个人银行密码及其安全应用技术的研究.pdfVIP

1．2银行的业务架构 1．3对个人银行密码的攻击 我们先看看个人密码交易流程图 ．一●t——1一， l笆曼霉一。} ；信息日l ：的地 ： 一般而言，要获取别人银行的密码，都是采用主动的攻击。从上图来看，有三 处攻击的地方： 1，对信息源的攻击 2．对信息传输过程的攻击 3．对信息目的地数据的攻击 目前，人们对这三个地方的攻击都有一定程度的认识，但还没有完全认 识。比如对信息目的地的攻击，人们只认识到了可能有黑客侵入银行的数据中 心进行攻击，但没有料到银行里技术人员的攻击。 对信息源的攻击，现在已出现了很多的方式：偷窥，摄像，猜测，试探． 骗取，逼供等方式(当然这里也可能有被动被攻击的方式：比如自己把密码泄 露给他人) 对信息传输的攻击主要有下面四种方式：[11 a．中断： b．截获 c．篡改 d．伪造： 列信息目的地的攻击，主要有黑客和不法分子侵入银行系统，银行内部人 员进入数据库直接获取信息或进行猜测、试探和对比等方式凝取密码。 1．4解决方案 密码的发展有赖于四大凼素的推动：首先，它是数字技术发展的产物，是 现代科技的发明成果。其次的原因是人们的隐私观念和自我保护意识的加强。 再次，随着社会的发展，人们的经济活动日益丰富，理财观念和财产私有观念 不断得到强化，这成为密码时代到来的基本物质条件。最后，社会管理方法的 逐步规范化、高效化也要求对公民实行编码化的管理，像美国一样为每个公民 编一个社会安全号码，既降低了社会管理成本又提高了管理的效率。KJ 自从有了数字密码，人们就逐步开始宁愿相信机器也不愿相信身边的人， 并且数字密码的出现使经办人不必再翻来覆去地核对证件和证明，使一大堆繁 琐复杂的手续变得简单快捷。然而机器也有它本身的脆弱，生活中人们密码被 盗、秘密被泄漏的情况屡屡发生，所以人们绞尽脑汁分析发明了五花八门的加 密算法，广泛应用于各个行、世I引。银行罩的加密算法也是层出不穷，对数据的 传输和保护在目荫条件下基本上是无懈可击的。但仍然有客户的密码被盗、客 户的钱被冒取等类似的案件频频发生。我们从上面的银行业务架构中看到．银 行的系统是一个相当开放的系统，渗入到了我们生活中的各个领域，人们有很 多的渠道进入银行的系统。如果我们对客户密码的保存、传输等方式不加以改 进和进行安全的保障，将有越来越多的与银行帐户有关的社会问题产生。因此 本文的目标就是要把密码设计成对客户有机密、鉴别、可用、认证、不可抵 赖，完整、访问控制以及无法伪造等功能。 在本文懿设计方案中还拓展了密码其他的功能： 1．报警密码： 密码通常的用途是保护自己的隐私，为自己的信息保密：也保护着我们的 财产，通过密码让我们的银行帐号免道他人的侵入，但是不怀好意者想方设法 都想破译得到别人的密码。通常情况下，破译别人的密码就是采用试探法。现 在银行普遍采用的是密码连续输入3—5次都错误，该帐户将冻结，有的银行暂 还没有提供。其实在这里完全可以增加一个密码报警的功能：在任何情况下， 客户的帐号收到连续的3—5次(甚至可以是1次)密码不正确，应该立即通过 一定的方式知晓客户，比如手机短信、打电话等方式通知到帐户的主人，客户 就能根据实际的情况妥善处理并能保护好自己的财产。比如：当时是自己输错 了密码就无关紧要；如果发现自己根本没有办理与该帐号无关的业务，他就立 即可以报警、申请冻结帐户、修改密码等，这就相当于密码提供了报警的功 能，我们可以把形象的称为密码报警信息或报警密码。 9 2．反劫辫码： 我翻兔着看下蘑斡掰令案饲： (1)今年5月以来，深圳市宝安新城26区菜嫩胶厂、27区某印刷厂及策电 子厂连续发生员工、干部在下班途中被敲诈勒索的案件，造成恶劣影响，许多 受工夫心瞧攫，下囊磊不敢窭厂门。l，l 这些避续发生的敲洚勒索案件作案手法基本相闻：一些员：C剐走出厂门， 就被数名男子劫持到停在路边的小汽车上，被威胁搜身或胁迫酏出银行卡密 码，敲诈勒索金额从几蠹元到几万元曩i等。 (2)2004年1月1日，新的一年剐刚开始，在石市某歌厅上班的王某， 被自己的同乡姐妹赵某骗至其住处，道着说出了银行密码，现众5万余元被抢 走。并且嚣犯终案的时潮较长，受害者怎么没有方式