一、引言 　　网银支付由于成本低廉、资金周转方便、不受时间和地域的约束等一系列优势，在电子商务活动中得以广泛应用。目前， USB Key作为网络用户的身份识别和数据保护的“电子钥匙”，正被越来越多的网上用户所认识和使用。下面将论述网上支付的安全性及采用的USB Key技术。 　　二、网银支付面临的安全风险 　　目前大概有超过50%的人不打算使用或者不敢用网上银行，其主要原因就是安全支付问题。这也成为了限制网上银行发展的瓶颈，网银支付主要面临两大安全威胁，系统安全风险和身份风险。   （一）系统安全风险 　　主要是指各种盗取网银账号和密码的网络病毒和木马，目前这类风险尚未形成规模。主要的盗取方式有“钓鱼网站①”、“键盘记录”、“屏幕录像②”等方式。 随着网银业务的不断普及、深入和扩展，越来越多的新业务正在或即将被推出，而黑客们的跟进速度也总是很快的，可以预见，更隐蔽、更先进、更有创造性的犯罪手段也会在不久的将来出现。系统安全风险将进一步加剧。   （二）身份风险 　　身份信息泄露是目前网银被盗事件的主要原因。比如“网上钓鱼”案件， 是银行的身份被仿制；盗窃账户密码进行盗窃，是个人的身份被仿制。这类风险只能通过加强银行的身份监管机制和提高用户的身份警觉性来降低。     随着网银业务的发展，网银的安全体系也相应的得到了发展，为维护客户的合法利益，网银系统采取了严格的安全认证机制。随着硬件技术的发展。人们将身份认证过程中的关键部分(加密算法和用户数据)从PC移植到硬件中去。至此，USB Key技术出现在了电子商务安全的硬件大家庭中。 　　三．USB Key安全技术在网银支付中的应用 　　USB Key是一种基于数字证书的身份认证技术，它结合了现代密码学技术、USB技术和智能卡技术，是一种全新身份认证技术。它与用户名加口令、生物特征识别技术并列为三大认证技术。 　　（一）USB Key基本情况 USB Key外形与U盘类似，内置CPU、智能卡芯片以及储存器，数字证书以 密钥存放在存储器中，并且不可导出。由数据传输转换模块实现芯片与计算机之间的数据交换与传输，遵循ISO7816 标准③和USB 协议     图1： USB Key结构图   （二）USB Key特点 　　1.使用方便: 外观与普通的U盘类似, 便于随身携带，具有即插即用功能。 　　2.功能强大: 同时具有数据加密和数据存储两大功能。 　　3.安全性好: USB Key具有硬件PIN码保护功能。只有知道密码(PIN 码④)的人才能打开它, 取得存在里面的电子数据。所以只有同时取得USB Key 和用户PIN 码才可以登录系统。如果用户PIN码泄漏，只要USB Key设备本身不被盗用即能保证安全。 　　USB Key使用了公钥加密算法，用户的私钥和数字证书存放在USB Key内部，对USB Key的读写操作必须通过必要的程序完成，用户无法直接读取，私钥等信息不能被导出到USB Key外部，从而杜绝用户数字证书和身份信息被复制的可能性。 　　4.价格便宜: USB Key实际上就是一个带有USB接口的微控制器,这种微控制器制作简单成本低廉，有利于大规模普及应用。   （三）网银支付认证系统的组成及操作方法 　　网银支付认证系统由服务器端、客户端以及USB Key三个部分构成。 　　用户从客户端成功登录到网银系统服务器后，填好转账或者支付的信息后，系统会提示“插入USB Key”时，然后就在客户端上插入USB Key，输入PIN码，当验证通过时，相关的交易信息送入USB Key中用私钥进行签名，然后将签名的交易信息发送到网银系统服务器端，当服务器端确认了用户的签名时，就进行交易。   （四）USB Key进行网上支付的两大优点 　　1.没有任何重要的个人信息在网上传递, 保证了安全性; 　　2. Server由网络商自己维护, USB Key由用户携有, 双方的认证没有依靠第三方, 快捷、安全、信誉度高。 　　当然除此之外，USB Key还有其它很多优点. 例如可以在客户端上插拔, 可以在任何一台支持USB 的电脑上工作等。   （五）USB Key存在的安全缺陷及改进方法 　　虽然USB Key安全性很高，但理论上USB Key并不是绝对安全的，在实际操作过程中依然存在一些安全隐患。主要是两个方面。 　　1.交互操作过程存在漏洞 　　USB Key的PIN码是固定的，黑客可能通过木马等手段获取了用户的PIN码，如何用户在操作后没有及时将USB Key从计算机上拔除，黑客就可以利用远程控制，输入PIN码，然后冒用客户的身份进行认证。这个漏洞有三种解决思路。