網(wǎng)上銀行反欺詐分析

1、網(wǎng)上銀行反欺詐分析隨著網(wǎng)上銀行的日益普及，其安全性逐漸成為人們關(guān)注的熱點問 題。通過對網(wǎng)上銀行系統(tǒng)工作流程中的幾個主要環(huán)節(jié)進(jìn)行了安全性分 析，認(rèn)為身份認(rèn)證系統(tǒng)是客戶端和數(shù)據(jù)傳輸這兩個薄弱環(huán)節(jié)的銜接點， 是決定網(wǎng)上銀行安全性的關(guān)鍵點。為了提高網(wǎng)上銀行系統(tǒng)的安全性能， 必須對身份認(rèn)證系統(tǒng)進(jìn)行強(qiáng)化、優(yōu)化。文中分析了當(dāng)前普遍使用的 E-token和USBKey這兩種基于硬件的身份認(rèn)證方式，并結(jié)合兩者的 優(yōu)點對網(wǎng)上銀行身份認(rèn)證系統(tǒng)提出了新的設(shè)計方案。0 引言近年來，隨著電子商務(wù)1蓬勃發(fā)展，越來越多的客戶傾向通過網(wǎng) 上銀行辦理業(yè)務(wù)。網(wǎng)上銀行憑借其便捷、成本低廉的獨特優(yōu)勢獲得了 迅猛發(fā)展。與此同時，網(wǎng)絡(luò)上一

2、些不法分子趁機(jī)找到了新的謀生捷徑。2006年工商銀行多名客戶網(wǎng)銀資金被盜，危害面涉及20多個省 份，從此，網(wǎng)銀安全引起了業(yè)界及廣大用戶的密切關(guān)注。這幾年，網(wǎng) 銀安全問題愈演愈烈，攻擊者手段層出不窮，主要通過木馬及病毒盜 取網(wǎng)銀賬戶密碼作案、遠(yuǎn)程控制“肉雞”電腦直接轉(zhuǎn)賬、充分利用網(wǎng)銀 用戶不良使用習(xí)慣（如未及時拔出U盾）等3種手段來竊取網(wǎng)銀用戶賬 戶資金，給客戶造成不同程度的經(jīng)濟(jì)損失，而且破壞了銀行聲譽。據(jù) 有關(guān)部門調(diào)查，央視3-15晚會網(wǎng)銀盜竊黑幕曝光后，近三成用戶因 擔(dān)心網(wǎng)銀安全決定減少使用網(wǎng)銀?？偠灾W(wǎng)銀安全問題舉足輕重，進(jìn)一步加強(qiáng)網(wǎng)銀系統(tǒng)安全建設(shè)，為廣大用戶提供相對安全的網(wǎng)銀操作 環(huán)

3、境是銀行網(wǎng)銀業(yè)務(wù)的根基。針對當(dāng)前網(wǎng)銀安全問題，銀行方也采取了相應(yīng)的防御措施，最常 見的是使用身份認(rèn)證技術(shù)來增加系統(tǒng)的安全系數(shù)。1網(wǎng)銀系統(tǒng)各環(huán)節(jié)的安全性分析從目前網(wǎng)銀使用中出現(xiàn)的案例來看，網(wǎng)銀案件主要分為以下幾類： 黑客入侵、木馬病毒、虛假網(wǎng)站、偽造服務(wù)器、網(wǎng)銀信息泄露等。許 多專家、評論家認(rèn)為是網(wǎng)銀用戶安全意識不夠高，而究其根本是因為 網(wǎng)銀系統(tǒng)的某些環(huán)節(jié)的確存在漏洞，才使攻擊者有機(jī)可乘。網(wǎng)銀系統(tǒng)主要涉及到身份認(rèn)證過程和交易過程，包括客戶端、數(shù) 據(jù)傳輸、網(wǎng)銀服務(wù)器系統(tǒng)等幾個主要環(huán)節(jié)2，如圖1所示。1.1銀行客戶端目前，銀行客戶端主要受到以下幾方面的威脅：通常使用的Windows操作系統(tǒng)及其瀏覽器

