SIM Application Toolkit - Wikipedia, the free encyclopedia
SIM Application Toolkit
From Wikipedia, the free encyclopedia
(Redirected from SIM Tool Kit)
• Find out more about navigating Wikipedia and finding information •
Jump to: navigation, search
SIM Application Toolkit (commonly referred to as STK) is a standard of the GSM system which enables the SIM to initiate actions which can be used for various value added services.[1]
The SIM Application Toolkit consists of a set of commands programmed into the SIM card which define how the SIM should interact directly with the outside world and initiates commands independently of the handset and the network.[2] This enables the SIM to build up an interactive exchange between a network application and the end user and access or control access to the network.[3] The SIM also gives commands to the handset, such as display menu and ask for user input.[4][5]
STK has been deployed by many mobile operators around the world for many applications, often where a menu-based approach is required, such as Mobile Banking and content browsing.[6] Designed as a single application environment, STK can be started at the initial power up of the SIM card [7] and is especially suited to low level applications with simple user interfaces.[8]
In GSM 2G networks SIM Application Toolkit is defined in the GSM 11.14 standard in 1995.[9][10] [11]
Contents[hide]
1 Advantages
2 Limitations
3 STK in 3G
4 References
//
[edit] Advantages
Some manufacturers claim that STK enables higher levels of security through identity verification and encryption, which are necessary for secure electronic commerce.[12][13]
STK has been deployed on the largest number of mobile devices.[14]
[edit] Limitations
After a SIM has been delivered to the customer it can be difficult to change the STK applications and menus on the SIM. To do so either the SIM must be returned and exchanged for a new one which is costly and inconvenient or in some cases the applications can be updated over the air.[15][16] This limitation hinders the number and frequency of STK application deployment.[17]
No multimedia support (only basic pictures)[18]
Poor independent development support[19]
