设为首页   加入收藏
首 页 通知公告 商密动态 政策法规 产品名录 办事指南 下载服务 知识园地 技术标准
   2018年06月26日 星期二
      
  通知公告 更多
财政部印发《政务信息系统政府采购管理暂行办法》
国家密码管理局公告(第35号)
国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知(国密局字 〔2017〕336号)
国家密码管理局公告(第34号)
国家密码管理局公告(第33号)
国家密码管理局关于废止和修改部分管理规定的决定
电子政务信息系统使用电子认证技术实用问答
关于使用SHA-1密码算法的风险提示
国家密码管理局公告(第31号)
 
 当前位置: 知识园地 > 正文
动态密码技术——网银安全的保障
  来源: 上海市信息安全行业协会商用密码专委会 2009年02月27日
 


    随着我国网络技术及电子银行的发展,网上银行、ATM自助银行、电话银行、POS机等远程交易系统已经被越来越多地推广和应用,交易方式也从传统面对面的柜台有纸交易转向虚拟柜台无纸交易,为客户提供了便利,也为银行解决日益突出的柜面压力和用户排队矛盾提供了重要手段,提高了银行业的服务质量。与此同时,作为远程交易系统的第一道防线,登录用户的身份认证逐渐就成为人们关注的焦点,它不仅涉及到用户信息、特别是账户和资金的安全,更直接影响到银行的商业信誉和金融秩序的建立。
    2007年年中,银监办向各银监局以及各银行发布了[2007]134号通告:为加强用户身份验证管理,各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令或密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。
    目前符合银监会要求的附加身份认证技术主要有两个:第一是以数字证书为代表的全交易保护措施,数字证书通过参与网银的全部交易过程,并配合与之配套的电子签名法,实现了交易过程的安全与不可抵赖性。第二是以动态密码为代表的身份认证保护措施,动态密码认证器会根据专门的算法每隔一定时间生成一个与时间相关的、不可预测的动态密码,每个密码只能使用一次,确保交易从发起、传递到最终接收都处于动态的保护过程中。   
    数字证书和USB移动证书认证技术的应用局限在于:只能在已安装证书或相应驱动程序的电脑上进行操作,操作烦琐.在其他没有 USB 接口的设备上,如人们经常使用的ATM自助银行、电话银行、POS机等远程交易系统中无法使用,且使用范围狭窄,无法满足电子银行多种业务的身份认证安全需求。另外由于必须连接电脑,在已经出现相应的木马病毒的情况下,仍然存在安全隐患。
    动态密码最大的优点在于:1、用户每次使用的密码都不相同,使得不法分子无法仿冒合法用户的身份。2、加密算法的安全性极高,由于采用物理隔离,因此在交易发起与传输过程中,不可能被黑客替换或截获。到目前为止,国内外还没有出现过针对动态密码的安全事件;3、系统实施很简单及相对投资少;对用户来说使用非常方便,并且应用范围广,适用于网上银行、电话银行、POS系统,ATM系统和柜面系统等各种电子银行业务的身份认证。4、可以与传统认证方法兼用传统方法可以应用于查询,而动态密码可用于交易。
    因此,动态密码技术已成为身份认证技术的主流,在全球的银行业得到了广泛的应用。目前国内的银行业已十分关注该项技术的应用,部分银行如福建兴业银行、上海浦发银行、中国银行等已投入使用。同时,该领域拥有国家密码管理局批准的相关资质的企业已经出现,生产和销售规范化和合法化的工作已经陆续展开。由此可见,动态密码技术在为网银和其他登录用户的身份认证安全上将发挥重要广泛作用!


返回
 
版权所有:上海市密码管理局     
(建议使用IE7浏览器、将电脑显示屏的分辨率调整为1024*768浏览本网站)