论文部分内容阅读
最近几年,随着网络技术的发展和电子商务的普及,网上银行业务开始迅速发展,国内网络银行的用户不断增多,网上银行交易量不停刷新记录。同时,网上银行的恶性事件也时有发生,诸如信息的泄露或篡改,欺骗,抵赖等问题,如何保证交易主体传输数据的安全成为电子商务这种新兴的商务模式能否普及的最为紧要的问题。因此,要发展电子商务就必须解决其安全问题,以保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。网上银行最脆弱的环节是客户端身份认证环节,网上银行身份认证作为网银交易系统的第一道防线,有着非常重要的作用。随着网络技术的发展,黑客攻击网上银行客户端的手段也越来越多,常见的单一的身份认证方式已不能满足现在用户的需求了,对此,本文主要探讨基于SET协议的电子商务支付系统的模式、功能和安全需求,提出了一种改进的网银在线支付终端身份认证机制,并对其进行了设计和实现。首先,深入分析了现阶段各种常见的网上银行身份认证方式的优缺点,提出了一种基于USBKEY和数字证书改进的认证方法,新的认证方法引入了随机数技术,以解决原方法无法抵御重放攻击的问题,并从理论上分析了该改进方法的安全性。其次,基于改进的认证方法,提出了一种新的基于Kerberos协议和公钥基础设施PKI结合USBKEY的多因子网上银行身份认证体系,该体系使用USBKEY来为用户提供物理身份的认证以防止口令猜测攻击,使用椭圆曲线算法加密解密数据以提高效率和安全性,使用轻量级目录技术来管理证书,以提高查询速度和减轻原体系中TGS负荷过重问题,同时采用会话编号方式来防止重放攻击。所提出的方案引入了CA颁发数字证书实现双向认证。最后对该系统的安全性进行了BAN逻辑证明,证明了改进体系的逻辑安全性,分析了改进体系的性能和效率根据网银的实际需求对多提出的体系的主要模块进行了设计和实现,并进行了测试。