With the current OTA platforms it is possible to change the menu structure and the services available on the SIM without the users having to return the SIM or even take it to the operators business center.
[edit] STK in 3G
USIM Application Toolkit (USAT) is the equivalent of STK for 3G networks.[20]
[edit] References
^ http://www.cellular.co.za/sim_toolkit.htm
^ http://www.gemplus.com/techno/stk/
^ http://www.cellular.co.za/sim_toolkit.htm
^ http://www.gsmmobile.co.nz/Sim_Toolkit.htm
^ http://www.3gpp.org/ftp/tsg_t/WG3_USIM/TSGT3_10/docs/t3-99346.doc
^ http://www.cellular.co.za/sim_toolkit.htm
^ http://www.3gpp.org/ftp/tsg_t/WG3_USIM/TSGT3_10/docs/t3-99346.doc
^ http://www.gsmmobile.co.nz/Sim_Toolkit.htm
^ http://www.gemplus.com/techno/stk/
^ http://www.cellular.co.za/sim_toolkit.htm
^ http://www.gsmmobile.co.nz/Sim_Toolkit.htm
^ http://bladox.com/devel-docs/gen_stk.html
^ http://www.gsmmobile.co.nz/Sim_Toolkit.htm
^ http://bladox.com/devel-docs/gen_stk.html
^ http://www.gemplus.com/press/archives/2004/telecom/15-06-2004-ota_saudi.html
^ http://www.smartcardalliance.org/industry_news/industry_news_item.cfm%3FitemID%3D357
^ http://www.mygemplus.com/pss/telecom/download/GemConnect_online_sdk.pdf
^ http://bladox.com/devel-docs/gen_stk.html
^ http://bladox.com/devel-docs/gen_stk.html
^ http://www.gemplus.com/techno/stk/
Retrieved from "http://en.wikipedia.org/wiki/SIM_Application_Toolkit"
2007年9月2日星期日
又一黑客落网 网银何时才会更安全? - 网上银行安全 - [专题]- �
又一黑客落网 网银何时才会更安全? - 网上银行安全 - [专题]- �
通过遥控“灰鸽子”木马病毒,网络高手刘某窃取他人网上银行的账号和密码,轻点鼠标盗走7578元。13日,李某被武汉青山区法院一审判刑10个月。
27岁的刘某是某信息安全中心工作人员,精通电脑。他在一种工具软件中植入“灰鸽子”木马病毒,再将该软件上传至其它大型下载网站,供人免费下载。有的网民下载安装该软件后,其电脑就被“灰鸽子”木马病毒暗中控制。刘某通过网络遥控该木马,神不知鬼不觉地侵入了一些别人的电脑。
刘某发现青山区居民媛媛(化名)曾在网上购物,于是窃取了媛媛在网上银行开设的账号和密码,分25次划走7578元。媛媛察觉存款神秘失踪,报了案。青山区红卫路派出所通过技术手段,很快锁定了刘某。
今年1月19日,迫于压力,逃回长沙老家躲避的刘某到当地派出所投案自首。
电脑不听指挥请查杀“灰鸽子”
木马、肉鸡、灰鸽子,这些网络用语,或许你并不熟悉,但一些不法分子可能以此侵入你的电脑,或遥控打开你电脑上的摄像头偷窥、偷拍,或盗取你的QQ号、游戏币、游戏账号,或复制你存在电脑上的隐私照片、资料等……
武汉大学法学院刑法学教授、网络安全研究方向博士后皮勇向记者介绍,“灰鸽子”木马病毒暗中侵入电脑后,通过网络主动接受“主人”的远程控制。简单地说,通过网络遥控“灰鸽子”,几乎可以在别人的电脑上进行所有操作。
皮勇提醒,普通用户如果发现自己电脑的系统不正常,如电脑经常不听指挥,进行一些莫名其妙的操作,常常“自动”关机、重启等,就应引起重视。如果你使用网上银行、网上购买游戏币等,一定要使用并及时更新正版杀毒软件、设置防火墙,查杀“灰鸽子”病毒。此外,希望国家从源头上打击“灰鸽子”等病毒软件。
通过遥控“灰鸽子”木马病毒,网络高手刘某窃取他人网上银行的账号和密码,轻点鼠标盗走7578元。13日,李某被武汉青山区法院一审判刑10个月。
27岁的刘某是某信息安全中心工作人员,精通电脑。他在一种工具软件中植入“灰鸽子”木马病毒,再将该软件上传至其它大型下载网站,供人免费下载。有的网民下载安装该软件后,其电脑就被“灰鸽子”木马病毒暗中控制。刘某通过网络遥控该木马,神不知鬼不觉地侵入了一些别人的电脑。
