中文--使用移動(dòng)電話(huà)進(jìn)行網(wǎng)上銀行身份驗(yàn)證

1、使用移動(dòng)電話(huà)進(jìn)行網(wǎng)上銀行身份驗(yàn)證 使用移動(dòng)電話(huà)進(jìn)行網(wǎng)上銀行身份驗(yàn)證Xing FangNational Center for the Protection of FinancialInfrastructure Madison, South Dakota, USAxingfang912@gmail.comJustin ZhanNational Center for the Protection of FinancialInfrastruct

2、ure Madison, South Dakota, USAjustinzzhan@gmail.com摘要： 摘要：網(wǎng)上銀行身份驗(yàn)證在網(wǎng)上銀行安全領(lǐng)域起著重要作用。在過(guò)去幾年中，已經(jīng)制定了一些方法，包括密碼令牌、短信密碼、USB令牌，已經(jīng)在網(wǎng)上銀行身份認(rèn)證中開(kāi)發(fā)使用。在本文中我們引入一個(gè)新的網(wǎng)上銀行的身份驗(yàn)證協(xié)議。我們的方法是，通過(guò)為用戶(hù)的移動(dòng)電話(huà)存儲(chǔ)數(shù)字證書(shū)，以此提高性能和穩(wěn)定性來(lái)對(duì)抗各種在移動(dòng)電話(huà)使用中的攻擊。我們提供攻擊分析以此顯

3、示這個(gè)協(xié)議的優(yōu)點(diǎn)。關(guān)鍵詞： 關(guān)鍵詞：網(wǎng)上銀行，身份驗(yàn)證協(xié)議，移動(dòng)電話(huà)，數(shù)字證書(shū) 一、 引言網(wǎng)上銀行的歷史可追溯到 20 世紀(jì) 90 年代中旬，那是互聯(lián)網(wǎng)的使用并不普及的時(shí)代。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)的迅速發(fā)展，到 2005 年年底，美國(guó)約有 63萬(wàn)成年人使用網(wǎng)上銀行[1]。如今，網(wǎng)上銀行超過(guò)銀行分支和 ATM，并成為美國(guó)人最喜愛(ài)的使用方法[2]。然而，技術(shù)長(zhǎng)期以來(lái)一直被認(rèn)為是一把雙刃劍：當(dāng)人們享受由網(wǎng)上銀行帶來(lái)的便利的同時(shí)，他們的賬戶(hù)信息也

4、遭到互聯(lián)網(wǎng)犯罪分子的竊取或篡改。因此，對(duì)于金融機(jī)構(gòu)，在他們網(wǎng)上銀行服務(wù)的過(guò)程中，客戶(hù)端認(rèn)證已成為一個(gè)關(guān)鍵的安全關(guān)切。網(wǎng)上銀行身份驗(yàn)證通常要求用戶(hù)名和密碼。不過(guò)，也有些安全機(jī)制被應(yīng)用到保護(hù)用戶(hù)名中，因?yàn)樗窃诘侨脒^(guò)程中明文輸入，并且在傳輸過(guò)程中沒(méi)有加3安全問(wèn)題值得考慮：首先，我們?nèi)绾未_保個(gè)人想要訪(fǎng)問(wèn)的網(wǎng)站就是 這個(gè)準(zhǔn)確的網(wǎng)站？其次，我們又怎么能在傳輸過(guò)程中保護(hù)個(gè)人的證書(shū)？再次，我們?cè)趺茨芘袛噙@些是真的來(lái)自于發(fā)送人所聲稱(chēng)的個(gè)體呢？HTTPs

5、 現(xiàn)在被廣泛用于網(wǎng)上銀行認(rèn)證。在根本上，HTTPs 是超文本傳輸協(xié)議（HTTP）和由 PKI 確保的安全套接字層（SSL）的結(jié)合。驗(yàn)證過(guò)程是在 SSL 的握手交換過(guò)程中展開(kāi)的：首先，銀行通過(guò)發(fā)送它的 DC 給用戶(hù)來(lái)驗(yàn)證它的身份，DC由證書(shū)頒發(fā)機(jī)構(gòu)（CA）頒發(fā)如 Verisign。證書(shū)中的信息，包括發(fā)行人的名稱(chēng)，證書(shū)有效期，版本號(hào)，序列號(hào)，主題等[7]?？蛻?hù)然后驗(yàn)證該證書(shū)，并向銀行提供自己的證書(shū)。最后，銀行驗(yàn)證客戶(hù)的身份，并在一個(gè)對(duì)稱(chēng)的加

6、密方法下開(kāi)始通信。前兩個(gè)安全問(wèn)題在 SSL 的實(shí)現(xiàn)下已經(jīng)很好的解決了：數(shù)字證書(shū)擁有 CA 的數(shù)字簽名，這使得它無(wú)法偽造。每個(gè)客戶(hù)的證書(shū)使用銀行的公鑰加密，只有銀行能夠?qū)ζ溥M(jìn)行解密。多因素認(rèn)證[4]是由聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)（FFIEC）所提出的解決方案，以應(yīng)對(duì)第三個(gè)安全問(wèn)題和今天充滿(mǎn)風(fēng)險(xiǎn)的互聯(lián)網(wǎng)環(huán)境。PGT 和手機(jī) OTP 等技術(shù)被定義為一個(gè)稱(chēng)為‘Something a person has’的認(rèn)證因素。生物識(shí)別技術(shù)是另一個(gè)牽連‘Som

7、ething a person has’的因素。這兩個(gè)因素與原來(lái)的密碼方案，即一個(gè)人知道的東西，組成了三個(gè)傳統(tǒng)的網(wǎng)上認(rèn)證因素[8]。然而，人們往往失去、損壞或忘記自己的令牌設(shè)置，好似他們不能安全地管理自己的密碼。此外，手機(jī) OTP 容易泄漏，因?yàn)檫@讓攻擊者竊聽(tīng)明文發(fā)送的 SMS 消息。更重要的，生物識(shí)別技術(shù)的識(shí)別設(shè)備價(jià)格昂貴和人的獨(dú)特的生物識(shí)別數(shù)據(jù)的存儲(chǔ)也成為了有爭(zhēng)議的問(wèn)題，可能會(huì)危及個(gè)人隱私[9]。一個(gè)利用 USB 閃存設(shè)備以存儲(chǔ)客戶(hù)