手机银行安全

手机银行安全 在银行的经营理念中，安全是第一位的，对交易服务信息数据的安全性要求极高。而电子点渠道与传统网点柜台处理方式不尽相同，存在着许多业务风险，所以手机银行必须采用一定的措施来保障交易过程的安全，保证整个系统的安全，维护客户利益和银行利益，着对手机银行的发展有很重要的意义。 一( 手机银行安全特点 手机银行风险与网点柜台风险的不同主要体现为服务渠道不同，因此从风险防范和安全控制的角度来看，手机银行的安全有着显著特点，具体体现在三个方面: 一是高科技犯罪比较重大。随着金融电子化的发展，各个银行不断采用新技术提高服务质量，并推出各种新的业务服务种类，以吸引新的客户。同样，无线通信的竞争，促使移动通信运营商不断采用最新技术和最新设备，从而加快了手机银行系统的技术与设备的更新。手机银行系统的高科技性，使得对手机银行系统的攻击必然主要是高科技犯罪。高科技的攻击与反攻击，必然在水涨船高，手机银行系统的安全性防范也必须不断完善和提高。 二是系统安全控制要求高。手机银行的使用具有社会性，他对所有客户都是开放的，交易的完成无需银行工作人员的介入，客户自行操作完成。整个交易过程涉及银行系统，移动通信运营商平台和客户手机终端，中间环节多，而且对实时性要求很高，这些交易完全依赖与自动化程度较高的技术和设备。因此，手机银行系统的安全难度很大，特别是针对数据正确性，保密性和完整性要求很高。 三是业务风险渠道特色强。由于无法面对面接触，手机银行的客户身份识别及验证方式与网点不同，真实性较差。同时，业务关系通过口头方式(即手机操作)进行，操作痕迹不直接，没有书面依据(凭证)及客户签字确认，一旦出现纠纷，银行举证困难。 二( 安全控制应考虑的因素 1. 可靠性 系统中所有资源都必须正确完好，无差错，客户的数据必须具有保密性和完整新，只有得到许可才能更该数据，并且能判断数据是否被更改过。 2. 可用性 要保证合法用户能正确使用系统资源，而不被拒绝访问或拒绝执行合法的用户指令。万一计算机系统中资源的某一部分发生故障，要能立即启用备用资源，并将发生故障的硬件隔离，自动检测故障的原因，修复后能自动启用系统重新投入运营，尽量避免发生停机现象。 3(可控性 确保信息不暴露给未授权的实体或进程，控制授权范围内的信息流向及行为方式，通过相应的手段保证客户资金处于可控制范围之内。 4可审查性 要求系统具备审查能力，提供事后监督的手段和依据。当交易一方发现交易行为对自己不利时，可能会否认手机银行的交易行为。因此要求系统具备审查能力，以杜绝交易任何一方的抵赖行为。 三( 手机银行的安全机制 (一)手机银行技术安全机制 1(防火墙技术 防火墙是在内部网与外部网之间实施安全防范的系统，被认为是一种访问控制机制。基于两种准则进行设计: (1)一切未被允许的就是禁止的。基于该准则，防火墙应封锁所有信息流，然后对希望提供的股务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围会受到限制。 (2)一切未被禁止的就是允许的。基于该准则，防火墙转发所有信息流，然后逐项屏蔽 有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。 防火墙的基本类型有:包过滤型、代理服务型、复合型等。目前的防火墙技术存在着一定的局限性，例如，它不能防范不经防火墙的攻击、人为因素的攻击、由于用户误操作或口令泄露而受到的攻击，不能防止受病毒感染的软件或文件的传输，不能防止数据驱动式的攻击，等等。 安全的网络设计将建立手机银行交易服务器及银行应用系统防线，采用多层网络将把公网与内部网络分离。防火墙将在公网和银行网络间架起一道屏障。防火墙多网口特性能够把来自公网的TCP/IP通信流送到DMZ(非军事区)。防火墙作为防御边界能筛选到DMZ的访问，并能根据源址和目的地检查访问DMZ的请求。 2(加解密技术 加密一般是利用信息变换规则把可懂的信息变成不可懂的信息，其中的变换规则称为加密算法，算法中的可变参数称为密钥。衡量一个加密技术的可靠性，主要取决于解密过程的数学难度，而不是对加密算法的保密。当然，可靠性还与密钥的长度有关。 