基于动态口令的网上银行安全认证研究

论文摘要

网络时代为人们开辟了一个新天地。在这个新天地中,越来越多的传统领域通过网络给人们带来了极大的便利,同时也提出了新的课题和挑战,其中之一就是如何在网络电子商务中实现现实交易的种种固有特性,包括机密性、隐私保护、身份认证和不可抵赖性。网络银行的安全问题日益引起人们关注。目前,静态口令是一种广泛采用的客户端身份认证方式。然而,它很容易通过在客户端进行系统侦听和网络嗅探来窃取。对此,银行必须通过强化身份认证机制设计将安全保护延伸到每个用户的桌面上,通过在用户登录过程中加入服务器的主动参与来强化身份认证。一次性口令(OTP)正是这样一种针对静态口令弱点而提出的身份认证方案。OTP技术通过在用户登录过程中加入不确定因素来提高口令在传输过程中的安全性。自出现以来,它已成为网上电子交易普遍采用的身份认证模式。然而,已证明:仅将OTP应用于身份认证过程而不将其与交易过程相结合容易遭受中间人(MITM)攻击。为此,很多机构都直接求助于公钥体系(PKI)。然而,PKI有其自身的弱点,如体系复杂、技术门槛高、代价高昂、技术标准不统一等。本文对现有OTP技术的优缺点进行分析讨论后,提出一种方案,利用OTP将认证和交易过程进行无缝对接,将认证结果作为交易的初始化数据,从而将OTP技术延伸到交易过程中。本文建立一套基于MD5算法的运行于B/S架构下的动态口令身份认证系统,系统由OTP认证服务器模块和负责动态口令生成的客户端程序组成。Web服务器用于与客户端程序通信,认证服务器负责生成挑战数,生成动态口令并验证用户身份。验证完用户身份后,服务器将会在每次交易前发给用户一个基于OTP的用于和口令相结合加密数据流的一次性随机数。该方案可以抗击重放攻击、中间人攻击,设计过程中也应用了加解密算法和哈希函数,保持了较高安全性而克服了部署PKI所面临的复杂局面。

论文目录

摘要

ABSTRACT

第一章引言

1.1 课题背景

1.2 课题的价值及意义

1.3 国内外研究现状

1.3.1 国外研究现状

1.3.2 国内研究现状

1.4 本文结构和作者所做贡献

第二章技术背景

2.1. 身份认证技术

2.1.1. 系统结构要素

2.1.2. 静态身份认证

2.1.3. 动态身份认证

2.2. 零知识证明

2.3. Hash 函数

第三章典型一次性口令方案

3.1 Lamport-S/KEY

3.1.1 哈希链认证过程

3.1.2 安全性分析

3.1.3 改进

3.1.4 总结

3.2 SAS-2 方案

3.2.1 认证过程

3.2.2 效率分析

3.2.3 安全性分析

3.3 CHAP 协议

3.3.1 MS-CHAP V2

3.4 SecurID

3.5 小结

第四章 OTP 方案设计

4.1 网银面临的安全风险

4.2 方案设计原则

4.3 EXOTP 方案描述

4.3.1 符号和标识

4.3.2 注册过程

4.3.3 认证过程

4.3.4 交易过程

4.3.5 口令更换

4.4 性能分析

4.4.1 异同点

4.4.2 执行效率分析

4.4.3 安全性分析

第五章系统设计和实现

5.1 系统整体框架

5.2 功能模块划分与实现

5.2.1 核心功能模块

5.2.2 客户端功能模块

5.2.3 认证服务器端功能模块

5.2.4 交易服务器端功能模块

5.3 部分功能模块代码

5.3.1 随机数生成模块

5.3.2 数据发送和接收模块

5.3.3 运算模块中的MD5 散列算法代码块

5.3.4 身份验证部分代码

5.4 用户界面测试环境和数据

结束语

致谢

参考文献

基于动态口令的网上银行安全认证研究

论文摘要

论文目录

相关论文文献

猜你喜欢