網上銀行加密通信服務系統解決方案加密所有辦公通信，辦公審批數位簽章，安全保密並具法律效力

一、目前網上銀行系統普遍存在的五大問題

我國網銀系統起步於1997年招行推出的“一網通”，到2021年就已經經過了24年的發展，現在已經把90%以上的業務都搬到到了網上，並且基本上都已搬到了智慧手機上。“搬”意味著只是使用者可以不用去銀行網點，可以在網上辦理業務了。網銀系統24年過去了，基本上沒有任何真正的創新！但是，隨著移動互聯網的普及應用，現在的網銀系統已經無法滿足人們的全方位銀行服務需求，甚至逐漸被互聯網公司邊緣化和後臺化。個人網銀服務和企業網銀服務都急需創新，需要銀行馬上行動起來，充分利用移動互聯網的紅利為銀行客戶提供更加方便快捷安全的網銀服務。

目前，我國網銀系統有如下五個方面的問題急需解決和改進：

1. 密碼應用採用的加密演算法非常落後，非常不安全！
   網銀系統普遍採用的USB Key證書還是採用1024位SHA1 RSA證書，不僅不合規而且非常不安全。國際標準早在10年前(2010年12月31日)停止簽發1024位證書，2013年12月31日禁用1024位證書， 2015年12月31日停止簽發SHA1 證書和禁止使用SHA1簽名。穀歌早在2017年2月23日宣佈破解PDF檔 SHA1簽名，這就是說，我國網銀系統依賴的證書簽名確認支付行為是有可能被假冒的！網銀系統問世24年了，密碼應用沒有任何進步和創新！
2. 短信驗證碼已經非常不安全，但仍然在普遍廣泛使用！
   網銀服務普遍採用的短信驗證碼驗證方式產生於1990年代，那個時候的短信驗證碼的確是不同通道的雙因數認證，是安全的。美國國家標準研究院早在2017年發佈的SP 800-63B指出使用短信驗證只能是帶外鑒證。但是，現在是移動互聯網時代，上網使用網銀APP和接受短信驗證碼已經變成了同一通道和同一設備(帶內)，非常容易被惡意APP讀取，已經不再滿足雙因數認證(帶外驗證)的技術基礎要求，但仍然還在廣泛使用，居然收到驗證碼就能支付！短信驗證碼還非常容易被偽基站假冒，而導致網銀用戶上當受騙而遭遇錢財損失。網銀系統問世24年了，短信驗證已經非常不安全，身份驗證技術沒有任何進步和創新！
3. 銀行帳單都是明文郵件發送，非常不安全，但仍在廣泛使用！
   銀行等金融機構給使用者發送電子帳單或各種通知都是明文郵件，不僅洩露了使用者的隱私資訊，而且給使用者帶來了的帳戶安全問題，並導致各種假冒銀行的欺詐郵件氾濫。從而導致用戶紛紛中招而損失錢財。網銀系統問世24年了，仍然使用明文郵件發送電子帳單，沒有任何技術進步和創新！
4. 銀行電話客服系統不僅建設和運維費用高，而且用戶也非常不方便，但仍廣泛使用！
   銀行電話客服不僅在使用者方總是打不進去，而且在銀行方也是成本居高不下，並且不方便用戶提供截圖等反映網銀問題。而現在的微信公眾號或者網銀APP客服雖然方便些，但仍然存在未加密和身份被假冒等安全隱患。網銀系統問世24年了，現在是移動互聯網時代了，仍然還是使用經常打不進去的電話客服，沒有任何技術進步和創新！
5. 支付服務沒有任何創新，銀行已經被互聯網公司邊緣化！
   電腦網銀還是非常難用的USB Key認證方式，要求安裝一大堆驅動軟體，並且經常無法登錄。使用者需要更換各種不同的流覽器才能登錄不同銀行網銀系統，而這些流覽器技術上已經非常落後，很不安全，但為了能登錄網銀還不得不保留使用。隨著移動互聯網的普及，雖然銀行也推出了網銀App，但是基本上都是不安全的，有些APP居然不採用https加密同伺服器通信，有些APP即使啟用了https，但是不驗證證書是否可信、證書綁定功能變數名稱是否正確和證書是否被吊銷等基本安全檢查，就直接與伺服器通信，非常容易遭遇中間人攻擊。並且許多網銀App還是採用很不安全的用戶名/口令登錄方式。網銀系統問世24年了，雖然增加了移動網銀APP，但是帶來了更多的安全隱患。在網銀支付方面沒有任何技術進步和創新！

