網(wǎng)上銀行反欺詐分析

1、網(wǎng)上銀行反欺詐分析隨著網(wǎng)上銀行的日益普及，其安全性逐漸成為人們關(guān)注的熱點(diǎn)問 題。通過對(duì)網(wǎng)上銀行系統(tǒng)工作流程中的幾個(gè)主要環(huán)節(jié)進(jìn)行了安全性分 析，認(rèn)為身份認(rèn)證系統(tǒng)是客戶端和數(shù)據(jù)傳輸這兩個(gè)薄弱環(huán)節(jié)的銜接點(diǎn)， 是決定網(wǎng)上銀行安全性的關(guān)鍵點(diǎn)。為了提高網(wǎng)上銀行系統(tǒng)的安全性能， 必須對(duì)身份認(rèn)證系統(tǒng)進(jìn)行強(qiáng)化、優(yōu)化。文中分析了當(dāng)前普遍使用的 E-token和USBKey這兩種基于硬件的身份認(rèn)證方式，并結(jié)合兩者的 優(yōu)點(diǎn)對(duì)網(wǎng)上銀行身份認(rèn)證系統(tǒng)提出了新的設(shè)計(jì)方案。0 引言近年來，隨著電子商務(wù)1蓬勃發(fā)展，越來越多的客戶傾向通過網(wǎng) 上銀行辦理業(yè)務(wù)。網(wǎng)上銀行憑借其便捷、成本低廉的獨(dú)特優(yōu)勢(shì)獲得了 迅猛發(fā)展。與此同時(shí)，網(wǎng)絡(luò)上一

2、些不法分子趁機(jī)找到了新的謀生捷徑。2006年工商銀行多名客戶網(wǎng)銀資金被盜，危害面涉及20多個(gè)省 份，從此，網(wǎng)銀安全引起了業(yè)界及廣大用戶的密切關(guān)注。這幾年，網(wǎng) 銀安全問題愈演愈烈，攻擊者手段層出不窮，主要通過木馬及病毒盜 取網(wǎng)銀賬戶密碼作案、遠(yuǎn)程控制“肉雞”電腦直接轉(zhuǎn)賬、充分利用網(wǎng)銀 用戶不良使用習(xí)慣（如未及時(shí)拔出U盾）等3種手段來竊取網(wǎng)銀用戶賬 戶資金，給客戶造成不同程度的經(jīng)濟(jì)損失，而且破壞了銀行聲譽(yù)。據(jù) 有關(guān)部門調(diào)查，央視3-15晚會(huì)網(wǎng)銀盜竊黑幕曝光后，近三成用戶因 擔(dān)心網(wǎng)銀安全決定減少使用網(wǎng)銀?？偠灾?，網(wǎng)銀安全問題舉足輕重，進(jìn)一步加強(qiáng)網(wǎng)銀系統(tǒng)安全建設(shè)，為廣大用戶提供相對(duì)安全的網(wǎng)銀操作 環(huán)

3、境是銀行網(wǎng)銀業(yè)務(wù)的根基。針對(duì)當(dāng)前網(wǎng)銀安全問題，銀行方也采取了相應(yīng)的防御措施，最常 見的是使用身份認(rèn)證技術(shù)來增加系統(tǒng)的安全系數(shù)。1網(wǎng)銀系統(tǒng)各環(huán)節(jié)的安全性分析從目前網(wǎng)銀使用中出現(xiàn)的案例來看，網(wǎng)銀案件主要分為以下幾類： 黑客入侵、木馬病毒、虛假網(wǎng)站、偽造服務(wù)器、網(wǎng)銀信息泄露等。許 多專家、評(píng)論家認(rèn)為是網(wǎng)銀用戶安全意識(shí)不夠高，而究其根本是因?yàn)?網(wǎng)銀系統(tǒng)的某些環(huán)節(jié)的確存在漏洞，才使攻擊者有機(jī)可乘。網(wǎng)銀系統(tǒng)主要涉及到身份認(rèn)證過程和交易過程，包括客戶端、數(shù) 據(jù)傳輸、網(wǎng)銀服務(wù)器系統(tǒng)等幾個(gè)主要環(huán)節(jié)2，如圖1所示。1.1銀行客戶端目前，銀行客戶端主要受到以下幾方面的威脅：通常使用的Windows操作系統(tǒng)及其瀏覽器

