从网络安全角度剖析银行卡的信息安全

2014-03-19智祥明智少晨

网络安全技术与应用 2014年2期

智祥明智少晨

（晋中职业技术学院山西 030600）

0 引言

当今高速网络和无线网络技术发展迅速，3G、4G网络带给人们更快更宽更方便的网络连接，信息的传输更为快捷。每个流动者着的人都在“保持连接”着，或用电话，或用短信，QQ或微信，网络成为现代人离不开的交流平台。利用网络人们可以相互快捷的发送各种形式的文件，可以使用银行卡相互间快捷的付款或转账，但银行卡的信息的安全问题日益突出，树立防范意识是解决问题的关键。虽然信息在传输过程中采取了强度很高的加密手段，在措施制度上也进行了规范和约束，但一旦出现问题，会给我们普通人带来很大的麻烦和不必要的损失。

1 设置安全密码，并且常变常新

无论是网站注册，还是使用银行卡等，都需要设置密码，密码成为我们生活中非常重要的一个信息，同时他也代表我们的身份。但密码的安全无时无刻不让我们担忧，一是怕密码泄漏，二是怕忘记密码。因此设置较为安全的密码是我们每天要思考的问题。

无论有线还是无线，传送数据的安全方法就是加密。加密的方法很早就有。我国古代也早有用藏头诗、藏尾诗、漏格诗及绘画等形式的“密语”隐藏在诗文或画卷中特定位置来表达的真正意思的记载，普通人只注意诗或画的表面意境，而不去注意或很难发现隐藏其中的“话外之音”。比如：我画蓝江水悠悠，爱上晚亭枫叶愁。秋月溶溶照佛寺，香烟袅袅绕轻楼。这是明代唐伯虎的一首藏头诗，意思是“我爱秋香”。这本身就是一种用加密的方法表达情感的例子。公元前51年初，罗马共和国高卢行省长叫儒略.凯撒，他发明了一种密表，在密码学上称为“凯撒密表”。实际是一种相当简单的加密变换，就是把明文中的每一个字母用它在字母表上位置后面的第三个字母代替。这种方法简单实用，现在也可以用在我们的银行卡等密码的设置中。如黑客及一些不法分子很容易获取我们的电话号码及身份证号码，而我们一般人喜欢用自己的这些相关信息作为密码，因为这样好记，可以减少因密码忘记带来的麻烦，但这样又会带来风险而失去了设置密码的意义。因此，我们可以这样做，如在我们的电话号码上每一位都加上5或8。如出生年月为198003，每位加5取个位，就变成了643558，但完全没有了出生年月的痕迹，而自己又很容易推出，这样用来设置我们的密码，好记又安全。这种方法能够变化万千。可以用加减乘除、指数对数三角函数、高等数学运算或逻辑运算等；还可以使用替代法，如1用23替代，2用89替代；再一种是顺序置换，如按3157置换，将第三位变为第一位，第一位变为第二位；还可以用在网络加密中使用的比较复杂栅栏矩阵加密技术等使得密码更加难以猜测。

无论是哪一种加密算法，都是为了防止信息的泄漏，但有些算法现在己经不是很安全，而且不法分子可以从其它渠道获取密码和其他的信息。如有许多的网站属于钓鱼网站，专门通过注册来收集人们的密码，所以在网站注册设置密码时还要注意，使用的密码一般不要用在银行卡等密码的设置中。

2 加密方法在网络中的应用

网络中传输数据时为了保证信息的安全，最重要的方法就是加密。我们使用的银行卡密码在网络传输和认证时是非常重要的一个元素，它会和银行卡信息一起产生不同的网络密钥，所以我们有必要了解一些网络加密的手段。如今由快速电子计算机和现代数学方法为加密技术提供了较为安全的方法和手段，可以使信息更加安全，如MD5加密方法、sha、aes、对称和非对称加密体制、安全认证等都是为了保证我们的信息安全。

