简介:关于对不知道怎么写用户口令论文范文课题研究的大学硕士、相关本科毕业论文用户口令论文开题报告范文和文献综述及职称论文的作为参考文献资料下载。
杨忠
(贵州大学明德学院,贵州贵阳550004)
摘 要:在进行电子商务过程中,网上银行系统的安全保障尤为关键,而各银行采取的安全保障和防范措施是不同的.笔者通过对国内某银行网上银行系统的安全设计进行了研究分析,找出了其安全设计中存在的缺陷,并提出了两种解决方法.
关键词:电子商务;网银账户;USB-Key;动态口令卡;数字证书
中图分类号:TP393.08文献标识码:A
0引言
电子商务安全的核心是用户网上银行的账户安全、资金安全,解决了用户的*安全问题,也就解决了网络交易安全的核心问题.随着计算机网络的发展,电子商务也迅速的发展起来,国内的电子商务领域的三大代表:阿里巴巴( B2B)、当当( B2C)以及淘宝(C2C)的迅速发展都离不开各大银行的网上银行(以下简称网银)系统的发展,而各家银行网银的安全性也成为了关注的焦点.
1.网上银行支付安全的保障方式
随着计算机网络的大范围应用和普及,电子商务蓬勃发展,网络交易的安全越来越多受到人们的重视,尤其是网络交易中网上银行*的安全问题最为关注.
目前,在国内的网上银行体系中,主要竞争存在于两大商业银行(本文中分别以A行和B行表示)之间.这两家银行的网银用户占国内网银用户的绝大多数,并且这两家银行在网上支付环节上,都有两种主要不同手段进行网银用户的身份认证,一种是采用集成于Flash芯片上的USB-Key,另一种是采用一次一密设计的动态口令卡,即一次性口令机制.USB-Key适用于交易频繁,交易金额相对较大的用户,通过所使用芯片的加密位数来保障USB-Key的安全,其安全性取决于芯片算法的复杂度.论文范文一个普通用户的USB-Key的成本远远高于论文范文之后所能获得的收益.但USB-Key利用硬件加密的的制作成本也远高于基于一次一密的动态口令卡,因此对于普通的、消费次数不多的用户,大多数使用的是成本较低的一次一密动态口令卡.
在一次一密动态口令卡的设计上,两家银行采用的设计原理均是基于一次一密乱数本原理,但在口令卡的设计上两家银行的结构设计各不相同.A行的网上银行动态口令卡上印有以8*10为结构的矩阵,每格内均有一个3位数的论文范文.网银用户进行网上支付时,网上银行系统会随机给出一组口令卡坐标,用户需根据坐标从卡片中找到对应的行、列论文范文栏内的论文范文,输人6位正确代码后,才能完成正常支付.这种口令组合是动态变化的,即每次用户在使用时,随机生成一个行、列编号,所以每次使用时输入的论文范文都不一样,但该口令卡可以重复使用1000次.B行的动态口令卡,在设计上采用的是30个格子的一次一密乱数本,每个格子中均有6位阿拉伯数字构成的论文范文,其中第1个和第30个格子分别用于新卡注册和旧卡注销,因此真正用于支付的论文范文仅有28个,由于使用的是绝对的一次一密乱数本,B的网上银行口令卡在用户妥善保管口令卡的前提下是绝对安全的.因为一次一密乱数本是无法论文范文的,但是其缺点是可以使用的次数太少,仅仅28次.但目前B行为了更好地推广USB-Key已经停止使用这种以用户妥善保管口令卡为前提条件的绝对安全的一次一密乱数本.
2.A行口令卡存在的缺陷
A行目前使用是一种类一次一密设计,在理论上是很安全的,这种设计曾经被网游*商“第九城市”广泛使用,并号称安全性极高,但是利用“酷狮子”这类软件就能论文范文.A行口令卡采用的是一张8*10的数字坐标图型卡,每一组数字对应不同的坐标,而每一张矩阵卡都有自己的序列号,当你把口令卡与自己的网银账户绑定后,A行网银的数据库就会将绑定的那张密保卡的矩阵数字激活,当你进入网银进行支付等相关业务时,只有输入正确的矩阵数字才能进行支付.由于A行的动态口令卡的设计是相对的一次一密乱数本,并且他的使用次数为1000次,因此,A行的动态口令卡存在被论文范文的可能性.
