网银HTTPS协议的配置状况研究

doi:10.3969/j.issn.1671-1122.2017.01.003

信息网络安全 ›› 2017, Vol. 17 ›› Issue (1): 16-22.doi: 10.3969/j.issn.1671-1122.2017.01.003

网银HTTPS协议的配置状况研究

唐屹, 王志双()

广州大学数学与信息科学学院,广东广州 510006

收稿日期:2016-11-28 出版日期:2017-01-20 发布日期:2020-05-12
作者简介:
作者简介：唐屹（1968—）,男,湖南,教授,博士,主要研究方向为信息安全、人工智能;王志双（1990—）,男,河南,硕士研究生,主要研究方向为信息安全。
基金资助:
广东省自然科学基金[S201204007370];2016年广东省高等教育教学改革项目

Research on HTTPS Configurations for E-banking Systems

Yi TANG, Zhishuang WANG()

School of Mathematics and Information Science, Guangzhou University, Guangzhou Guangdong 510006, China

Received:2016-11-28 Online:2017-01-20 Published:2020-05-12

摘要/Abstract

摘要：

随着互联网技术的发展,国内许多银行都开通了个人网银业务。目前国内所有银行的个人网银系统都已使用带安全机制的HTTPS协议,以保证网络中所传输数据的安全性。但有些银行在部署HTTPS协议的过程中,由于安全意识不足,没有严格遵守HTTPS协议的安全标准,如使用不安全的密码算法等,导致个人网银存在一定的安全隐患,如果不法分子据此发起攻击,将可能给银行和用户带来严重损失。文章根据银监会网站上提供的银行目录,通过分类的方式对国内银行个人网银使用HTTPS协议的状况进行分析,通过获取数字证书、协议版本和加密套件等方面的信息,对存在的安全隐患进行梳理。相关银行应该重视这些安全隐患,尽快消除隐患,将安全事故防范于未然。

关键词: 网银系统, HTTPS, 数字证书, 加密套件

Abstract:

With the development of Internet technology, many domestic banks have offered E-banking services. Now all of the E-banking systems use HTTPS to ensure data transferred online securely. But because of the weak awareness of network security and the non-compliance with the security standards of HTTPS, such as using the unsafe cryptography algorithm, some serious security vulnerabilities are created in E-banking system while HTTPS is deployed on it . If hackers successfully exploit these vulnerabilities, the banks and customers may suffer severe losses. According to the bank directory from the China Banking Regulatory Commission’s website, this paper analyzes the HTTPS configurations of each E-banking system by way of classification, and sorts out the existing security vulnerabilities by acquiring information of certificate, protocol version, cipher suite, etc. In order to prevent safety incidents, banks should pay attention to these security vulnerabilities, and eliminate them as soon as possible.

Key words: E-banking system, HTTPS, digital certificate, cipher suite

中图分类号:

TP393

唐屹, 王志双. 网银HTTPS协议的配置状况研究[J]. 信息网络安全, 2017, 17(1): 16-22.

Yi TANG, Zhishuang WANG. Research on HTTPS Configurations for E-banking Systems[J]. Netinfo Security, 2017, 17(1): 16-22.

图/表 9

参考文献 15

[1]	张鑫, 彭亚雄. TLS 中加密算法的安全性分析[J]. 通信技术, 2014, 47(9): 1071-1074
[2]	程宇贤. 网上银行身份认证系统的安全性研究[D]. 上海:上海交通大学, 2009.
[3]	袁慧萍. 银行数据中心信息安全等级保护研究与实践[J]. 信息网络安全,2015(4):86-89.
[4]	MÖLLER B, DUONG Thai, KRZYSZTOF Kotowicz. This POODLE Bites: Exploiting The SSL 3.0 Fallback[EB/OL]. , 2014-09-30/2016-10-20.
[5]	IANA. Transport Layer Security (TLS) Parameters[EB/OL]. , 2016-09-30/2016-10-20.
[6]	SSL Labs.SSL and TLS Deployment Best Practices[EB/OL]. , 2016-8-25/2016-10-20.
[7]	GlobalSign. Compare SSL Certificates[EB/OL]. , 2016-10-20.
[8]	陈红松, 鲁亿方, 张冬艳, 等. EV SSL 证书在电子商务安全中的应用与信用风险研究[J]. 信息网络安全, 2012(7): 20-24.
[9]	SCHNEIER B. When Will We See Collisions for SHA-1?[EB/OL]. , 2012-10-5/2016-10-20.
[10]	PALMER C. Gradually Sunsetting SHA-1[EB/OL]. , 2014-09-05/2016-10-20.
[11]	侯整风, 孟毛广, 朱晓玲, 等. RC4 流密码算法的分析与改进[J]. 计算机工程与应用, 2015, 51(24): 97-101.
[12]	何鹏程,方勇. 一种基于Web日志和网站参数的入侵检测和风险评估模型的研究[J]. 信息网络安全,2015(1):61-65.
[13]	NIST. Recommendation for Key Management[EB/OL]. , 2016-10-20.
[14]	TAO Xie, FENG Dengguo. How To Find Weak Input Differences For MD5 Collision Attacks[EB/OL]. , 2016-10-20.
[15]	MOZILLA. CA:WoSign Issues[EB/OL]., 2016-10-16/2016-10-20.

网银HTTPS协议的配置状况研究

Research on HTTPS Configurations for E-banking Systems

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 15

相关文章 15

编辑推荐

Metrics

本文评价

[1]	李涛, 时俊贤, 胡爱群. 基于签名查验的移动终端应用软件合法性判别技术[J]. 信息网络安全, 2019, 19(11): 56-62.
[2]	赵国锋, 陈勇, 王新恒. 针对HTTPS的Web前端劫持及防御研究[J]. 信息网络安全, 2016, 16(3): 15-20.
[3]	顾青, 谢超, 冯四风. 基于中国国情的一种网络信任体系研究[J]. 信息网络安全, 2015, 15(6): 79-84.
[4]	阳风帆, 刘嘉勇, 汤殿华. 基于脚本注入的HTTPS会话劫持研究[J]. 信息网络安全, 2015, 15(3): 59-63.
[5]	邓福彪. 数字证书初始化和解锁系统的设计与实现[J]. , 2013, 13(3): 0-0.
[6]	张文;夏戈明;周翱隆;万山川. 一种安全加固的NFC无线通信连接认证加速系统[J]. , 2013, 13(11): 0-0.
[7]	韩水玲;马敏;王涛;康晓凤. 数字证书应用系统的设计与实现[J]. , 2012, 12(9): 0-0.
[8]	洪亢基. 人口PADIS系统认证体系设计与实现[J]. , 2012, 12(4): 0-0.
[9]	李欣;吴旭东. 一种基于证书的统一身份管理技术研究[J]. , 2011, 11(9): 0-0.
[10]	胡永涛;胡善学;姚静晶. 一种基于PKI技术的远程安全发证方法[J]. , 2011, 11(9): 0-0.
[11]	吴其聪;顾健;陆臻. 数字证书技术在网络实名制中的应用研究[J]. , 2011, 11(6): 0-0.
[12]	刘鹏;孟炎;吴艳艳;赵盛荣. 分布式监控预警平台的统一身份认证模式[J]. , 2011, 11(4): 0-0.
[13]	关振胜. 论电子支付中的身份认证技术[J]. , 2011, 11(3): 0-0.
[14]	陈小龙;余跃飞. 网上银行身份认证技术探究[J]. , 2011, 11(3): 0-0.
[15]	关振胜. 我国电子商务及其支付平台的发展与安全问题[J]. , 2010, (8): 0-0.