我们从最基本的 MD5加密了解一下加密的原理。在互联网上下载文件时，我们看到有的下载提供 MD5校验码。MD5是报文摘要算法，大家都知道，任何人都有自己独一无二的指纹，与之类似，MD5就可以为任何文件（不管其大小、格式、数量）产生一个同样独一无二的“数字指纹”，无论什么原因对文件做了任何改动，其MD5值也就是对应的“数字指纹”都会发生变化。MD5的加密过程是这样的：将数据报文加以填充和报文长度一起组合成为512的整数倍，每一个512位数据段和上一段运算出的 128位结果进行运算，最后得出一个 128位的MD5值。第一个512位的数据段和4个32位共128位的初始向量进行运算。初始向量为四个 32位的字，分别是A=0x67452301UL；B=0xEFCDAB89UL；C=0x98BADCFEUL；D=0x10325476UL。因为报文数据的每一位参加运算，所以只要有一位发生改变，最后的值就会不同，因此可以有效地对数据的传输结果进行验证。md5的主要用途是对报文的完整性检测和数据发送者的身份验证。你可以将一个文件传播给别人，文件在传输过程中一旦有任何内容发生修改，接收者对这个文件重新计算MD5时就会发现（两个MD5值不相同）。如果再有一个第三方的认证机构，用MD5还可以防止文件作者的“抵赖”，这就是所谓的数字签名应用。MD5的运算可以说是相当复杂的，每一个512位数据段在和前一段128结果进行运算时，会再分成4个128位进行四级共4*16次运算，应该讲是相当安全了。MD5在网络上应用相当的广泛，常用于操作系统的登陆认证上，如Unix、各类 BSD系统登录密码、数字签名等诸多方面，我们在网站注册使用的密码在网站数据库中保存时一般都是用MD5来加密的。除MD5以外，还有一种是sha-1，和md5很相似，都叫Hash算法，只不过运算更加复杂。但目前这两种算法都不是很安全，早在2004年我国山东大学的王小云教授就对包括MD5等加密算法进行了破译，2005年2月，王小云教授又破解了另一国际密码SHA－1。现在网上有许多MD5的破解工具，如果攻击了数据库，或网站管理员看到 MD5加密后的密文，就可以知道你的明文密码。

3 银行卡的安全机制

对于银行卡密码，由于种种原因，一般只采用6位纯数字表示。但它在传输过程中不是单独加密的，而是要和其他信息一起进行hash运算后再进行加密后传输。但需要注意的是，银行密码即使 hash 或者 salt（所谓加Salt，就是加点“佐料”。其基本想法是这样的——当用户首次提供密码时，通常是注册时，由系统自动往这个密码里撒一些“佐料”，然后再散列。）过，其安全程度也不是很高。银行卡上的任何信息的泄漏都会给我们的资金带来安全方面的隐患。特别是在网络消费和转帐中，参与运算的除密码外，主要还有银行卡的帐号以及有效期和背面数字串中的最后3位数字，这些信息只要接触到银行卡的人都可以看到。虽然数据在传输过程中，要用hash算法对信息进行摘要并进行更加复杂的加密，如采用三重DES、AES、公开密钥加密算法（RSA以及 Diffie-Hellman）等加密方法，但无论加密方法有多复杂，但根据Kerckhooff’s的原则，所有加密、解密的算法都是公开的，保密的只是密钥，所以密钥的安全性才是非常重要的，因此银行卡上的每一个信息我们都要特别注意保护。当然银行在数据传输时除通过算法的安全性来保密外，还要通过保密制度来提高安全性。

（1）银行中只有极少数人能直接接触到储户密码（密文），而这些人的身份和操作全部会被记录在案，就算离职，这些信息也不会被清除。

（2）涉及存储及使用这些信息的电脑与网络采取物理隔离，操作终端摄像头全程监控，操作者不可能抄下来向外透露出去。

（3）攻击银行或者金融机构是属于犯罪行为，所以公安会介入，刑罚上不封顶，最高死刑。

（4）银行内部预留部分资金以避免一但被窃无法追回后赔偿储户。

（5）在使用银行卡消费时，如果输入3次密码都不对，银行卡当天就会被锁住，不能继续消费，那么3次中能猜中一次的概率是1-（1-0.000001）³≈0.000003，就是百万分之3。

（6）再一种保证银行卡安全的方法就是采用手机短信或密钥动态口令卡或者用U盾来保证安全。

即便如此，还是有不法分子可以得手。现在储蓄卡、信用卡都可以在网上消费，pos机上消费以及在ATM机上进行转帐，犯罪分子通过自制的刷卡设备可以盗取银行卡信息，制出伪造卡，再通过摄像头等手段盗取密码，就可以盗刷银行卡。所以我们在使用银行卡消费时要特别加心，不要在不正当的场合使用银行卡，刷卡不要让银行卡（包括信用卡）离开视线，更不要随便借于别人或让别人保管；再一个就是必须经常的更换密码，才能保证卡的安全。

还有一个非常重要的设备是手机。现在银行卡都绑定手机，但如果手机被别人拿上或遗失被别人捡到，特别是身边的“有心人”，如果他知道你的银行卡或身份证号码，就可以通过电话修改银行卡的密码，如果取得银行卡就可以进行消费。虽然最后公安机关可能会查实，但会给主人带来很大的麻烦和不必要的损失。所以手机一定要随身携带，不乱放，也不要随意借人，一旦遗失，要立刻注销手机帐号，并和相关银行取得联系，关闭卡的消费。

现在网上支付还有一种快捷支付的方法，这种支付方法不需要核对银行卡持有者的密码，这些网站和机构与银行之间达成一种默契，会通过记录持有者银行帐号、身份证号以及卡的有效期、背后的3位数字来达到快捷支付的目的。虽然这种支付方式快捷方便，但因网站数据库会记录你的信息，而且可以达到支付的目的，实际上增加了银行卡的安全风险。