其實，以上五大問題不僅僅是技術落後和沒有創新，而且是嚴重違反了《密碼法》和其他推進金融服務業態的商用密碼應用的許多檔精神和規章制度，也嚴重制約了銀行服務的健康快速發展。這的確是擺在銀行業的一個解決的技術難題和管理難題。我們認為，不解決以上五大問題的網銀系統都不是好系統。使用者在選擇自建或升級改造網銀系統時必須在仔細評估以上安全風險和存在問題後選擇合適的技術方案。

二、借鑒國外銀行業的創新解決方案

讓我們來看看歐美國家的銀行業的一些解決方案，看看是否能借鑒和學習。

如下左圖所示，德國郵政銀行採用廣泛使用的郵件通信方式，只給使用者發送有數位簽章的郵件，沒有銀行數位簽章的號稱是來自銀行的郵件都是假冒的，用戶非常容易識別，徹底解決以上安全問題三。郵政銀行是從德國郵電郵政局分離出來的德國最大的零售銀行, 郵政銀行使用電子郵件數位簽章技術來抑制日益猖獗的通過釣魚郵件來竊取線上個人銀行資訊的釣魚攻擊。郵政銀行使用支援標準的 S/MINE 協定的電子郵件簽章憑證來對電子郵件數位簽章。釣魚郵件攻擊是給用戶發送一個看視來自銀行的電子郵件來欺騙使用者輸入一個個人銀行資料，如信用卡資訊、銀行帳戶用戶名和口令，這些資訊將被用來金融偷竊和身份盜竊。根據德國時常調查機構 TNS Infratest 的調查，釣魚郵件攻擊在過去的幾年裡已經攻擊了包括郵政銀行在內的德國各大銀行，有 80% 以上的網上銀行用戶懷疑聲稱來自銀行的電子郵件的真實性。郵政銀行客戶可以點擊收到的郵件的數位簽章標誌來查看郵件真實寄件者的身份，同時如果該郵件的內容如果被非法篡改，則會提示用戶。

如下右圖所示，德國德意志銀行也是採用廣泛使用的郵件通信方式，要求用加密郵件實現銀行和用戶之間的所有通信，保護使用者隱私和保護機密資訊，徹底解決以上安全問題三的明文郵件洩露使用者機密資訊和假冒銀行郵件的難題。德意志銀行不僅像德國郵政銀行那樣採用數位簽章確認銀行的身份，而且同時採用證書加密每一封銀行同用戶的通信郵件。要求用戶必須使用支援S/MIME郵件加密技術的郵件用戶端如Outlook等收發加密郵件，並且用戶必須向CA申請一張全球信任的郵件證書。這個是一個很大的使用門檻，比用戶登錄網銀門檻還高！

如下圖所示，美國美洲銀行、美國富國銀行、英國英格蘭銀行、勞埃德銀行、滙豐銀行、加拿大皇家銀行等採用思科或者其他廠家的的數位信封解決方案(PGP加密)，需要使用者註冊帳戶，輸入密碼查看來自銀行的加密郵件和回復銀行加密郵件。這個方案明顯比德意志銀行的方案要方便簡單很多，用戶無需向CA申請證書，也無需使用指定的郵件用戶端就可以實現加密郵件的解密閱讀和發送加密郵件給銀行。有些是要求登錄網銀閱讀、有些是給一個密碼加密的PDF檔、有些是登錄協力廠商的加密郵件系統閱讀和發送加密郵件給銀行。但是，這些方案仍然是發送明文郵件通知使用者登錄安全郵件系統查看加密郵件。用戶第一次必須先使用自己的郵箱作為用戶名註冊銀行提供的安全郵件服務。明文通知郵件、註冊過程和需要輸入密碼的過程都是不安全的。