刘某发现青山区居民媛媛(化名)曾在网上购物,于是窃取了媛媛在网上银行开设的账号和密码,分25次划走7578元。媛媛察觉存款神秘失踪,报了案。青山区红卫路派出所通过技术手段,很快锁定了刘某。
今年1月19日,迫于压力,逃回长沙老家躲避的刘某到当地派出所投案自首。
电脑不听指挥请查杀“灰鸽子”
木马、肉鸡、灰鸽子,这些网络用语,或许你并不熟悉,但一些不法分子可能以此侵入你的电脑,或遥控打开你电脑上的摄像头偷窥、偷拍,或盗取你的QQ号、游戏币、游戏账号,或复制你存在电脑上的隐私照片、资料等……
武汉大学法学院刑法学教授、网络安全研究方向博士后皮勇向记者介绍,“灰鸽子”木马病毒暗中侵入电脑后,通过网络主动接受“主人”的远程控制。简单地说,通过网络遥控“灰鸽子”,几乎可以在别人的电脑上进行所有操作。
皮勇提醒,普通用户如果发现自己电脑的系统不正常,如电脑经常不听指挥,进行一些莫名其妙的操作,常常“自动”关机、重启等,就应引起重视。如果你使用网上银行、网上购买游戏币等,一定要使用并及时更新正版杀毒软件、设置防火墙,查杀“灰鸽子”病毒。此外,希望国家从源头上打击“灰鸽子”等病毒软件。
RSA的三叉戟:实现网银用户全面保护 - 网上银行安全 - [专题]- 安
RSA的三叉戟:实现网银用户全面保护 - 网上银行安全 - [专题]- 安
随着钓鱼、域欺诈和键盘记录等威胁越来越严重,强认证对于确保给用户安全的网上银行环境至关重要。在2005年10月发布FFIEC指南之前,Zions银行的信息安全团队就认识到需要应对这些威胁并为向网上银行用户提供强认证制定战略目标。
在寻找解决方案过程中,Zions银行根据下列因素评估了多个选择:
-安全性。除了在用户登录时进行身份认证,Zions银行还希望新解决方案在交易级别保护用户。随着木马和中间人攻击等高级威胁的出现,新的解决方案还必须能够有一定的弹性抵御这些攻击方式。
-成本。Zions银行考虑了一系列直接和间接成本,包括采购、许可证、维护与管理、集成以及推出等成本。
-可用性。习惯于标准的用户名/密码认证方式的网上银行用户可能会受到额外安全机制的影响。因此,Zions银行评估了解决方案对终端用户的影响情况。
-便携性。进行不同活动的不同客户需要不同的安全水平。由于用户行为各异,解决方案需要很灵活——能够认证使用不同的计算机、操作系统和平台(CP、PDA等)的用户。
-跨通道保护。Zions的用户通过多种通道获得银行服务,包括互联网、语音应答单元(VRU)和呼叫中心。
-厂商稳定性。Zions银行认为解决方案提供商的财务状况必须很好,以确保在长时间内获得支持。
选择解决方案
经过广泛的调查和内部风险评估之后,Zions认为分层安全最适合其业务,以及客户的需要。然而,单一的技术或应用是不够的,因此他们决定选择‘三叉戟’式的方法。
1. 基于风险的身份认证,可以透明地监测在线活动以发现并阻止欺诈
2. 站点到用户身份认证,用以提高客户信息
3. 反钓鱼服务,监测并关闭钓鱼攻击
Zions选择了RSA的集成解决方案——RSAreg;适应性Web认证与RSAreg; FraudActionSM——支持他们分层的网上交易安全性。
通过透明地监测在线活动并根据交易或活动可能出现欺诈的可能性分配一个风险值,RSA适应性Web认证为Zions的网上银行用户提供后台安全。此外,适应性Web认证提供站点到用户功能进一步提高用户的信心。通过在用户登录时显示个性化的安全图片和语句,他们可以确保正在登录的网站是 Zions银行的合法网站——而不是欺诈网站。
除了选择RSA的认证和反欺诈解决方案,Zions还加入了RSAreg; eFraudNetwork™社区,这是一个针对在线金融欺诈的全球性网络。成员包括全球各地的数千个金融机构, eFraudNetwork实时整理全球各地最佳、最新的智能,向金融机构提供有关欺诈活动的即时信息。
与实施和项目推出相关的直接和间接成本以及对内部资源的影响也是Zions选择解决方案的重要考虑因素。为了获得更高的客户认可度, Zions银行采用了典型的系统开发周期以及大量的市场营销计划。Zions银行专门指定了五位全职工作人员负责这个项目6个月的实施。在这个系统全面推出之前,Zions银行进行了试运行以收集反馈并解决任何系统问题。
Zions银行制定了全面的推出计划,以确保现有和未来网上银行用户在最大程度上接受新系统。在推出之前,Zions银行的员工进行了试用,并据此制定实际的推出计划。在最初的45天内,用户可以在资源的基础上登记加入此计划,而此后所有网上银行用户都必须登记。
实施效果
新解决方案推出35天后,Zions银行的登记率上升的70%,预期的呼叫中心咨询电话大幅增加也没有出现,由此节约了数万美元。虽然有用户抱怨在标准的用户名/密码登录之外需要做更多的事情,但反馈表明绝大多数用户非常满意网上交易的安全性更高了。
随着钓鱼、域欺诈和键盘记录等威胁越来越严重,强认证对于确保给用户安全的网上银行环境至关重要。在2005年10月发布FFIEC指南之前,Zions银行的信息安全团队就认识到需要应对这些威胁并为向网上银行用户提供强认证制定战略目标。
在寻找解决方案过程中,Zions银行根据下列因素评估了多个选择:
-安全性。除了在用户登录时进行身份认证,Zions银行还希望新解决方案在交易级别保护用户。随着木马和中间人攻击等高级威胁的出现,新的解决方案还必须能够有一定的弹性抵御这些攻击方式。
