網上銀行系統的安全模型隱患

2021-04-13 00:23:57 字數 948 閱讀 9433

網上銀行的安全性是基於非對稱加密系統的數字簽名理論。但是,數字簽名本身就是假設通訊雙方是互不信任的,因此才需要數字簽名。通訊雙方對對方都不信任,但是他們信任數字簽名的機制。

目前的網上銀行的開發,並未遵循這乙個條件。而是,客戶方必須完全信任銀行方。具體說來,就是網上銀行的服務方軟體和客戶端軟體都由銀行委託的開發機構進行開發。而客戶方別無選擇,他們要使用網上銀行提供的服務,就必須完全信任銀行這一方。銀行完全可以在客戶端軟體中安插後門,必要時完全獲取客戶的資訊,造成雙方獲取資訊的嚴重不對稱。另一方面,目前的網上銀行軟體都將所有的交易資料儲存於銀行的伺服器,客戶方幾乎沒有對交易資料和交易資料的銀行方簽名做資料備份。

近段時間,就發生過多起由於網上銀行客戶資金被盜的案件。這些案件,最後還引發了官司。為什麼呢?第一,銀行提供的軟體存在安全漏洞的可能性是絕對存在的。目前,安全專家普遍認為,乙個有一定複雜度的軟體,必然是存在漏洞的。銀行的負責人信誓旦旦地保證他們的軟體沒有漏洞,只能是自欺欺人。第二,客戶端軟體的開發者故意在軟體中設定後門的可能性也是存在的。銀行和客戶的利益從根本上來說是對立的,沒有任何理由讓客戶絕對信任銀行委託的軟體開發商。第三,客戶無法收集證據。對於網上銀行來說,最重要也是最具法律效力的證據是對每筆交易的資料中,客戶對交易資料的簽名和銀行對交易資料的簽名。但是,目前使用的軟體中,幾乎沒有一款為客戶做到了這一點。

因為客戶軟體完全由銀行提供,而銀行往往基於安全上的理由,拒絕透露軟體的協議細節和實現細節。一旦客戶的資金被盜,客戶往往難以判定是否由於銀行提供的軟體存在安全隱患或者是由於客戶計算機安全配置上有漏洞,或者被安裝木馬。

正確的安全模型應該是什麼樣的呢?首先,必須遵循銀行和客戶互不信任的原則。但是,他們可以訂立乙個共同承認的安全通訊協議,比如採用現成的set協議。客戶方一般沒有能力完成這一任務。但是,他們可以委託乙個他們信任的軟體開發商進行這一任務。比如,公開通訊協議之後,軟體開發商可以根據這些通訊協議開發軟體,並提供給銀行的客戶使用。一旦發生經濟糾紛,客戶可以委託軟體開發商協助收集證據。

招商銀行網上銀行控制項存在安全隱患

對待這個問題感覺比較吃驚,也許你說問題不嚴重,看到這個文章之前的我經常用招商銀行的帳戶進行轉帳,撥款 讓我的心呢 安裝類似木馬的直接訪問底層硬體的驅動,改名 藏匿這些dll,遇到遠端桌面登陸不加提示就關閉該服務,並立即重啟。上述功能不是某流氓外掛程式或木馬,而是 招商銀行網上銀行的控制項。還有,這個...

網上銀行安全證書工作原理

何謂數字證書?數字證書是乙個經證書認證中心 ca 數字簽名的包含公開金鑰擁有者資訊以及公開金鑰的資料檔案。認證中心的數字簽名可以確保證書資訊的真實性,使用者公鑰資訊可以保證數字資訊傳輸的完整性,使用者的數字簽名可以保證數字資訊的不可否認性。數字證書是各類終端實體和終端使用者在網上進行資訊交流及商務活...

招商網上銀行介面 自己的網上銀行

首先請你到招行去申請成為網上特約商戶,此時會給你開乙個基本帳戶,這個基本帳戶對應 乙個對公帳戶。個人消費使用者使用的是一 一 基本帳戶也對應有乙個網上使用支付卡帳號 在支付的過程中流程是如此的 例如 你要買乙個20塊錢的東西 首先從基本一 帳戶劃10money到你的網上支付卡中 在商戶網頁上確認支付...