网上银行加密通信服务系统解决方案 – 作者:Mesign

一、目前网上银行系统普遍存在的五大问题

我国网银系统起步于1997年招行推出的“一网通”,到2021年就已经经过了24年的发展,现在已经把90%以上的业务都搬到到了网上,并且基本上都已搬到了智能手机上。“搬”意味着只是用户可以不用去银行网点,可以在网上办   理业务了。网银系统24年过去了,基本上没有任何真正的创新!但是,随着移动互联网的普及应用,现在的网银系统已经无法满足人们的全方位银行服务需求,甚至逐渐被互联网公司边缘化和后台化。个人网银服务和企业网银服务都急需创新,需要银行马上行动起来,充分利用移动互联网的红利为银行客户提供更加方便快捷安全的网银服务。

目前,我国网银系统有如下五个方面的问题急需解决和改进:

  1. 密码应用采用的加密算法非常落后,非常不安全!
    网银系统普遍采用的USB Key证书还是采用1024位SHA1 RSA证书,不仅不合规而且非常不安全。国际标准早在10年前(2010年12月31日)停止签发1024位证书,2013年12月31日禁用1024位证书, 2015年12月31日停止签发SHA1 证书和禁止使用SHA1签名。谷歌早在2017年2月23日宣布破解PDF文件 SHA1签名,这就是说,我国网银系统依赖的证书签名确认支付行为是有可能被假冒的!网银系统问世24年了,密码应用没有任何进步和创新!
  2. 短信验证码已经非常不安全,但仍然在普遍广泛使用!
    网银服务普遍采用的短信验证码验证方式产生于1990年代,那个时候的短信验证码的确是不同信道的双因子认证,是安全的。美国国家标准研究院早在2017年发布的SP 800-63B指出使用短信验证只能是带外鉴证。但是,现在是移动互联网时代,上网使用网银APP和接受短信验证码已经变成了同一信道和同一设备(带内),非常容易被恶意APP读取,已经不再满足双因子认证(带外验证)的技术基础要求,但仍然还在广泛使用,居然收到验证码就能支付!短信验证码还非常容易被伪  基站假冒,而导致网银用户上当受骗而遭遇钱财损失。网银系统问世24年了,短信验证已经非常不安全,身份验证技术没有任何进步和创新!
  3. 银行账单都是明文邮件发送,非常不安全,但仍在广泛使用!
    银行等金融机构给用户发送电子账单或各种通知都是明文邮件,不仅泄露了用户的隐私信息,而且给用户带来了的账户安全问题,并导致各种假冒银行的欺诈邮件泛滥。从而导致用户纷纷中招而损失钱财。网银系统问世24年了,仍然使用明文邮件发送电子账单,没有任何技术进步和创新!
  4. 银行电话客服系统不仅建设和运维费用高,而且用户也非常不方便,但仍广泛使用!
    银行电话客服不仅在用户方总是打不进去,而且在银行方也是成本居高不下,并且不方便用户提供截图等反映网银问题。而现在的微信公众号或者网银APP客服虽然方便些,但仍然存在未加密和身份被假冒等安全隐患。网银系统问世24年了,现在是移动互联网时代了,仍然还是使用经常打不进去的电话客服,没有任何技术进步和创新!
  5. 支付服务没有任何创新,银行已经被互联网公司边缘化!
    电脑网银还是非常难用的USB Key认证方式,要求安装一大堆驱动软件,并且经常无法登录。用户需要更换各种不同的浏览器才能登录不同银行网银系统,而这些浏览器技术上已经非常落后,很不安全,但为了能登录网银还不得不保留使用。随着移动互联网的普及,虽然银行也推出了网银App,但是基本上都是不安全的,有些APP居然不采用https加密同服务器通信,有些APP即使启用了https,但是不验证证书是否可信、证书绑定域名是否正确和证书是否被吊销等基本安全检查,就直接与服务器通信,非常容易遭遇中间人攻击。并且许多网银App还是采用很不安全的用户名/口令登录方式。网银系统问世24年了,虽然增加了移动网银APP,但是带来了更多的安全隐患。在网银支付方面没有任何技术进步和创新!