当论文范文获取了用户的网银*和登陆论文范文后,对该账户所使用的计算机进行监控,当有交易进行支付时,系统会提示用户输入响应矩阵中的数字,当用户输入正确的矩阵数字之后,木*自动记录正确的矩阵坐标以及对应数字,然后再利用验证码输入超时的手段,导致支付用户交易失败,从而迫使用户再次输入矩阵数字,再次利用验证码超时的手段导致交易失败,这样周而复始几次之后,整个一组矩阵数字就到手T.与此同时,工行出于安全方面的原因还在其支付系统中设置了一个错误次数上限,当口令卡数据输入异常次数达到三次以后,该账户当天不能进行交易.此外,在掉线次数上被设计为每天累计掉线两次.这样不仅能够有三次记录机会,记录不多于6组的口令,同时还避免用户对自己*安全性的怀疑.
用户口令是什么:国内网站用户口令安全问题严重婚恋网站保护最弱
使用A行的网上银行动态口令卡的用户,在输入口令时,采用论文范文输入模式,而不是动态软论文范文,不法分子可以利用最简单的论文范文输入记录器来获取口令卡的信息,这些信息成为了日后窃取该账户资金必不可少的条件.
3.解决方案
建议A行从用户和自身角度考虑对口令卡的设计作一定的改进,采用类似于B行的绝对的一次一密乱数本方案.由于原有的口令卡已大量印刷发行,为了避免造成不必要的资源浪费,可以对A行的网银支付系统进行一些改进,即每次在用户进行支付时,随机生成密保卡上的两个坐标代码,用户输入正确的6位数字论文范文之后,两个坐标失效,从而构成了一次一密乱数本.因此,口令卡在用户安全保管的前提下,其网银*不存在被论文范文的可能性,这样不仅避免造成原有资源的浪费,还迅速提高了该系统的安全性.此外,在输入用户登陆论文范文时,能够自动生成一个输入器,用户通过鼠标点击进行论文范文输入,此举虽然增大了用户输入的复杂程度,但能够防止按键记录木马的侵入,相信用户在取舍安全性与输入方式的复杂度两者方面,更多会优先考虑安全性.
事实上,对于A行的动态口令卡的设计缺陷,更为深层次的原因是在设计之初并未考虑加入口令卡用户身份认证系统.为了解决A的动态口令卡设计缺陷,利用用户的数字签名作为身份认证的成为了必要手段之一.由于工行对普通口令卡用户颁发个人数字证书从而为其在安全方面埋下了一个巨大的隐患,不法分子可以利用基于前面所说的方法对账户进行监控、论文范文,最后转走资金.
2004年我国颁布了《中华人民共和国电子签名法》,成为世界上少数几个颁布数字签名法的国家,从法律上认可了数字签名.一个完善的电子签名应该具有以下三个作用:
1)签名者事后不能抵赖自己的签名;2)任何其他人不能伪造签名;3)如果当事双方关于签名的真伪发生争执,能够在公正的总裁者面前通过签名来确定其真伪.
A行在动态口令卡用户的支付模式从出现至今一直没有搭载使用个人数字证书,有的仅仅是在发生某行钓鱼网站事件之后,才增加了一个防钓鱼网站软件,这种做法完全无法取代数字签名的作用,不法分子仍然可以利用用户木马窃取用户的*、口令以及动态口令卡数据,在所有条件成熟之后进行盗窃犯罪.使用数字签名有以下几点优势:
1)用户可以确认是否正确的登录了A行的网站,从而避免登陆钓鱼网站,导致用户信息泄露、账户资金被盗的问题,取得了反钓鱼网站的作用.2)用户无法对交易进行抵赖,这一作用不仅可以保护银行的利益,也能很好地保护用户的利益.原因有两点,首先用户在进行交易时,网上银行系统会要求用户输入口令卡上的相关信息,并且与银行数据库所存储的信息相比较.如果验证相符,则进行下一步,此时系统会继续要求验证用户的数字签名.如果用户的数字签名,与银行数据库所存储的相同,支付等行为才能够被确认,这样一来可以有效地防止因用户*论文范文泄露,因为即使盗窃者拿到了用户的账户论文范文和动态口令卡矩阵,在缺少用户数字签证的前提下,交易仍然无法正常进行.对于银行来说,用户的数字签名就是用户身份认证的关键之一,如果银行在验证其数字签名与其数据库存储信息相吻合之后,所进行的交易行为在法律上都会被认定为是在该用户授权下进行的,避免用户以账户被盗为由,将网上交易产生的损失责任全部归罪于银行的安全问题.在法律上,数字签名可以作为身份认证的资料,用户有责任与义务对自己的数字签名进行妥善的保管,由于保管失误而导致的损失,应由用户承担全部责任.
