国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　USB Key是一種USB接口的硬件設(shè)備。USB Key的模樣跟普通的U盤(pán)差不多，不同的是它里面存放了單片機(jī)或智能卡，USB Key有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶(hù)的私鑰以及數(shù)字證書(shū)，利用USB Key內(nèi)置的公鑰算法可以實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。目前USB Key被廣泛應(yīng)用于國(guó)內(nèi)的網(wǎng)上銀行領(lǐng)域，是公認(rèn)的較為安全的身份認(rèn)證技術(shù)。

　　USB Key在網(wǎng)上銀行中，被用作客戶(hù)數(shù)字證書(shū)和私有密鑰的載體，在網(wǎng)絡(luò)上鑒別用戶(hù)身份處于極其關(guān)鍵的地位。而網(wǎng)上銀行首要的關(guān)鍵問(wèn)題就是安全，安全是所有一切的基礎(chǔ)，沒(méi)有安全的還不如沒(méi)有網(wǎng)銀。一些新聞報(bào)道的國(guó)內(nèi)某某銀行幾十萬(wàn)資金通過(guò)網(wǎng)銀被盜，都給網(wǎng)上銀行帶來(lái)巨大的負(fù)面影響，讓人對(duì)于USB Key的網(wǎng)上銀行認(rèn)證的安全性產(chǎn)生懷疑和顧慮。

　　本文將從技術(shù)的角度出發(fā)，詳細(xì)論述一下目前中國(guó)網(wǎng)上銀行使用的USB Key的安全性以及可能存在的風(fēng)險(xiǎn)和漏洞。當(dāng)然，一個(gè)網(wǎng)銀系統(tǒng)的安全，涉及到的理論知識(shí)非常多，不僅僅要懂得大學(xué)課程《密碼學(xué)》的全面知識(shí)，還要知道最新加密鎖和USB Key的產(chǎn)品動(dòng)態(tài)，進(jìn)行全面的網(wǎng)銀評(píng)測(cè)并不是那么簡(jiǎn)單的事情。本文也僅僅起個(gè)拋磚引玉的作用，歡迎各方高手繼續(xù)補(bǔ)充和討論。

　　行業(yè)安全專(zhuān)家基本都公認(rèn)USB Key是安全可靠的，那么USB Key為什么是安全的呢?目前有幾個(gè)重要的性能指標(biāo)能夠說(shuō)明USB Key的安全性。

　　1、硬件PIN碼保護(hù)

　　需要同時(shí)取得用戶(hù)的USB Key硬件以及用戶(hù)的PIN碼，才可以登錄系統(tǒng)。即使用戶(hù)的PIN碼被泄漏，只要用戶(hù)持有的USB Key不被盜取，合法用戶(hù)的身份就不會(huì)被仿冒;如果用戶(hù)的USB Key遺失，拾到者由于不知道用戶(hù)PIN碼，也無(wú)法仿冒合法用戶(hù)的身份。

　　2、安全的存儲(chǔ)介質(zhì)

　　USB Key的密鑰存儲(chǔ)于安全的介質(zhì)之中，外部用戶(hù)無(wú)法直接讀取，對(duì)密鑰文件的讀寫(xiě)和修改都必須由USB Key內(nèi)的程序調(diào)用。從USB Key接口的外面，沒(méi)有任何一條命令能夠?qū)γ荑€區(qū)的內(nèi)容進(jìn)行讀出、修改、更新和刪除。

　　3、公鑰密碼體制

　　公鑰密碼體制和數(shù)字證書(shū)從密碼學(xué)的角度上保證了USB Key的安全性，在USB Key初始化的時(shí)候，先將密碼算法程序燒制在ROM中，然后通過(guò)產(chǎn)生公私密鑰對(duì)的程序生成一對(duì)公私密鑰，公私密鑰產(chǎn)生后，公鑰可以導(dǎo)出到USB Key外，而私鑰則存儲(chǔ)于密鑰區(qū)，不允許外部訪(fǎng)問(wèn)。進(jìn)行數(shù)字簽名時(shí)以及非對(duì)稱(chēng)解密運(yùn)算時(shí)，有私鑰參與的密碼運(yùn)算只在芯片內(nèi)部即可完成，全過(guò)程中私鑰可以不出USB Key介質(zhì)，以此來(lái)保證以USB Key為的數(shù)字證書(shū)認(rèn)證在安全上無(wú)懈可擊。