手机银行的加,解密服务器采用了l 024值的RSA认证加解密技术和128位的三重DES对称信息加解密技术，并实现RSA公共密钥定期更新，DES对称密钥在每次会话中随机产生，使整个系统实现了较高级别的安全性。安全加密的工作流程如下: 步骤一:建立连接阶段 由于客户第一次登录需提供客户账号和密码等关键信息。我们对这些数据采用l 024位的RSA公钥加密。客户将客户信息、客户产生的DES密钥、客户标识等信息用RSA公钥加密后传送到服务器端，服务器使用RSA私钥对加密信息解密后，验证客户信息和DES密钥，如果正确，则客户和服务器端连接就建立起来了。 步骤二:连接建立起来后的加,解密 RSA加密虽然保密性好，但是加密效率不高。连接建立起来以后，传送的数据使用速度更快的DES加密。客户端和服务器端使用客户端所产生的DES密钥进行加、解密。 步骤三:RSA公钥的获得 RSA公钥由位于银行内部的加密机产生，并将它发送给客户使用。客户可以到银行指定地点获取公钥，也可以通过总行因特网网站下载公钥，银行将公钥明文和公钥含有的指纹一同发送给客户，将客户取公钥的指纹与公钥明文的指纹比较来确认公钥下载的正确性。 步骤四:客户端加、解密的实现 客户手机里装有运行于J2ME平台的纯JAVA程序用以实现RSA/DES加、解密算法，以及DES密钥的生成算法、RSA公钥的验证算法。客户端的算法均由它来实现。手机内存和执行性能的局限，使得普通的JAVA加密程序无法在手机中运行。在J2ME MIDP环境下，RSA/DES加密算法已经被实现，并且符合国家密码办标准，算法也得到了优化。 步骤五:服务器端的加、解密实现 服务器端采用硬件实现RSA和DES的加、解密算法。在服务器端内含加密机硬件，硬件加、解密的实现保证了运算的速度，从而保证了手机银行服务的实时性、安全性和可靠性。 3(安全技术协议 国际上，电子交易的安全机制正在走向成熟，并逐渐形成了一些国际规范，比较有代表性的是SSL和SET协议。目前手机银行较为流行的是SSL协议。 SSL是一种安全协议，由Netscape公司研究制定，该协议在应用程序进行数据交换前通过交换SSL初始“握手”信息来实现有关安全特性的审查，它为网络(例如因特网)的 通信提供私密性。SSL能使应用程序在通信时不用担心被窃听和篡改。SSL实际上是共同工作的两个协议:“SSL记录协议”(SSL Record Protocol)和“SSL握手协议”(SSL Handshake Protocol)。“SSL记录协议”是两个协议中较低级别的协议，它为较高级别的协议——“SSL握手协议”对数据的变长的记录进行加密和解密。“SSL握手协议”处理应用程序凭证的交换和验证。 当一个应用程序(客户机)想和另一个应用程序(服务器)通信时，客户机打开一个与服务器相连接的套接字连接。然后，客户机和服务器对安全连接进行协商。作为协商的一部分，服务器向客户机作自我认证。客户机可以选择向服务器作或不作自我认证。一旦完成了认证并且建立了安全连接，则两个应用程序就可以安全地进行通信。按照惯例，将把发起该通信的对等机看做客户机，另一个对等机则看做服务器，不管连接之后它们充当什么角色。对于手机银行应用来说，使用SSL可保证信息的真实性、完整性和保密性。 4(身份认证 国际上基于公开密钥体系( PKl)的数字证书解决方案已被普遍采用。我们说，交易的不可否认性是不充分的，当前系统的不可否认建立在密码惟一性之上。加、解密密钥是由客户手机上的惟一标识(如ISMI)分散而来，而这个惟一标识会同报文一起发送。同时，这种对客户身份的鉴别是不受法律的保护的，所以可以考虑在SIM卡中安装“小”数字证书来对用户身份进行鉴别。这种证书应该妥善保存在手机SIM卡中或CA中心，在交易上传数字证书或从CA中心获取，在交易服务器对数字证书进行认证。要注意数字证书的长度，由于发送信息有长度的限制，这种证书不能太长，一般16~32个字节就可以了。 5(后台数据的安全机制 (1)后台数据传输完整性 保证数据在客户手机和银行后台系统间传输时的完整性，这对于手机银行是很重要的，即交易的完整性不应被破坏。