编者按:您有没有想过为什么开通网银时需要发放U盾? 今天的帖子或许可以解答你的疑问。 U盾(U-),俗称客户证书,是银行系统于2003年推出并获得国家专利的,是银行为网上银行服务提供的高级安全工具。 它看起来像一个U盘,作用就像一个盾牌,时刻保护网银资金安全。 U盾是网上银行中的电子签名和数字认证工具。 它内置微型智能卡处理器,采用1024位非对称密钥算法对在线数据进行加密、解密和数字签名,确保在线交易的机密性和真实性。 、完整性和不可否认性。 本文摘录王德嘉博士所著《身份危机》中的U-()章节,帮助您了解U-如何确认网络用户的身份以及用户数据的安全?
有了U盾,人们在办理网上银行业务时不再需要担心黑客、假冒网站、木马病毒等各种风险。 U盾可以有效保护银行客户网银资金安全。 除了U盾之外,各家银行还推出了一系列安全措施:别名登录(区别于传统账户登录的定制登录方式)、登录密码和支付密码双密码控制、支付限额控制等客户安全; 通过网站验证、网站证书验证、预留信息验证等方式识别和防范假冒银行网站。
U盾作为移动数字证书,存储的是银行客户的个人数字证书,且无法读取。 同样,银行也会记录客户的数字证书。 当银行的客户尝试进行网上交易时,银行会向其发送由时间字符串、地址字符串、交易信息字符串和防重放攻击字符串组合而成的加密字符串A,以及客户的密码。 U盾会根据客户的个人证书对字符串A进行不可逆操作,得到字符串B,并将字符串B发送给银行。 银行也会同时进行不可逆转的操作。 如果银行的操作结果与客户的操作结果一致,则认为客户合法,即可完成交易。 如果不一致,则视为非法,交易将失败。 理论上,不同的字符串A不会产生相同的字符串B,即一个字符串A对应一个唯一的字符串B:但是字符串B和字符串A无法产生你的数字证书,而具有不可读性,所以没有人能够获取你的数字证书证书。 而且银行每次都会发出不同的防重放字符串(随机字符串)和时间字符串,所以当一笔交易完成后,刚刚发送的B字符串就不再有效。 综上所述,理论上,U盾是绝对安全的,其理论上的伪造概率约为二分之一的80次方。
U型盾的发展历史
1.第一代U盾
它由内置安全系统芯片、电子数字证书和签名密钥组成。 安全芯片的作用是对使用USB盾的电脑进行安全扫描,消除风险。 电子数字证书与网站安全证书交互,保证用户登录安全。 每个USB盾的唯一签名密钥无法复制。 密钥的唯一性进一步加强了其安全防护。
第一代USB 基于便利的概念,外观像USB,所以从第一次提出就一直在开发。 同时,U盾基于PKI技术,采用1024位非对称密钥算法对线上数据进行加密、解密、数字签名等相关操作,保证线上交易的真实性和安全性。 其设备虽小,但技术含量极高。
随着电子商务和PKI应用的兴起,数字证书作为确认用户身份和保护用户数据的有效手段越来越被人们所接受。 然而,数字证书本质上是一个包含用户信息和密钥的数据文件。 如何保护数字证书本身已成为PKI体系中最薄弱的环节。 数字证书可以保存在各种存储介质上,如软盘、硬盘等。早期国内CA颁发的数字证书都是以软盘的形式颁发,或者用户从网上下载然后导入将它们导入系统并保存在硬盘上。 然而,使用软盘来保存数据是非常不可靠和不安全的。 软盘虽然携带方便,但很容易损坏。 虽然使用硬盘保存数据不易损坏,但不便于携带。 更致命的是,无论你用硬盘还是软盘保存的数字证书都非常容易被病毒复制或破坏。 虽然数字证书一般都采用密码保护,但一旦证书被非法复制,整个安全系统的安全性就降低到仅靠密码保护的程度。 因此,专门用于存储秘密信息的U盾自然就成为了数字证书的最佳载体。
USB 厂商将USB 与PKI技术相结合,开发出符合PKI标准的安全中间件。 它们使用USB盾来保存数字证书和用户私钥,并为应用程序开发人员提供符合PKCS#等PKI标准的编程接口。 11 并促进基于 PKI 的应用程序的开发。 由于USB盾本身作为密钥存储,其自身的硬件结构决定了用户只能通过厂商的编程接口来访问数据。 这样保证了U盾中存储的数字证书无法被复制,并且每个U盾都有PIN码保护,使得U盾硬件和PIN码构成了使用证书的两个必要因素。 如果用户的PIN码泄露,只要保留USB盾硬件,就可以保护您的证书不被窃取。 如果用户的USB盾丢失,接收者将无法窃取用户的USB盾,因为他们不知道硬件的PIN码。 证书。 与PKI技术的结合,使得U盾的应用领域从仅仅确认用户身份扩展到所有可以使用数字证书的领域。
