中文--使用移动电话进行网上银行身份验证-其他专业.docVIP

使用移动电话进行网上银行身份验证 Xing Fang National Center for the Protection of Financial Infrastructure Madison, South Dakota, USA xingfang912@ Justin Zhan National Center for the Protection of Financial Infrastructure Madison, South Dakota, USA justinzzhan@ 摘要：网上银行身份验证在网上银行安全领域起着重要作用。在过去几年中，已经制定了一些方法，包括密码令牌、短信密码、USB令牌，已经在网上银行身份认证中开发使用。在本文中我们引入一个新的网上银行的身份验证协议。我们的方法是，通过为用户的移动电话存储数字证书，以此提高性能和稳定性来对抗各种在移动电话使用中的攻击。我们提供攻击分析以此显示这个协议的优点。 关键词：网上银行，身份验证协议，移动电话，数字证书 引言 网上银行的历史可追溯到20世纪90年代中旬，那是互联网的使用并不普及的时代。随着计算机技术和网络的迅速发展，到2005年年底，美国约有63万成年人使用网上银行[1]。如今，网上银行超过银行分支和ATM，并成为美国人最喜爱的使用方法[2]。然而，技术长期以来一直被认为是一把双刃剑：当人们享受由网上银行带来的便利的同时，他们的账户信息也遭到互联网犯罪分子的窃取或篡改。因此，对于金融机构，在他们网上银行服务的过程中，客户端认证已成为一个关键的安全关切。 网上银行身份验证通常要求用户名和密码。不过，也有些安全机制被应用到保护用户名中，因为它是在登入过程中明文输入，并且在传输过程中没有加密。另一方面，安全管理密码对于大多数人是相当棘手的。如果密码很短或有一些线索使得它容易记住，它就难以抵抗潜在的攻击。一个用户可以设定一个强度很高的密码，但是记住这个密码通常很难。用户可能会忘记它，从而不得不把密码写下来以便于之后提醒他。此外，新兴的网络钓鱼技术[3]滋生了大量的钓鱼网站诱使受害者亲手将自己的密码泄露。因此，密码的安全性更少的依赖于人类的冥想，密码就更安全。 与此相对应，已经开发出各种重点解决网上银行的密码验证的安全问题的解决方案。一个密码生成令牌（PGT）[4]是一个便携式设备，它可以每60秒产生一定位数的数字。PGT实施的一个很好例子是RSA的SecureID[5]，这需要使用它与客户的原始密码一起使用才能登入网上银行系统。当然，一次性密码（One-Time Password，OTP）是另外一种解决方法。当客户端通过互联网向银行提供了他的用户名和原始密码，一个一次性密码就发送到他的手机短消息服务中心（SMS）[6]。该客户然后检索OTP和使用它进行进一步登入。生物识别技术也是一种网上安全银行认证方法[4]，其中用户需要通过虹膜或指纹扫描或语音确认来验证自己。 公钥基础设施（PKI），已被应用到网上认证。超文本传输协议安全（HTTPS）被普遍的采用，甚至不仅在网上银行身份认证使用，同时也在网上购物和电子邮件系统认证中使用。由于HTTPS的实施，客户能够通过提供数字证书（DC）到银行来进行认证。以前的一种方法，包括整合客户的DC到USB闪存驱动器，它就变成了一个USB令牌[4]。我们的解决方案属于这一类，将客户的移动手机存储他的证书，而不是闪存驱动器。 本文的其余部分概述如下。在第二节中，我们描述了相关的工作。在第三节中，我们介绍了我们的方法。在第四节，我们进行了安全和攻击分析。在第五节，我们提供了一个结论。 相关工作 2.1 在线认证 身份验证是一种安全的措施，它是设计用来在个人被授权访问特定信息或系统之前通过验证其证书来核实他的身份的一种手段。不严格地说，在线认证是通过计算机网络来验证身份。然而，仔细推敲下，在线认证有它独特的3个安全问题值得考虑：首先，我们如何确保个人想要访问的网站就是 这个准确的网站？其次，我们又怎么能在传输过程中保护个人的证书？再次，我们怎么能判断这些是真的来自于发送人所声称的个体呢？ HTTPs现在被广泛用于网上银行认证。在根本上，HTTPs是超文本传输协议（HTTP）和由PKI确保的安全套接字层（SSL）的结合。验证过程是在SSL的握手交换过程中展开的：首先，银行通过发送它的DC给用户来验证它的身份，DC由证书颁发机构（CA）颁发如Verisign。证书中的信息，包括发行人的名称，证书有效期，版本号，序列号，主题等[7]。客户然后验证该证书，并向银行提供自己的证书。最后，银行验证客户的身份，并在一个对称的加密方法下开始通信。 前两个安全问题在SSL的实现下已经很好的解决了：数字证书拥有CA的数字签名，这使得它无法伪造。每个客户的