4、存在許多漏洞3， 防范意識不強(qiáng)的客戶易被黑客在系統(tǒng)內(nèi)植入木馬、病毒，如“網(wǎng)銀大 盜”、“灰鴿子”。系統(tǒng)感染木馬、病毒后客戶賬號、密碼等隱私信息 便不再安全；有些網(wǎng)銀客戶習(xí)慣將數(shù)字證書保存在軟、硬盤中，而一旦系 統(tǒng)中了木馬，黑客很容易將證書、銀行賬號和密碼一起拷走，使客戶 蒙受經(jīng)濟(jì)損失；用戶登錄頁面過程中很容易被“網(wǎng)絡(luò)釣魚”。黑客常常誘騙用戶 登錄到酷似銀行官網(wǎng)的虛假網(wǎng)站并輸入認(rèn)證信息，從而間接獲取用戶 認(rèn)證信息。1.2網(wǎng)銀服務(wù)器系統(tǒng)為防止網(wǎng)銀服務(wù)器系統(tǒng)受到攻擊，首先，絕大多數(shù)銀行都在 Internet與網(wǎng)銀服務(wù)器間建立起了數(shù)道防火墻，使黑客無法攻破防火 墻進(jìn)入銀行內(nèi)部網(wǎng)絡(luò)4。其次，Web應(yīng)用服

5、務(wù)器端使用可信的專用 操作系統(tǒng)，憑借其獨特的體系結(jié)構(gòu)和安全檢查，保證只有合法用戶的 交易請求才能通過特定代理程序送至應(yīng)用服務(wù)器進(jìn)行后繼處理。再者， 銀行多采用國際先進(jìn)的網(wǎng)絡(luò)安全檢測和監(jiān)控系統(tǒng)，對進(jìn)出各級局域網(wǎng) 的常見操作進(jìn)行24 h實時監(jiān)控、報警和阻斷，并定期對網(wǎng)絡(luò)系統(tǒng)進(jìn) 行安全性分析，及時發(fā)現(xiàn)并修正漏洞；客戶在網(wǎng)上銀行使用的密碼， 都經(jīng)過不可逆加密算法存放在數(shù)據(jù)庫中，即使黑客侵入數(shù)據(jù)庫系統(tǒng)， 也無法破譯原密碼。經(jīng)過多方面的層層風(fēng)險布防，網(wǎng)銀服務(wù)器系統(tǒng)相 對客戶端顯得更加安全。.3數(shù)據(jù)傳輸過程銀行普遍采用128位密鑰的SSL5安全加密通信傳輸，目前常用版 本為SSL3.0O SSL3.0通過數(shù)

6、字簽名和證書實現(xiàn)瀏覽器與Web服務(wù)器 的雙方身份驗證，具有機(jī)密性、消息完整性、免重放攻擊等功效6。 盡管該協(xié)議能夠提供加密、認(rèn)證等安全服務(wù)，但并非毫無缺陷。近年 來，SSL漏洞頻頻被暴，這些安全隱患的存在可能使用戶受到各種極 具破壞力的網(wǎng)絡(luò)攻擊。其中最典型的是SSL中間人攻擊，最新黑帽 大會上提及的SSL STRIP就是在不改變SSL加密狀態(tài)下通過中間人 攻擊欺騙用戶，盜取賬戶密碼。由此看來，數(shù)據(jù)傳輸過程同樣存在安 全風(fēng)險。通過分析網(wǎng)銀系統(tǒng)流程的幾個主要環(huán)節(jié)發(fā)現(xiàn)：網(wǎng)銀系統(tǒng)的薄弱點在 于客戶端以及數(shù)據(jù)傳輸過程。目前攻擊者采取的策略大多是針對客戶 薄弱的防范意識，在用戶進(jìn)行客戶端操作以及系統(tǒng)數(shù)據(jù)傳

