网上银行身份认证与交易安全防范

　　USBKey近几年有很大的进步和发展，有人称USBKey是对PKI的有力发展，它已基本做到了“傻瓜型”。如果想成为某商业银行的客户，只要登录银行网站，就会自动地将数字证书下载到客户的USBKey中。当客户进行网上银行时，只要将其插入USB口，输入PIN码，通过操作证书后进行网上认证和签名。其优点在于：一是安全可靠。证书和私钥不可被拷贝，加密签名在Key中进行，不暴露在内存中，黑客无法窃取客户私钥。二是签名。《电子签名法》规定，特别是对那些B2B大型企业的大额交易，必须使用USBKey证书的介质，以确保网上交易的安全。三是USBKey的价格与Token令牌相比稍贵，但寿命周期长，物理电气性能稳定。四是可实现交易的数字签名，具抵否认性和数据保密。虽然数字证书是网上身份的证明，但并不能作为“文件证书”存放在PC机的硬盘中，由此避免被黑客用木马程序窃取，即用即插，用完收存。

　　PKI是在网上银行系统的应用层进行的安全防范，是目前网上银行交易安全防范最有力的措施保证。PKI的核心执行机构是认证中心CA，核心元素是数字证书。它由第三方CA所签发，其作用是实现网络中数据加密的传输，负责交易数据的数字签名以及网上身份的证明，是虚拟世界的身份证。

　　证书的存放介质在国家GB/T《信息安全技术公钥基础设施 签名生成应用程序的安全要求》中明确规定：证书只能存放在USB Key、IC卡以及PCMCIA令牌中，否则以文件证书形式存放是不安全的，更不能存放在硬、软盘中。这种证书的存放方式，已引起多起交易安全的欺诈事件。银行在推荐证书介质时，特别是对那些企业大客户和VIP客户，一定要推荐USBKEY 或IC卡，只有这样才能确保证书使用安全，才能符合《电子签名法》规定。那些交易量小的、按银监会和人民银行规定的小额（每次不超过1000元）的用户，可以考虑使用或不使用文件证书，也可以使用如OTP令牌等一次性口令。

　　正确使用数字签名，确实能保障网上银行交易双方的安全，特别是对客户方的安全有较高的保证。数字签名的作用主要是提供在网络上传输、处理、交易实体的身份，保障数据的完整性、保密性和不可抵赖性。如果接收方数字签名验证成功，就符合国家《电子签名法》中第十三条可靠电子签名的条件。规定中要求，制作电子签名时，签名私钥必须由电子签名人自己控制，不能被他人窃取并利用；签署后对电子签名的任何改动能够被发现。也就是说，原文一旦做了签名，是不能做任何改动的。在网上银行的交易中，接收方一旦对交易数据和信息进行了签名，如果改动是会被发现的。特别是针对B2B或VIP客户的大额交易，必须采用数字证书，以确保交易安全可靠性。当然，此时的证书介质一定要安装在USBKEY中。即插即用，以防“伪造”和“劫持”签名。在网上银行的认证和交易中只要做到可靠的数字签名，才能使电子签名具有与手写签名或者盖章同等的效力。