数据的传输可以分为前端和后端两部分，“前端”的数据传榆主要是指客户通过手机将信息传到本系统，而“后端”的数据传输是指手机银行系统与银行前置机、银行主机之间进行的数据交互过程。手机银行系统与银行主机进行数据通信时可以通过物理链接方式保证数据传输的完整性，即短信息系统与银行主机系统互联时，采用的是银行内部通信网，保证了数据的完整、安全传输。 (2)设置应用网关 通过应用网关与其他系统交互，对系统内部数据进行屏蔽，可以有效防止第三方或黑客的恶意攻击。与银行主机或第三方数据源的连接主要是通过相应的应用前置机完成，该前置机作为第三方数据库的客户机，完成与第三方数据库的连接，发送相应的数据库操作请求并根据第三方数据库的结果返回，完成相应的客户认证和业务操作，有效确保了系统主机数据的安全。 (3)数据同步机制 在实现手机银行业务过程中，系统必须与银行主机进行相应的数据交互工作，其中包括读、写申请及各种数据核对申请，并且必须考虑数据通信的时限控制要求，即对数据联网中的数据通信时间进行相应的限制，如发现其操作超时，则按照相应的操作规程，本次数据库通信失败或按取消相应业务请求等形式进行处理。这样的数据联网通信机制十分容易产生数据联网中双方数据库不一致的现象，另外由于网络失败等原因也可以引起双方数据库不一致。因此，为了保证联网过程中双方数据库的数据一致性，必须对相应的数据库联网的错误操作进行适当的处理。采用基于J2EE的JDBC访问数据库，由于JDBC本身具有强大的事务处理能力，并提供了实时的数据核对及恢复机制来保证双方的数据一致性。 实时的数据核对及恢复机制主要是针对各种超时工作所产生的数据库操作错误的解决方案。当数据联网传输时发生了超时操作，系统的应用前置机在系统内部发送通信失败消息后，将不断向第三方数据库发送数据核对请求，并同时通知网管系统检查其网络是否正常，如网管系统发现网络通信发生故障，将以声光警报的形式通知后台的维护人员，并写入相应的网络日志中，同时网管系统亦会向应用前置机发出网络故障的答复，应用前置机终止相应的联网业务。当应用前置机发现网络通信发生故障、十分繁忙或数据核对的请求一直没有得到相应的答复即核对请求的答复超时，立即把该情况写人相应的日志文件中，以便人工核对工作的进行，并同时向第三方数据源发送中止核对请求。 当第三方数据源正常返回数据核对请求应答时，系统将会把这一通信的时间等详细资料写人相应的日志、文件中，并开始数据的自动核对流程。自动数据核对主要是以本系绕的数据为标准的数据核对工作，数据核对的目的是为了保证本系统的数据与第三方数据源的数据一致性。数据核对的结果也将会写入日志中，以便作为日后的仲裁的重要数据依据。 (4)系统日志和审计 交易系统提供日志和审计，以便发现异常情况时提供事故追踪。统在处理过程中设置完善的日志，除用于系统与第三方进行数据核对和仲裁的依据，还可以通过系统口志，发现系统的故障和监测对系统的恶意侵害行为。 (5)密码管理附加设备 银行采用专有的附加设备来完成密钥的管理和加、解密工作。由于密钥只能在加密机中存放，保证了任何人都不可能获得密钥的明码。应用程序对密钥的引用同样独立在加密机中完成，应用系统将加密的报文、产生会话密钥的材料和校验码发送给加密机，在加密机中完成校验和解密，传递给应用程序的只有校验是否正确、解密是否完成的信息。 (二)手机银行应用安全机制 1(客户手机号与客户账户信息的签约绑定 客户通过手机进行交易时，交易认证过程中的账号、密码等重要信息在电话网中都是明码传输，有被盗窃的可能性。为了最大限度地保护客户利益，将客户手机号和银行账号建立对应关系，客户使用手机银行时必须先到银行柜台网点凭本人身份证件签约开户，客户进行签约开户是手机银行交易安全的基础。客户在申请电话银行服务如未严格审查签约身份证件，非客户本人签约，或客户身份证件与账户信息不符、将他人账户签约到个人名下，这些都将形成安全隐患，一旦造成客户资金流失，银行均要承担相关的责任。 在整个交易过程中客户无须输入银行账号和取款密码，避免了客户密码和账户被盗窃的可能。手机银行系统收到交易请求后，只有满足下列条件时才能完成交易: 客户的签约信息一定完整; 客户签约了该服务和该账户; 该签约账户和该服务有对应关系; 客户的签约控制条件满足。 