7、輸過程中獲 取網(wǎng)銀用戶的隱秘信息。身份認(rèn)證系統(tǒng)正是客戶端和數(shù)據(jù)傳輸這兩個 薄弱環(huán)節(jié)的銜接點，也恰是網(wǎng)銀作案的最佳切入點。所以，為了提高 網(wǎng)銀系統(tǒng)的安全性能，必須對身份認(rèn)證系統(tǒng)進(jìn)行強(qiáng)化、優(yōu)化。銀行方 面也早就意識到了這一點，在新版網(wǎng)銀中增強(qiáng)了客戶身份認(rèn)證的復(fù)雜 度，以提高網(wǎng)銀安全系數(shù)。現(xiàn)在單純使用賬號和密碼進(jìn)行業(yè)務(wù)操作的 網(wǎng)銀系統(tǒng)并不多見，逐漸取而代之的是多重、多因素身份認(rèn)證。據(jù)調(diào) 研，當(dāng)前國內(nèi)外銀行主要采用的是基于硬件的“電子口令牌”(E-token) 和“U盾”(USBKey)兩種認(rèn)證工具。2 E-Token和USBKey身份認(rèn)證技術(shù)特性及缺陷2.1 E-token工作原理及其技術(shù)缺陷(1)

8、 E-token工作原理E-token是一塊鑰匙大小的動態(tài)口令牌，內(nèi)部裝有內(nèi)置芯片、時鐘、 電源和一個LCD窗口。它是基于時間同步機(jī)制的一次性動態(tài)口令認(rèn) 證技術(shù)(OTP)，主要思想是在登錄過程中加入不確定因素，使得每次 登錄傳送的口令信息都不相同，以此增加身份認(rèn)證的安全性。銀行在分發(fā)E-token時與網(wǎng)銀用戶綁定建立一一對應(yīng)關(guān)系，使用 獨一無二的128位種子將其初始化。其內(nèi)部芯片每分鐘換一種不同算 法，組合種子與當(dāng)前時間，生成一個隨機(jī)6位數(shù)，即目前銀行分發(fā)的 E-token每60 s更新一次動態(tài)口令。銀行端的認(rèn)證系統(tǒng)與客戶端的 E-token同時擁有對稱密鑰和相同的對稱密鑰算法，在設(shè)定好的相同

9、 時間更新計算出新的隨機(jī)數(shù)字，保證動態(tài)口令牌和網(wǎng)銀服務(wù)器的單一 認(rèn)證，確保網(wǎng)銀的安全性7。圖2為使用E-token身份認(rèn)證技術(shù)的網(wǎng) 銀系統(tǒng)登錄及交易過程。(2) E-token技術(shù)缺陷對于E-token的身份認(rèn)證方式，在短短的60 s時間內(nèi)，攻擊者唯 一可能突破的方法就是采用MITM(中間人攻擊)。在這種攻擊中，黑 客在用戶與銀行網(wǎng)站之間建立一臺偽服務(wù)器，分別與用戶端和銀行端 通信，攔截用戶轉(zhuǎn)賬操作，實時傳送包括OTP在內(nèi)的登錄信息，冒 充用戶隨心所欲地對賬戶進(jìn)行操作8。而此時網(wǎng)銀服務(wù)器根本沒有 能力判斷發(fā)出轉(zhuǎn)賬指令的是用戶還是木馬，于是執(zhí)行了冒充客戶的操 作指令。事實證明，中間人實時攻擊方法

10、是可行的。黑客曾經(jīng)通過 MITM方式成功突破花旗銀行網(wǎng)站，勝利盜取盛大密寶、網(wǎng)易將軍等 賬戶及密碼。中間人攻擊原理如圖3所示。此外，基于E-token的OTP技術(shù)不支持電子簽名和公鑰計算， 不具有信息的機(jī)密性、完整性和不可抵賴性。E-token只能提供單向認(rèn)證，不能證明對方是否的確是銀行端的認(rèn)證系統(tǒng)，易被網(wǎng)絡(luò)釣魚9。2007年初，某黑客組織發(fā)明了一種釣魚工具并在網(wǎng)上出售，這種工 具能夠拷貝現(xiàn)有網(wǎng)銀頁面，生成虛假的URL,實時向黑客回傳登錄 信息，一旦用戶大意上鉤，必將遭受經(jīng)濟(jì)損失。2.2 USBKey工作原理及其安全漏洞(1)USBKey工作原理計算機(jī)一旦受到黑客攻擊，其硬盤上的證書和私鑰就可