然而,第一代U盾用户获取交易明细的唯一途径是通过电脑屏幕上的网页,这增加了数据交互体验被不法分子攻击的风险。 同时,第一代USB盾不具备危险警告功能。 对信息进行签名操作时,不会有针对性的提示,也不会为用户提供后续操作。 这无疑大大增加了U盾被远程劫持的可能性,甚至客户可能会签署未知订单,造成意想不到的财产损失。 第一代U盾主要存在以下两个关键问题:(1)网络病毒在后台修改未完成的交易项目或支付信息,迫使用户向黑客汇款或完成犯罪分子的指令。 (2)犯罪分子利用木马将客户在其电脑上使用的U盾虚拟到其本地电脑上,利用客户的财产进行支付或转账活动。
2.第二代U盾
第二代U盾在第一代的基础上增加了显示和按键功能。 第一代U盾已经是比较成熟的安全产品,但近年来,针对U盾产品的攻击手段不断革新,层出不穷。 近期,出现黑客通过“木马”远程控制主机、冒充合法用户U盾、为非法数据生成合法签名的案例。 虽然此类案例主要是客户端环境脆弱造成的,与U盾本身的安全性关系不大,但只有解决危机四伏的客户端环境下使用网银的安全问题,才能真正解决问题。用户和银行的。 消除后顾之忧,促进网上银行应用健康发展。
在此背景下,为了解决第一代U盾应用中因终端交易环境不安全而导致的“交易伪造”和“交易劫持”问题,“基于参与性的网络可信交易理论”被提出。在此基础上,提出了操作控制列表技术(简称OCL技术)用于具体的项目实施。 从硬件认证设备侧出发,充分考虑现有应用环境的兼容性和便捷性,避免对平台和交易环境的改变,很好地解决了因终端不安全而导致的“交易伪造”和“交易伪造”交易环境。 “交易劫持”问题得到了工商银行的广泛认可和支持。 OCL技术现已成为国内主流商业银行高端USB盾的技术标准。
随着第二代U盾产业链的成熟,产品成本不断降低,为第二代U盾产品的大规模商用奠定了良好的物质基础。 2010年以来,中国四大国有商业银行兴业银行、农业银行、中国银行、中国建设银行均大规模发行第二代U盾产品,累计发行量发行量突破5000万,证明了其技术和经济效益。 可行性。 2012年,各股份制银行、城市商业银行、农信银行系统均开始第二代U盾产品招标测试。 第二代U盾产品的推广使用,彻底解决了网上银行交易过程中客户操作的安全风险,为网上银行业务的深入发展奠定了坚实的基础,使各金融机构能够推广网上银行服务。 不用再担心了。
3.第三代U盾
随着具有PKI功能的多应用金融IC卡的发行,在金融IC卡上实现数字证书应用在技术上已成为可能。 因此,第三代U盾集成了第二代U盾、智能卡读写器、金融IC卡功能。 产品(又称互联网终端或个人金融终端)已成为业界的热门话题。 该产品在传统智能卡读写器的基础上增加了安全芯片、显示屏、数字键盘等模块,可实现二代U盾、动态密码(OTP)、金融IC卡、行业等的余额查询和转账。应用IC。 、消费等应用,让人们足不出户即可享受银行提供的各项金融服务。 是人们迈向无现金社会的必备装备。
存储型USB盾由于其硬件功能的限制,只能实现简单的数据摘要算法。 PKI中广泛使用的对称和非对称加密算法只能通过运行在PC上的中间件来实现。 这样,加密和用户的密钥就会在签名操作时出现在内存中,并可能被熟练的黑客获取。 随着用户对信息安全要求的提高,市场上存在通过硬件实现加密操作的需求。 随着智能卡技术的发展,智能卡的计算能力不断提高,可以运行加密算法的智能卡已经出现。 然而卡片形式的智能卡必须通过读卡器与计算机进行通信,这对于用户来说非常不方便。 于是将智能卡芯片和读卡器结合在一起的USB盾就出现了。 带智能卡芯片的USB盾可以通过内置的智能卡芯片在Key内部硬件中实现DES/3DES和RSA加解密操作,并支持Key中RSA密钥对的生成,杜绝了Key中RSA密钥对的生成。密钥出现在客户端的内存中。 ,大大提高安全性。