其实,以上五大问题不仅仅是技术落后和没有创新,而且是严重违反了《密码法》和其他推进金融服务业态的商用密码应用的许多文件精神和规章制度,也严重制约了银行服务的健康快速发展。这的确是摆在银行业的一个解决的技术难题和管理难题。我们认为,不解决以上五大问题的网银系统都不是好系统。用户在选择自建或升级改造网银系统时必须在仔细评估以上安全风险和存在问题后选择合适的技术方案。

二、借鉴国外银行业的创新解决方案

让我们来看看欧美国家的银行业的一些解决方案,看看是否能借鉴和学习。

如下左图所示,德国邮政银行采用广泛使用的邮件通信方式,只给用户发送有数字签名的邮件,没有银行数字签名的号称是来自银行的邮件都是假冒的,用户非常容易识别,彻底解决以上安全问题三。邮政银行是从德国邮电邮政局分离出来的德国最大的零售银行, 邮政银行使用电子邮件数字签名技术来抑制日益猖獗的通过钓鱼邮件来窃取在线个人银行信息的钓鱼攻击。邮政银行使用支持标准的 S/MINE 协议的电子邮件签名证书来对电子邮件数字签名。钓鱼邮件攻击是给用户发送一个看视来自银行的电子邮件来欺骗用户输入一个个人银行资料,如信用卡信息、银行账户用户名和口令,这些信息将被用来金融偷窃和身份盗窃。根据德国时常调查机构 TNS Infratest 的调查,钓鱼邮件攻击在过去的几年里已经攻击了包括邮政银行在内的德国各大银行,有 80% 以上的网上银行用户怀疑声称来自银行的电子邮件的真实性。邮政银行客户可以点击收到的邮件的数字签名标志来查看邮件真实发件人的身份,同时如果该邮件的内容如果被非法篡改,则会提示用户。

如下右图所示,德国德意志银行也是采用广泛使用的邮件通信方式,要求用加密邮件实现银行和用户之间的所有通信,保护用户隐私和保护机密信息,彻底解决以上安全问题三的明文邮件泄露用户机密信息和假冒银行邮件的难题。德意志银行不仅像德国邮政银行那样采用数字签名确认银行的身份,而且同时采用证书加密每一封银行同用户的通信邮件。要求用户必须使用支持S/MIME邮件加密技术的邮件客户端如Outlook等收发加密邮件,并且用户必须向CA申请一张全球信任的邮件证书。这个是一个很大的使用门槛,比用户登录网银门槛还高!

图片[1]-网上银行加密通信服务系统解决方案 – 作者:Mesign-安全小百科图片[2]-网上银行加密通信服务系统解决方案 – 作者:Mesign-安全小百科

如下图所示,美国美洲银行、美国富国银行、英国英格兰银行、劳埃德银行、汇丰银行、加拿大皇家银行等采用思科或者其他厂家的的数字信封解决方案(PGP加密),需要用户注册账户,输入密码查看来自银行的加密邮件和回复银行加密邮件。这个方案明显比德意志银行的方案要方便简单很多,用户无需向CA申请证书,也无需使用指定的邮件客户端就可以实现加密邮件的解密阅读和发送加密邮件给银行。有些是要求登录网银阅读、有些是给一个密码加密的PDF文件、有些是登录第三方的加密邮件系统阅读和发送加密邮件给银行。但是,这些方案仍然是发送明文邮件通知用户登录安全邮件系统查看加密邮件。用户第一次必须先使用自己的邮箱作为用户名注册银行提供的安全邮件服务。明文通知邮件、注册过程和需要输入密码的过程都是不安全的。