-成本。Zions银行考虑了一系列直接和间接成本,包括采购、许可证、维护与管理、集成以及推出等成本。
-可用性。习惯于标准的用户名/密码认证方式的网上银行用户可能会受到额外安全机制的影响。因此,Zions银行评估了解决方案对终端用户的影响情况。
-便携性。进行不同活动的不同客户需要不同的安全水平。由于用户行为各异,解决方案需要很灵活——能够认证使用不同的计算机、操作系统和平台(CP、PDA等)的用户。
-跨通道保护。Zions的用户通过多种通道获得银行服务,包括互联网、语音应答单元(VRU)和呼叫中心。
-厂商稳定性。Zions银行认为解决方案提供商的财务状况必须很好,以确保在长时间内获得支持。
选择解决方案
经过广泛的调查和内部风险评估之后,Zions认为分层安全最适合其业务,以及客户的需要。然而,单一的技术或应用是不够的,因此他们决定选择‘三叉戟’式的方法。
1. 基于风险的身份认证,可以透明地监测在线活动以发现并阻止欺诈
2. 站点到用户身份认证,用以提高客户信息
3. 反钓鱼服务,监测并关闭钓鱼攻击
Zions选择了RSA的集成解决方案——RSAreg;适应性Web认证与RSAreg; FraudActionSM——支持他们分层的网上交易安全性。
通过透明地监测在线活动并根据交易或活动可能出现欺诈的可能性分配一个风险值,RSA适应性Web认证为Zions的网上银行用户提供后台安全。此外,适应性Web认证提供站点到用户功能进一步提高用户的信心。通过在用户登录时显示个性化的安全图片和语句,他们可以确保正在登录的网站是 Zions银行的合法网站——而不是欺诈网站。
除了选择RSA的认证和反欺诈解决方案,Zions还加入了RSAreg; eFraudNetwork™社区,这是一个针对在线金融欺诈的全球性网络。成员包括全球各地的数千个金融机构, eFraudNetwork实时整理全球各地最佳、最新的智能,向金融机构提供有关欺诈活动的即时信息。
与实施和项目推出相关的直接和间接成本以及对内部资源的影响也是Zions选择解决方案的重要考虑因素。为了获得更高的客户认可度, Zions银行采用了典型的系统开发周期以及大量的市场营销计划。Zions银行专门指定了五位全职工作人员负责这个项目6个月的实施。在这个系统全面推出之前,Zions银行进行了试运行以收集反馈并解决任何系统问题。
Zions银行制定了全面的推出计划,以确保现有和未来网上银行用户在最大程度上接受新系统。在推出之前,Zions银行的员工进行了试用,并据此制定实际的推出计划。在最初的45天内,用户可以在资源的基础上登记加入此计划,而此后所有网上银行用户都必须登记。
实施效果
新解决方案推出35天后,Zions银行的登记率上升的70%,预期的呼叫中心咨询电话大幅增加也没有出现,由此节约了数万美元。虽然有用户抱怨在标准的用户名/密码登录之外需要做更多的事情,但反馈表明绝大多数用户非常满意网上交易的安全性更高了。
模拟盗取工行卡全过程 - 中国信息安全组织
模拟盗取工行卡全过程 - 中国信息安全组织
标题: 模拟盗取工行卡全过程
时间:2005-01-10
来源:不详
编者:这个漏洞应该早被补上了,发这个文章的目的,是要我们大家知道,在网络上,危险随时存在.
前些日子为了便于网络上的业务往来,我在当地工商银行办了一张牡丹灵通卡,开办了个人网上银行。对于工商银行网站http://www.icbc.com.cn的安全性我从来不去怀疑,也根本不去想象,更不敢随便探测了。由于我对这张卡的某些功能还不是太懂,于是登陆中国工商银行网站的论坛https://service.icbc.com.cn/bbs/index.jsp打算发贴询问一下。当我准备在个人网银版块发贴时,发现了一个令人吃惊的事实,论坛竟然允许直接用html格式来发贴。
众所周知,现在的论坛即使是免费的代码,为了安全性考虑,源代码就算是UBB代码也会书写得非常严格,不会给骇客任何注射或跨站的机会。工行银行的论坛允许注册用户直接书写html的话,骇客可能会利用这个功能来做什么呢?用来跨站拿版主的cookie?写恶意代码让看贴者死机?最恶毒的怕是写入一个网页木马获取你的工行卡卡号和密码了吧。也许工行论坛的html格式命令会限制发贴者所用的html标签?像限制一些javascript、符号?我抱着试试看的态度,发了一个测试贴子,内容是,结果浏览器却令我失望地弹出了一个对话框,记录了我在工行论坛的session信息。
证明了我的猜测是错误的,工行论坛以html格式发贴时根本没有对html标签做任何的限制。我开始继续测试,又发了一个贴子,内容是,学过html语言的都知道,我在这个贴子里引用了一个框架网页,内容就是www.icehack.com。
这里当然可以写入一个网页木马,而且让看贴者毫不知情,下面我来做一次模拟入侵过程。(我只是在本机测试,并没有在工行论坛上实际发过任何网页木马代码,这里只是说明工行论坛这个缺陷所带来的危害,请读者千万不要照做)我在工行论坛发了一个贴子,内容如下:×<1234iframe src="mm.html" name="lcx" width="0" height="0" frameborder="0"×>××这个mm.html就是一个网页木马了,我是用动鲨网页木马生成器生成,对没有打补丁的IE6.0都有效.
