周可，信息安全工程師，從事電子銀行評估及信息安全安全評估工作，實施過國內多家銀行的電子銀行評估。

經過多年發展，網上銀行系統在無論規模上還是新技術的引進和應用上，都發生了較大的變化，新版《網上銀行系統信息安全通用規范》（以下簡稱“新版規范”）于今年2月份正式發布。新版規范是2012版本的替換修訂版本，新版規范旨在有效增強現有網上銀行系統安全防范能力，促進網上銀行規范、健康發展。

新版規范較2012版本總體新增修訂內容較多，筆者就“專用安全機制”部分新增修訂部分內容進行淺析。隨著網上銀行客戶端的普及及運行環境的復雜提升，在傳統身份認證硬件設備上新增多種認證方式，而網上銀行系統客戶端程序運行可信計算環境中一部分需要依賴于身份認證要素硬件設備或其他認證手段來實現。以下就新版規范“專用安全機制”新增修訂部分進行淺析。

1.智能密碼鑰匙

由2012版“USB Key”部分修訂而來。

隨著移動智能終端的普及和移動互聯網的快速發展，密碼鑰匙種類越來越多，新版標準明確智能密碼鑰匙是指“提供密碼運算、密碼管理等密碼服務的終端密碼設備”；本章節修訂內容有：完善密鑰生命周期管理，新增密鑰銷毀的要求；修訂智能密碼鑰匙檢測要求，智能密碼鑰匙檢測主要依據標準分別有GM/T 0048-2016 《智能密碼鑰匙密碼檢測規范》、GM/T0027-2014《智能密碼鑰匙技術規范》、GM/T0028-2014《密碼模塊安全技術要求》、GM/T 0029 《密碼模塊安全檢測要求》 、JR/T 0114—2015《網銀系統 USBKey 規范安全技術與測評要求》等規范；新增借助SE與TEE技術結合實現的智能密碼鑰匙類型規范要求，從而確保移動終端支付的可信環境。

2.文件證書

文件證書較于其他存儲介質，在證書分發階段，更容易發生密鑰泄密等風險事件，新版規范中新增對證書發放方式及公網傳輸方式要求，一般來說，網上銀行系統企業客戶文件證書可以通過專線發放，個人網銀必須通過公網發放的，可提供一次性下載鏈接需要做好身份認證。

3.動態口令令牌

由2012版本“OTP令牌”部分修訂而來。

新增挑戰應答認證及動態口令令牌解鎖機制。

廣義上的挑戰應答認證包含“挑戰認證”和“內部挑戰認證”兩種方式。其中挑戰認證是用戶向令牌輸入應用服務提供的挑戰碼的方式，獲取相應的動態口令，完成認證；內部挑戰認證是用戶通過向令牌輸入PIN、靜態口令等用戶私有數據，獲取相應的動態口令，完成認證。在挑戰碼中加入交易信息，可在發生交易信息被篡改的風險事件時，及時發現終止交易。

動態口令令牌解鎖機制主要為了防止誤操作后需要前往銀行柜面進行解鎖，從而增加客戶和銀行方的成本。合理的安全需要在成本和效率之間找到平衡點，一般來說，PIN碼輸入錯誤3-5次鎖定一定時間（如：10-30分鐘）的設置，理論上暴力攻擊者一天最多能夠嘗試720個PIN碼組合，按照6位PIN碼計算，破解成功的概率約為0.72%，概率較小，基本屬于為了業務效率可做的妥協范疇。

4.短信驗證碼

該安全機制為新版規范新增。

短信驗證碼在現實應用的十分廣泛，我們常見應用場景分別有：新用戶注冊賬戶、賬號驗證、密碼找回、個人信息資料修改、網銀支付驗證等。

短信驗證碼的使用過程中，中間環境容易面臨監聽、重放、越權等多重威脅。相較于其他安全機制，短信驗證碼的安全性較低。短信驗證碼實際上急需解決的是身份認證的問題，傳統身份認證的三要素包括“你擁有的信息”、“你知道的信息”、“你獨有的生物信息”，但是在短信驗證碼在“你知道的信息”還是“你擁有的信息”并沒有明顯的區別界限，故而可以采用其他輔助措施和手段對客戶身份有效性進行驗證，如新版規范中提到的“結合外部認證介質、采用挑戰應答、運營商免密認證、移動終端主動發送短信驗證碼”等方式。

5.生物特征

該安全機制為新版規范新增。

生物特征識別技術在可靠性不斷提高的同時，成本逐漸降低，指紋、人臉、聲紋等識別技術被越來越多的應用到金融業務的身份驗證階段。同時，新技術的引入也帶來了新的威脅，一方面，與所有驗證手段一樣，需要關注驗證過程的安全性，如身份鑒別的有效性、防模仿欺詐攻擊的能力。另一方面，需要關注生物特征信息自身的安全性，如非法處理生物特征數據。

責任編輯：韓希宇