手機(jī)銀行安全探討

1、手機(jī)銀行安全探討手機(jī)銀行業(yè)務(wù)是一種結(jié)合了貨幣電子化與移動(dòng)通信的嶄新服務(wù)，是網(wǎng)絡(luò)銀行的派生產(chǎn)品之一，它的優(yōu)越性集中體現(xiàn)在便利性上，客戶利用手機(jī)銀行可以在任何時(shí)間、任何地點(diǎn)處理多種金融業(yè)務(wù)，節(jié)省了 ATM機(jī)和銀行窗口排隊(duì)等候的時(shí)間，而且極大地豐富了銀行服務(wù)的 內(nèi)涵，使銀行能以便利、高效而又較為安全的方式為客戶提供傳統(tǒng)和創(chuàng)新的服務(wù)。隨著3G技術(shù)的大力發(fā)展，手機(jī)銀行業(yè)務(wù)將進(jìn)入新的發(fā)展階段。手機(jī)銀行給我們帶來極 大便利的同時(shí)，不容忽視的安全問題， 各種賬號(hào)密碼失竊事件層出不窮，不僅給用戶造成巨大的經(jīng)濟(jì)損失，也給銀行造成經(jīng)濟(jì)聲譽(yù)的損失，同時(shí)也增加管理成本。對(duì)此，手機(jī)銀行的安全保障工作就顯得尤為重要，本文從

2、各個(gè)層面分析，討論了如何將業(yè)務(wù)和技術(shù)手段相結(jié)合， 采取了多項(xiàng)措施以加固手機(jī)銀行的安全性。I FJ 訂1E _r->i “.|占？器韭賈幣丑陥-100-0M0手機(jī)銀行系統(tǒng)采用全國集一、從網(wǎng)絡(luò)層面看，手機(jī)銀行通過運(yùn)營商的無線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)， 中的模式，總行一點(diǎn)統(tǒng)一接入。在手機(jī)終端到 WAP網(wǎng)關(guān)通道上，先天比網(wǎng)銀接入的方式更為安全，主要體現(xiàn)在:1帶圍墻的花園，在無線網(wǎng)絡(luò)環(huán)境下，手機(jī)無線運(yùn)營商構(gòu)筑了一個(gè)安全的無線網(wǎng)絡(luò)世界, 運(yùn)營商吸取了因特網(wǎng)的教訓(xùn)，在源頭上控制了無線生態(tài)環(huán)境的安全。2中國移動(dòng)、中國聯(lián)通和中國電信都有一套完整的系統(tǒng)進(jìn)行網(wǎng)絡(luò)的監(jiān)控，隨時(shí)可以跟蹤 到手機(jī)號(hào)碼信息，這樣有效的避免了黑客

3、肆無忌憚的攻擊。3在病毒控制方面，由于下載到用戶手機(jī)的程序必須經(jīng)過運(yùn)營商嚴(yán)格測試， 測試通過后, 授予電子簽名后，才被放到下載服務(wù)器， 沒有合法簽名的程序是無法運(yùn)行的， 這樣有效的杜 絕了病毒的泛濫。4.封閉的通訊網(wǎng)絡(luò)防黑客木馬攻擊，大家熟悉的網(wǎng)上銀行風(fēng)險(xiǎn)，很大程度上由于其處 于開放性的互聯(lián)網(wǎng)， 容易受到黑客攻擊， 特別是黑客通過放置惡意的木馬程序，非法獲取客戶的賬戶信息和密碼，導(dǎo)致風(fēng)險(xiǎn)的存在。而手機(jī)銀行處于相對(duì)封閉的移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)，并且手機(jī)終端本身沒有統(tǒng)一的操作系統(tǒng)等病毒所需的滋生環(huán)境，因此，手機(jī)銀行業(yè)務(wù)幾乎不受黑客和木馬程序的影響，其安全性也大大提高。在WAP網(wǎng)關(guān)到銀行的通道上，信息在互聯(lián)網(wǎng)