2(多层次的密码设置 通过设置不同的交易密码，区分交易渠道，缩小风险影响的范围。手机银行中设置了“菜单密码(PIN)"和“业务密码”两级密码控制。 “菜单密码”是进人手机银行界面使用的密码，客户在第一次使用手机银行时，由客户进行密码设置，如果客户在使用手机银行时连续3次输错菜单密码，将被拒绝使用。 “业务密码”是在客户使用手机银行进行账务处理，如转账、缴费等操作时使用的密码，银行在新开卡时，密码信封上同时留给客户两个密码，一个是交易密码，供客户在银行网点 办理业务、商场POS机消费或ATM取现时使用;一个是客户查询密码，只供客户在手机银行或网上银行交易上使用，不能进行现金交易。一般说来转账密码与客户的账户密码一致，修改账户密码时，转账密码同时得到修改。 3(严格的业务控制 手机银行在签约数据中建立了严格的业务控制关系，根据各业务种类不同，其风险点及防范措施也不尽相同。例如，账户信息查询最大的风险点就是信息的保密性，主要的风险防范措施就是客户身份的识别，根据国家宪法和《储蓄管理条例》的规定，银行有义务有责任为储户保密，如是签约客户，则可以通过校验签约密码进行身份识别;办理账户转账业务，客户必须要事先登记好转出和转入账号，交易只能在登记的两个账号之间进行，这样就尽量避免了误操作或是被别人盗取密码所引发的危险。对于代缴费业务必须事先登记代缴费项目及进行内容绑定，即使手机被盗用也不会将客户的资金缴到别的项目上。 4(控制交易额度 为了有效控制不法客户盗用资金的风险，手机银行应根据本地区经济发展水平、客户习惯等因素，制定手机银行系统每日转账次数与金额，并在交易流程中进行控制。首先要在系统后台输入参数，设置转账次数与金额的上限，系统在每笔转账交易时将判断交易金额与次数，在上限范围内的转账交易才可以进行。这样的操作流程，增加了不法客户盗用账户资金转账的难度，给客户采取补救措施，如账户挂失、报案赢得了时间，能减少客户的资金损失。 5(交易类服务的确认机制 如果客户通过手机短信完成一个缴费或转账类交易，手机银行系统在完成上述安全控制后，发送一条确认短信给客户(该短信中有随机生成的确认码)，只有再次收到客户的确认信息后(包含确认码)，系统才能完成交易。这样可以有效地转移部分风险，同时增加客户对转账交易的可控度。 (三)下面通过建设银行的案例来介绍手机银行的安全机制在中国的发展状况: 1.建设银行手机银行独特安全特性 (1)客户身份信息与手机号码的绑定 建设银行手机银行将客户身份信息与手机号码建立唯一绑定关系，客户使用手机银行服务时，必须使用其开通手机银行服务时指定的手机号码，即只有客户本人的手机才能以该客户的身份登录手机银行，他人无法通过其他手机登录。这种硬件身份识别办法，加上登录密码验证与控制，建立了客户身份信息、手机号码、登录密码三重保护机制。 (2)封闭的通讯网络防黑客木马攻击 手机银行处于相对封闭的移动数据网络，且手机终端本身没有统一操作系统等病毒所需的滋生环境，因此手机银行业务几乎不受黑客和木马程序的影响，其安全性大大提高。 2.系统层安全 为确保“手机银行”安全，建设银行手机银行在技术层面采用了多种加密手段和方法，以保证手机银行的安全。 (1)建立安全通道 手机银行整个系统全程采用端到端加密数据传送方式，交易数据在传送之前，手机端必须和手机银行服务器端建立安全通道。由于客户第一次登陆需用提供客户账号和密码等关键信息，手机银行系统对这些数据采用1024位的RSA公钥加密，验证客户信息和DES密钥， 如果正确，则客户种服务器端就建立起连接。 (2)数据传输全程加密 建设银行手机银行系统采用硬件方式实现RSA和DES的加、解密算法，数据在传输过程中全程加密，此方式的实现既保证系统运算速度，又确保手机银行服务实时性、安全性和可靠性。 (3)防数据破坏，确保数据的完整性 对于所有交易数据，手机和银行加密机都会对交易数据进行摘要处理，产生交易数据校验信息，以防止数据在传输中途被修改或丢失。若接收到数据摘要验证不通过，即认为数据被破坏，要求交易重新进行，以确保数据的完整性。 (4)安全方面的其他措施 手机银行系统在安全通道基础上，在客户登录前将由服务器产生图形附加码传至手机上，由用户输入上传至服务器验证。