4、存在許多漏洞3， 防范意識(shí)不強(qiáng)的客戶易被黑客在系統(tǒng)內(nèi)植入木馬、病毒，如“網(wǎng)銀大 盜”、“灰鴿子”。系統(tǒng)感染木馬、病毒后客戶賬號(hào)、密碼等隱私信息 便不再安全；有些網(wǎng)銀客戶習(xí)慣將數(shù)字證書保存在軟、硬盤中，而一旦系 統(tǒng)中了木馬，黑客很容易將證書、銀行賬號(hào)和密碼一起拷走，使客戶 蒙受經(jīng)濟(jì)損失；用戶登錄頁面過程中很容易被“網(wǎng)絡(luò)釣魚”。黑客常常誘騙用戶 登錄到酷似銀行官網(wǎng)的虛假網(wǎng)站并輸入認(rèn)證信息，從而間接獲取用戶 認(rèn)證信息。1.2網(wǎng)銀服務(wù)器系統(tǒng)為防止網(wǎng)銀服務(wù)器系統(tǒng)受到攻擊，首先，絕大多數(shù)銀行都在 Internet與網(wǎng)銀服務(wù)器間建立起了數(shù)道防火墻，使黑客無法攻破防火 墻進(jìn)入銀行內(nèi)部網(wǎng)絡(luò)4。其次，Web應(yīng)用服

5、務(wù)器端使用可信的專用 操作系統(tǒng)，憑借其獨(dú)特的體系結(jié)構(gòu)和安全檢查，保證只有合法用戶的 交易請(qǐng)求才能通過特定代理程序送至應(yīng)用服務(wù)器進(jìn)行后繼處理。再者， 銀行多采用國(guó)際先進(jìn)的網(wǎng)絡(luò)安全檢測(cè)和監(jiān)控系統(tǒng)，對(duì)進(jìn)出各級(jí)局域網(wǎng) 的常見操作進(jìn)行24 h實(shí)時(shí)監(jiān)控、報(bào)警和阻斷，并定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn) 行安全性分析，及時(shí)發(fā)現(xiàn)并修正漏洞；客戶在網(wǎng)上銀行使用的密碼， 都經(jīng)過不可逆加密算法存放在數(shù)據(jù)庫中，即使黑客侵入數(shù)據(jù)庫系統(tǒng)， 也無法破譯原密碼。經(jīng)過多方面的層層風(fēng)險(xiǎn)布防，網(wǎng)銀服務(wù)器系統(tǒng)相 對(duì)客戶端顯得更加安全。.3數(shù)據(jù)傳輸過程銀行普遍采用128位密鑰的SSL5安全加密通信傳輸，目前常用版 本為SSL3.0O SSL3.0通過數(shù)

6、字簽名和證書實(shí)現(xiàn)瀏覽器與Web服務(wù)器 的雙方身份驗(yàn)證，具有機(jī)密性、消息完整性、免重放攻擊等功效6。 盡管該協(xié)議能夠提供加密、認(rèn)證等安全服務(wù)，但并非毫無缺陷。近年 來，SSL漏洞頻頻被暴，這些安全隱患的存在可能使用戶受到各種極 具破壞力的網(wǎng)絡(luò)攻擊。其中最典型的是SSL中間人攻擊，最新黑帽 大會(huì)上提及的SSL STRIP就是在不改變SSL加密狀態(tài)下通過中間人 攻擊欺騙用戶，盜取賬戶密碼。由此看來，數(shù)據(jù)傳輸過程同樣存在安 全風(fēng)險(xiǎn)。通過分析網(wǎng)銀系統(tǒng)流程的幾個(gè)主要環(huán)節(jié)發(fā)現(xiàn)：網(wǎng)銀系統(tǒng)的薄弱點(diǎn)在 于客戶端以及數(shù)據(jù)傳輸過程。目前攻擊者采取的策略大多是針對(duì)客戶 薄弱的防范意識(shí)，在用戶進(jìn)行客戶端操作以及系統(tǒng)數(shù)據(jù)傳

7、輸過程中獲 取網(wǎng)銀用戶的隱秘信息。身份認(rèn)證系統(tǒng)正是客戶端和數(shù)據(jù)傳輸這兩個(gè) 薄弱環(huán)節(jié)的銜接點(diǎn)，也恰是網(wǎng)銀作案的最佳切入點(diǎn)。所以，為了提高 網(wǎng)銀系統(tǒng)的安全性能，必須對(duì)身份認(rèn)證系統(tǒng)進(jìn)行強(qiáng)化、優(yōu)化。銀行方 面也早就意識(shí)到了這一點(diǎn)，在新版網(wǎng)銀中增強(qiáng)了客戶身份認(rèn)證的復(fù)雜 度，以提高網(wǎng)銀安全系數(shù)?，F(xiàn)在單純使用賬號(hào)和密碼進(jìn)行業(yè)務(wù)操作的 網(wǎng)銀系統(tǒng)并不多見，逐漸取而代之的是多重、多因素身份認(rèn)證。據(jù)調(diào) 研，當(dāng)前國(guó)內(nèi)外銀行主要采用的是基于硬件的“電子口令牌”(E-token) 和“U盾”(USBKey)兩種認(rèn)證工具。2 E-Token和USBKey身份認(rèn)證技術(shù)特性及缺陷2.1 E-token工作原理及其技術(shù)缺陷(1)