三、密信網銀服務系統解決方案

密信技術借鑒了歐美銀行的解決方案，創新地採用成熟的商用密碼技術(國產密碼演算法)、雲計算技術和電子郵件通信技術，歷時4年成功研發出基於電子郵件通信系統的“網上銀行加密通信服務系統”，簡稱“網銀密信”，有效地解決了上述目前存在的五大問題：

1. 全部採用國密演算法SM2證書實現身份認證、數位簽章和資料加密，滿足《密碼法》《電子簽名法》和相關檔合規要求，能有力保障我國網銀系統加密通信的自主可控，徹底解決上述問題一的密碼演算法的不安全問題。
2. 創新服務一：採用加密郵件方式發送各種驗證碼來替代不安全的短信方式發送驗證碼，徹底解決短信驗證碼有可能被惡意App非法竊取的難題，從而有效地保障了網銀支付安全。
3. 創新服務二：採用加密郵件發送各種銀行帳單和對帳單等銀行單據，有效地防止明文郵件洩露用戶銀行帳戶或信用卡機密資訊，也有效地防止假冒銀行郵件欺詐，並且所有加密郵件都有時間戳記，證明郵件發送時間可信，並具有法律效力，從而有效地保障了網銀服務安全。
4. 創新服務三：採用加密和數位簽章郵件實現可信身份線上客戶服務，使用者和銀行之間的所有往來客服郵件都是加密郵件，不僅能高效地為使用者提供服務，而且能有效地防止假冒銀行客服人員的欺詐行為發生，並能降低電話客服成本和提升客戶滿意度。
5. 創新服務四：採用國密合規和全球信任的雙演算法數位簽章實現網上銀行協議即時線上簽署，説明銀行徹底實現無紙化和數位化，數位簽章具有同紙質協議一樣的法律效力。
6. 創新服務五：銀行還可以創新地提供基於數位簽章和加密郵件的簡單快捷線上支付。由於用戶身份可信、通信全加密而且有具有法律效力的數位簽章和時間戳記錄，銀行可以創新地提供基於郵箱的收付款服務-發郵件就完成付款，收到郵件就收到款。

密信技術採用更加先進的國密合規的商用密碼演算法實現數位簽章、加密和時間戳記，符合《密碼法》《網路安全法》和其他合規檔要求。同樣採用基於加密郵件通信，但是徹底解決了德國銀行採用的技術方案太複雜不方便用戶使用的難題，同時也徹底解決了美國和英國銀行採用的方便使用但又降低了安全性的問題。不僅方便使用，而且安全可靠，特別適合於移動互聯網。

基於加密郵件通信在我國有普及應用基礎，有QQ號碼用戶就有QQ郵箱，有手機號碼用戶就有139郵箱/沃郵箱/189郵箱(不限手機號)，還有大量的互聯網公司提供的免費郵箱和政府提供的市民郵箱，這些基礎設施並沒有發揮最好的作用！其實加密郵件通信是最方便快捷安全高效的通信方式，這是一種去中心化的點對點高效安全通信，只是由於明文郵件的不安全和郵件加密不方便使用而導致了沒有得到普及應用。現在，密信技術解決了郵件加密的易用難題，可以廣泛用於網銀加密通信服務了！

密信技術提出的基於加密郵件、數位簽章和時間戳記技術的網銀密信五大創新服務，徹底改變人們使用網銀服務的方式，更安全更方便。銀行採用網銀密信服務不僅能提升安全服務水準，而且有望徹底扭轉在移動支付領域被邊緣化的局面！密信技術提供的基於國密演算法加密和數位簽章的創新網銀服務解決方案已經在部分銀行使用，電子郵件全自動加密應用已經覆蓋到全球171個國家和地區使用者。歡迎聯繫我們瞭解更多詳情。