基于短信和USB Key网银安全认证方案.docVIP

基于短信和USB Key的网银安全认证方案 　　 摘要：通过比较现实生活中常用的E-token和USB Key这两种基于硬件的身份认证方案，得出E-token缺少双向身份认证，USB Key存在被截取PIN码的危险，为此本文提出了用短信获取随机PIN码，采用USB Key进行双向身份认证，解决E-token、USB Key单独存在时的缺陷，同时避免使用两种硬件带来的使用不方便，并减少用户在硬件上的资金投入，适合在实际中应用。 　　 关键词：USB Key；短信；身份认证；网银安全 　　 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2011) 23-0000-02 　　 Online Banking Security Certification Scheme Based on SMS and USB Key 　　 Li Jing,Wang Liu,Fang Lili 　　 (China University of MiningTechnology,School of Computer ScienceTechnology,Xuzhou 221116,China) 　　 Abstract:Through comparing E-token and USB Key this two kinds of identification scheme based on the hardware,which are commonly used in the real life,E-token lacks two-way identification,and there is the risk of being intercepted of USB Key’s PIN code.So this paper presents a scheme that using SMS to obtain a random PIN code,using USB Key as two-way authentication to solve the defeats of the USB key and E-token when they are alone,at the same time,it will avoid the inconvenient of using two kinds of hardware and reducing the capital investment in hardware.Thus it is suitable for application in practice. 　　 Keywords:USB Key;SMS;Authentication;Online banking security 　　 引言：在公共使用的网络环境中，像网上银行的敏感信息（如密码、账号等）在传输过程中容易被截获、篡改[1]，像通过钓鱼网站获得用户登录时的信息，瑞典Nordea银行就因此在15个月内损失上百万美元[2]。为了解决用户ID+静态口令的传统身份认证方式容易受到穷举、重放[3]等多种形式的攻击，因此需要基于动态口令的身份认证机制[4]，中国银行的E-token就是这种原理。但是单纯的动态口令存在中间人攻击的危险[2]，而且现在RSA动态口令牌已被攻破[5]。所以本系统用短信[6]获得随机的PIN码，解决单独使用USB Key时PIN码被黑客截取和USB Key没有及时拔下带来的危险[1]。用USB Key验证客户和服务器的身份，防止假冒攻击。 　　 一、单独使用硬件的缺陷 　　 使用硬件进行身份认证，有效防止了非法用户窃取存储???用户硬盘上的身份认证信息，但也存在单独使用硬件的缺陷。 　　 （一）单独使用E-token存在的缺陷 　　 银行提供给用户的E-token每60 s更新一次动态口令，但是为了避免网络传输延时和操作上的延时，E-token中的动态口令在5分钟内都是有效的[7]，黑客可以根据当前截取到的口令进行分析，得出时间窗口内的口令。 　　 动态口令只是银行认证系统通过用户输入的动态口令验证了客户的身份，而客户没有认证对方是否是真的银行认证系统，这种单向的身份认证容易被钓鱼网站利用，骗取用户的动态口令，造成用户的损失。 　　 （二）单独使用USB Key存在的危险 　　 非法用户可以截取用户输入的静态PIN码，在用户忘记取下USB Key时，非法用户使用已截取到的PIN码，加上没有拔下的USB Key通过肉机进行非法操作。 　　 二、系统的构成 　　 该系统由短信模块、密码生成中心、身份认证服务器，双向身份认证模块、网银服务器、USB Key构成。 　　 身份认证