返回
一种网银动态口令的安全性研究

一种网银动态口令的安全性研究

ID:8316343

大小:464.00 KB

页数:9页

时间:2018-03-18

一种网银动态口令的安全性研究_第1页
一种网银动态口令的安全性研究_第2页
一种网银动态口令的安全性研究_第3页
一种网银动态口令的安全性研究_第4页
一种网银动态口令的安全性研究_第5页
资源描述:

《一种网银动态口令的安全性研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、陕西理工学院毕业论文毕业论文题目一种网银动态口令的安全性研究学生姓名学号   所在学院  数学与计算机科学学院专业班级数教1101指导教师_______完成地点陕西理工学院第8页/共8页陕西理工学院毕业论文一种网银动态口令的安全性研究(陕西理工学院数学与计算机科学学院数学与应用数学专业数教1101班,陕西汉中)指导教师:[摘要]:现今社会科技发展日新月异,人们通过网银动态口令来进行支付的频率也越来越高,但网银动态口令的安全性问题却急待解决.通过阅读参考文献对网银动态口令的理论基础和安全性评价体系进行深入学习.重点研究某一种动态口令加密,解密机制,并对其安全性进行分

2、析,分析其优势和不足,并对其缺陷提出改进的建议.增加网银动态口令的安全性.[关键字]:网银;动态口令;安全性;TPSN算法的改进1动态口令牌在网银中的应用由于其交互双方是通过网络远程连接的,并非面对面的操作,网上银行的安全性一直备受重视,其中如何保证业务双方的身份就成为了首当其冲的问题.身份认证技术,被称作互联网业务应用系统的第一把锁,它是OSI体系中安全服务与安全机制中重要的一环.通俗地讲,身份认证就是来解决“我是谁,我怎么来证明我是谁”问题.对于用户身份的认证,国际上通常认为有三种途径:“whoyouare”(你是谁),“whatyouknow”(你知道什么)

3、,“whatyouhave”(你拥有什么).“whoyouare”通常对应是生物识别技术;“whatyouknow”通常对应的是用户名.密码技术;“whatyouhave”通常对应的是证书或一次性密码技术.近年来随着网上银行用户的爆发式增长,针对网银使用的犯罪方式也随之花样翻新.层出不穷.仅依靠传统的静态密码口令技术已经不能满足安全性的要求,在我国主流的网上银行系统基本上都采用了两种以上的认证方式(业界称为双因子认证),包括静态密码.动态口令.软硬件证书认证.指纹等,其中数字证书和动态口令技术应用最广泛.动态口令牌技术属于典型的OTP技术(OTP,OneTimeP

4、assword,一次一密技术).在这种技术下,每次用户所使用的密码仅能使用一次,可以防范黑客盗取静态密码,使其难于伪造用户身份,从而达到防攻击和防窃听的目的,极大地提升了安全性.动态口令牌无需使用证书,无需在PC端安装任何软件,使用时也无需和PC连接,所以较USBkey等证书类认证工具使用更为简捷,并且能够满足网上银行、电话银行、手机银行等多种不同渠道的电子银行的认证需求,在电子银行身份认证中扮演着不可或缺的角色.由于动态口令牌对于用户的认证仅仅依赖于动态密码的正确性,所以要求用户在使用中一定要保护好密码,防止各种渠道的密码(或密码设备丢失).2常用动态口令机制及

5、其安全性分析2.1基于时间同步的动态口令机制基于时间同步(TimeSynchronization)的动态口令机制,其特点是选择单向散列函数作为认证数据的生成算法,以种子秘钥和时间值作为认证数据的生成算法,以种子秘钥和时间值作为单向散列函数的输入参数.由于时间值是不断变化的,因此散列函数运算所得的认证数据也在不断变化,第8页/共8页陕西理工学院毕业论文保证了每次产生的认证数据不相同.基于时间同步的动态口令机制的认证过程如图2.1所示.客户端认证服务器图2.1基于时间同步的动态口令认证机制的认证过程基于时间同步动态口令的认证过程如下:用户输入ID(或PIN码),客户端

6、单向散列函数以时间和种子秘钥作为参数进行计算,将计算所得的动态口令传送到认证服务器.认证服务器确认用户ID的合法性后,从服务器加密的数据库中提取该用户所对应的种子秘钥,采用与客户端相同的单向散列函数计算出验证口令,若验证口令和动态口令相同则通过验证,否则不能通过验证.时间同步方式的关键在于认证服务器和客户端的时钟要保持同步,只有在两端时钟同步的情况下才能做出正确的判断.一旦发生了时钟偏移,就需进行时钟校正.目前一些著名的动态口令安全产品,如RSA的SecureID和Vasco的DigPass系列均采用基于时间同步的动态口令生成技术.2.2基于事件同步的动态口令机制

7、基于事件同步(EventSynchronization)的动态口令机制又称Lamport方式或哈希链(Hashchains)方式.事件同步机制是以事件(例如使用次数或序列数)作为变量.在初始化阶段选取一个口令PW和一个迭代数n,及一个单向散列函数H,计算Y=(PW)()表示进行n次散列运算,把Y和n的值存储于认证服务器上.客户端计算=(PW),将计算结果提交给服务器.服务器则计算Z=H(),并将Z值于服务器上保存的Y值进行比较.如果Z=Y,则验证成功,然后用的值取代服务器上保存的Y值,并且将n的值递减1.基于事件同步的动态口令机制的认证过程如图2.2所示.验证H散

8、列n-1次

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。