11、能被盜 用。USBKey正是在這種考慮下新興起來的基于硬件的用數(shù)字證書進(jìn) 行身份認(rèn)證的安全防范技術(shù)。USBKey不同于一般U盤，它用含CPU的IC卡存儲用戶證書和 私鑰，其中的CPU具備一定計算機(jī)的功能，在使用時需要輸入PIN 碼。智能卡生產(chǎn)者將產(chǎn)生公私密鑰對的程序以及密碼算法程序燒制在 IC卡芯片的ROM中。公鑰可以導(dǎo)出到卡外，而私鑰存儲于芯片的密 鑰區(qū)，不允許外部訪問10。網(wǎng)銀用戶發(fā)起業(yè)務(wù)指令時，被要求插入USBKey，同時輸入與之相對 應(yīng)的PIN碼；驗證成功后，USBKey會對待發(fā)送的業(yè)務(wù)指令進(jìn)行數(shù)字 簽名，并將簽名與原指令一起用隨機(jī)產(chǎn)生的DES密鑰進(jìn)行加密，并 用公鑰加密DES密鑰；然

12、后將加密后的指令、簽名和DES傳送到網(wǎng) 銀服務(wù)器等待對方驗證。以上步驟除了輸入PIN碼是在電腦鍵盤上外，其余簽名、加密過程都 在USBKey中由其內(nèi)部的智能芯片完成，整個過程私鑰可以不出智能 卡介質(zhì)，黑客沒有辦法截獲私鑰，相比證書和私鑰放在軟盤或者硬盤 上安全得多?？蛻舳薝SBKey工作流程11如圖4所示。網(wǎng)銀服務(wù)器方收到客戶端信息后，使用自己的私鑰對加密后的DES解密，然后用DES將加密后的數(shù)字簽名及指令解密，之后用公鑰驗證數(shù)字簽名，可有效防止指令中途被篡改，并且能夠保證用戶身 份不可抵賴性?；赨SBKey的身份認(rèn)證流程如圖5所示。(2) USBKey安全特性及其缺陷USBKey認(rèn)證方式的

13、安全之處在于10： USBKey采用了 PKI公 鑰體系，其中的數(shù)字證書使得交易過程相對安全。而且，USBKey中 的數(shù)字證書及私鑰在卡內(nèi)進(jìn)行計算加密，永遠(yuǎn)都不可能為黑客所取出， 除非卡操作系統(tǒng)(COS)上留有后門。再者，PIN碼的存在可預(yù)防 USBKey不慎丟失或被他人盜用。USBKey的方式盡管看起來很完美，實際上卻存在一些OTP所 沒有的安全性問題。經(jīng)過仔細(xì)分析一些案例發(fā)現(xiàn)，USBKey認(rèn)證系統(tǒng) 有以下兩個漏洞：一是黑客完全有能力截獲從電腦上輸入的靜態(tài)PIN 碼，用戶沒有及時取走USBKey的時候，黑客便可利用PIN碼來取 得虛假認(rèn)證，進(jìn)行轉(zhuǎn)賬操作；二是在用戶發(fā)出交易指令后到被 USBK

14、ey加密前存在一段安全真空期，黑客此時可悄無聲息地篡改用 戶指令，而USBKey還會堅定地保護(hù)篡改后的指令。3網(wǎng)銀身份認(rèn)證過程的改進(jìn)E-token身份認(rèn)證過程中缺乏USBKey技術(shù)中的消息完整性與防 抵賴性；而USBKey認(rèn)證過程中，靜態(tài)PIN碼又容易被黑客利用， 使得整個網(wǎng)銀系統(tǒng)的安全性大打折扣。針對網(wǎng)銀系統(tǒng)目前的狀況，更 為安全的方法是結(jié)合E-token的動態(tài)因素以及USBKey的消息完整性、防抵 賴性等特性，建立更加堅固的網(wǎng)銀系統(tǒng)。改進(jìn)后的網(wǎng)銀身份認(rèn)證流程 如圖6、圖7所示。I改進(jìn)后的網(wǎng)銀認(rèn)證過程如下：客戶端登錄網(wǎng)銀頁面，按照提示輸入賬號、密碼以及OTP1； 網(wǎng)銀服務(wù)器端根據(jù)時間同步的O