目前,市场上看到的U盾根据硬件芯片的不同,可以分为两种类型:使用智能卡芯片的U盾和不使用智能卡芯片的U盾。 根据CPU是否内置加密算法,可分为带算法的U盾和不带算法的U盾。 一般我们把不带加密算法的称为存储型U盾,带加密算法的称为加密型U盾。
U盾()市场分析
近年来,各大银行纷纷发行此类卡,用于网上银行的安全交易和身份认证。 它看起来像一个 USB 闪存驱动器。 它是一个带有USB接口的硬件设备。 它有一个内置的微控制器或智能卡芯片。 具有一定的存储空间,可以存储用户的私钥和数字证书。 内部生成用户私钥,交易安全性高。 此外,它还具有支付快捷、携带方便、功能全面、服务多样等特点。 在市场上迅速推广,成为网上银行、电子商务、电子政务等领域交易的保障。 安全标准设备。
我国是世界上最大的生产国和世界上最大的市场。 2010年中国销量突破6000万辆,同比增长90%以上。 巨大的市场吸引了众多食客,目前国内生产厂家约有十几家。 2010年,前三大厂商的销售市场占有率超过60%,市场品牌集中度较高。 这方面与产品需要安全认证有关。 由于应用领域比较特殊,一般企业很难进入银行供应商环节。 但一旦进入银行,短期内就会有一定的稳定性。 另一方面,芯片和系统集成度越来越高,用途多样,增加了开发难度。 同时,产品更新较快,成本投入加大,经验积累的企业具有先发优势。 ,增加其他公司的进入壁垒。 此外,银行目前正在大力降低采购成本,迫使年产量较小的制造商在网上银行以外的市场竞争。 产品升级换代步伐的加快也使得这个市场的竞争更加激烈。
目前,我国大部分应用在网上银行领域,网上银行市场占总市场的80%以上。 造成这种现象的主要原因是网上银行应用与其他领域应用的受众群体不同。 网上银行应用的受众基本上是个人消费者。 虽然企业网银也占据了一部分市场,但与个人网银用户数量相比仍存在巨大差距。 相比之下,电子政务、电子商务等领域的受众群体主要是企业。 比如网上报税、网上报关等电子政务的受众群体,基本上都是企业。 企业用户数量与个人用户数量的悬殊是市场应用片面的主要原因。
2010年初,央行19号文件(试行)规定,境内银行必须在三年内发行全部二代产品,从而开放境内二代市场。 2010年,国内二代市场仍处于起步阶段,销量仅占整个市场的10%左右。 此外,随着移动互联网等应用需求不断扩大,在第二代产品的基础上集成OTP功能或增加复合手机硬件接口的第三代产品于2013年上半年推出,其销量随后几年稳步增长。 。 由于可以应用于手机上对用户进行身份验证,随着移动互联网的快速发展,第三代将展现出广阔的发展前景。 到2016年,第三代的保有量已超过1万台,占市场总量的70%以上。 2011-2016年中国市场产品结构预测(见图7-5)。
图7-5 2011-2016年中国市场产品结构预测(按销量,单位:万件)
USB盾的优点
1. 硬件PIN码保护
U-采用基于物理介质的个人客户端证书,建立基于公钥PKI技术的个人证书认证系统(PIN码)。 黑客需要获取用户的USB盾硬件和用户的PIN码才能登录系统。 即使用户的PIN码泄露并且USB盾没有丢失,合法用户的身份也不会被伪造。 如果用户的USB盾丢失,其他人不知道用户的PIN码,这意味着无法冒充合法用户的身份。
2. 安全密钥存储
USB盾的密钥存储在内部智能芯片中,用户无法从外部直接读取。 读取、写入和修改密钥文件必须由USB盾内部的CPU通过调用相应的程序文件来执行,这样USB盾接口外就没有指令可以读取、修改、更新或删除密钥区域的内容。 这保证了黑客无法使用非法程序来修改密钥。
3、双密钥密码系统
为了提高交易的安全性,U盾采用双密钥密码系统来保证安全。 U盾初始化时,首先将密码算法程序烧录到ROM中,然后通过生成公私钥对的程序生成公私钥对。 公钥和私钥生成后,可以将密钥导出到U盾,而私钥则存储在密钥区域,不允许外部访问。 在进行数字签名和非对称解密操作时,所有涉及私钥的加密操作都只能在芯片内部完成,整个私钥不需要退出U盾介质,从而保证使用U盾进行数字证书认证作为存储介质。 在安全性方面无可挑剔。
4、加密算法的硬件实现
U盾内置CPU或智能卡芯片,可以实现数据摘要、数据加密、解密、签名等多种算法。 加密和解密操作都在U盾内部进行,保证用户的密钥不会出现在计算机内存中。
U型盾()技术原理
