一种网银动态口令的安全性研究.docVIP

毕业论文 题 目 一种网银动态口令的安全性研究 学生姓名 学号 　　　 所在学院 　　数学与计算机科学学院 专业班级 数教１１０１ 指导教师 __ ____ _ 完成地点 陕西理工学院 一种网银动态口令的安全性研究 （陕西理工学院数学与计算机科学学院数学与应用数学专业数教1101班，陕西汉中） 指导教师: [摘要]：今社会科技发展日新月异，人们通过网银动态口令来进行支付的频率也越来越高，但网银动态口令的安全性问题却待解决．通过阅读参考文献对网银动态口令的理论基础和安全性评价体系进行深入学习．重点研究某一种动态口令加密，解密机制，并对其安全性进行分析，分析其优势和不足，并对其缺陷提出改进的建议．增加网银动态口令的安全性． 1动态口令牌在网银中的应用 由于其交互双方是通过网络远程连接的，并非面对面的操作，网上银行的安全性一直备受重视，其中如何保证业务双方的身份就成为了首当其冲的问题．身份认证技术，被称作互联网业务应用系统的第一把锁，它是OSI体系中安全服务与安全机制中重要的一环．通俗地讲，身份认证就是来解决“我是谁，我怎么来证明我是谁”问题．对于用户身份的认证，国际上通常认为有三种途径：“who you are”（你是谁），“what you know”（你知道什么），“what you have”（你拥有什么）．“who you are”通常对应是生物识别技术；“what you know”通常对应的是用户名．密码技术；“what you have”通常对应的是证书或一次性密码技术． 近年来随着网上银行用户的爆发式增长，针对网银使用的犯罪方式也随之花样翻新．层出不穷． 仅依靠传统的静态密码口令技术已经不能满足安全性的要求，在我国主流的网上银行系统基本上都采用了两种以上的认证方式（业界称为双因子认证），包括静态密码．动态口令．软硬件证书认证．指纹等，其中数字证书和动态口令技术应用最广泛．动态口令牌技术属于典型的OTP技术（OTP，OneTimePassword，一次一密技术）．在这种技术下，每次用户所使用的密码仅能使用一次，可以防范黑客盗取静态密码，使其难于伪造用户身份，从而达到防攻击和防窃听的目的，极大地提升了安全性．动态口令牌无需使用证书，无需在PC端安装任何软件，使用时也无需和PC连接，所以较USB key等证书类认证工具使用更为简捷，并且能够满足网上银行、电话银行、手机银行等多种不同渠道的电子银行的认证需求，在电子银行身份认证中扮演着不可或缺的角色．由于动态口令牌对于用户的认证仅仅依赖于动态密码的正确性，所以要求用户在使用中一定要保护好密码，防止各种渠道的密码（或密码设备丢失）2常用动态口令机制及其安全性分析 21基于时间同步的动态口令机制 基于时间同步（Time Synchronization）的动态口令机制，其特点是选择单向散列函数作为认证数据的生成算法，以种子秘钥和时间值作为认证数据的生成算法，以种子秘钥和时间值作为单向散列函数的输入参数．由于时间值是不断变化的，因此散列函数运算所得的认证数据也在不断变化，保证了每次产生的认证数据不相同．基于时间同步的动态口令机制的认证过程如图21所示． 客户端 认证服务器 图21 基于时间同步的动态口令认证机制的认证过程 基于时间同步动态口令的认证过程如下：用户输入ID（或PIN码），客户端单向散列函数以时间和种子秘钥作为参数进行计算，将计算所得的动态口令传送到认证服务器．认证服务器确认用户ID的合法性后，从服务器加密的数据库中提取该用户所对应的种子秘钥，采用与客户端相同的单向散列函数计算出验证口令，若验证口令和动态口令相同则通过验证，否则不能通过验证．时间同步方式的关键在于认证服务器和客户端的时钟要保持同步，只有在两端时钟同步的情况下才能做出正确的判断．一旦发生了时钟偏移，就需进行时钟校正．目前一些著名的动态口令安全产品，如RSA的SecureID和Vasco的DigPass系列均采用基于时间同步的动态口令生成技术． 2基于事件同步（Event Synchronization）的动态口令机制又称Lamport方式或哈希链（Hash ch