网页里所用到的木马我是用windropshell写得一个只有10几K的键盘记录器,可以直接登陆被害者机器,实时查看他的键盘录入,当然骇客也可以用别的记录器直接将键盘记录发送到指定的邮箱,像广外幽灵啦。然后我打开了我制做的网页木马,让我的电脑中了这个木马,此时我再去登陆工行网站的个人网银行,看看会发生什么。
KEYLOG程序清清楚楚记录了我的牡丹灵通卡的卡号和密码。
工行论坛的一个小小缺陷结合个人PC的不安全性竟然会带来如此大的恶果,这绝对是可能的。也许你听说过国外黑客盗取信用卡疯狂购物,好像离自己很遥远,其实骇客就在我们身边。总之一句话,个人PC安全绝对不能忽视,意识提高了,安全措施到位了,就可能避免意外地损失。
标题: 模拟盗取工行卡全过程
时间:2005-01-10
来源:不详
编者:这个漏洞应该早被补上了,发这个文章的目的,是要我们大家知道,在网络上,危险随时存在.
前些日子为了便于网络上的业务往来,我在当地工商银行办了一张牡丹灵通卡,开办了个人网上银行。对于工商银行网站http://www.icbc.com.cn的安全性我从来不去怀疑,也根本不去想象,更不敢随便探测了。由于我对这张卡的某些功能还不是太懂,于是登陆中国工商银行网站的论坛https://service.icbc.com.cn/bbs/index.jsp打算发贴询问一下。当我准备在个人网银版块发贴时,发现了一个令人吃惊的事实,论坛竟然允许直接用html格式来发贴。
众所周知,现在的论坛即使是免费的代码,为了安全性考虑,源代码就算是UBB代码也会书写得非常严格,不会给骇客任何注射或跨站的机会。工行银行的论坛允许注册用户直接书写html的话,骇客可能会利用这个功能来做什么呢?用来跨站拿版主的cookie?写恶意代码让看贴者死机?最恶毒的怕是写入一个网页木马获取你的工行卡卡号和密码了吧。也许工行论坛的html格式命令会限制发贴者所用的html标签?像限制一些javascript、
证明了我的猜测是错误的,工行论坛以html格式发贴时根本没有对html标签做任何的限制。我开始继续测试,又发了一个贴子,内容是,学过html语言的都知道,我在这个贴子里引用了一个框架网页,内容就是www.icehack.com。
这里当然可以写入一个网页木马,而且让看贴者毫不知情,下面我来做一次模拟入侵过程。(我只是在本机测试,并没有在工行论坛上实际发过任何网页木马代码,这里只是说明工行论坛这个缺陷所带来的危害,请读者千万不要照做)我在工行论坛发了一个贴子,内容如下:×<1234iframe src="mm.html" name="lcx" width="0" height="0" frameborder="0"×>××这个mm.html就是一个网页木马了,我是用动鲨网页木马生成器生成,对没有打补丁的IE6.0都有效.
网页里所用到的木马我是用windropshell写得一个只有10几K的键盘记录器,可以直接登陆被害者机器,实时查看他的键盘录入,当然骇客也可以用别的记录器直接将键盘记录发送到指定的邮箱,像广外幽灵啦。然后我打开了我制做的网页木马,让我的电脑中了这个木马,此时我再去登陆工行网站的个人网银行,看看会发生什么。
KEYLOG程序清清楚楚记录了我的牡丹灵通卡的卡号和密码。
工行论坛的一个小小缺陷结合个人PC的不安全性竟然会带来如此大的恶果,这绝对是可能的。也许你听说过国外黑客盗取信用卡疯狂购物,好像离自己很遥远,其实骇客就在我们身边。总之一句话,个人PC安全绝对不能忽视,意识提高了,安全措施到位了,就可能避免意外地损失。
网上银行的安全性分析 统一教学网
网上银行的安全性分析 统一教学网
网络信息技术的发展和电子商务的普及,对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时,也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道,客户可以不必亲身去银行办理业务,只要能够上网,无论在家里、办公室,还是在旅途中,都能够每天24小时安全便捷地管理自己的资产,或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物,人们却有一个最大的疑惑:“网上银行”安全吗?