在数字证书的管理与发放上,A行应利用金融系统CFCA机构负责管理A行使用动态口令卡的网银用户的数字证书,由CFCA机构负责数字证书的发放、更新、撤销、验证以及废除,在证书的设计上必须要考虑到不可复制性和不可否认性.不可复制性,主要是针对用户的安全性的考虑,防止论文范文在截获数据之后利用技术手段对证书进行复制,冒充用户进行交易.不可否认性主要是对银行的一种保护,在以不可复制性的前提条件下,避免用户冒充论文范文,在持有*、论文范文、口令卡及数字证书的情况下,进行恶意交易并对否认该交易,将责任归咎于银行的安全系统,当此类情况发生,可以由CA(认证机构)对此交易进行仲裁,判定交易的合法性和责任方.在证书的更新上,建议CA(认证机构)将证书的更新时间设定为证书每使用半年或者一年就强制更新一次.此外,发放的证书应设计成为不可导出的证书,其目的是防止利用远程控制技术将用户的证书导出,并冒充进行交易,或者其他有权限使用用户电脑的人员将证书导出.证书的不可导出性带来的麻烦在于当用户的电脑系统重装之后证书将会消失,必须到银行重新去开通网上银行,或者用户想在非证书初始安装的电脑上进行支付交易是无法实现的,这样可以很大程度提升用户的安全系数,但对于用户使用还是有些不便的.
随着网络的发展,利用网络进行交易也越来越多,与此同时论文范文技术也在迅猛发展,传统的安全手段已经过时,非USB-Key网银账户的安全性面临了更大的挑战,A行此前在口令卡上不强制使用个人数字证书的做法,曾一度为其赢取了大量的用户,尤其是不熟悉电脑操作又要使用网上银行的这部分用户,降低网银操作的难度对他们来说是最大的吸引,但是随着技术的发展,这种做法带来的危害就显而易见了,一旦有人利用A行的合作网站挂马,就必然会导致大量A行的网银用户被盗案件发生.
4.结论
通过以上分析,建议A行优先从用户账户安全的角度考虑,采取动态口令卡与个人数字签名相结合的方案,来保障非USB-Key用户的账户安全.从长远的角度,由于网银账户安全性的提高,网银账户被盗案的降低,对于银行吸引新老用户都有很大的促进作用,也对我国的电子商务的发展起到更大的推动作用.(责编张岩)
参考文献:
【1】王昭 网络与信息安全一身份鉴别【EB/OL】. http://infosec.pku.edu.cn/course/2004/pdf/04-08n.pdf 2007- 3-6/2010-7-19.
【2】九城论文范文,九城密保卡介绍(2)-银行*级别保护【EB/OL】http://www.7yx.com.cn/html/Article/2007/0528/20070528000000045838.html 2007-5-28/2070-7-19.
【3】技术用论文范文 “酷狮子”巧破《魔兽世界》密保卡【J】,计算机应用文摘,2007,22: 95.
【4】中国建设银行安徽分行.11类电子安全交易工具之盘点【EB/OL】. http://www.ccb.com/ah/20090825_1251160121.html2009-8-25/2010-7-19
【5】CFCA: 中国金融认证中心(China Financial CerriflcationAuthority,英文简称CFCA)CFCA是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一,也是《中华人民共和国电子签名法》颁布后,国内首批获得电子认证服务许可的CA之一,
作者简介:杨忠(1988-).男,本科,主要研究方向:网络通信与信息安全.
总结:该文是关于用户口令论文范文,为你的论文写作提供相关论文资料参考。
用户口令是什么引用文献:
[1] 用户体验论文范文 用户体验有关专升本毕业论文范文10000字
[2] 用户体验论文范文 用户体验论文范文例文8000字
[3] 用户体验论文范文 用户体验类有关论文写作参考范文3000字
