- 快捷搜索
- 全站搜索
安全永远是金融应用的基础,在移动浪潮中如何既保证手机银行的安全性,又保持其便捷性,是手机银行广泛应用的前提。
B/S架构和C/S架构的安全问题
手机银行是网上银行的衍生形式其应用也有两种方式:借助浏览器访问交易网页完成交易,称为B/S架构;安装应用客户端完成交易,称为C/S架构。
浏览器缺乏统一标准,手机银行若选择B/S架构,后续维护和升级的主要精力将集中在支持各类浏览器。且安全威胁如钓鱼网站、木马等,主要针对B/S架构。
C/S架构需要客户安装客户端软件。由于是银行独立开发的应用软件,技术封闭,遭遇钓鱼、木马攻击的可能性远低于B/S架构。其安全风险是APP客户端软件可被假冒,导致客户账号和密码信息泄漏等。在手机的三大主流操作系统中,除iOS平台下载渠道相对简单可靠,Android、Windows Phone等操作系统上没有统一下载渠道,用户很难验证软件合法性和安全性,潜伏安全隐患。
各种认证手段的安全强度
在电脑网银应用中,除用户名和静态密码外,增强性的认证手段主要有三种:SMS(短信动态密码)、OTP(动态口令牌)、USBKEY(数字安全证书)。SMS通过双通道数据隔离提高网银交易的安全性。手机银行应用和短信密码在同一手机上运行,短信动态密码面临“回填木马”的安全攻击。
OTP是一种独立设备,不存在“回填木马”攻击风险。它基于“一次一密”的对称密码算法,属密码学发展过程的第二阶段,安全性高于“静态密码”。但OTP只解决了“身份认证问题”,没有“签名”功能,不能防止在公共网络上传输的交易被篡改的问题。
电脑网银应用中最安全的认证手段是USBKEY认证方式。KEY采用非对称密码算法,密码学发展的第三阶段,安全性高于“静态密码”和“一次一密”两种传统非对称算法类型。基于PKI体系的数字证书系统,为解决互联网开放应用体系安全性而提出,能使用“签名”防止交易信息篡改和抵赖。
二代KEY和C/S架构的手机网银安全组合
电脑网银USBKEY在国内已历时十余年,技术成熟,因此将电脑网银的二代USBKEY技术移植到手机网银上是大势所趋。该技术在手机上的应用障碍集中在接入技术的选择上。就智能手机而言,如蓝牙等无线连接方式是标准配置且技术成熟,“无线二代KEY”可能是手机网银的最佳安全增强认证方式。在APP启动或进行正式交易前,服务器请求客户端对APP的关键特性(如关键代码、长度信息、校验信息等)送入无线二代KEY中做签名,且伴有服务端随机数参与以防止攻击者回送已经使用过的签名值,服务端获得软件保护签名值后,可验证此签名值的正确性,通过或立即中止交易。这种方式可以称为“手机银行客户端的数字版权认证”。解决好安全性是手机银行健康发展的基础,而采用成熟、完备的安全技术体系利于规避风险,促进手机银行的发展。
(文章来源:金融电子化)
推进行业多应用是金融IC卡发展的重点也是一大难题,宁波地区开展的金融IC卡
IT蓝图是对中行应用系统的全面替换和升级,包括应用架构、基础设施、信息安