8、 E-token工作原理E-token是一塊鑰匙大小的動(dòng)態(tài)口令牌，內(nèi)部裝有內(nèi)置芯片、時(shí)鐘、 電源和一個(gè)LCD窗口。它是基于時(shí)間同步機(jī)制的一次性動(dòng)態(tài)口令認(rèn) 證技術(shù)(OTP)，主要思想是在登錄過程中加入不確定因素，使得每次 登錄傳送的口令信息都不相同，以此增加身份認(rèn)證的安全性。銀行在分發(fā)E-token時(shí)與網(wǎng)銀用戶綁定建立一一對(duì)應(yīng)關(guān)系，使用 獨(dú)一無二的128位種子將其初始化。其內(nèi)部芯片每分鐘換一種不同算 法，組合種子與當(dāng)前時(shí)間，生成一個(gè)隨機(jī)6位數(shù)，即目前銀行分發(fā)的 E-token每60 s更新一次動(dòng)態(tài)口令。銀行端的認(rèn)證系統(tǒng)與客戶端的 E-token同時(shí)擁有對(duì)稱密鑰和相同的對(duì)稱密鑰算法，在設(shè)定好的相同

9、 時(shí)間更新計(jì)算出新的隨機(jī)數(shù)字，保證動(dòng)態(tài)口令牌和網(wǎng)銀服務(wù)器的單一 認(rèn)證，確保網(wǎng)銀的安全性7。圖2為使用E-token身份認(rèn)證技術(shù)的網(wǎng) 銀系統(tǒng)登錄及交易過程。(2) E-token技術(shù)缺陷對(duì)于E-token的身份認(rèn)證方式，在短短的60 s時(shí)間內(nèi)，攻擊者唯 一可能突破的方法就是采用MITM(中間人攻擊)。在這種攻擊中，黑 客在用戶與銀行網(wǎng)站之間建立一臺(tái)偽服務(wù)器，分別與用戶端和銀行端 通信，攔截用戶轉(zhuǎn)賬操作，實(shí)時(shí)傳送包括OTP在內(nèi)的登錄信息，冒 充用戶隨心所欲地對(duì)賬戶進(jìn)行操作8。而此時(shí)網(wǎng)銀服務(wù)器根本沒有 能力判斷發(fā)出轉(zhuǎn)賬指令的是用戶還是木馬，于是執(zhí)行了冒充客戶的操 作指令。事實(shí)證明，中間人實(shí)時(shí)攻擊方法

10、是可行的。黑客曾經(jīng)通過 MITM方式成功突破花旗銀行網(wǎng)站，勝利盜取盛大密寶、網(wǎng)易將軍等 賬戶及密碼。中間人攻擊原理如圖3所示。此外，基于E-token的OTP技術(shù)不支持電子簽名和公鑰計(jì)算， 不具有信息的機(jī)密性、完整性和不可抵賴性。E-token只能提供單向認(rèn)證，不能證明對(duì)方是否的確是銀行端的認(rèn)證系統(tǒng)，易被網(wǎng)絡(luò)釣魚9。2007年初，某黑客組織發(fā)明了一種釣魚工具并在網(wǎng)上出售，這種工 具能夠拷貝現(xiàn)有網(wǎng)銀頁面，生成虛假的URL,實(shí)時(shí)向黑客回傳登錄 信息，一旦用戶大意上鉤，必將遭受經(jīng)濟(jì)損失。2.2 USBKey工作原理及其安全漏洞(1)USBKey工作原理計(jì)算機(jī)一旦受到黑客攻擊，其硬盤上的證書和私鑰就可

