的网上银行到现在网上银行级别的提升。最开始是静态口令,大家不要小看静态口令,不就是一个用户名加一个口令吗?静态口令技术也有门槛,去年有个酒店活动记录被曝光了,有2000多万条,它就是做静态口令没有做好,把静态口令明文在互联网上传输,存在数据库里,被人扒出来了。这是静态口令的问题。

  静态口令对帐户保护程度力度是很弱的,很可能你电脑里会中木马和病毒,静态口令很容易被黑客拿走。

  后来发展出动态口令,我们管它叫令牌,左边最简单的初级令牌,上面的数在不断地变,每一分钟变一次,你在登录帐户时输入密码时要输入这个数,它和后台会有一个匹配,后来这种安全性又觉得低了,又发展出挑战应答型令牌,你在用纸前要在令牌上先输你的Pin码。这两个东西在现在国外网上银行还一直在用,因为从互联网安全环境和信用体系来讲国内更恶劣一些,对安全挑战更高一些,国外网银使用环境稍好一点,可以满足他们的安全级别。

  但这个令牌又有问题,它没有办法去防御专业讲叫中间攻击,实际就是钓鱼网站。钓鱼网站会干一件什么事儿呢?里面的MITMServer会做和你银行一模一样的王爷,把网址字母"O"改成数字"0",字母"i"改成数字"1"你看不出来,你登录网页之后会像正常的访问网页一样输入用户名、密码和输入动态密码,输入动态密码时,第八步时,比如你要转帐,转给主持人1000元,实际钓鱼网站给银行发起的请求是钓鱼网站转1万元,但你只要输入这个动态密码你的钱就被转走了。实际这个动态口令的问题是个单向的认证,银行系统认证了你,我是我,但我没有确定这个银行系统到底是不是银行系统,所以,后来我们引入了一个技术叫电子签名,实际国内有一部电子签名法,它规定可靠的电子签名,手写电子签名该帐具有同样的法律效力。

  在电子签名基础上我们做了U盾,国内很多银行、网银也在用,我们叫U盾或一代U盾,它使用了数字证书和安全芯片解决了用户和银行系统之间的双向认证,我既认证了银行系统,银行系统也认证了用户,这样可以保证我做的每一笔交易或者做的每一笔登录都是我自己做的。这实际上也很安全,U盾这个东西只有中国有,国外是没有的。最早年间U盾都是用的国外的芯片,后来因为国密的发展,现在都用的国产芯片,国外芯片已经不允许卖了。

  这种矛盾还是有问题,后来出现了另外一种安全威胁叫签名欺骗。因为操作系统本身PC是不安全的,是会中密码和病毒的,PC内存就有可能被改掉,PC内存被改掉,传入数字签名的U盾数据就有可能被替换掉。比如屏幕上提示转1000元,但往U盾里转的数据是1万元,我也看不到到底是转给谁的就被转走了。这时候需要签名信息要由用户确认,所以就发展出了二代U盾或者二代U-key。

  这是我们公司几款产品,它上面带了一个屏幕,还带四个按键,是Cancel、上翻、下翻、OK。当你转帐时会在屏幕上显示你交易的金额,交易的帐户,你到底转给谁了,对方户名是谁。你看了这个以后,按"确认",这时候才会发生真正的转让。这实际上可以有效地防所谓的中间攻击、钓鱼网站的。从理论模型上讲,二代U盾现在人行给它起了一个名字叫所见即所签,你签名的东西可以看到,它在理论模型上现在应该是最高等级的,具体实现上各个厂家不太一样。这是目前为止网上银行,从开始到现在的安全发展。

  刚才说的都是网上银行、PC端的,现在移动互联网又来了,各家银行都在做网银的App,做微信,做各种支付。但手机安全吗?手机非常不安全,特别是Android手机,其实苹果手机也不是特别安全。去年苹果有个安全漏洞是影响所有的Unix系统,包括苹果,包括Android。这是去年一个数据,全年2.8亿部手机中毒了,中国有1.2亿部手机中毒,而且按每天80万部的速度在递增,而且其中的木马和病毒里有60%是和移动支付有关的。

  现在这个木马病毒病不是病毒本身,病毒和伪基站、钓鱼网站结合起来,比如首先它做个10086年的钓鱼网站,登录上去以后它给你下个病毒,会要求你输入银行卡号等一些信息,你把银行卡号输入进去之以后他拿到你的银行卡号,他登录三次以后,因为没有密码登录不上,银行就会给你发短信,让你重置密码,这时候你已经中了病毒,重置密码这个病毒就被他截获,他重置你密码,这时候他有了你的银行帐户,他想干什么都可以。其实是非常可怕的一件事儿。

  现在国内像工行、建行、农行都在做关于移动端的安全设备,包括移动端现在在发的,它是通过音频对孔,耳机孔通讯的,插在耳机上用来转帐的。对手机端的规划我们一是通过音频产品,二是通过蓝牙可以和手机去连接,在手机端转帐时通过同样带屏幕的设备,让你能够确认转帐信息,这样来保证你的安全,这时候你手机中不中毒已经无所谓了,中毒没有关系。

  我们还有一个产品金融IC卡和屏幕,解决安全设备便携的问题。这是我们准备在移动上面金融活动做的安全设备。

  资金安全。

  在互联网金融和移动互联网都在讲一个东西叫用户体验,我作为产品经理别人问我,你做的东西是反用户体验,给别人增加烦恼的,我也承认,做安全产品,用户体验和安全是永远的平衡,安全做得多了用户体验必然要差一点。但我们做的安全产品虽然复杂,但是用户的守门员,用户支付宝或微信转100或50元不用输入密码或者只输简单的密码就可以了。但当你要动用很大量资金时,比如买个房花几百万,这时候你再用这种非常简单的方式去保护资金安全就风险比较高了。而且现在所有的互联网金融资金都托管在银行,我们这一道就是给最后托管的大量资金加个守门员保证你的资金安全。

  希望我的交流能给做互联网金融安全的能有一些启迪。谢谢大家!

  

(责任编辑:曹言言 HA008)

   【免责声明】本文仅代表合作供稿方观点,不代表和讯网立场。投资者据此操作,风险请自担。

看全文
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

热门新闻排行榜

和讯热销金融证券产品

【免责声明】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。