　　4、硬件實(shí)現(xiàn)加密算法

　　USB Key內(nèi)置CPU或智能卡芯片，可以實(shí)現(xiàn)數(shù)據(jù)摘要、數(shù)據(jù)加解密和簽名的各種算法，加解密運(yùn)算在USB Key內(nèi)進(jìn)行，保證了用戶(hù)密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中。

　　以上幾點(diǎn)是USB Key在理論上安全性的技術(shù)保證，但是從技術(shù)角度分析，這些安全性能指標(biāo)往往也存在一些容易被忽視的漏洞。

　　1、硬件PIN碼就絕對(duì)安全嗎?

　　目前的大多數(shù)銀行使用的USB Key的PIN嗎都是從電腦上輸入的，因此黑客可以通過(guò)程序直接攔截到USB Key的PIN碼，這也是目前大多數(shù)USB Key存在的一個(gè)漏洞。知道了PIN碼后，如果用戶(hù)忘記將USB Key從電腦上取出，那么黑客還可以進(jìn)一步通過(guò)PIN碼來(lái)操作USB Key。一個(gè)非常極端的情況，當(dāng)個(gè)人用戶(hù)的電腦已經(jīng)完全被黑客遠(yuǎn)程控制，并且所有鍵盤(pán)和屏幕的操作都會(huì)被攔截的時(shí)候，目前的USB Key是否還能保證安全交易呢?我看未必，因?yàn)榇藭r(shí)USB Key的PIN碼已經(jīng)完全可能會(huì)被黑客攔截，當(dāng)用戶(hù)操作完一次USB Key后，假如沒(méi)有立即拔出USB Key，那么黑客完全可能在這個(gè)間歇期偽造一次交易，而此時(shí)USB Key以及PIN碼都可以驗(yàn)證通過(guò)。

　　2、外部真的無(wú)法讀取Key內(nèi)部的密鑰嗎?

　　USB Key的密鑰從“理論”上講是無(wú)法從外部直接讀取的，這個(gè)“理論”上指的是設(shè)計(jì)上要絕對(duì)安全，如果設(shè)計(jì)和編寫(xiě)USB KeyCOS的人在COS上留了后門(mén)，那么這個(gè)人就可以從外部讀取Key內(nèi)部的密鑰。

　　3、數(shù)字證書(shū)

　　公鑰密碼體制的確是很安全的，通過(guò)復(fù)雜的證書(shū)管理體系來(lái)增加破解的難度，但是數(shù)字證書(shū)是否是第三方CA機(jī)構(gòu)發(fā)放的呢?有些銀行的數(shù)字證書(shū)竟然是銀行自己發(fā)放的，這就讓PKI安全認(rèn)證大打折扣了。

　　4、如何保證通訊安全

　　雖然USB Key內(nèi)置CPU或智能卡芯片可以完成加密運(yùn)算，但是數(shù)據(jù)從電腦上傳入U(xiǎn)SB Key的過(guò)程中還是有可能被攔截和修改，USB Key內(nèi)置的CPU只能保證自身的運(yùn)算安全，卻難以保證數(shù)據(jù)傳入前不被修改。

　　那么，理想中安全的USB Key應(yīng)該是什么樣子的呢?

