返回
网银账户的安全性论文:电子商务中网银账户的安全性分析

网银账户的安全性论文:电子商务中网银账户的安全性分析

ID:31103454

大小:72.50 KB

页数:9页

时间:2019-01-06

网银账户的安全性论文:电子商务中网银账户的安全性分析_第1页
网银账户的安全性论文:电子商务中网银账户的安全性分析_第2页
网银账户的安全性论文:电子商务中网银账户的安全性分析_第3页
网银账户的安全性论文:电子商务中网银账户的安全性分析_第4页
网银账户的安全性论文:电子商务中网银账户的安全性分析_第5页
资源描述:

《网银账户的安全性论文:电子商务中网银账户的安全性分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网银账户的安全性论文:电子商务中网银账户的安全性分析摘要:在进行电子商务过程中,网上银行系统的安全保障尤为关键,而各银行釆取的安全保障和防范措施是不同的。笔者通过对国内某银行网上银行系统的安全设计进行了研究分析,找出了其安全设计中存在的缺陷,并提出了两种解决方法。关键词:电子商务;网银账户;USB-Key;动态口令卡;数字证书0引言电子商务安全的核心是用户网上银行的账户安全、资金安全,解决了用户的账号安全问题,也就解决了网络交易安全的核心问题。随着计算机网络的发展,电子商务也迅速的发展起来,国内的

2、电子商务领域的三大代表:阿里巴巴(B2B)、当当(B2C)以及淘宝(C2C)的迅速发展都离不开各大银行的网上银行(以下简称网银)系统的发展,而各家银行网银的安全性也成为了关注的焦点。1网上银行支付安全的保障方式随着计算机网络的大范围应用和普及,电子商务蓬勃发展,网络交易的安全越来越多受到人们的重视,尤其是网络交易中网上银行账号的安全问题最为关注。目前,在国内的网上银行体系中,主要竞争存在于两大商业银行(本文中分别以A行和B行表示)之间。这两家银行的网银用户占国内网银用户的绝大多数,并且这两家银行在

3、网上支付环节上,都有两种主要不同手段进行网银用户的身份认证,一种是采用集成于Flash芯片上的USB-Key,另一种是采用一次一密设计的动态口令卡,即一次性口令机制[1]。USB-Key适用于交易频繁,交易金额相对较大的用户,通过所使用芯片的加密位数来保障USB-Key的安全,其安全性取决于芯片算法的复杂度。破解…个普通用户的USB-Key的成本远远高丁•破解之后所能获得的收益。但USB-Key利用硬件加密的的制作成本也远高于基于一次一密的动态口令卡,因此对于普通的、消费次数不多的用户,大多数使用

4、的是成本较低的一次一密动态口令卡。在一次一密动态口令卡的设计上,两家银行采用的设计原理均是基于一次一密乱数本原理,但在口令卡的设计上两家银行的结构设计各不相同。A行的网上银行动态口令卡上印有以8*10为结构的矩阵,每格内均有一个3位数的密码。网银用户进行网上支付时,网上银行系统会随机给出一组口令卡坐标,用户需根据坐标从卡片中找到对应的行、列密码栏内的密码,输入6位正确代码后,才能完成正常支付。这种口令组合是动态变化的,即每次用户在使用时,随机生成一个行、列编号,所以每次使用时输入的密码都不一样,但

5、该口令卡可以重复使用1000次。B行的动态口令卡,在设计上采用的是30个格子的一次一密乱数本,每个格子中均有6位阿拉伯数字构成的密码,其屮第1个和第30个格子分别用于新卡注册和旧卡注销,因此真正用于支付的密码仅有28个,由于使用的是绝对的一次一密乱数本,B的网上银行口令卡在用户妥善保管口令卡的前提下是绝对安全的。因为一次一密乱数木是无法破解的,但是其缺点是可以使用的次数太少,仅仅28次。但目前B行为了更好地推广USB-Key已经停止使用这种以用户妥善保管口令卡为前提条件的绝对安全的…次…密乱数本。

6、2A行口令卡存在的缺陷A行目前使用是一种类一次一密设计,在理论上是很安全的,这种设计曾经被网游代理商“第九城市”广泛使用[2],并号称安全性极高,但是利用“酷狮子”这类软件就能破解[3]。A行口令卡采用的是一张8*10的数字坐标图型卡,每一组数字对应不同的坐标,而每一张矩阵卡都有自己的序列号,当你把口令卡与自己的网银账户绑定后,A行网银的数据库就会将绑定的那张密保卡的矩阵数字激活,当你进入网银进行支付等相关业务时,只有输入正确的矩阵数字才能进行支付。由于A行的动态口令卡的设计是相对的一次一密乱数本

7、,并且他的使用次数为1000次,因此,A行的动态口令卡存在被破解的可能性。当黑客获取了用户的网银账号和登陆密码后,对该账户所使用的计算机进行监控,当有交易进行支付时,系统会提示用户输入响应矩阵中的数字,当用户输入正确的矩阵数字之后,木马会自动记录正确的矩阵坐标以及对应数字,然后再48利用验证码输入超时的手段,导致支付用户交易失败,从而迫使用户再次输入矩阵数字,再次利用验证码超时的手段导致交易失败,这样周而复始几次之后,整个一组矩阵数字就到手了。与此同时,工行出于安全方而的原因还在其支付系统中设置了

8、一个错误次数上限,当口令卡数据输入异常次数达到三次以后,该账户当天不能进行交易。此外,在掉线次数上被设计为每天累计掉线两次。这样不仅能够有三次记录机会,记录不多于6组的口令,同时还避免用户对口己账号安全性的怀疑。使用A行的网上银行动态口令卡的用户,在输入口令时,采用键盘输入模式,而不是动态软键盘[4],不法分子可以利用最简单的键盘输入记录器来获取口令卡的信息,这些信息成为了日后窃取该账户资金必不可少的条件。3解决方案建议A行从用户和自身角度考虑对口令卡的设计作一泄的改进,采用类似于

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。