4、上傳輸，具有較高安全風(fēng)險(xiǎn)，銀行可以通 過多種措施增強(qiáng)安全性：1在運(yùn)營商與銀行之間建議采用DDN專線。2.在銀行端采用網(wǎng)上銀行的網(wǎng)絡(luò)安全技術(shù)，如：防火墻、防病毒、漏洞掃描、入侵檢 測防御、安全審計(jì)、網(wǎng)絡(luò)端口的控制。二、在傳輸通道層（通訊層），SSL/TLS技術(shù)和數(shù)字簽名技術(shù)是網(wǎng)上銀行、手機(jī)銀行和電子商務(wù)應(yīng)用的安全最常見的做法，主要采用SSL/TLS協(xié)議建立安全通道，保證數(shù)據(jù)傳輸安全。SSL（SecureSockets Layer，安全套接層）是一種在 Web服務(wù)協(xié)議（HTTP）和TCP/IP之間提供 數(shù)據(jù)連接安全性的協(xié)議，Web瀏覽器與服務(wù)器之間進(jìn)行安全數(shù)據(jù)通訊所采用的最主要的協(xié)議，其保證了在I

5、n ternet上交換信息雙方的信息安全性和可靠性。在手機(jī)終端到WAP網(wǎng)關(guān)采用WTLS加密傳輸，wap網(wǎng)關(guān)到銀行系統(tǒng)采用 SSL加密傳輸。 WTLS是在TLS的基礎(chǔ)上，根據(jù)無線環(huán)境、長距離、低帶寬、自身的使用范圍等增加了一些 新的特性。根據(jù) SSL的基本工作原理，手機(jī)銀行系統(tǒng)采用非對(duì)稱算法（ RSA進(jìn)行安全通道 的建立，用對(duì)稱算法（動(dòng)態(tài)密鑰）對(duì)安全通道的傳輸數(shù)據(jù)進(jìn)行保護(hù)。從而實(shí)現(xiàn)1信息保密：對(duì)信息使用基于單一密鑰的對(duì)稱性算法進(jìn)行加密。2身份認(rèn)證：對(duì)通迅一方或雙方使用電子證書和公鑰算法進(jìn)行身份確認(rèn)。3信息完整：使用 MAC實(shí)現(xiàn)信息的完整。三、系統(tǒng)層安全是針對(duì)運(yùn)行手機(jī)銀行系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫等軟

6、件平臺(tái)進(jìn)行安全防護(hù)，其主要采用的措施如下：安裝系統(tǒng)的安全補(bǔ)丁（ Patch）。關(guān)閉不需要的進(jìn)程服務(wù)和端口。使用漏洞掃描產(chǎn)品，定期進(jìn)行安全掃描及時(shí)發(fā)現(xiàn)問題并采取補(bǔ)救措施。審計(jì)系統(tǒng)設(shè)置配置，避免因配置不當(dāng)造成的權(quán)限管理混亂。四、業(yè)務(wù)安全邏輯的控制，在該層面存在安全的問題是構(gòu)建手機(jī)銀行系統(tǒng)最需要考慮的問題。 針對(duì)這些問題，手機(jī)銀行系統(tǒng)可以通過多種措施保障用戶的賬戶安全。1簽約機(jī)制，手機(jī)銀行為進(jìn)一步保障客戶資金安全，引入了簽約機(jī)制。在手機(jī)上直接開 通手機(jī)銀行服務(wù)的客戶可以使用查詢、繳費(fèi)、小額支付等功能。如果客戶持本人有效證件原件及賬戶憑證（卡或存折）到賬戶所在地的銀行營業(yè)網(wǎng)點(diǎn)進(jìn)行身份認(rèn)證，簽署相關(guān)協(xié)議

7、，并經(jīng)銀行認(rèn)證后，此類客戶才成為手機(jī)銀行的簽約客戶，簽約客戶可享受手機(jī)銀行提供的全部服務(wù)，包括轉(zhuǎn)賬、匯款等業(yè)務(wù)。2手機(jī)號(hào)碼與賬號(hào)綁定，手機(jī)銀行交易必須在綁定手機(jī)號(hào)碼上交易。手機(jī)不同于電腦等 設(shè)備，隨身攜帶是它的一個(gè)重要特性，現(xiàn)代人基本上離不開它，即使丟失也會(huì)很快發(fā)現(xiàn)，并 且手機(jī)號(hào)碼也已成為個(gè)人的身份識(shí)別標(biāo)志。同其它電子銀行渠道相比，手機(jī)銀行安全性最具特點(diǎn)的是客戶身份信息與手機(jī)號(hào)碼建立了惟一綁定關(guān)系?？蛻羰褂檬謾C(jī)銀行服務(wù)時(shí)，必須使用其開通手機(jī)銀行服務(wù)時(shí)所指定的手機(jī)號(hào)碼，也就是說，只有客戶本人的手機(jī)才能以該客戶的身份登錄手機(jī)銀行，他人是無法通過其它手機(jī)登錄。這種硬件的身份識(shí)別辦法，加上登錄密碼的驗(yàn)

