中文--使用移動電話進行網(wǎng)上銀行身份驗證

1、使用移動電話進行網(wǎng)上銀行身份驗證 使用移動電話進行網(wǎng)上銀行身份驗證Xing FangNational Center for the Protection of FinancialInfrastructure Madison, South Dakota, USAxingfang912@gmail.comJustin ZhanNational Center for the Protection of FinancialInfrastruct

2、ure Madison, South Dakota, USAjustinzzhan@gmail.com摘要： 摘要：網(wǎng)上銀行身份驗證在網(wǎng)上銀行安全領(lǐng)域起著重要作用。在過去幾年中，已經(jīng)制定了一些方法，包括密碼令牌、短信密碼、USB令牌，已經(jīng)在網(wǎng)上銀行身份認證中開發(fā)使用。在本文中我們引入一個新的網(wǎng)上銀行的身份驗證協(xié)議。我們的方法是，通過為用戶的移動電話存儲數(shù)字證書，以此提高性能和穩(wěn)定性來對抗各種在移動電話使用中的攻擊。我們提供攻擊分析以此顯

3、示這個協(xié)議的優(yōu)點。關(guān)鍵詞： 關(guān)鍵詞：網(wǎng)上銀行，身份驗證協(xié)議，移動電話，數(shù)字證書 一、 引言網(wǎng)上銀行的歷史可追溯到 20 世紀 90 年代中旬，那是互聯(lián)網(wǎng)的使用并不普及的時代。隨著計算機技術(shù)和網(wǎng)絡(luò)的迅速發(fā)展，到 2005 年年底，美國約有 63萬成年人使用網(wǎng)上銀行[1]。如今，網(wǎng)上銀行超過銀行分支和 ATM，并成為美國人最喜愛的使用方法[2]。然而，技術(shù)長期以來一直被認為是一把雙刃劍：當人們享受由網(wǎng)上銀行帶來的便利的同時，他們的賬戶信息也

4、遭到互聯(lián)網(wǎng)犯罪分子的竊取或篡改。因此，對于金融機構(gòu)，在他們網(wǎng)上銀行服務(wù)的過程中，客戶端認證已成為一個關(guān)鍵的安全關(guān)切。網(wǎng)上銀行身份驗證通常要求用戶名和密碼。不過，也有些安全機制被應(yīng)用到保護用戶名中，因為它是在登入過程中明文輸入，并且在傳輸過程中沒有加3安全問題值得考慮：首先，我們?nèi)绾未_保個人想要訪問的網(wǎng)站就是 這個準確的網(wǎng)站？其次，我們又怎么能在傳輸過程中保護個人的證書？再次，我們怎么能判斷這些是真的來自于發(fā)送人所聲稱的個體呢？HTTPs

5、 現(xiàn)在被廣泛用于網(wǎng)上銀行認證。在根本上，HTTPs 是超文本傳輸協(xié)議（HTTP）和由 PKI 確保的安全套接字層（SSL）的結(jié)合。驗證過程是在 SSL 的握手交換過程中展開的：首先，銀行通過發(fā)送它的 DC 給用戶來驗證它的身份，DC由證書頒發(fā)機構(gòu)（CA）頒發(fā)如 Verisign。證書中的信息，包括發(fā)行人的名稱，證書有效期，版本號，序列號，主題等[7]?？蛻羧缓篁炞C該證書，并向銀行提供自己的證書。最后，銀行驗證客戶的身份，并在一個對稱的加

6、密方法下開始通信。前兩個安全問題在 SSL 的實現(xiàn)下已經(jīng)很好的解決了：數(shù)字證書擁有 CA 的數(shù)字簽名，這使得它無法偽造。每個客戶的證書使用銀行的公鑰加密，只有銀行能夠?qū)ζ溥M行解密。多因素認證[4]是由聯(lián)邦金融機構(gòu)檢查委員會（FFIEC）所提出的解決方案，以應(yīng)對第三個安全問題和今天充滿風險的互聯(lián)網(wǎng)環(huán)境。PGT 和手機 OTP 等技術(shù)被定義為一個稱為‘Something a person has’的認證因素。生物識別技術(shù)是另一個牽連‘Som

7、ething a person has’的因素。這兩個因素與原來的密碼方案，即一個人知道的東西，組成了三個傳統(tǒng)的網(wǎng)上認證因素[8]。然而，人們往往失去、損壞或忘記自己的令牌設(shè)置，好似他們不能安全地管理自己的密碼。此外，手機 OTP 容易泄漏，因為這讓攻擊者竊聽明文發(fā)送的 SMS 消息。更重要的，生物識別技術(shù)的識別設(shè)備價格昂貴和人的獨特的生物識別數(shù)據(jù)的存儲也成為了有爭議的問題，可能會危及個人隱私[9]。一個利用 USB 閃存設(shè)備以存儲客戶