返回
网银u盾安全漏洞的分析

网银u盾安全漏洞的分析

ID:14656290

大小:28.00 KB

页数:4页

时间:2018-07-29

网银u盾安全漏洞的分析_第1页
网银u盾安全漏洞的分析_第2页
网银u盾安全漏洞的分析_第3页
网银u盾安全漏洞的分析_第4页
资源描述:

《网银u盾安全漏洞的分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网银U盾安全漏洞分析USBKey是一种USB接口的硬件存储设备。USBKey的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USBKey有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法可以实现对用户身份的认证。目前USBKey被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。USBKey在网上银行中,被用作客户数字证书和私有密钥的载体,在网络上鉴别用户身份处于极其关键的地位。而网上银行首要的关键问题就是安全,安全是所有一切的基础,没有安全的网银还不如没有网银。一些新闻报道的国内某

2、某银行几十万资金通过网银被盗,都给网上银行带来巨大的负面影响,让人对于USBKey的网上银行认证的安全性产生怀疑和顾虑。本文将从技术的角度出发,详细论述一下目前中国网上银行使用的USBKey的安全性以及可能存在的风险和漏洞。当然,一个网银系统的安全,涉及到的理论知识非常多,不仅仅要懂得大学课程《密码学》的全面知识,还要知道最新加密锁和USBKey的产品动态,进行全面的网银评测并不是那么简单的事情。本文也仅仅起个抛砖引玉的作用,欢迎各方高手继续补充和讨论。行业安全专家基本都公认USBKey是安全可靠的,那么USBKey为什么是安全的呢?目前有几

3、个重要的性能指标能够说明USBKey的安全性。1、硬件PIN码保护黑客需要同时取得用户的USBKey硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USBKey不被盗取,合法用户的身份就不会被仿冒;如果用户的USBKey遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。2、安全的存储介质USBKey的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由USBKey内的程序调用。从USBKey接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。3、公钥密

4、码体制公钥密码体制和数字证书从密码学的角度上保证了USBKey的安全性,在USBKey初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到USBKey外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出USBKey介质,以此来保证以USBKey为存储介质的数字证书认证在安全上无懈可击。4、硬件实现加密算法USBKey内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加

5、解密运算在USBKey内进行,保证了用户密钥不会出现在计算机内存中。以上几点是USBKey在理论上安全性的技术保证,但是从技术角度分析,这些安全性能指标往往也存在一些容易被忽视的漏洞。1、硬件PIN码就绝对安全吗?目前的大多数银行使用的USBKey的PIN吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到USBKey的PIN码,这也是目前大多数USBKey存在的一个漏洞。知道了PIN码后,如果用户忘记将USBKey从电脑上取出,那么黑客还可以进一步通过PIN码来操作USBKey.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制

6、,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USBKey是否还能保证安全交易呢?我看未必,因为此时USBKey的PIN码已经完全可能会被黑客拦截,当用户操作完一次USBKey后,假如没有立即拔出USBKey,那么黑客完全可能在这个间歇期伪造一次交易,而此时USBKey以及PIN码都可以验证通过。2、外部真的无法读取Key内部的密钥吗?USBKey的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”上指的是设计上要绝对安全,如果设计和编写USBKey操作系统COS的人在COS上留了后门,那么这个人就可以从外部读取Key内部的密钥。3、

7、数字证书公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方CA机构发放的呢?有些银行的数字证书竟然是银行自己发放的,这就让PKI安全认证大打折扣了。4、如何保证通讯安全虽然USBKey内置CPU或智能卡芯片可以完成加密运算,但是数据从电脑上传入USBKey的过程中还是有可能被拦截和修改,USBKey内置的CPU只能保证自身的运算安全,却难以保证数据传入前不被修改。那么,理想中安全的USBKey应该是什么样子的呢?1、针对现有USBKey的键盘输入PIN码的漏洞,可以使用生物技术(例如个人指纹)来替换键

8、盘录入PIN码。也就是说,交易时候接入USBKey,我们不需要再到键盘录入PIN码来验证身份,我们只需要在USBKey的设备上按一下指纹,就能自动验证个人身份,这种

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。