基于短信和USB Key的网银安全认证方案
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于短信和USB Key的网银安全认证方案范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:通过比较现实生活中常用的E-token和USB Key这两种基于硬件的身份认证方案,得出E-token缺少双向身份认证,USB Key存在被截取PIN码的危险,为此本文提出了用短信获取随机PIN码,采用usb key进行双向身份认证,解决E-token、USB Key单独存在时的缺陷,同时避免使用两种硬件带来的使用不方便,并减少用户在硬件上的资金投入,适合在实际中应用。
关键词:USB Key;短信;身份认证;网银安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-02
Online Banking Security Certification Scheme Based on SMS and USB Key
Li Jing,Wang Liu,Fang Lili
(China University of Mining&Technology,School of Computer Science&Technology,Xuzhou 221116,China)
Abstract:Through comparing E-token and USB Key this two kinds of identification scheme based on the hardware,which are commonly used in the real life,E-token lacks two-way identification,and there is the risk of being intercepted of USB Key’s PIN code.So this paper presents a scheme that using SMS to obtain a random PIN code,using USB Key as two-way authentication to solve the defeats of the USB key and E-token when they are alone,at the same time,it will avoid the inconvenient of using two kinds of hardware and reducing the capital investment in hardware.Thus it is suitable for application in practice.
Keywords:USB Key;SMS;Authentication;Online banking security
引言:在公共使用的网络环境中,像网上银行的敏感信息(如密码、账号等)在传输过程中容易被截获、篡改[1],像通过钓鱼网站获得用户登录时的信息,瑞典Nordea银行就因此在15个月内损失上百万美元[2]。为了解决用户ID+静态口令的传统身份认证方式容易受到穷举、重放[3]等多种形式的攻击,因此需要基于动态口令的身份认证机制[4],中国银行的E-token就是这种原理。但是单纯的动态口令存在中间人攻击的危险[2],而且现在RSA动态口令牌已被攻破[5]。所以本系统用短信[6]获得随机的PIN码,解决单独使用USB Key时PIN码被黑客截取和USB Key没有及时拔下带来的危险[1]。用USB Key验证客户和服务器的身份,防止假冒攻击。
一、单独使用硬件的缺陷
使用硬件进行身份认证,有效防止了非法用户窃取存储在用户硬盘上的身份认证信息,但也存在单独使用硬件的缺陷。
(一)单独使用E-token存在的缺陷
银行提供给用户的E-token每60 s更新一次动态口令,但是为了避免网络传输延时和操作上的延时,E-token中的动态口令在5分钟内都是有效的[7],黑客可以根据当前截取到的口令进行分析,得出时间窗口内的口令。
动态口令只是银行认证系统通过用户输入的动态口令验证了客户的身份,而客户没有认证对方是否是真的银行认证系统,这种单向的身份认证容易被钓鱼网站利用,骗取用户的动态口令,造成用户的损失。
(二)单独使用USB Key存在的危险
非法用户可以截取用户输入的静态PIN码,在用户忘记取下USB Key时,非法用户使用已截取到的PIN码,加上没有拔下的USB Key通过肉机进行非法操作。
二、系统的构成
该系统由短信模块、密码生成中心、身份认证服务器,双向身份认证模块、网银服务器、USB Key构成。
身份认证服务器开始对用户进入网银界面负责,确定用户的身份,并通过双向身份认证服务器向用户证明自己的身份,以及更精确的确定用户的身份。
短信模块是系统用来通知用户当前使用USB Key的PIN码。
密码生成中心是系统使用随机序列发生器[8]产生随机密码,用以作为USB Key的PIN码。
USB Key里存储着用以进行双向身份认证的密码算法。
三、系统的工作流程