人们有这种顾虑不无道理。银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,也给人们的心理造成了一定影响。
一般来说,人们担心的网上银行安全问题主要是:
1. 银行交易系统被非法入侵。
2. 信息通过网络传输时被窃取或篡改。
3. 交易双方的身份识别;账户被他人盗用。
从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。
银行交易系统的安全性
“网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:
1. 设立防火墙,隔离相关网络。
一般采用多重防火墙方案。其作用为:
(1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。
(2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
2. 高安全级的Web应用服务器
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
3. 24小时实时安全监控
例如采用ISS网络动态监控产品,进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。
身份识别和CA认证
网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。
由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
网络通讯的安全性
由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。目前,建设银行等已经采用有效密钥长度128位的高强度加密。
客户的安全意识
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失。
总 结
据有关资料显示,现在美国有1500多万户家庭使用“网上银行”服务,“网上银行”业务量占银行总业务量的10%,到2005年,这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%,就此点讲我国网上银行业务的发展前景极为广阔,我们有理由相信,随着国民金融意识的增强,国家规范网上行为的法律法规的出台,将会有更好的网上银行使用环境,能为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得用户的青睐。
网络信息技术的发展和电子商务的普及,对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时,也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道,客户可以不必亲身去银行办理业务,只要能够上网,无论在家里、办公室,还是在旅途中,都能够每天24小时安全便捷地管理自己的资产,或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物,人们却有一个最大的疑惑:“网上银行”安全吗?
人们有这种顾虑不无道理。银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,也给人们的心理造成了一定影响。
一般来说,人们担心的网上银行安全问题主要是:
1. 银行交易系统被非法入侵。
2. 信息通过网络传输时被窃取或篡改。
3. 交易双方的身份识别;账户被他人盗用。
从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。
银行交易系统的安全性
“网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:
1. 设立防火墙,隔离相关网络。
一般采用多重防火墙方案。其作用为:
(1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。
(2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
2. 高安全级的Web应用服务器
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
3. 24小时实时安全监控
例如采用ISS网络动态监控产品,进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。
身份识别和CA认证
网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。
由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
网络通讯的安全性
由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。目前,建设银行等已经采用有效密钥长度128位的高强度加密。
客户的安全意识
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失。
总 结
