USBKey系列产品在电子银行领域的应用概述
USBKey是一种USB接口的硬件设备。它内置安全芯片,可以存储用户的私有秘钥(后简称私钥)以及数字证书,利用USBKey内置的公钥算法实现对用户身份的认证。
USBKey产品是国内银行电子银行业务采用的最为广泛的客户端安全解决方案。用户使用USBKey存放代表其唯一身份的数字证书和私有秘钥,在这个基于PKI体系的整体解决方案中,用户的私有密钥是在安全芯片中内产生、存储,并且终身不可导出到USBKey外部。在网上银行应用中,对交易数据的签名(用私有密钥加密)都是在USBKey安全芯片内完成的,并受到USBKey的PIN码保护。
USBKey最早是由加密锁厂商提出来的,逐渐从软件版权保护衍生为网络身份认证产品,产品形态类似U盘,后被行业内统称为一代USBKey。在黑客、木马技术发展的同时,一代USBKey无法防范一些恶意的攻击,出现黑客利用恶意程序可对用户的交易进行远程挟持和数据篡改,例如:用户电脑被木马程序劫持后,黑客可以得到用户的卡号及密码,在用户USBKey插入电脑的情况下,轻易的将钱转出,此类的安全事件也屡屡出现在各大媒体的报到中。各大银行纷纷开始采用更强的密码控件来防范用户敏感信息被截获,同时增加动态短信密码或者银行卡交易密码验证来加固安全,一定程度解决了潜在的安全风险。
为了提升电子银行整体安全性,诞生了二代产品。二代USBKey较一代USBKey添加了一块液晶显示屏和确认、取消、上翻、下翻四个按键。在使用二代USBKey进行网上银行交易时,输入PIN码校验成功后进入交易环节,二代USBKey开始进入倒计时,一次交易时间为60秒,需要用户在该时间范围内按下确认键,交易方可完成。如果再60秒内未按下确认键,则本次交易会自动取消,用户需要重新发起交易。
二代USBKey确认键的加入可有效防止会话被远程挟持,在交易过程中需要USBKey进行数字签名时,用户必须按“确认键”才能执行签名操作。而液晶屏与其他按键的加入则可将交易信息的关键数据显示在屏幕上,用户通过上翻、下翻键查看交易信息,确认无误后按下“确认键”执行数字签名,防止交易数据被篡改。如此,二代USBKey真正意义上达到了所见即所签,彻底杜绝了远程劫持和数据篡改的攻击,最终在国内银行电子银行业务中广泛推广和使用。
随着近年来智能手机的广泛应用,手机银行业务发展迅猛,交易量大幅增加。2014年手机银行交易规模高达32.8万亿元,同比增长157.1%。2015年中国手机银行交易规模达到72.6万亿元,同比增长121.6%;各大银行加快移动金融战略布局的同时,也逐渐意识到手机银行交易安全的重要性,在认证安全手段上逐渐从动态短信密码向OTP、音频USBKey和蓝牙USBKey硬件产品过渡。
同时,银发〔2016〕261号中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知,明确要求“银行为个人办理非柜面转账业务,单日累计金额超过5万元的,应当采用数字证书或者电子签名等安全可靠的支付指令验证方式”。该通知明确要求银行转账业务(含手机银行)需要通过安全硬件保证交易安全,从政策要求上更加明确了手机银行业务安全需要USBKey硬件设备来保障。
我们对目前行业内常见的几种硬件认证手段做一个综合的比较:
| 比较项 |
蓝牙USBKey |
音频USBKey |
OTP |
| 通讯接口 |
蓝牙,无线 |
音频接口(3.5mm),有线 |
分离式认证、无通信 |
| 标准化 |
★★★★★ 成熟完整的蓝牙协议,规范标准化程度高 |
★ 无统一接口规范(常见有两种音频接口线序) |
★★★★★ 成熟完整的规范,标准化程度高 |
| 安全性 |
★★★★★ 证书载体独立于手机,安全性高 |
★★★★★ 证书载体独立于手机,安全性高 |
★★★ 安全性尚可,但不符合电子签名法 |
| 功耗 |
★★★★ 蓝牙4.0低功耗模式,功耗低,自带充电式锂电 |
★★★★★ 有线连接,无射频收发模块,功耗低 |
★★★ 内置纽扣电池,不可充电,可使用为3-5年 |
| 通讯速度 |
★★★★ 连接距离范围内通信速率高,实测约为60kbps |
★★ 受限于链路传输质量,通信速率低,实测约为4kbps |
无物理通信 |
| 通讯稳定性 |
★★★★ 连接距离范围内,通讯稳定可靠 |
★★ 易受干扰,传输链路质量差从而增加通讯重发开销 |
★★★★
|
| 兼容性 |
★★★★ 完善成熟的统一标准规范,兼容性好 |
★★ 无统一接口规范,兼容性差 |
★★★★★ 分离式认证,设备不涉及兼容性 |
| 整机成本 |
★★★ 略高 |
★★★ 略高 |
★★★★★ 低 |
基于以上比较,在符合政策监管要求的前提下,蓝牙二代USBKey产品综合评分最高。
蓝牙二代USBKey产品是在二代USBKey基础上增加了蓝牙通信模块,产品不仅继承了二代USBKey全部的产品和安全特性,而且可以更好地适配手机银行业务。蓝牙二代USBKey产品凭借其完善的规范体系、对政策监管要求的完美契合以及高安全性的技术优势,逐渐被银行和第三方检测机构所认可和推崇,相信蓝牙二代USBKey产品一定会成为电子银行业务安全的最佳解决方案。更多精彩内容