用户初始以一种安全的方式向用户身份认证服务器进行身份注册,同时系统绑定用户的手机号码,用户获得ID和登录系统时的静态口令。系统工作流程如图1所示。
图1:系统工作流程
用户使用自己的ID和静态口令登录系统。(1)身份认证服务器验证用户的身份。(2)验证成功后,网银服务器提示用户可以进行下一步操作。(3)客户端向身份认证服务器提出交易申请。(4)服务器通知密码生成中心生成随机的PIN码。(5)密码生成中心将随机的PIN码安全的传输给短信模块。(6)短信模块将PIN码安全的发送给客户端。(7)客户端通过手机获得PIN码后输入PIN码,系统认证PIN码正确后提示插入USB Key。(8)客户端和网银的身份认证服务器通过USB Key进行双向身份认证。(9)双向身份认证成功后,身份认证服务器通知网银服务器。(10)网银服务器执行操作,交易成功,此次使用的PIN码在使用后失效。网银服务器通过短信模块向用户发送交易成功提示。
四、安全性分析
(一)假冒攻击
由于本方案采用USB Key进行双向身份认证[9],可以有效防止攻击者冒充服务器或用户,有效防止钓鱼网站的威胁。
(二)口令猜测攻击
在使用USB Key之前,必须输入短信中的PIN码,系统认证通过后提示插入USB Key,短信中的密码都是随机的,动态的,即使非法用户获得用户的PIN码,由于非法用户没有用户的USB Key,所以无法继续操作。即使用户忘记拔下USB Key,因为短信中的PIN码已经使用过了,而此PIN码是真的随机序列[8],无法进行口令猜测攻击。
(三)无线链路安全
第三代移动通信服务WCDMA认证是双向的,机密是强制的,并且密钥长度增加到128bit;为信令提供完整性保护。WCDMA和CDMA2000具有通信保密[10],所以通过短信传输随机的PIN码是安全的,非法用户截取用户传输中的短信中的PIN码几乎是不可能的[11]。
总之,本方案汲取了动态口令的一次性和USB Key的双向身份认证功能,提高了使用USB Key的安全性。由于本方案中采取短信提示PIN码,对无线通信安全性要求较高,第三代移动通信服务已达到了系统的要求,但是第二代移动通信服务GSM只进行单向的身份认证,难以防止中间人攻击和假基站攻击,存在对SIM卡的克隆、对A5算法攻击、对信令网络的攻击等威胁[10],所以本系统不能使用第二代移动通信服务GSM。
五、结语
本文从实用性和安全性的角度出发,结合随机PIN码和USB Key,从原理上是一个双因子认证系统。首先用户必须拥有绑定的手机号码来获得短信提示中的PIN码,其次必须有USB Key才能进行交易,这两个因素保障了系统的安全性,有效防止中间人攻击、截取PIN码。与文献[12]相比,本方案采用手机短信代替E-token获得PIN码,避免了同时使用E-token和USB Key两种硬件来保障安全,具有用户在硬件上的资金投入少,使用的便捷性高等优点。但是本方案的安全性实施是基于第三代移动通信服务,对于使用GSM进行安全通信还有待进一步的研究。
参考文献:
[1]杨萍基,周苏婷.浅析网上支付不安全因素及防范措施[J].沿海企业与科技,2011,7:106-107
[2]袁峰.OTP能否锁劳网银账户[J].中国金融电脑,2008,8:31-34
[3]朱美佳,刘东苏,贾世准.基于移动电子商务的动态口令认证方案[J].信息系统工程,2010,10(20):65-67
[4]陈立志,李风华,戴英侠.基于动态口令的身份认证机制及其安全性分析[J].计算机工程,2002,28(10):48-49
[5]Zeljka Zora,RSA Admits SecureID Tokens Have Been Compromised[DB/OL].省略/secworld.php?id=11122,2011-06-07/2011-11-27.
[6]毛光灿,景旭.基于短信的动态口令系统方案[J].计算机工程与设计,2007,28(17):4122-4123
[7]魏永禄,朱红,邱兵.基于双因素特征的信息安全身份认证技术研究[J].山东大学学报(理学版),2005,40(3):76-79
[8]苏桂平,姚旭初,吕述望.信息安全系统中一种实用的随机数产生方法[J].计算机应用,2005,4:837-841
[9]刘怀兰,侯昕,王佳.改进的基于USB Key的动态身份认证方案[J].华中科技大学学报(自然科学版),2010,38(11):41-43
[10]杨义先,钮心忻.无线通信安全技术[M].北京:北京邮电大学出版社,2005,74-158
[11]姜学东,周宇飞.基于CDMA 1 X VPDN的银联无线POS系统应用[J].安徽大学学报(自然科学版),2007,32(2):37-40
[12]程宇贤,袁艺,薛质.基于硬件的网银认证系统安全性研究[J].信息安全与通信保密,2009,10:95-98
[作者简介]李晶(1990-),女,浙江湖州人,本科,江苏省徐州市中国矿业大学计算机学院信息安全专业,研究方向:网络安全;王柳(1990-),男,本科,江苏省徐州市中国矿业大学计算机学院计算机科学与技术专业,研究方向:软件工程;方丽丽(1989-),女,本科,江苏省徐州市中国矿业大学计算机学院信息安全专业,研究方向:信息系统安全。