　　1、針對(duì)現(xiàn)有USB Key的鍵盤(pán)輸入PIN碼的漏洞，可以使用生物技術(shù)(例如個(gè)人指紋)來(lái)替換鍵盤(pán)錄入PIN碼。

　　也就是說(shuō)，交易時(shí)候接入U(xiǎn)SB Key，我們不需要再到鍵盤(pán)錄入PIN碼來(lái)驗(yàn)證身份，我們只需要在USB Key的設(shè)備上按一下指紋，就能自動(dòng)驗(yàn)證個(gè)人身份，這種身份驗(yàn)證機(jī)制帶來(lái)的安全性和實(shí)用性是一種跨時(shí)代的提高，用戶(hù)不可能再忘記密碼了，只需要驗(yàn)證指紋即可，指紋的驗(yàn)證實(shí)在外部設(shè)備上進(jìn)行的，電腦即使被黑客完全控制也無(wú)法截取到用戶(hù)的指紋，從而保證了PIN碼的唯一性和安全性。

　　2、通過(guò)管理或者審計(jì)防止COS在設(shè)計(jì)上留有后門(mén)。

　　3、數(shù)字證書(shū)應(yīng)該由獨(dú)立于用戶(hù)和銀行以外的權(quán)威的第三方安全認(rèn)證機(jī)構(gòu)CA發(fā)放，不能由銀行自己發(fā)放。

　　4、交易金額從USB Key上錄入，以防止數(shù)據(jù)在傳入U(xiǎn)SB Key之前被篡改。

　　如果采用了以上我所說(shuō)的這些安全措施，那么USB Key的安全就可以說(shuō)達(dá)到了“無(wú)懈可擊”的地步了，實(shí)際的安全性可以得到本質(zhì)上的提高。

　　當(dāng)然我也知道，更加安全的USB Key必然會(huì)導(dǎo)致其成本的上升，不利于大規(guī)模的推廣應(yīng)用，目前智能卡的USB KEY成本已經(jīng)超過(guò)50元，商業(yè)銀行發(fā)布給最終客戶(hù)的USB Key的價(jià)格則會(huì)更高，比如招商銀行的USB Key需要88元的費(fèi)用，而工商銀行的USB Key需要76元的費(fèi)用，增加這些新的安全措施帶來(lái)的成本還是相當(dāng)大的，在實(shí)際應(yīng)用中需要低成本的替代才是現(xiàn)實(shí)可行的。

　　那么，對(duì)于現(xiàn)有USB Key，如何更安全的操作呢?我的建議如下：

　　1、和銀行確認(rèn)存在USB Key中的數(shù)字證書(shū)是唯一的，用戶(hù)應(yīng)該把USB Key隨身攜帶。

　　2、經(jīng)常掃描一下電腦是否有或者被遠(yuǎn)程控制。

　　3、沒(méi)事不要在電腦接入U(xiǎn)SB Key，只有在交易的時(shí)候接入。

　　4、交易的時(shí)候接入U(xiǎn)SB Key，輸入PIN碼交易完成后，立即取走USB Key。

　　如果用戶(hù)使用招行和工行的USB Key時(shí)候能夠像我建議的這樣操作，那么也可以在現(xiàn)有的硬件基礎(chǔ)上，安全性會(huì)得到進(jìn)一步提高。

　　總而言之，目前的USB Key的主要優(yōu)點(diǎn)是具有CPU，類(lèi)似加密鎖或加密狗，能夠進(jìn)行RSA等加密算法運(yùn)算，私鑰無(wú)法讀取，成本上有一定優(yōu)勢(shì)，因此在網(wǎng)絡(luò)認(rèn)證等領(lǐng)域得到廣泛的應(yīng)用，越來(lái)越多的人將會(huì)采用USB Key作為日常理財(cái)或進(jìn)行其它網(wǎng)絡(luò)交易的工具，而作為國(guó)內(nèi)在此領(lǐng)域應(yīng)用最早、最成熟且最具潛力的網(wǎng)上銀行應(yīng)用，在技術(shù)和應(yīng)用方面都應(yīng)該先人一步，及時(shí)找到USB Key潛在安全漏洞的補(bǔ)救方法。