基于身份认证系统的应用模式主要有两种:一是基于影响/响应的认证模式,二是基于PKI系统的认证模式,广泛应用于电子政务、网上银行等领域。
1. 基于影响/响应的认证模式
采用冲击/响应认证方式,每个用户都有一个PIN码,实现双因素认证功能。 内置单向哈希算法,证明用户身份的密钥预先存储在服务器端。 当网络上需要验证身份时,客户端首先向服务器发送验证请求。 服务器收到这个请求后,生成一个随机数,通过网络传输给客户端(这就是影响)。 客户端收到的随机数提供给插入的客户端,该随机数与存储在密钥中的数据进行带密钥的单向哈希运算,并将结果发送到服务器作为身份验证证据(这是回应)。 同时,服务器使用服务器数据库中存储的随机数和客户端密钥进行单向哈希运算。 如果服务器操作的结果与客户端返回的响应结果相同,则认为客户端是合法用户。 挑战/响应原理流程图(见图7-6)。
图7-6 挑战/响应原理流程图
2. 基于PKI系统的认证模型
PKI(ure)是一种公钥系统,它使用一对匹配的密钥进行加密和解密。 公钥 ( key, ) 和私钥 ( key, )。 其基本原理是,用一个密钥加密的信息内容只能由与其配对的另一密钥解密。 公钥可以广泛分发给与其自身相关的通信者,而私钥则需要非常安全地存储。 每个用户都有一个只有他或她知道的私钥,并用它来解密和签名; 同时,他或她拥有一个公钥,用于在发送文件时对其进行加密。 发送机密文档时,发送者使用接收者的公钥对数据进行加密,接收者使用自己的私钥进行解密。 这样,即使被第三方拦截,信息也能安全无误地到达目的地。 由于没有对应的私钥,无法进行解密。
引入PKI安全体系,解决基于PKI的数字证书形式的公钥信息的存储和表示问题。 通过对要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性和完整性。 和不可否认性。 同时,利用硬件通过存储空间存储用户的私钥、会话密钥、数字证书等机密数据,并利用硬件保证用户的私钥无法被导出,从而充分保证了私钥等机密信息受到安全保护。 用户只能通过内部CSP模块访问私有数据,提供银行级安全性。
服务器验证用户身份并传输数据的通信流程如下:
(1)客户端通过确认按钮向服务器发送信息A(用户名、密码等);
(2)服务器收到信息A后,将信息A、当前系统时间、随机码序列(为了防止重放攻击)组成的数据B保存在服务器上,并使用服务器的加密功能将上述信息转换为客户端的公钥。 采用加密方法对数据C进行加密并发送给客户端;
(3)客户端收到加密数据C后,用自己的私钥解密,然后用服务器的公钥加密,形成数据D并发回服务器;
(4)服务器收到数据D后,用自己的私钥解密,并与服务器上原来保存的数据B进行比较。 如果完全一致,服务器就认为请求者是合法用户,并允许该用户登录。
冲击响应方式可以保证用户的身份不被伪造,但无法保证认证过程中网络传输数据的安全。 基于PKI的“数字证书认证方法”可以有效保证用户的身份安全和数据传输安全。 数字证书是一组包含用户身份信息(密钥)的数据结构,由受信任的第三方证书颁发机构——数字证书认证机构(CA)颁发。 PKI系统利用加密算法构建了完整的流程。 确保数字证书持有者的身份安全。 并且使用可以保证数字证书无法被复制,所有密钥操作都在计算机中实现,用户密钥不会出现在计算机内存中并且不会在网络中传播。 只有被授权的持有者才能操作数字证书,安全性得到保证。
结束:U-具有安全可靠、便携、易用、成本低廉等优点。 再加上PKI系统完善的数据保护机制,利用U盾存储数字证书的认证方式已成为目前主要的认证方式。 随着移动互联网时代的快速发展,无论是传统的U盾还是进化而来的U盾,一直在用户的生活中扮演着重要的角色,是保护用户资金安全的重要工具。
这就是《身份危机》中卷“硬件时代”章节的全部内容。 希望分享的内容对大家有所帮助。 其实,除了之前跟大家分享的身份认证技术之外,基于人体生物识别的身份认证也是个人身份认证技术中最简单、最安全的方法。 是一种可信度高、难以伪造的认证方法。 。 在接下来的章节中,我们将与您共同探讨当前信息安全技术领域的热点——基于生物识别的身份认证技术,敬请关注!