关于USB Key技术在网银支付中的应用及改进的论文

摘 要：网上支付的安全问题一直是限制网银发展的一个重要因素。 USB Key作为近年新出现的身份认证工具，极大的提高了网上支付的安全性。然而，USB Key技术也存在着一些安全缺陷。本文主要阐述USB Key技术的应用，并对存在的缺陷提出解决思路。

关键词：USB Key ；网银支付 ； 改进

一、引言

网银支付由于成本低廉、资金周转方便、不受时间和地域的约束等一系列优势，在电子商务活动中得以广泛应用。目前， USB Key作为网络用户的身份识别和数据保护的“电子钥匙”，正被越来越多的网上用户所认识和使用。下面将论述网上支付的安全性及采用的USB Key技术。

二、网银支付面临的安全风险

目前大概有超过50%的人不打算使用或者不敢用网上银行，其主要原因就是安全支付问题。这也成为了限制网上银行发展的瓶颈，网银支付主要面临两大安全威胁，系统安全风险和身份风险。

（一）系统安全风险

主要是指各种盗取网银账号和密码的网络病毒和木马，目前这类风险尚未形成规模。主要的盗取方式有“钓鱼网站①”、“键盘记录”、“屏幕录像②”等方式。

随着网银业务的不断普及、深入和扩展，越来越多的'新业务正在或即将被推出，而黒客们的跟进速度也总是很快的，可以预见，更隐蔽、更先进、更有创造性的犯罪手段也会在不久的将来出现。系统安全风险将进一步加剧。

（二）身份风险

身份信息泄露是目前网银被盗事件的主要原因。比如“网上钓鱼”案件，

是银行的身份被仿制；盗窃账户密码进行盗窃，是个人的身份被仿制。这类风险只能通过加强银行的身份监管机制和提高用户的身份警觉性来降低。

随着网银业务的发展，网银的安全体系也相应的得到了发展，为维护客户的合法利益，网银系统采取了严格的安全认证机制。随着硬件技术的发展。人们将身份认证过程中的关键部分(加密算法和用户数据)从PC移植到硬件中去。至此，USB Key技术出现在了电子商务安全的硬件大家庭中。

三．USB Key安全技术在网银支付中的应用

USB Key是一种基于数字证书的身份认证技术，它结合了现代密码学技术、USB技术和智能卡技术，是一种全新身份认证技术。它与用户名加口令、生物特征识别技术并列为三大认证技术。

（一）USB Key基本情况

USB Key外形与U盘类似，内置CPU、智能卡芯片以及储存器，数字证书以

密钥存放在存储器中，并且不可导出。由数据传输转换模块实现芯片与计算机之间的数据交换与传输，遵循ISO7816 标准③和USB 协议

图1： USB Key结构图

（二）USB Key特点

1.使用方便: 外观与普通的U盘类似, 便于随身携带，具有即插即用功能。

2.功能强大: 同时具有数据加密和数据存储两大功能。

3.安全性好: USB Key具有硬件PIN码保护功能。只有知道密码(PIN 码④)的人才能打开它, 取得存在里面的电子数据。所以只有同时取得USB Key 和用户PIN 码才可以登录系统。如果用户PIN码泄漏，只要USB Key设备本身不被盗用即能保证安全。

USB Key使用了公钥加密算法，用户的私钥和数字证书存放在USB Key内部，对USB Key的读写操作必须通过必要的程序完成，用户无法直接读取，私钥等信息不能被导出到USB Key外部，从而杜绝用户数字证书和身份信息被复制的可能性。

4.价格便宜: USB Key实际上就是一个带有USB接口的微控制器,这种微控制器制作简单成本低廉，有利于大规模普及应用。

（三）网银支付认证系统的组成及操作方法

网银支付认证系统由服务器端、客户端以及USB Key三个部分构成。

用户从客户端成功登录到网银系统服务器后，填好转账或者支付的信息后，系统会提示“插入USB Key”时，然后就在客户端上插入USB Key，输入PIN码，当验证通过时，相关的交易信息送入USB Key中用私钥进行签名，然后将签名的交易信息发送到网银系统服务器端，当服务器端确认了用户的签名时，就进行交易。

（四）USB Key进行网上支付的两大优点

1.没有任何重要的个人信息在网上传递, 保证了安全性;

2. Server由网络商自己维护, USB Key由用户携有, 双方的认证没有依靠第三方, 快捷、安全、信誉度高。

当然除此之外，USB Key还有其它很多优点. 例如可以在客户端上插拔, 可以在任何一台支持USB 的电脑上工作等。

（五）USB Key存在的安全缺陷及改进方法

虽然USB Key安全性很高，但理论上USB Key并不是绝对安全的，在实际操作过程中依然存在一些安全隐患。主要是两个方面。

1.交互操作过程存在漏洞

USB Key的PIN码是固定的，黒客可能通过木马等手段获取了用户的PIN码，如何用户在操作后没有及时将USB Key从计算机上拔除，黒客就可以利用远程控制，输入PIN码，然后冒用客户的身份进行认证。这个漏洞有三种解决思路。

(1) 一种解决思路是改造现有的USB Key设备上增加输入键, 使PIN码的输入在USB Key上完成,

(2) 另外一种解决思路是结合动态密码的技术,利用动态密码生成USB Key的PIN码，使生成PIN码是一次性，这样可以从根本上防止PIN码被盗的风险。

(3) 第三种解决思路是在现有的让USB Key设备上增加一个确认键，输入PIN码后，需按下USB Key上的确认键，USB Key才能识别PIN码。相对前两种解决方法此方法的成本较低，实现比较简单，可行性更高。

2.无法防止数据被篡改

USB Key的工作原理是用户将交易信息送入USB Key，然后在USB Key中的对交易信息进行加密，但是在客户的交易信息在送入USB Key加密前，有可能会被黒客拦截然后屏篡改为另一笔交易，这样就可能在用户不知情的情况下，使篡改过的交易信息认证通过，造成客户的损失。

这个问题的解决思路是在USB Key上增加一个显示屏，用以显示交易信息的主要信息（如收款人账号、金额等）。

四、结语

在目前多种身份认证技术中, USB Key 被认为是安全可靠的技术，利用USB Key内置的密码算法和用户的私钥或数字证书，既可实现对用户身份的认证和交易的签名，又可保障数字证书和私钥无法被黒客复制等优点，从目前USB Key网络身份认证的应用情况来看正在显现出越来越大的优越性,在生物特征身份认证技术没有应用之前,USB Key认证方式是目前网上银行安全保护机制的最优手段。

参考文献

Koblitz N. Elliptic curve crypto systems. Mathematics of Computation, 2005, 48