返回
中国证券监督管理委员会-台湾证券市场发展经验重点

中国证券监督管理委员会-台湾证券市场发展经验重点

ID:12715547

大小:126.10 KB

页数:12页

时间:2018-07-18

中国证券监督管理委员会-台湾证券市场发展经验重点_第1页
中国证券监督管理委员会-台湾证券市场发展经验重点_第2页
中国证券监督管理委员会-台湾证券市场发展经验重点_第3页
中国证券监督管理委员会-台湾证券市场发展经验重点_第4页
中国证券监督管理委员会-台湾证券市场发展经验重点_第5页
资源描述:

《中国证券监督管理委员会-台湾证券市场发展经验重点》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、使用移动电话进行网上银行身份验证XingFangNationalCenterfortheProtectionofFinancialInfrastructureMadison,SouthDakota,USAxingfang912@gmail.comJustinZhanNationalCenterfortheProtectionofFinancialInfrastructureMadison,SouthDakota,USAjustinzzhan@gmail.com摘要:网上银行身份验证在网上银行安全领域起着重要作用

2、。在过去几年中,已经制定了一些方法,包括密码令牌、短信密码、USB令牌,已经在网上银行身份认证中开发使用。在本文中我们引入一个新的网上银行的身份验证协议。我们的方法是,通过为用户的移动电话存储数字证书,以此提高性能和稳定性来对抗各种在移动电话使用中的攻击。我们提供攻击分析以此显示这个协议的优点。关键词:网上银行,身份验证协议,移动电话,数字证书一、引言网上银行的历史可追溯到20世纪90年代中旬,那是互联网的使用并不普及的时代。随着计算机技术和网络的迅速发展,到2005年年底,美国约有63万成年人使用网上银行[1

3、]。如今,网上银行超过银行分支和ATM,并成为美国人最喜爱的使用方法[2]。然而,技术长期以来一直被认为是一把双刃剑:当人们享受由网上银行带来的便利的同时,他们的账户信息也遭到互联网犯罪分子的窃取或篡改。因此,对于金融机构,在他们网上银行服务的过程中,客户端认证已成为一个关键的安全关切。网上银行身份验证通常要求用户名和密码。不过,也有些安全机制被应用到保护用户名中,因为它是在登入过程中明文输入,并且在传输过程中没有加密。另一方面,安全管理密码对于大多数人是相当棘手的。如果密码很短或有一些线索使得它容易记住,它就

4、难以抵抗潜在的攻击。一个用户可以设定一个强度很高的密码,但是记住这个密码通常很难。用户可能会忘记它,从而不得不把密码写下来以便于之后提醒他。此外,新兴的网络钓鱼技术[3]滋生了大量的钓鱼网站诱使受害者亲手将自己的密码泄露。因此,密码的安全性更少的依赖于人类的冥想,密码就更安全。与此相对应,已经开发出各种重点解决网上银行的密码验证的安全问题的解决方案。一个密码生成令牌(PGT)[4]是一个便携式设备,它可以每60秒产生一定位数的数字。PGT实施的一个很好例子是RSA的SecureID[5],这需要使用它与客户的原

5、始密码一起使用才能登入网上银行系统。当然,一次性密码(One-TimePassword,OTP)是另外一种解决方法。当客户端通过互联网向银行提供了他的用户名和原始密码,一个一次性密码就发送到他的手机短消息服务中心(SMS)[6]。该客户然后检索OTP和使用它进行进一步登入。生物识别技术也是一种网上安全银行认证方法[4],其中用户需要通过虹膜或指纹扫描或语音确认来验证自己。公钥基础设施(PKI),已被应用到网上认证。超文本传输协议安全(HTTPS)被普遍的采用,甚至不仅在网上银行身份认证使用,同时也在网上购物和电

6、子邮件系统认证中使用。由于HTTPS的实施,客户能够通过提供数字证书(DC)到银行来进行认证。以前的一种方法,包括整合客户的DC到USB闪存驱动器,它就变成了一个USB令牌[4]。我们的解决方案属于这一类,将客户的移动手机存储他的证书,而不是闪存驱动器。本文的其余部分概述如下。在第二节中,我们描述了相关的工作。在第三节中,我们介绍了我们的方法。在第四节,我们进行了安全和攻击分析。在第五节,我们提供了一个结论。一、相关工作2.1在线认证身份验证是一种安全的措施,它是设计用来在个人被授权访问特定信息或系统之前通过验

7、证其证书来核实他的身份的一种手段。不严格地说,在线认证是通过计算机网络来验证身份。然而,仔细推敲下,在线认证有它独特的3个安全问题值得考虑:首先,我们如何确保个人想要访问的网站就是这个准确的网站?其次,我们又怎么能在传输过程中保护个人的证书?再次,我们怎么能判断这些是真的来自于发送人所声称的个体呢?HTTPs现在被广泛用于网上银行认证。在根本上,HTTPs是超文本传输协议(HTTP)和由PKI确保的安全套接字层(SSL)的结合。验证过程是在SSL的握手交换过程中展开的:首先,银行通过发送它的DC给用户来验证它的

8、身份,DC由证书颁发机构(CA)颁发如Verisign。证书中的信息,包括发行人的名称,证书有效期,版本号,序列号,主题等[7]。客户然后验证该证书,并向银行提供自己的证书。最后,银行验证客户的身份,并在一个对称的加密方法下开始通信。前两个安全问题在SSL的实现下已经很好的解决了:数字证书拥有CA的数字签名,这使得它无法伪造。每个客户的证书使用银行的公钥加密,只有银行能够对其进行解密。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。