11、能被盜 用。USBKey正是在這種考慮下新興起來的基于硬件的用數(shù)字證書進(jìn) 行身份認(rèn)證的安全防范技術(shù)。USBKey不同于一般U盤，它用含CPU的IC卡存儲(chǔ)用戶證書和 私鑰，其中的CPU具備一定計(jì)算機(jī)的功能，在使用時(shí)需要輸入PIN 碼。智能卡生產(chǎn)者將產(chǎn)生公私密鑰對(duì)的程序以及密碼算法程序燒制在 IC卡芯片的ROM中。公鑰可以導(dǎo)出到卡外，而私鑰存儲(chǔ)于芯片的密 鑰區(qū)，不允許外部訪問10。網(wǎng)銀用戶發(fā)起業(yè)務(wù)指令時(shí)，被要求插入U(xiǎn)SBKey，同時(shí)輸入與之相對(duì) 應(yīng)的PIN碼；驗(yàn)證成功后，USBKey會(huì)對(duì)待發(fā)送的業(yè)務(wù)指令進(jìn)行數(shù)字 簽名，并將簽名與原指令一起用隨機(jī)產(chǎn)生的DES密鑰進(jìn)行加密，并 用公鑰加密DES密鑰；然

12、后將加密后的指令、簽名和DES傳送到網(wǎng) 銀服務(wù)器等待對(duì)方驗(yàn)證。以上步驟除了輸入PIN碼是在電腦鍵盤上外，其余簽名、加密過程都 在USBKey中由其內(nèi)部的智能芯片完成，整個(gè)過程私鑰可以不出智能 卡介質(zhì)，黑客沒有辦法截獲私鑰，相比證書和私鑰放在軟盤或者硬盤 上安全得多?？蛻舳薝SBKey工作流程11如圖4所示。網(wǎng)銀服務(wù)器方收到客戶端信息后，使用自己的私鑰對(duì)加密后的DES解密，然后用DES將加密后的數(shù)字簽名及指令解密，之后用公鑰驗(yàn)證數(shù)字簽名，可有效防止指令中途被篡改，并且能夠保證用戶身 份不可抵賴性?；赨SBKey的身份認(rèn)證流程如圖5所示。(2) USBKey安全特性及其缺陷USBKey認(rèn)證方式的

13、安全之處在于10： USBKey采用了 PKI公 鑰體系，其中的數(shù)字證書使得交易過程相對(duì)安全。而且，USBKey中 的數(shù)字證書及私鑰在卡內(nèi)進(jìn)行計(jì)算加密，永遠(yuǎn)都不可能為黑客所取出， 除非卡操作系統(tǒng)(COS)上留有后門。再者，PIN碼的存在可預(yù)防 USBKey不慎丟失或被他人盜用。USBKey的方式盡管看起來很完美，實(shí)際上卻存在一些OTP所 沒有的安全性問題。經(jīng)過仔細(xì)分析一些案例發(fā)現(xiàn)，USBKey認(rèn)證系統(tǒng) 有以下兩個(gè)漏洞：一是黑客完全有能力截獲從電腦上輸入的靜態(tài)PIN 碼，用戶沒有及時(shí)取走USBKey的時(shí)候，黑客便可利用PIN碼來取 得虛假認(rèn)證，進(jìn)行轉(zhuǎn)賬操作；二是在用戶發(fā)出交易指令后到被 USBK

14、ey加密前存在一段安全真空期，黑客此時(shí)可悄無聲息地篡改用 戶指令，而USBKey還會(huì)堅(jiān)定地保護(hù)篡改后的指令。3網(wǎng)銀身份認(rèn)證過程的改進(jìn)E-token身份認(rèn)證過程中缺乏USBKey技術(shù)中的消息完整性與防 抵賴性；而USBKey認(rèn)證過程中，靜態(tài)PIN碼又容易被黑客利用， 使得整個(gè)網(wǎng)銀系統(tǒng)的安全性大打折扣。針對(duì)網(wǎng)銀系統(tǒng)目前的狀況，更 為安全的方法是結(jié)合E-token的動(dòng)態(tài)因素以及USBKey的消息完整性、防抵 賴性等特性，建立更加堅(jiān)固的網(wǎng)銀系統(tǒng)。改進(jìn)后的網(wǎng)銀身份認(rèn)證流程 如圖6、圖7所示。I改進(jìn)后的網(wǎng)銀認(rèn)證過程如下：客戶端登錄網(wǎng)銀頁面，按照提示輸入賬號(hào)、密碼以及OTP1； 網(wǎng)銀服務(wù)器端根據(jù)時(shí)間同步的O

