網银账户的安全性论文电子商务中网银账户的安全性分析.docVIP

網银账户的安全性论文电子商务中网银账户的安全性分析.doc

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
網银账户的安全性论文电子商务中网银账户的安全性分析

网银账户的安全性论文:电子商务中网银账户的安全性分析 摘 要:在进行电子商务过程中,网上银行系统的安全保障尤为关键,而各银行采取的安全保障和防范措施是不同的。笔者通过对国内某银行网上银行系统的安全设计进行了研究分析,找出了其安全设计中存在的缺陷,并提出了两种解决方法。 关键词:电子商务;网银账户;USB-Key;动态口令卡;数字证书 0引言 电子商务安全的核心是用户网上银行的账户安全、资金安全,解决了用户的账号安全问题,也就解决了网络交易安全的核心问题。随着计算机网络的发展,电子商务也迅速的发展起来,国内的电子商务领域的三大代表:阿里巴巴(B2B)、当当(B2C)以及淘宝(C2C)的迅速发展都离不开各大银行的网上银行(以下简称网银)系统的发展,而各家银行网银的安全性也成为了关注的焦点。 1网上银行支付安全的保障方式 随着计算机网络的大范围应用和普及,电子商务蓬勃发展,网络交易的安全越来越多受到人们的重视,尤其是网络交易中网上银行账号的安全问题最为关注。目前,在国内的网上银行体系中,主要竞争存在于两大商业银行(本文中分别以A行和B行表示)之间。这两家银行的网银用户占国内网银用户的绝大多数,并且这两家银行在网上支付环节上,都有两种主要不同手段进行网银用户的身份认证,一种是采用集成于Flash芯片上的USB-Key,另一种是采用一次一密设计的动态口令卡,即一次性口令机制[1]。USB-Key适用于交易频繁,交易金额相对较大的用户,通过所使用芯片的加密位数来保障USB-Key的安全,其安全性取决于芯片算法的复杂度。破解一个普通用户的USB-Key的成本远远高于破解之后所能获得的收益。但USB-Key利用硬件加密的的制作成本也远高于基于一次一密的动态口令卡,因此对于普通的、消费次数不多的用户,大多数使用的是成本较低的一次一密动态口令卡。在一次一密动态口令卡的设计上,两家银行采用的设计原理均是基于一次一密乱数本原理,但在口令卡的设计上两家银行的结构设计各不相同。A行的网上银行动态口令卡上印有以8*10为结构的矩阵,每格内均有一个3位数的密码。网银用户进行网上支付时,网上银行系统会随机给出一组口令卡坐标,用户需根据坐标从卡片中找到对应的行、列密码栏内的密码,输入6位正确代码后,才能完成正常支付。这种口令组合是动态变化的,即每次用户在使用时,随机生成一个行、列编号,所以每次使用时输入的密码都不一样,但该口令卡可以重复使用1000次。B行的动态口令卡,在设计上采用的是30个格子的一次一密乱数本,每个格子中均有6位阿拉伯数字构成的密码,其中第1个和第30个格子分别用于新卡注册和旧卡注销,因此真正用于支付的密码仅有28个,由于使用的是绝对的一次一密乱数本,B的网上银行口令卡在用户妥善保管口令卡的前提下是绝对安全的。因为一次一密乱数本是无法破解的,但是其缺点是可以使用的次数太少,仅仅28次。但目前B行为了更好地推广USB-Key已经停止使用这种以用户妥善保管口令卡为前提条件的绝对安全的一次一密乱数本。 2 A行口令卡存在的缺陷 A行目前使用是一种类一次一密设计,在理论上是很安全的,这种设计曾经被网游代理商“第九城市”广泛使用[2],并号称安全性极高,但是利用“酷狮子”这类软件就能破解[3]。A行口令卡采用的是一张8*10的数字坐标图型卡,每一组数字对应不同的坐标,而每一张矩阵卡都有自己的序列号,当你把口令卡与自己的网银账户绑定后,A行网银的数据库就会将绑定的那张密保卡的矩阵数字激活,当你进入网银进行支付等相关业务时,只有输入正确的矩阵数字才能进行支付。由于A行的动态口令卡的设计是相对的一次一密乱数本,并且他的使用次数为1000次,因此,A行的动态口令卡存在被破解的可能性。当黑客获取了用户的网银账号和登陆密码后,对该账户所使用的计算机进行监控,当有交易进行支付时,系统会提示用户输入响应矩阵中的数字,当用户输入正确的矩阵数字之后,木马会自动记录正确的矩阵坐标以及对应数字,然后再48利用验证码输入超时的手段,导致支付用户交易失败,从而迫使用户再次输入矩阵数字,再次利用验证码超时的手段导致交易失败,这样周而复始几次之后,整个一组矩阵数字就到手了。与此同时,工行出于安全方面的原因还在其支付系统中设置了一个错误次数上限,当口令卡数据输入异常次数达到三次以后,该账户当天不能进行交易。此外,在掉线次数上被设计为每天累计掉线两次。这样不仅能够有三次记录机会,记录不多于6组的口令,同时还避免用户对自己账号安全性的怀疑。使用A行的网上银行动态口令卡的用户,在输入口令时,采用键盘输入模式,而不是动态软键盘[4],不法分子可以利用最简单的键盘输入记录器来获取口令卡的信息,这些信息成为了日后窃取该账户资金必不可少的条件。 3解决方案建议 A行从用户和自身角度考虑对口令卡的设计作

文档评论(0)

sd47f8cI + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档