網絡的發展,出現了電子商務,並且迅速地發展。電子商務有着無比的優越性:方便,高效,快速,經濟等,被人們推崇。但涉及到錢的問題,所以對安全很明感,必須要有一整套的安全措施來保障交易的安全。傳統的安全保障措施就是用戶名和密碼,顯而易見,這是很不安全的。IC卡是一種內置集成電路的芯片,芯片中存有與用戶身份相關的數據。IC卡由專門的設 備生產,是不可複製的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。簡單易行,但容易被留駐內存的木馬或網絡監聽等黑客技術竊取。
現在的網絡支付中存在着很多缺陷:(1) 網絡數據流的:在用戶和銀行交易的過程中,被第三方通過各種方法截獲數據流,分析數據中的信息從而得到用戶的信息。(2) 木馬的竊聽:用戶電腦中了病毒或者木馬之後,電腦被監聽,用戶和銀行交易的信息被木馬記錄,用戶的信息就這樣被盜了。(3) 窮舉攻擊:攻擊者使用有意義的數字作為密碼來不斷嘗試持卡人的密碼。如果持卡人的密碼是未經過改動的初始密碼或一個特殊、容易被分析的數字,則密碼很容易被攻擊者窮舉出來。(4) 網絡釣魚:第三方利用銀行的身份給用戶發信息,要求用戶提供賬號和密碼,如果用戶提供了的話就泄露了自己的信息了。或者是第三方假冒銀行或者交易的網站, 對沒有認真辨別的情況下,用戶很容易上當從而泄露自己的信。
U盾的出現就是解決上面所說的安全問題。
一、什麼是U盾
U盾,即工行2003年推出的客戶證書USBkey,是工商銀行為客戶提供的辦理網上銀行業務的高級別安全工具。它是一個帶智能芯片、形狀類似於閃存的實物硬件,時刻保護着您的網上銀行資金安全。從技術角度看,U盾是用於網上銀行電子簽名和數字認證的工具,它內 置微型智能卡處理器,基於PKI技術,採用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名,確保網上交易的保密性、真實性、完整性和不可否 認性。它設備雖然小巧,但技術含量極高。該產品採用了目前國際領先的信息安全技術,核心硬件模塊採用智能卡CPU芯片,內部結構由CPU及加密邏輯、 RAM、ROM、EEPROM和I/O五部分組成,是一個具有安全體系的小型計算機。除了硬件,安全實現完全取決於技術含量極高的智能卡芯片操作系統 (COS),該操作系統就象DOS、WINDOWS等操作系統一樣,管理着與信息安全密切相關的各種數據、密鑰和文件,並控制各種安全服務。USBKey 具有硬件真隨機數發生器,密鑰完全在硬件內生成,並存儲在硬件中,能夠保證密鑰不出硬件,硬件提供的加解密算法完全在加密硬件內運行。
二、工作原理
U盾又作移動數字證書,它存放着你個人的數字證書,並不可讀取。同樣,銀行也記錄著你的數字證書。
當你嘗試進行網上交易時,銀行會向你發送由時間字串,地址字串,交易信息字串,防重放攻擊字串組合在一起進行加密後得到的字串A,你的U盾將跟據你的個人證書對字串A進行不可逆運算得到字串B,並將字串B發送給銀行,銀行端也同時進行該不可逆運算,如果銀行運算結果和你的運算結果一致便認為你合法,交易便可以完成,如果不一致便認為你不合法,交易便會失敗。
( 理論上,不同的字串A不會得出相同的字串B,即一個字串A對應一個唯一的字串B; 但是字串B和字串A無法得出你的數字證書,而且U盾具有不可讀取性,所以任何人都無法獲行你的數字證書。並且銀行每次都會發不同的防重放字串(隨機字串)和時間字串,所以當一次交易完成後,剛發出的B字串便不再有效。綜上所述,理論上U盾是絕對安全的。注意是理論上發生偽造概率大約為2的80次方分之一。)
U盾的原理很類似於雙向認證的TLS(SSL)或者其它用到RSA的雙向證書驗證手段,以下步驟可能和U盾實際執行的有所區別,但本質相同:
–銀行先給你一個”衝擊”,它包含了隨機數,以及該隨機數HASH,它們都由公鑰加密,這樣就可以保證只有你能解密這個”衝擊”
–你計算該隨機數的HASH,並和用私鑰解出的HASH,兩者相同後,便可確認銀行的身份
–接下來,以一個只有你和銀行知道的算法,利這個隨機數和一些其它信息,生成”響應”和相應的HASH,再用私鑰加密後發回銀行。(此時銀行也以相同的算法計算該”響應”)
–銀行用公鑰解密,並驗證HASH正確,接下來銀行比較兩個”相應”是否相同,相同的話客戶的身份也確認了,至於私鑰的保密性由U盾來完成。U盾的控制芯片被設計為只能寫入證書,不能讀取證書,並且所有利用證書進行的運算都在U盾中進行。所以,只能從U盾讀出運算結果。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/290311.html
微信掃一掃 
支付寶掃一掃 