8、證與控制， 建立了客戶身份信息、手機(jī)號(hào)碼、登錄密碼三重保護(hù)機(jī)制，構(gòu)建了手機(jī) 銀行業(yè)務(wù)獨(dú)特的安全特性。3密碼控制：驗(yàn)證碼、重試次數(shù)鎖定機(jī)制。手機(jī)銀行系統(tǒng)在安全通道的基礎(chǔ)上，在客戶 登錄前將由服務(wù)器產(chǎn)生圖形附加碼傳至手機(jī)上，由用戶輸入上傳至服務(wù)器驗(yàn)證，在端對(duì)端加密的安全方案基礎(chǔ)上加上附加碼的驗(yàn)證措施便可有效地防止自動(dòng)嘗試密碼、避免了黑客的網(wǎng)絡(luò)攻擊，從而保證了手機(jī)電子銀行交易平臺(tái)的安全。登錄手機(jī)銀行系統(tǒng)時(shí)需要輸入的登錄密碼。登錄密碼不是賬戶密碼，是客戶在開通手機(jī)銀行服務(wù)時(shí)自行設(shè)定。如在銀行網(wǎng)點(diǎn)簽約時(shí)，通過柜臺(tái)上的密碼鍵盤， 或在網(wǎng)站開通時(shí)，通過網(wǎng)頁界面，或在手機(jī)上直接開通手機(jī)銀行服 務(wù)時(shí)，在手機(jī)界面

9、上由客戶自己輸入。登錄密碼為610位的數(shù)字和字母混合組成?？蛻敉ㄟ^登陸密碼才能使用手機(jī)銀行服務(wù)，并可自行更改密碼?？蛻籼?hào)和登錄密碼是手機(jī)銀行進(jìn)行客戶身份驗(yàn)證的一個(gè)重要環(huán)節(jié)，銀行先進(jìn)行用戶密碼的驗(yàn)證，若密碼錯(cuò)誤，交易終止。為防止有人惡意試探別人密碼，系統(tǒng)設(shè)置了密碼錯(cuò)誤次數(shù)日累計(jì)限制，當(dāng)達(dá)到限制時(shí)，將置該客戶手機(jī)銀行服務(wù)為暫停狀態(tài)。另外，客戶每次退出手機(jī)銀行之后， 交易信息和賬戶密碼等內(nèi)容只保存在銀行核心主機(jī)里，不會(huì)因?yàn)槭謾C(jī)丟失而影響客戶的資金安全。4在用戶登錄時(shí)短信提醒及在登錄成功后，顯示上次登錄時(shí)間，使用戶能夠發(fā)現(xiàn)非法的 登錄。5預(yù)留信息，通過在登錄后展示用戶的預(yù)留信息，使用戶能夠及時(shí)發(fā)現(xiàn)仿冒

10、的釣魚網(wǎng)站。6資金類交易使用動(dòng)態(tài)密碼，動(dòng)態(tài)口令是一連串定期變化著的銀行密碼，動(dòng)態(tài)口令卡是 動(dòng)態(tài)口令的載體，口令卡上以矩陣的形式印有若干字符串，只有擁有口令卡的用戶才能擁有最新更換后的密碼。 在啟用動(dòng)態(tài)口令卡后，進(jìn)行網(wǎng)上銀行辦理轉(zhuǎn)賬匯款、繳費(fèi)支付、網(wǎng)上支 付等交易時(shí)，電子銀行系統(tǒng)就會(huì)隨機(jī)給出一組口令卡坐標(biāo)，可根據(jù)坐標(biāo)從卡片中找到口令組合并輸入電子銀行系統(tǒng)， 只有當(dāng)口令組合輸入正確時(shí)，用戶才能完成相關(guān)交易。 每個(gè)密碼組合只可以使用一次。這種口令組合是動(dòng)態(tài)變化的，使用者每次使用時(shí)輸入的密碼都不一樣， 交易結(jié)束后即失效，從而杜絕不法分子通過竊取客戶密碼盜竊資金。作盤內(nèi)網(wǎng)防火均“ I.夕F幅訪譏坍于嘰敦