据有关资料显示,现在美国有1500多万户家庭使用“网上银行”服务,“网上银行”业务量占银行总业务量的10%,到2005年,这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%,就此点讲我国网上银行业务的发展前景极为广阔,我们有理由相信,随着国民金融意识的增强,国家规范网上行为的法律法规的出台,将会有更好的网上银行使用环境,能为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得用户的青睐。
网上银行“安全登录控件”分析
网上银行“安全登录控件”分析
国内的一些银行的网上银行系统为了用户信息的安全,在登录页面上使用了名为“安全登录控件”的东西,取代了传统的 HTML 的输入控件(Input),下面就对用户量较大的招商银行和工商银行的登录界面及“安全登录控件”做一下对比。
1、招商银行
招商银行的网上银行系统做的比较早,用户也很大,深受大部分用户欢迎,其在安全控制手段上也一直比较严格。
在进入正题之前,先来一点题外话:招商银行的有些安全控制办法很值得我们学习,例如专业版证书,据我猜想,可能是在标准的 X.509 证书上又做了一些安全保护,即对标准的证书又进行加密(加密方式不是公开的),这样在计算机中保存/备份的证书是不能通过 Windows 提供的程序去打开的,只有在专业版软件中输入正确的密码后才能导入,这样即遵循了标准,保证了扩展性,又在安全措施上大大加强了。
招商银行的大众版不象专业版那样版本更新很快(可见招商银行的专业版用户量很大,而大众版并不是其发展的重点),大众版自诞生之日起,界面一直比较简单朴素,但基本功能都具备。通过对大众版登录界面的的分析,得到了一下信息:
1) 在登录界面上有数字验证码来防止暴力攻击
2) 安全登录控件中包含两个控件:帐户和密码输入控件
3) 用户输入登录信息后,提交时 Javascript 从安全登录控件中取出的帐户和密码是经过加密的,即在 SSL 加密的基础上,又做了自定义的加密,完全做到了端到端的保密通讯(这一点可以通过 ieHTTPHeaders 查看出来)
4) 在登录 Form 中还有一个 ClienNo 和 SerialNo 等字段,这些值被设置为安全登录控件的 Option,估计是做为加密所用 Key 的一部分
5) 登录 Form 的提交地址是一个 DLL(ISAPI?),Web Server IIS 5.0 (招商银行的主页似乎运用了 Content Management Server ,从其页面源码中可以看出来)
6) 安全登录控件的 CAB 包(CMBEdit.CAB),大小有 117 KB,包含控件 CMBEdit.DLL ,应该是使用 VC 编写的,版本 1.1,经过 VeriSign 代码签名
7)最关键的是,不管是 MVM 的基于 .NET 的键盘 Hook 程序,还是另外一个基于 VB 的键盘 Hook 程序,都无法捕捉用户在安全登录控件里输入的键值,这也许是最重要的一点
8) 由于在页面中使用 ActiveX ,可能给一些用户带来登录问题(如安全设置不同或安装 XP SP2 都可能阻止 ActiveX 的安装),招商银行的页面上明确给出了解决登录的链接文档。
总之,招商银行的网上银行登录界面在安全上的确做的不错。
2、中国工商银行
工商银行网上银行近两年发展很快,成了其不可或缺的一个重要渠道,且被国外一些媒体评为中国最佳网上银行。
1) 工商银行的个人网上银行系统登录界面中没有使用验证码来防止暴力攻击,这种成本非常低,但安全性回报很高的做法竟然都不用(扣1分)
2) 登录界面中,只有密码域使用了安全控件,难道帐号信息就不重要(扣1分)
3) 在 ieHTTPHeaders 捕捉到的登录 Form 提交的信息中,帐号和密码是未加密的明文,且没有任何其它的信息来防止安全攻击(扣3分)
4) 有意思的是,在登录界面的 HTTP Response 信息中,不但有 IIS 5.0 的信息,还有 WebSphere Application Server 4.0 的信息,看来其 Web Server 是 IIS,而 Application Server 又是 WebSphere ,这一对组合 ...
5) 登录安全控件的 CAB 包(AxSafeControls.CAB) 大小约为 174 K,经过 VeriSign 代码签名,里面有三个 DLL :InputControl.dll 似乎就是界面控件,msvcp60.dll 应该是Microsoft C++ Runtime Library,SubmitControl.dll 应该是与提交有关的控件,在 SubmitControl.dll 中发现有 addPair 方法,应该与加密有关,在页面提交的 Javascript 中,也确实发现是SubmitControl 发挥了作用,但为什么就是明文的呢? (扣2分)
6) 在登录页面的源码中,发现了一段被注释的 Javascript 代码,仔细一看,原来是以前登录界面未使用安全登录控件时,使用 Html Input 控件时的处理代码,界面改了之后,处理代码没有删除,只被注释,这些源代码中暴露系统的一些信息,很不专业,也很危险,因为通过分析就可以发现,其界面更改前后的服务器端代码没有任何变化(扣2分)
7) 最关键的是,虽然 VB 的键盘 Hook 程序不能 Hook 密码域中输入的值,但是基于.NET 的键盘 Hook 程序竟然完全可以捕捉到用户输入的任何键值,这难道就是大家前几天讨论的捕捉的作用域问题?这样的话,安全控件几乎就成了摆设(扣10分)
8) 没有在登录页面中给出如何解决登录问题的链接文档,可能使得很多用户由于 ActiveX 不能正确安装而不能正确登录系统
