网上银行系统的安全模型隐患

网上银行的安全性是基于非对称加密系统的数字签名理论。但是，数字签名本身就是假设通信双方是互不信任的，因此才需要数字签名。通信双方对对方都不信任，但是他们信任数字签名的机制。

目前的网上银行的开发，并未遵循这一个条件。而是，客户方必须完全信任银行方。具体说来，就是网上银行的服务方软件和客户端软件都由银行委托的开发机构进行开发。而客户方别无选择，他们要使用网上银行提供的服务，就必须完全信任银行这一方。银行完全可以在客户端软件中安插后门，必要时完全获取客户的信息，造成双方获取信息的严重不对称。另一方面，目前的网上银行软件都将所有的交易数据保存于银行的服务器，客户方几乎没有对交易数据和交易数据的银行方签名做数据备份。

近段时间，就发生过多起由于网上银行客户资金被盗的案件。这些案件，最后还引发了官司。为什么呢？第一，银行提供的软件存在安全漏洞的可能性是绝对存在的。目前，安全专家普遍认为，一个有一定复杂度的软件，必然是存在漏洞的。银行的负责人信誓旦旦地保证他们的软件没有漏洞，只能是自欺欺人。第二，客户端软件的开发者故意在软件中设置后门的可能性也是存在的。银行和客户的利益从根本上来说是对立的，没有任何理由让客户绝对信任银行委托的软件开发商。第三，客户无法收集证据。对于网上银行来说，最重要也是最具法律效力的证据是对每笔交易的数据中，客户对交易数据的签名和银行对交易数据的签名。但是，目前使用的软件中，几乎没有一款为客户做到了这一点。

因为客户软件完全由银行提供，而银行往往基于安全上的理由，拒绝透露软件的协议细节和实现细节。一旦客户的资金被盗，客户往往难以判定是否由于银行提供的软件存在安全隐患或者是由于客户计算机安全配置上有漏洞，或者被安装木马。

正确的安全模型应该是什么样的呢？首先，必须遵循银行和客户互不信任的原则。但是，他们可以订立一个共同承认的安全通信协议，比如采用现成的SET协议。客户方一般没有能力完成这一任务。但是，他们可以委托一个他们信任的软件开发商进行这一任务。比如，公开通信协议之后，软件开发商可以根据这些通信协议开发软件，并提供给银行的客户使用。一旦发生经济纠纷，客户可以委托软件开发商协助收集证据。

为了方便起见，银行也可以提供一个客户方软件的参考实现。对于信任银行的人来说，他们可以直接使用银行提供的参考软件，但是相关的安全风险则由客户自行承担。