網(wǎng)上銀行身份認(rèn)證系統(tǒng)的安全性研究.pdf

1、隨著Internet技術(shù)的發(fā)展,以網(wǎng)絡(luò)為依托的網(wǎng)上銀行業(yè)務(wù)日益普及,然而,近年來重大的網(wǎng)上銀行盜竊案例層出不窮,網(wǎng)上銀行的安全逐漸成為人們關(guān)注的焦點(diǎn)。網(wǎng)上銀行已經(jīng)經(jīng)過了很長一段時間的發(fā)展,其業(yè)務(wù)廣度、辦事效率、服務(wù)質(zhì)量、安全防范等各方面都較以前有了顯著的進(jìn)步,但是仍然有些技術(shù)和協(xié)議存在各種的安全缺陷,導(dǎo)致網(wǎng)上銀行系統(tǒng)的安全性受到了制約,網(wǎng)上銀行的安全問題成為網(wǎng)上銀行發(fā)展的瓶頸。如何為用戶提供一個安全可靠的網(wǎng)上銀行環(huán)境,保障網(wǎng)上交易安全成

2、為目前亟待解決的問題。本文首先對網(wǎng)上銀行系統(tǒng)工作流程中的幾個主要環(huán)節(jié)進(jìn)行了簡要的安全性分析,認(rèn)為身份認(rèn)證系統(tǒng)是客戶端和數(shù)據(jù)傳輸這兩個薄弱環(huán)節(jié)的銜接點(diǎn),是決定網(wǎng)上銀行安全性的關(guān)鍵點(diǎn)。然后,介紹了網(wǎng)上銀行身份認(rèn)證相關(guān)的多種安全技術(shù)的概念及其工作原理,以此作為后文深入分析網(wǎng)上銀行身份認(rèn)證安全性的基礎(chǔ)。隨后,文章主要針對目前網(wǎng)上銀行身份認(rèn)證過程中常用的靜態(tài)口令、動態(tài)口令、基于數(shù)字證書的USBKey以及基于ActiveX的網(wǎng)上銀行插件四種身份認(rèn)證

3、手段進(jìn)行了安全性研究和分析。研究結(jié)果及眾多網(wǎng)上銀行盜竊案例表明,這幾種身份認(rèn)證手段都有自身的安全隱患。于是,文章以優(yōu)化身份認(rèn)證流程的方式,結(jié)合動態(tài)口令技術(shù)和USBKey認(rèn)證技術(shù)各自的優(yōu)點(diǎn),提出了新的網(wǎng)上銀行身份認(rèn)證方案。改進(jìn)后的方案結(jié)合E-token的動態(tài)、唯一性以及USBKey的消息完整性、防抵賴性等特性實(shí)現(xiàn)了客戶端與服務(wù)器的雙向認(rèn)證,大大降低了用戶遭受釣魚及被中間人攻擊的風(fēng)險,極大地提高了網(wǎng)上銀行系統(tǒng)的安全性。同時,文章還從提高客戶

4、端軟件及相關(guān)插件自身安全的角度,提出結(jié)合網(wǎng)絡(luò)游戲中防止外掛的加殼技術(shù)來鞏固網(wǎng)上銀行身份認(rèn)證安全的新思路。文章的另一個研究重點(diǎn)就是網(wǎng)上銀行身份認(rèn)證過程中的數(shù)據(jù)傳輸安全。本文總結(jié)了基于SSL安全傳輸協(xié)議的網(wǎng)上銀行身份認(rèn)證數(shù)據(jù)傳輸過程中容易遭遇的安全威脅,著重分析了網(wǎng)上銀行攻擊中最典型的兩種中間人攻擊方式,并且針對這兩種中間人攻擊提出了相應(yīng)的防范策略。一方面,以修改SSL協(xié)議流程的方式,增強(qiáng)協(xié)議過程中身份認(rèn)證機(jī)制的安全性能,降低網(wǎng)上銀行數(shù)據(jù)傳