返回
网络银行安全问题研究论文

网络银行安全问题研究论文

ID:40893115

大小:15.43 KB

页数:6页

时间:2019-08-10

网络银行安全问题研究论文_第1页
网络银行安全问题研究论文_第2页
网络银行安全问题研究论文_第3页
网络银行安全问题研究论文_第4页
网络银行安全问题研究论文_第5页
资源描述:

《网络银行安全问题研究论文》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网上银行作为一种全新的银行客户服务提交渠道,使客户在享受银行提供的服务时不受时间、空间的限制,因此,近几年各商业银行的网上银行业务发展迅速。据CFCA《中国网上银行调查报告》显示,个人网银用户比例为27.6%,企业网银则替代了60.3%的柜台业务。网银业务高速发展的同时,安全性始终是用户与银行的关注重点。一、网络银行现在使用的安全技术以中国建设银行为例,它提供两种网银产品,即动态口令卡(区别于动态口令牌)网银产品和U盾网银产品,2种产品都能够进行资金变动业务。中国建设银行不提供单纯查询版的网银产品。动态口令卡技术的网银产品动态

2、口令卡是在办理业务时,银行交给用户的密码口令卡。每张卡覆盖有30个不同的密码,每次转账使用一个,按照次序进行。比如用户按次序使用第12个密码时,只需刮开使用即可。然后数字证书配合动态口令卡,即可完成转账等涉及资金变动的操作。需要注意的是,这个动态密码不是随机产生的,而是已经“固定”下来了。动态口令卡使用2道身份认证来保证支付账户的资金安全。(1)第一道身份认证。中国建设银行的身份证号码和密码认证构成了第一道身份认证。相对于银行账户和密码的登录方式,该方式更有利于增强用户的安全性。同时,登录界面使用图形键盘的方式输入密码,在一定

3、程度上能够防范键盘记录木马的盗取。(2)第二道身份认证。数字证书和动态口令卡中的口令构成了第二道身份认证。数字证书是一个加密文档,当用户在银行柜台开通该项业务后,可在一周之内登录网站下载数字证书,数字证书具有唯一性和不可伪造性;动态口令卡中的密码也是一次一变;交易密码是用户在柜台办理时设定的。U盾技术的网银产品U盾则是使用独立的物理介质和U盾密码来保证网银安全。U盾大小、形状都类似于U盘,由用户保管。当用户办理U盾后,转账之前首先要在计算机上安装相应的U盾管理软件。在用户进行转账时,U盾要插在计算机上。转账的时候不仅要输入交易

4、密码,也要输入U盾密码。同样,U盾类型的网银产品需要经过2道身份认证才可以进行涉及资金变动交易。(1)第一道身份认证。和动态口令卡网银产品一样,使用身份证号码和登录密码作为第一道身份认证。(2)第二道身份认证。U构成盾第二道身份认证的要件。使用U盾进行资金变动时,需同时满足3个条件:一是U盾必须要插入用户的计算机中,同时要确保计算机已经安装U盾客户端管理软件;二是转账或者支付时必须输入交易密码,该密码是用户在银行柜台设定的;三是必须输入U盾的密码。3个条件缺一不可。二、网络银行存在的问题数字证书存在被他人提早下载的漏洞用户在银

5、行柜台开通网银后,如果他人获得了用户账户和密码,就可能抢在用户之前登录网银网站,抢先注册并下载数字证书。虽然这样并不一定导致用户的资金被盗,但这毕竟是危险的“窗口期”动态口令卡存在被窃取的安全威胁口令卡至少有2个安全威胁:一是有的口令卡在表膜没有刮开的情况下就可以透过保护层看到密码,只要用强光照射即可;二是如果动态口令卡采取的“固定的”动态密码而不是随机产生的,例如中国建设银行的动态口令卡,那么用户登录了钓鱼网站或者遭遇浏览器劫持,就可能将真实的动态密码提交给他人。数字证书存在被窃取的安全威胁数字证书是配合动态密码共同使用的一

6、项重要的安全保护措施,但是该文件是存放在计算机中的,因此也就存在被窃取的可能。早在2004年,木马Tro-janSpy.Banker.s和TrojanSpy.Banker.t就能准确识别用户银行系统保存证书的整个流程,并且自动偷取口令,复制证书文件。U盾存在被冒用的风险“远程调用”的安全威胁U盾作为独立物理介质更安全,但当用户的计算机被远程控制(例如QQ远程协助、远程控制木马)时,插在计算机上的U盾则成为了其他人盗取用户网银的“钥匙”。当然,网银网站是无法甄别出用户的U盾是否遭遇冒用。三、黑客盗取网银的方法使用综合性木马盗取网

7、银综合性木马是指包含键盘记录、屏幕查看、远程控制等多种功能的木马。使用综合性木马可以盗取U盾系列的网银产品。盗取机理:使用键盘记录功能记录下用户登录银行的用户名、密码、交易密码和U盾密码,如果用户使用屏幕键盘则采取观察屏幕的方式获取;利用用户U盾插入计算机的机会,远程控制用户计算机盗取网银。使用网银木马盗取网银网银木马盗取网银的效率更高。盗取机理:这类木马会自动检测用户浏览网页的网址,一旦出现网银网址就会启动键盘记录,记录账号、密码、交易密码等,并同时盗取用户计算机中的数字证书发至黑客邮箱。一些网银木马还利用浏览器劫持技术在正

8、常的网银页面中弹出“内嵌式”钓鱼网站页面,要求用户输入动态口令密码所有排列组合。使用钓鱼网站盗取网银黑客创建高度仿真的网站,然后通过搜索引擎、门户网站、钓鱼邮件、欺骗短信等方式诱使用户访问。盗取机理:一旦用户信以为真,就会将自己真实的账号和各种密码主动提交给钓鱼网站,对于随机

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。