11、行 用尸'llmawAM '-s t C Qi >1 >1 <1 I皆rpfi.fff1h開戶Jia ii-e i-7交易額度控制，為進(jìn)一步降低業(yè)務(wù)風(fēng)險(xiǎn)，手機(jī)銀行業(yè)務(wù)對(duì)諸如支付、繳費(fèi)、轉(zhuǎn)賬、匯 款、外匯買賣等業(yè)務(wù)都采用了日累計(jì)限額的控制。以后將引入個(gè)人交易限額，客戶可以根據(jù)自身情況靈活地設(shè)置自己交易限額，即滿足個(gè)性化需求，又控制了業(yè)務(wù)風(fēng)險(xiǎn)。盡管采用了多種手段，手機(jī)銀行系統(tǒng)也不可避免任然存在安全問題，由于登錄密碼經(jīng)過WTLS協(xié)議到達(dá)wap網(wǎng)關(guān)后，wap網(wǎng)關(guān)需要進(jìn)行轉(zhuǎn)加密成 SSL數(shù)據(jù)送到銀行服務(wù)器端。這 個(gè)過程涉及WTLS解密及SSL加密等關(guān)鍵步驟，客戶的登錄密

12、碼在 wap網(wǎng)關(guān)內(nèi)有可能被獲取， 造成用戶賬戶信息泄露。此外，由于手機(jī)銀行的很多業(yè)務(wù)都需要使用者具備一定的操作技能，如果客戶操作不熟練，就有可能產(chǎn)生誤操作， 產(chǎn)生操作風(fēng)險(xiǎn)；還有一些客戶的安全意識(shí)不強(qiáng)，將自己的銀行卡賬號(hào)和密碼告訴他人，給犯罪分子可乘之機(jī)；更嚴(yán)重的是不少犯罪分子利用短信、郵件、假銀行網(wǎng)站等方式騙取客戶的銀行卡信息，盜取客戶資金，給客戶造成了巨大的損失。由于我國商業(yè)銀行內(nèi)控制度建設(shè)滯后于金融電子化的發(fā)展，信息系統(tǒng)安全管理的基本框架、管理機(jī)制、策略方法和工作流程還不完善，一些制度得不到認(rèn)真執(zhí)行，導(dǎo)致銀行內(nèi)部人員違規(guī)操作或伺 機(jī)作案，給手機(jī)銀行安全運(yùn)行造成風(fēng)險(xiǎn)。所以為保障手機(jī)銀行的安全

13、性，還需要銀行嚴(yán)格審核客戶身份，強(qiáng)化客戶安全意識(shí)，加強(qiáng)內(nèi)部管理等。When you are old and grey and full ofsleep,And no ddi ng by the fire, take down this book,And slowly read, and dream of the soft lookYour eyes had once, and of their shadows deep;How many loved your mome nts of glad grace,And loved your beauty with love false or true

14、,But one man loved the pilgrim soul in you,And loved the sorrows of your cha nging face;And bending dow n beside the glow ing bars,Murmur, a little sadly, how love fledAnd paced upon the mountains overheadAnd hid his face amid a crowd of stars.The furthest dista nee in the world Is not betwee n life

15、 and death But whe n I sta nd in front of you Yet you don't know thatI love you.The furthest dista nee in the worldIs not whe n I sta nd in front of youYet you can't see my loveBut whe n un doubtedly knowing the love from bothYet cannot be together.The furthest dista nee in the worldIs not b

16、eing apart while being in loveBut whe n I pla inly cannot resist the year ningYet prete nding you have n ever bee n in my heart.The furthest dista nee in the worldIs not struggli ng aga inst the tidesBut using on e's in differe nt heartTo dig an un crossable riverFor the one who loves you.倚窗遠(yuǎn)眺，目光目光盡處必有一座山，那影影綽綽的黛綠色的影，是春天的顏色。周遭流嵐升騰，沒露出那真實(shí)的面孔。面對(duì)那流轉(zhuǎn)的薄霧，我會(huì)幻想，那里有一個(gè)世外桃源。