usbkey
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
USB Key产品最早是由加密锁厂商提出来的,原先的USB加密锁主要用于防止软件破解和复制,保护软件不被盗版,而USB Key的目的不同,USB Key主要用于网络认证,锁内主要保存数字证书和用户私钥。
目前工行的USB Key产品为“U盾”,招行的USB Key产品为“友Key”,两者的主要供应商都是USB Key的专业厂商捷德公司。
相对来说,USB Key比较安全,但是USBKey并非绝对安全,也存在被破解的可能,详细的技术分析请参见下面两篇文章:
中国网银安全分析:USB Key http://www.williamlong.info/archives/753.html
USB Key的安全漏洞 http://www.williamlong.info/archives/927.html
USB Key网银的便捷与风险
在今天这样一个互联网驱动的社会中,网上银行也称在线银行,已经成为金融机构整体发展策略中不可或缺的一部分。近年来使用网上银行的用户数量巨大增长,并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时,也承受着很多安全风险。很多银行意识到了这一点,纷纷采取行动,包括不断教育用户提高自身安全意识,安装杀毒软件,防木马软件;采用硬件USB Key或者动态口令牌方式进行身份认证等。
现行网银客户端的安全保障
动态口令牌(OTP,One time password)
采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外,还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种,如刮刮卡式、二维矩阵卡式和电子令牌式,其中电子令牌就是我们所说的动态口令牌,如VeriSign的动态令牌VIP服务。刮刮卡和二维矩阵卡都是以纸质卡形式提供,但它们都存在着与生俱来的缺陷,刮刮卡有严格的使用次数限制,一般只能使用30次,而二维矩阵卡虽然可以无限次使用但很容易被复制,同动态口令牌相比刮刮卡和二维矩阵卡式都不具备时效性。现在很多国外银行和少数国内银行在网上银行应用中采用这种动态口令牌的方式。
采用动态口令牌方式的优点:
无须安装软件,操作简单。与客户电脑无关,不需要安装其他任何程序即可直接使用网上银行服务。
一次一密,解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。
USB Key(硬件数字证书载体)
这是大多数国内银行采用的客户端解决方案,使用USB Key存放代表用户唯一身份数字证书和用户私钥。在这个基于PKI体系的整体解决方案中,用户的私钥是在高安全度的USB Key内产生,并且终身不可导出到USB Key外部。在网上银行应用中,对交易数据的数字签名都是在USB Key内部完成的,并受到USB Key的PIN码保护。在支付领域,我们可以看到支付宝与天威诚信数字认证中心推出的第三方支付工具“支付盾”
采用USB Key方式的优点:
代表用户身份的私钥在USB Key产生,安全强度高;
OCL Key从硬件形态上增加了一个物理按键。应用握奇提出的OCL(即“操作控制列表”)技术,当需要使用USB Key内私钥进行签名时,就会启动按键等待操作。在有效时限内(用户可以自行设定时限长短)按下物理按键后签名才能成功,否则签名操作失败。即使USB Key的密码被人截取,木马程序发起一个非法的交易申请,由于无法进行物理上的按键操作致使整个交易不能进行下去。更重要的是这种实现方式对银行端没有任何影响,只需改变的是用户的操作习惯。
另外,面对交易数据在用户客户端提交到USB Key过程中被篡改的危险性,OCL Key增加了显示模块或语音模块,可以把送到USB Key内的交易数据信息显示或报读出来。OCL Key的显示模块或语音模块都是直接被USB Key内安全芯片直接控制,不会被木马程序更改显示或报读的内容,因此通过USB Key显示或报读的数据内容就是真正被签名的内容。实现了“所见即所签”,用户在确认显示或报读的内容正确无误后按下物理按键即可完成整个交易。
OCL Key不但可以确保身份认证安全性,同时还支持交易认证功能,最大程度的保证网络交易的安全,为客户提供了坚实的身份识别和密码管理方案。基于现有的理论分析和权威调查来看,这种基于OCL技术的USBKey是当前最理想便捷的安全认证终端。