图片[3]-网上银行加密通信服务系统解决方案 – 作者:Mesign-安全小百科图片[4]-网上银行加密通信服务系统解决方案 – 作者:Mesign-安全小百科

三、密信网银服务系统解决方案

密信技术借鉴了欧美银行的解决方案,创新地采用成熟的商用密码技术(国产密码算法)、云计算技术和电子邮件通信技术,历时4年成功研发出基于电子邮件通信系统的“网上银行加密通信服务系统”,简称“网银密信”,有效地解决了上述目前存在的五大问题:

  1. 全部采用国密算法SM2证书实现身份认证、数字签名和数据加密,满足《密码法》《电子签名法》和相关文件合规要求,能有力保障我国网银系统加密通信的自主可控,彻底解决上述问题一的密码算法的不安全问题。
  2. 创新服务一:采用加密邮件方式发送各种验证码来替代不安全的短信方式发送验证码,彻底解决短信验证码有可能被恶意App非法窃取的难题,从而有效地保障了网银支付安全。
  3. 创新服务二:采用加密邮件发送各种银行账单和对账单等银行单据,有效地防止明文邮件泄露用户银行账户或信用卡机密信息,也有效地防止假冒银行邮件欺诈,并且所有加密邮件都有时间戳,证明邮件发送时间可信,并具有法律效力,从而有效地保障了网银服务安全。
  4. 创新服务三:采用加密和数字签名邮件实现可信身份在线客户服务,用户和银行之间的所有往来客服邮件都是加密邮件,不仅能高效地为用户提供服务,而且能有效地防止假冒银行客服人员的欺诈行为发生,并能降低电话客服成本和提升客户满意度。
  5. 创新服务四:采用国密合规和全球信任的双算法数字签名实现网上银行协议实时在线签署,帮助银行彻底实现无纸化和数字化,数字签名具有同纸质协议一样的法律效力。
  6. 创新服务五:银行还可以创新地提供基于数字签名和加密邮件的简单快捷在线支付。由于用户身份可信、通信全加密而且有具有法律效力的数字签名和时间戳记录,银行可以创新地提供基于邮箱的收付款服务-发邮件就完成付款,收到邮件就收到款。

图片[5]-网上银行加密通信服务系统解决方案 – 作者:Mesign-安全小百科

密信技术采用更加先进的国密合规的商用密码算法实现数字签名、加密和时间戳,符合《密码法》《网络安全法》和其他合规文件要求。同样采用基于加密邮件通信,但是彻底解决了德国银行采用的技术方案太复杂不方便用户使用的难题,同时也彻底解决了美国和英国银行采用的方便使用但又降低了安全性的问题。不仅方便使用,而且安全可靠,特别适合于移动互联网。

基于加密邮件通信在我国有普及应用基础,有QQ号码用户就有QQ邮箱,有手机号码用户就有139邮箱/沃邮箱/189邮箱(不限手机号),还有大量的互联网公司提供的免费邮箱和政府提供的市民邮箱,这些基础设施并没有发挥最好的作用!其实加密邮件通信是最方便快捷安全高效的通信方式,这是一种去中心化的点对点高效安全通信,只是由于明文邮件的不安全和邮件加密不方便使用而导致了没有得到普及应用。现在,密信技术解决了邮件加密的易用难题,可以广泛用于网银加密通信服务了!

密信技术提出的基于加密邮件、数字签名和时间戳技术的网银密信五大创新服务,彻底改变人们使用网银服务的方式,更安全更方便。银行采用网银密信服务不仅能提升安全服务水平,而且有望彻底扭转在移动支付领域被边缘化的局面!密信技术提供的基于国密算法加密和数字签名的创新网银服务解决方案已经在部分银行使用,电子邮件全自动加密应用已经覆盖到全球171个国家和地区用户。欢迎联系我们了解更多详情。

来源:freebuf.com 2021-04-07 17:15:54 by: Mesign

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论