另外，客户每次退出手机银行之后，手机内存中关于卡号、密码等关键信息将会被自动清除，而交易信息和账户密码等内容只保存在银行核心主机里，不会因为手机丢失而影响客户的资金安全。 3.应用层安全 (1)密码控制 登录建设银行手机银行系统时需要输入登录密码。登录密码不是账户密码，是客户在开通手机银行服务时自行设定。客户通过登陆密码才能使用手机银行服务，并可自行更改密码。 客户号和登录密码是手机银行进行客户身份验证的一个重要环节，银行先进行用户密码的验证，若密码错误，交易终止。为防止有人恶意试探别人密码，系统设置了密码错误次数日累计限制，当达到限制次数时，将该客户手机银行服务暂停。 (2)签约机制 建设银行手机银行为进一步保障客户资金安全，引入了签约机制。对于通过建设银行网站或在手机直接开通手机银行服务的客户可以使用查询、缴费、小额支付等功能。如果客户持本人有效证件原件及账户凭证到账户所在地的银营业网点进行身份认证，签署相关协议，并经银行认证后，此类客户才成为手机银行的签约客户，签约客户可享受手机银行提供的全部服务，包括转账、汇款等业务。 (3)限额控制 为进一步降低业务风险，建设银行手机银行业务对诸如支付、缴费、转账、汇款、外汇买卖等业务都采用了日累计限额的控制。以后将引入个人交易限额，客户可以根据自身情况灵活地设置自己交易限额，既满足个性化需求，又控制了业务风险。 综上可看出建设银行的应用安全机制较为完善，但在技术安全层面存在欠缺，如安全技术协议，身份认证技术，维护后台数据的安全等方面，这也在一定程度上反应了中国手机银行安全机制的现状，但随着手机银行业务的拓展，出于维护客户与银行的利益的需要，上述安全机制也将会被不断完善。 四(用户需增强安全意识，提高对手机银行的了解 来自<天府早报>的消息，某月初，用户李先生就遭遇了两个自称“能提供免担保免抵押高额贷款”的男子行骗。信以为真的李先生按照提示新开账户，并开通手机银行业务，并存人1000元保证金后，不仅未拿到贷款，连保证金都血本无归。 另外，从河北靖民律师事务所的张律师处了解到，用户张先生曾在某银行存人人民币 2万元，仅过4天时间，该款便悄无声息地被转入河南李某名下。在张先生因此状告银行的 案件纠纷中，法院审理了解到，原告张先生办完传统银行存款后，是因为通过手机开通了手机银行业务，输入河南李某的手机号码，并将密码告知了对方才导致钱财损失，由此驳回原告诉讼。 类似事件还有很多，相关人士对此表示，相关诈骗分子最重要的行骗手段就是诱导消费者开通“手机银行”业务并骗取密码，随即通过手机修改密码进而转走钱财。这就突出了手机银行眼下发展的最大短板——安全保障。一方面，随着目前金融机构提供的股务与日俱增，网上银行、手机银行等各种业务密码独立分开的安全便民服务，却成了犯罪分子可钻的空子;另一方面，消费者自身对相关业务运作知识的欠缺以及安全防范意识的薄弱，直接成为泄露密码和个人信息的源头。 目前手机银行的安全保障问题已经引起广泛重视，并具备一定现实基础。 例如工商银行手机银行通过绑定手机号和银行账号，在进行交易时使用电子银行口令卡进行身份认证，并以预留信息作为办理开通手机银行业务的“通行证”。 建设银行的特点则是建立客户身份信息与手机号码的唯一绑定关系。通过登录密码的 验证与控制，建立客户身份信息、手机号码、登录密码三重保护机制，并设置密码错误次 数日累计限制，同时在防黑客和木马程序的移动数据网络安全上也下了工夫。 兴业银行设有图片附加码保护功能，招行设有图形验证码机制等，各大银行在相关技术认证和单笔、日限额上都进行了严控。 从这个意义上说，只要加强自我防范，手机银行的安全保障是强而有力的，因此专家建议，用户在使用手机银行时，首先要提高警惕，谨防欺诈和虚假WAP网址及网络钓鱼，任何时候都不可削弱密码保护意识。用户应妥善保管好手机和密码，建议将查询密码和交易密码设置为不同的密码值;手机银行更适用于小额资金的转账及交易;勿将银行卡号和密码存人手机，一旦手机丢失，建议第一时间更改手机银行登录密码;用户在使用完手机银行后应及时退出。其次用户要加强自身对相关业务运作知识的了解，只有这样用户才能打消对手机银行安全保障的顾虑，尽情享受手机银行所带来的便捷。