各类基金交易系统用户身份识别方法的安全隐患

工银瑞信基金管理公司 信息科技部 王全义

        随着国内开放式基金行业的蓬勃发展以及电子商务技术的快速进步，越来越多的投资者选择网上交易来开立基金帐户并进行基金交易。相对于传统的柜台交易方式，网上交易具有方便快捷、节约成本、操作过程透明等诸多优点。从基金管理公司的角度考虑，相对于传统的直销、代销等销售方式，网上交易同样具有影响范围广、成本低廉、操作方便等优势。但是正如那句广为人知的名言说的那样：“科技是一把双刃剑”，在人们享受着网上交易的便利的同时，也被网络上很多潜在的安全因素所困扰，其中的用户身份识别就是一个非常难以解决的问题。

        用户身份识别方法的分类

        基金交易系统是电子商务系统的一种，它在实现支持用户完成开户、交易等与正常业务相关的功能之外，还必须通过各种手段，识别用户的身份并保证交易的安全。众所周知，目前的电子商务系统使用的用户身份识别方法除了最传统的注册用户名和密码以外，还有预留问题答案验证、图形验证码、手机短信验证码、电子口令卡、USB KEY等。在一些对用户身份验证级别更高或者有特殊要求的场合，还设有指纹、视网膜/虹膜扫描等设备。

        因此，我们可以将用户身份识别的方法分为三大类，第一类是人脑记忆识别方式，第二类是生物特征识别方式，第三类是辅助设备识别方式。其实任何事物都有两面性。同样，这三种识别方法之所以存在，一定有其不可替代的优势。不过这里，我们需要了解他们分别需要面对的安全问题。

        三种用户身份识别方法的安全隐患

        1.人脑记忆识别方式

        这种方式主要包括用户名/密码、预留问题答案验证等。这种方法具有简单方便、不需要借助辅助设备的优点。但是其缺点也是很明显的。一方面是由于其安全性不够强，容易被偷窥或猜测，另一方面是在当前每个人都有许多帐户的情况下，记忆很多用户名/密码或预留问题对于一般人而言通常是件很困难的事。至于图形验证码，其最大的意义在于确保登录者是一个人而不是某种恶意程序，是一种通用的而非针对某个特定用户的身份识别方式。它使用的原理是在一定时间内随机显示某个底噪很大的包含若干字符的图形，人眼可以比较容易的识别出字符而程序很难自动识别。

        2.生物特征识别方式

        俗话说，世界上没有两片完全相同的树叶，这说明了生物个体都具有独一无二的特征。对于人来讲，指纹、掌纹、声音、面部、视网膜/虹膜等等也都是具有唯一特征的，而且包含着丰富的信息，可以做到很高的安全级别，因此也逐渐被用于身份识别，尤其是指纹，从一千多年以前在签字画押的时代就开始使用了。

        但是，事物都是一分为二的。生物特征识别尽管其信息本身安全性很高，但是从使用角度来讲，仍然存在着一些不便之处和安全隐患。先不说这些信息的后台处理和存储需要高性能和大容量设备，这些可以放在服务器端，不需要用户来关心，单单考虑信息的采集，则必须由用户来完成。无论是指纹、掌纹还是视网膜/虹膜信息，都必须有专用的采集设备，最简单的面部识别，也需要有摄像头的支持。而基金电子交易过程中，客户最在意的就是方便快捷，携带这些又大又重的设备就会使得其实用性大大降低。

        再者，由于所有这些生物信息都是通过采集原始信息、抽取特征信息、存储比对等环节进行处理的，考虑到识别效率和保障安全两方面因素，比对的符合特征数量会在最佳平衡点设置一个阈值，也就是说，并不是百分之百的符合才算通过。这就存在着两个不同人的生物信息会相匹配的可能，只是概率极小。笔者在清华大学模式识别专业研究期间，就曾经遇到过不同人的指纹匹配上的情况。至于声音识别，在实际应用中还存在着被录音代替的隐患和用户感冒时无法识别的尴尬。在早期的面部识别技术中，也存在着系统无法区别双胞胎、甚至别人拿着用户本人的照片放在摄像头前识别通过的情况。

        当然，我们也在一些科幻、犯罪和恐怖电影里，可以看到有罪犯使用指模（窃取用户的指纹并制作塑胶模型）、掌模等手段，甚至截取用户肢体的方式来骗过识别系统的情节。为了防止这种情况在现实世界发生，一些高等级的系统相应地开发了活体指纹检测功能。

        3.辅助设备识别方式

        这种识别方式目前常见的包括手机短信验证、磁条或非接触式卡片、IC（Integrated Circuit，集成电路）卡、数字证书、动态口令卡和USB KEY（U盾）等。

        手机短信验证使用比较方便，但是其安全强度不高，尤其是当SIM卡被非法复制后，安全隐患就更大了。磁条或非接触式卡片不仅容易被复制，而且对于一般的基金客户而言，携带读卡器非常不方便。数字证书是服务机构（如基金公司、银行等）发行的加密文件，可存放在用户经常使用的电脑中，通常使用128位RSA加密算法，其加密强度相对于目前的破解电脑性能是足够的。但是它也有不足之处，比如必须安装在某个电脑中，携带不方便，而且可以比较容易地被复制。

        从安全角度而言，以目前的技术来说比较好的是IC卡、动态口令卡和USB KEY。

        IC卡是一种嵌入集成电路的卡片，分为普通IC卡、加密IC卡和智能IC卡，成本逐渐增加，保密性能逐渐增强。其中的智能IC卡不仅可以通过编程植入不同的加密算法，而且可以设定输入若干次无效密码后自毁。因其具有足够的保密性，被大量用于银行卡等场合。但是对于普通的基金客户，同样具有携带读卡器的不便。

        动态口令卡是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。即用户的身份验证密码是变化的，密码在使用过一次后就失效，下次登录时的密码是完全不同的新密码。动态口令卡具有成本较低、携带和使用方便的特点，但是如果丢失的话，也会给用户带来不便。

        USB KEY其实就是一种包含数字证书的移动存储设备，通常都是将证书一次写死，不可复制，不可删除，不可重置，而且在硬件基础上还可以设置密码，具有足够的安全性。尽管使用时需要插入电脑的USB口，但是不像数字证书一样必须绑定某台电脑，而且网上交易是离不开电脑的，也不会给用户增加额外的负担。

        总结

        综上所述，基金交易系统中的各种用户身份识别方法都各有优缺点。从安全性角度来讲，其实世界上没有绝对安全的方法，加密和解密技术从来都是一对双胞胎，道和魔的斗争也将一直持续下去。椐资料显示，RSA64位密钥已于2002年被Distributed.Net组织在4年时间内通过联合全球33.1万台电脑进行分布式计算的方式破解成功，这在计算机发展史上具有里程碑般的意义。在安全领域，有一个说法是绝大多数人认同的，就是只要安全强度大到破解需要的成本和风险远远大于可能得到的收益，那么这种手段就被认为是足够安全的。

        另外，对于普通用户来说，使用成本和便利性也是重要的因素。在当前的科技水平飞速发展的时代，足够安全的方式很多都可以满足成本和便利性的要求，因此，我们很容易找到一个各种因素的平衡点。只要选择一个电子口令卡或USB KEY并小心保管，再加上用户名/密码的保护，基金交易基本上可以做到万无一失。另外，国内基金行业采取的二级托管模式和通过作为代销机构的银行、证券公司本身建立的严格的用户身份识别方法进行交叉验证的过程，基金交易系统的安全隐患已经被降到了极低的程度。（本文由国家科技支撑计划资助，课题号：2009BAH47B04）