15、TP1驗證用戶身份；驗證了客戶端身份后，服務(wù)器端將自身的證書和OTP2共同 散列值傳送給客戶端，用于實現(xiàn)客戶端對服務(wù)器方的認(rèn)證。客戶端根 據(jù)服務(wù)器傳送過來的信息驗證服務(wù)器證書的真實性，解密后將OTP2 顯現(xiàn)于Web瀏覽器上供網(wǎng)銀用戶核對，進(jìn)而完成對服務(wù)器端的驗證；用戶成功登錄，隨后進(jìn)行業(yè)務(wù)操作，系統(tǒng)提示插入USBKey， 并輸入動態(tài)PIN碼OTP3以啟動USBKey的證書功能。隨后要求輸入 OTP4作為臨時驗證碼；USBKey把當(dāng)前的臨時驗證碼OTP4和業(yè)務(wù)操作指令一同加 密并簽名傳輸給網(wǎng)銀服務(wù)器，網(wǎng)銀服務(wù)器驗證動態(tài)口令碼并完成客戶 業(yè)務(wù)需求的操作。4改進(jìn)后的網(wǎng)銀身份認(rèn)證過程安全性分析改進(jìn)后的

16、網(wǎng)銀身份認(rèn)證系統(tǒng)要求每次使用USBKey加密指令 的同時都重新輸入一次動態(tài)PIN碼，并在USBKey數(shù)字證書中融入 了 E-token的不確定性，比單一使用E-token的系統(tǒng)增加了數(shù)字證書 的消息完整性、防抵賴性功能；同時，較之單一使用USBKey的認(rèn)證 系統(tǒng)又增加了動態(tài)密碼的不確定因素，具體表現(xiàn)在：實現(xiàn)了客戶端與服務(wù)器的雙向認(rèn)證。該方案中，偽造服務(wù)器 沒有硬件E-token的支持，不可能知道真正的OTP2，因而無法篡改 信息、冒充服務(wù)器。動態(tài)因素OTP2的存在加強(qiáng)了客戶端對服務(wù)器端 的身份認(rèn)證，減少了用戶被釣魚以及遭受中間人攻擊的風(fēng)險；動態(tài)PIN碼的不確定因素減少了指令被篡改的風(fēng)險。整個認(rèn)

17、 證交易過程中，即使在USBKey未拔出的時候被中間人劫持信息，獲 取了當(dāng)前的動態(tài)PIN碼，也無法悄無聲息地篡改指令。因為啟動 USBKey的證書作用必須知道下一次的動態(tài)口令，攻擊者不具備硬件 E-token，僅靠當(dāng)前截獲的PIN碼不能使USBKey中的證書正常工作；彌補(bǔ)了單一使用E-token的網(wǎng)銀認(rèn)證時交易過程沒有受到公 鑰體系保護(hù)的缺陷。該方案中，基于PKI的USBKey數(shù)字證書的加 密、簽名作用貫穿交易過程始終，一定程度上提高了網(wǎng)銀認(rèn)證過程的 安全性?？偠灾?，改進(jìn)后的身份認(rèn)證過程吸取了當(dāng)前兩種身份認(rèn)證技術(shù)的長 處，大大降低了用戶網(wǎng)銀被非法轉(zhuǎn)賬的可能，顯著提高了網(wǎng)銀系統(tǒng)的 安全。然而，改進(jìn)后的方案在幾個方面也存在不足:提高了系統(tǒng)技術(shù)復(fù)雜度， E-token上隨機(jī)數(shù)字的變化是以時間為變量的，如何做到客戶端和服 務(wù)器端的時間同步是一個難點；相對當(dāng)前銀行網(wǎng)銀身份認(rèn)證方式更加 繁瑣，用戶需要同時擁有USBKey及配套的E-token，并多次輸入相 應(yīng)的密碼及驗證碼，對于客戶而言，便捷性稍微有所下降；增加了網(wǎng) 銀系統(tǒng)的運營成本，USBKey和E-token的制作成本都不低，同時結(jié)合這兩種技術(shù)不僅增加了物質(zhì)上的成本而且技術(shù)維護(hù)的成本也會相應(yīng)增加。5結(jié)語文中分析了目前網(wǎng)銀系統(tǒng)的整個工作流程，認(rèn)為網(wǎng)銀系統(tǒng)的安全 瓶頸之一在于客戶端