经过对登录界面的一些初步比较,就能发现两者在安全性上的差别,也说明了安全是要靠实实在在的技术手段去保证的。
以上信息基于公开的、可获取的现状提供,不提供其它明示与保证。
国内的一些银行的网上银行系统为了用户信息的安全,在登录页面上使用了名为“安全登录控件”的东西,取代了传统的 HTML 的输入控件(Input),下面就对用户量较大的招商银行和工商银行的登录界面及“安全登录控件”做一下对比。
1、招商银行
招商银行的网上银行系统做的比较早,用户也很大,深受大部分用户欢迎,其在安全控制手段上也一直比较严格。
在进入正题之前,先来一点题外话:招商银行的有些安全控制办法很值得我们学习,例如专业版证书,据我猜想,可能是在标准的 X.509 证书上又做了一些安全保护,即对标准的证书又进行加密(加密方式不是公开的),这样在计算机中保存/备份的证书是不能通过 Windows 提供的程序去打开的,只有在专业版软件中输入正确的密码后才能导入,这样即遵循了标准,保证了扩展性,又在安全措施上大大加强了。
招商银行的大众版不象专业版那样版本更新很快(可见招商银行的专业版用户量很大,而大众版并不是其发展的重点),大众版自诞生之日起,界面一直比较简单朴素,但基本功能都具备。通过对大众版登录界面的的分析,得到了一下信息:
1) 在登录界面上有数字验证码来防止暴力攻击
2) 安全登录控件中包含两个控件:帐户和密码输入控件
3) 用户输入登录信息后,提交时 Javascript 从安全登录控件中取出的帐户和密码是经过加密的,即在 SSL 加密的基础上,又做了自定义的加密,完全做到了端到端的保密通讯(这一点可以通过 ieHTTPHeaders 查看出来)
4) 在登录 Form 中还有一个 ClienNo 和 SerialNo 等字段,这些值被设置为安全登录控件的 Option,估计是做为加密所用 Key 的一部分
5) 登录 Form 的提交地址是一个 DLL(ISAPI?),Web Server IIS 5.0 (招商银行的主页似乎运用了 Content Management Server ,从其页面源码中可以看出来)
6) 安全登录控件的 CAB 包(CMBEdit.CAB),大小有 117 KB,包含控件 CMBEdit.DLL ,应该是使用 VC 编写的,版本 1.1,经过 VeriSign 代码签名
7)最关键的是,不管是 MVM 的基于 .NET 的键盘 Hook 程序,还是另外一个基于 VB 的键盘 Hook 程序,都无法捕捉用户在安全登录控件里输入的键值,这也许是最重要的一点
8) 由于在页面中使用 ActiveX ,可能给一些用户带来登录问题(如安全设置不同或安装 XP SP2 都可能阻止 ActiveX 的安装),招商银行的页面上明确给出了解决登录的链接文档。
总之,招商银行的网上银行登录界面在安全上的确做的不错。
2、中国工商银行
工商银行网上银行近两年发展很快,成了其不可或缺的一个重要渠道,且被国外一些媒体评为中国最佳网上银行。
1) 工商银行的个人网上银行系统登录界面中没有使用验证码来防止暴力攻击,这种成本非常低,但安全性回报很高的做法竟然都不用(扣1分)
2) 登录界面中,只有密码域使用了安全控件,难道帐号信息就不重要(扣1分)
3) 在 ieHTTPHeaders 捕捉到的登录 Form 提交的信息中,帐号和密码是未加密的明文,且没有任何其它的信息来防止安全攻击(扣3分)
4) 有意思的是,在登录界面的 HTTP Response 信息中,不但有 IIS 5.0 的信息,还有 WebSphere Application Server 4.0 的信息,看来其 Web Server 是 IIS,而 Application Server 又是 WebSphere ,这一对组合 ...
5) 登录安全控件的 CAB 包(AxSafeControls.CAB) 大小约为 174 K,经过 VeriSign 代码签名,里面有三个 DLL :InputControl.dll 似乎就是界面控件,msvcp60.dll 应该是Microsoft C++ Runtime Library,SubmitControl.dll 应该是与提交有关的控件,在 SubmitControl.dll 中发现有 addPair 方法,应该与加密有关,在页面提交的 Javascript 中,也确实发现是SubmitControl 发挥了作用,但为什么就是明文的呢? (扣2分)
6) 在登录页面的源码中,发现了一段被注释的 Javascript 代码,仔细一看,原来是以前登录界面未使用安全登录控件时,使用 Html Input 控件时的处理代码,界面改了之后,处理代码没有删除,只被注释,这些源代码中暴露系统的一些信息,很不专业,也很危险,因为通过分析就可以发现,其界面更改前后的服务器端代码没有任何变化(扣2分)
7) 最关键的是,虽然 VB 的键盘 Hook 程序不能 Hook 密码域中输入的值,但是基于.NET 的键盘 Hook 程序竟然完全可以捕捉到用户输入的任何键值,这难道就是大家前几天讨论的捕捉的作用域问题?这样的话,安全控件几乎就成了摆设(扣10分)
8) 没有在登录页面中给出如何解决登录问题的链接文档,可能使得很多用户由于 ActiveX 不能正确安装而不能正确登录系统
经过对登录界面的一些初步比较,就能发现两者在安全性上的差别,也说明了安全是要靠实实在在的技术手段去保证的。
以上信息基于公开的、可获取的现状提供,不提供其它明示与保证。
订阅:
评论 (Atom)