USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
发展历史
USB Key产品最早是由加密锁厂商提出来的,原先的USB加密锁主要用于防止软件破解和复制,保护软件不被盗版,而USB Key的目的不同,USB Key主要用于网络认证,锁内主要保存数字证书和用户私钥。
USB KEY也叫UKEY,USBKey,USB Token,国内习惯翻译成U盾,或者优盾。
工行的USB Key产品为“U盾”,招行的USB Key产品为“优Key”。
安全性
相对来说,USB Key比较安全,但是USBKey并非绝对安全,也存在被破解的可能,详细的技术分析请参见下面两篇文章:
中国网银安全分析: USB Key的安全漏洞
如今越来越多强大的病毒,木马等等盗取信息工具出现,而且USB Key本身也会有某些不可预料的安全漏洞。如密码随时在虚拟键盘和键盘、鼠标被监控。
网银使用
在今天这样一个互联网驱动的社会中,网上银行也称在线银行,已经成为金融机构整体发展策略中不可或缺的一部分。使用网上银行的用户数量巨大增长,并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时,也承受着很多安全风险。很多银行意识到了这一点,纷纷采取行动,包括不断教育用户提高自身安全意识,安装杀毒软件,防木马软件;采用硬件USB Key或者动态口令牌方式进行身份认证等。
安全保障
动态口令令牌
动态口令令牌(OTP,One time password)
采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外,还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种,如刮刮卡式、二维矩阵卡式和电子令牌式,其中电子令牌就是我们所说的动态口令令牌,如VeriSign的动态令牌VIP服务。刮刮卡和二维矩阵卡都是以纸质卡形式提供,但它们都存在着与生俱来的缺陷,刮刮卡有严格的使用次数限制,一般只能使用30次,而二维矩阵卡虽然可以无限次使用但很容易被复制,同动态口令相比刮刮卡和二维矩阵卡式都不具备时效性。
采用动态口令牌方式的优点:
无须安装软件,操作简单。与客户电脑无关,不需要安装其他任何程序即可直接使用网上银行服务。
一次一密,用过即失效。解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。
USB Key
USB Key(硬件数字证书载体)
这是大多数国内银行采用的客户端解决方案,使用USB Key存放代表用户唯一身份数字证书和用户私钥。在这个基于PKI体系的整体解决方案中,用户的私钥是在高安全度的USB Key内产生,并且终身不可导出到USB Key外部。在网上银行应用中,对交易数据的数字签名都是在USB Key内部完成的,并受到USB Key的PIN码保护。在支付领域,我们可以看到支付宝与天威诚信数字认证中心推出的第三方支付工具“支付盾”采用USB Key方式的优点:
代表用户身份的私钥在USB Key产生,安全强度高;
OCL Key从硬件形态上增加了一个物理按键。应用握奇提出的OCL(即“操作控制列表”)技术,当需要使用USB Key内私钥进行签名时,就会启动按键等待操作。在有效时限内(用户可以自行设定时限长短)按下物理按键后签名才能成功,否则签名操作失败。即使USB Key的密码被人截取,木马程序发起一个非法的交易申请,由于无法进行物理上的按键操作致使整个交易不能进行下去。更重要的是这种实现方式对银行端没有任何影响,只需改变的是用户的操作习惯。
另外,面对交易数据在用户客户端提交到USB Key过程中被篡改的危险性,OCL Key增加了显示模块或语音模块,可以把送到USB Key内的交易数据信息显示或报读出来。OCL Key的显示模块或语音模块都是直接被USB Key内安全芯片直接控制,不会被木马程序更改显示或报读的内容,因此通过USB Key显示或报读的数据内容就是真正被签名的内容。实现了“所见即所签”,用户在确认显示或报读的内容正确无误后按下物理按键即可完成整个交易。
OCL Key不但可以确保身份认证安全性,同时还支持交易认证功能,最大程度的保证网络交易的安全,为客户提供了坚实的身份识别和密码管理方案。基于现有的理论分析和权威调查来看,这种基于OCL技术的USBKey是当前最理想便捷的安全认证终端。
使用优势
● 交易更安全
拥有U盾,您办理网上银行业务时,不用再担心黑客、假网站、木马病毒等各种风险,U盾可以保障您的网上银行资金安全。
办理网上银行对外支付业务时,使用登录密码和支付密码的客户,需要保护好您的卡号和密码,需要确保登录网上银行的电脑安全可靠,定期更新杀毒软件,及时下载补丁程序,不随便打开来路不明的程序、游戏、邮件,保持良好的上网习惯;如果您不能完全做到,也不用担心,使用U盾是您最好的选择,只要您的登录卡号、登录密码、U盾和U盾密码不同时泄露给一个人,您就可以放心安全使用网上银行。
除U盾外,工行还推出了一系列安全措施:通过别名登录(一种不同于传统账号登录的自定义登录方式),登录密码和支付密码双重密码控制,以及支付额度控制等措施来确保客户安全;通过网址核对、网站证书验证(点击工行网页右下脚“加密锁”图表)、预留信息验证等方式来识别和防范假冒银行网站。
● 支付更方便
拥有U盾,您不用再受各种支付额度的限制,轻松实现网上大额转账、汇款、缴费和购物。
● 功能更全面
拥有U盾,您可以通过网上银行签订个人理财协议,享受我行独具特色的理财服务。
● 服务更多样
拥有U盾,您还可以将工行U盾与支付宝账号绑定,利用U盾对登录支付宝的行为进行身份认证,从而保障您支付宝账户的资金安全。
为帮助广大网友防范网上支付风险,推动电子商务产业发展,中国工商银行与阿里巴巴旗下支付宝开展合作,共同推出了数字证书共享项目。客户将工行U盾与支付宝账号绑定后,必须插入工行U盾登录支付宝方可进行支付货款、提现、充值等操作;客户不使用工行U盾登录支付宝,只能进行查询类操作。因此,支付宝客户只需绑定工行U盾,即便不小心泄漏了账号、密码,只要工行U盾在手,依然可以保证账户资金“高枕无忧”。
转自:百度百科-验证
本文链接:https://my.lmcjl.com/post/1983.html
4 评论