15、TP1驗(yàn)證用戶身份；驗(yàn)證了客戶端身份后，服務(wù)器端將自身的證書和OTP2共同 散列值傳送給客戶端，用于實(shí)現(xiàn)客戶端對(duì)服務(wù)器方的認(rèn)證?？蛻舳烁?據(jù)服務(wù)器傳送過來的信息驗(yàn)證服務(wù)器證書的真實(shí)性，解密后將OTP2 顯現(xiàn)于Web瀏覽器上供網(wǎng)銀用戶核對(duì)，進(jìn)而完成對(duì)服務(wù)器端的驗(yàn)證；用戶成功登錄，隨后進(jìn)行業(yè)務(wù)操作，系統(tǒng)提示插入U(xiǎn)SBKey， 并輸入動(dòng)態(tài)PIN碼OTP3以啟動(dòng)USBKey的證書功能。隨后要求輸入 OTP4作為臨時(shí)驗(yàn)證碼；USBKey把當(dāng)前的臨時(shí)驗(yàn)證碼OTP4和業(yè)務(wù)操作指令一同加 密并簽名傳輸給網(wǎng)銀服務(wù)器，網(wǎng)銀服務(wù)器驗(yàn)證動(dòng)態(tài)口令碼并完成客戶 業(yè)務(wù)需求的操作。4改進(jìn)后的網(wǎng)銀身份認(rèn)證過程安全性分析改進(jìn)后的

16、網(wǎng)銀身份認(rèn)證系統(tǒng)要求每次使用USBKey加密指令 的同時(shí)都重新輸入一次動(dòng)態(tài)PIN碼，并在USBKey數(shù)字證書中融入 了 E-token的不確定性，比單一使用E-token的系統(tǒng)增加了數(shù)字證書 的消息完整性、防抵賴性功能；同時(shí)，較之單一使用USBKey的認(rèn)證 系統(tǒng)又增加了動(dòng)態(tài)密碼的不確定因素，具體表現(xiàn)在：實(shí)現(xiàn)了客戶端與服務(wù)器的雙向認(rèn)證。該方案中，偽造服務(wù)器 沒有硬件E-token的支持，不可能知道真正的OTP2，因而無法篡改 信息、冒充服務(wù)器。動(dòng)態(tài)因素OTP2的存在加強(qiáng)了客戶端對(duì)服務(wù)器端 的身份認(rèn)證，減少了用戶被釣魚以及遭受中間人攻擊的風(fēng)險(xiǎn)；動(dòng)態(tài)PIN碼的不確定因素減少了指令被篡改的風(fēng)險(xiǎn)。整個(gè)認(rèn)

17、 證交易過程中，即使在USBKey未拔出的時(shí)候被中間人劫持信息，獲 取了當(dāng)前的動(dòng)態(tài)PIN碼，也無法悄無聲息地篡改指令。因?yàn)閱?dòng) USBKey的證書作用必須知道下一次的動(dòng)態(tài)口令，攻擊者不具備硬件 E-token，僅靠當(dāng)前截獲的PIN碼不能使USBKey中的證書正常工作；彌補(bǔ)了單一使用E-token的網(wǎng)銀認(rèn)證時(shí)交易過程沒有受到公 鑰體系保護(hù)的缺陷。該方案中，基于PKI的USBKey數(shù)字證書的加 密、簽名作用貫穿交易過程始終，一定程度上提高了網(wǎng)銀認(rèn)證過程的 安全性?？偠灾倪M(jìn)后的身份認(rèn)證過程吸取了當(dāng)前兩種身份認(rèn)證技術(shù)的長(zhǎng) 處，大大降低了用戶網(wǎng)銀被非法轉(zhuǎn)賬的可能，顯著提高了網(wǎng)銀系統(tǒng)的 安全。然而，改進(jìn)后的方案在幾個(gè)方面也存在不足:提高了系統(tǒng)技術(shù)復(fù)雜度， E-token上隨機(jī)數(shù)字的變化是以時(shí)間為變量的，如何做到客戶端和服 務(wù)器端的時(shí)間同步是一個(gè)難點(diǎn)；相對(duì)當(dāng)前銀行網(wǎng)銀身份認(rèn)證方式更加 繁瑣，用戶需要同時(shí)擁有USBKey及配套的E-token，并多次輸入相 應(yīng)的密碼及驗(yàn)證碼，對(duì)于客戶而言，便捷性稍微有所下降；增加了網(wǎng) 銀系統(tǒng)的運(yùn)營(yíng)成本，USBKey和E-token的制作成本都不低，同時(shí)結(jié)合這兩種技術(shù)不僅增加了物質(zhì)上的成本而且技術(shù)維護(hù)的成本也會(huì)相應(yīng)增加。5結(jié)語文中分析了目前網(wǎng)銀系統(tǒng)的整個(gè)工作流程，認(rèn)為網(wǎng)銀系統(tǒng)的安全 瓶頸之一在于客戶端