网上银行安全支付问题研究

发布时间：2019-09-28 04:28

【摘要】：随着网上银行用户数量和交易金额的日益增多,网上银行系统成为很多攻击者的首选目标,其安全问题也成为很多用户选择网上银行时的主要考虑因素之一,这在一定程度上阻碍了网上银行业务的发展。在线支付的安全问题已成为各大银行和研究者的关注焦点。根据在线支付系统的一般流程,对客户端在登录和请求支付时可能面临的各类攻击模型进行讨论,根据攻击手段给出其安全性分析和具体的解决方案,重点分析了攻击者篡改签名数据的方法和流程,给出了相应的设计方案和防范措施。
【图文】：

２．３键盘输入记录一般安全性的网上银行登录机制只需要用户通过键盘输入用户名和密码，攻击者可以通过键盘记录程序轻易获得用户的按键信息，攻击行为主要发生在２．１节中的第２步。图１显示了记录键盘输入的大部分攻击节点。具体的攻击方法是在应用层利用键盘钩子、日志钩子、消息钩子，在内核层利用键盘过滤驱动程序劫持Ｋｂｄｃｌａｓｓ驱动的派遣函数、劫持键盘中断等。Ｆｉｇｕｒｅ１Ａｔｔａｃｋｎｏｄｅｓａｎｄｒｅｌａｔｅｄｍｅａｎｓ图１键盘输入记录的攻击节点示意图部分网上银行将用键盘直接输入用户名和密码更改为用软键盘输入，可以部分增加攻击程序获取用户密码的难度。但是，攻击者仍然可以利用传入网上银行控件的实际信息或直接对控制的客户端进行录像来获得密码。２．４篡改签名数据目前一般利用密码学的相关机制来保障网上银行的交易信息在客户端与服务器端的通信传输安全，利用加密机制保障数据的保密性，利用数字证书和数字签名机制保障数据的可靠性和不可否认性。数字证书可以分为文件数字证书和基于智能卡的数字证书两大类。文件数字证书一般存储于计算机中，需要利用用户的私钥进行数据签名时，由系统调用文件证书内的私钥信息进行签名。由于证书存储在计算机中，非法操控计算机的攻击者也能读取相应的文件数字证书对信息进行签名，从而导致非法交易。基于智能卡的网上银行客户端交易系统相对而言比较安全。智能卡中的私钥存储在硬件设备中，只能在硬件设备内进行签名运算。在用户转账交易阶段，攻击者主要有两个攻击点，一个是篡改签名数据，一个是篡改用户的交易页面。第一个攻击点的作用是更改送入智能卡中的待签名数据，得到伪造数据的签名信息。第二个攻击

抵抗交易劫持的安全设计为了抵抗２．３节所述的攻击模式，很多网上银行的安全机制设定用户在输入密码时使用软键盘或在客户端强制安装防木马的键盘驱动软件扫描程序等。部分在线交易在确认信息中加入了多因子认证技术，如将交易密码设置成动态密码（包括电子口令卡、手机动态密码、安全密码器等）［１７～１９］，这些技术均在一定程度上保护了网上银行的安全，其原理均是加入人工干预。但是，这些安全机制均不能抵抗２．４节所述的攻击模型。基于对２．４节直接对签名数据进行攻击的模型分析，图３给出一个可以抵抗交易劫持的安全系统模型，其安全假定为客户端被入侵并完全可控。Ｆｉｇｕｒｅ３Ａｓｅｃｕｒｉｔｙｍｏｄｅｌｏｆｔｈｅｏｎｌｉｎｅｂａｎｋｉｎｇ图３安全系统模型图如图３所示，在客户端有带屏幕显示的第二代智能卡，在客户端与服务器端设置时间同步的随机数发生器。主要安全机制为：（１）用户的交易密码通过智能卡的按键端输入，不会以明文形式出现在客户端设备中；（２）在方案中增加随机算子参与用户动态交易密码的生成，使得用户每次交易产生的交易密码均不相同；（３）服务器向客户端发送确认信息，，并发送手机短信作为多因子认证手段，可以在一定程度上增加人工干预和信息确认的程度，从而增加在线交易的安全性；（４）利用智能卡存储用户的私钥证书，可以保证用户私钥的安全和利用私钥进行签名的过程的安全。特别地，带有显示屏的二代智能卡设备，可以在确认前通过用户对显示屏中的交易信息进行确认来参与签名过程。这种方式可以抵抗２．４节所述的攻击模型。网上银行的最高安全目标是在一个假定不安全的环境中获得最高的安全防护级别，即假定
【作者单位】： 西安科技大学计算机科学与技术学院;北京邮电大学软件学院;
【基金】：西安科技大学科研培育基金资助项目(A5150531)
【分类号】：TP393.08;F830.49

【相似文献】

相关期刊论文 前10条

1 ;香港浙江第一银行加强网上银行服务[J];中国金融电脑;1999年09期

2 翁新辉,陈浩;网上银行:你准备好了吗?[J];福建金融;2000年07期

3 张晓晖;发展网上银行的思考[J];新疆金融;2000年09期

4 ;西欧及香港网上银行考察报告——对网上银行建设和发展的建议(续前)[J];中国金融电脑;2001年03期

5 绍兴银监分局调研组;网上银行:金融创新及风险控制[J];浙江金融;2005年01期

6 冉勇;论我国中央银行对网上银行的监管[J];财经科学;2001年02期

7 李琪,苏小军;中国网上银行发展的现状及对策探讨[J];中国金融电脑;2001年10期

8 黄燕,蔡虹,刘杰;2002金融展系列报道之一 三条曲折的主线[J];互联网周刊;2002年33期

9 吴静深;;网上银行——现代商业银行发展的必争之地[J];法制与经济;2006年05期

10 裴立公;;关于我国金融业发展网上银行的思考[J];华南金融电脑;2006年06期

相关会议论文 前10条

1 冯颖;沈健炜;;基于PKI/PMI的电子政务信息安全系统[A];中国地理信息系统协会第九届年会论文集[C];2005年

2 李红;卿昱;;结合生物特征与密码的认证系统研究[A];第十一届保密通信与信息安全现状研讨会论文集[C];2009年

3 鲁洪成;陈信祥;;PKI技术在OA系统中的应用[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集（下）[C];2006年

4 何军;;涟钢银企网上银行互联设计与实现[A];中国计量协会冶金分会2008年会论文集[C];2008年

5 肖联民;周莉;史向辉;;打造离柜式数字银行 推进社会缴费通进程[A];提高全民科学素质、建设创新型国家——2006中国科协年会论文集（下册）[C];2006年

6 叶茂;彭蓉;周双娥;;基于RGPS元模型框架的银行领域建模方法[A];2009年研究生学术交流会通信与信息技术论文集[C];2009年

7 刘刚;梁野;李毅松;马骁;王文;李勃;陈贵凤;;数字证书技术在电力二次系统中的实现及应用[A];2006电力系统自动化学术交流研讨大会论文集[C];2006年

8 宋明生;林元军;;网络银行的风险及其防范[A];中国内部审计协会现代企业风险管理论文汇编（下册）[C];2005年

9 管会生;;公用分组数据交换网上银行通存通兑系统的数据安全与文件加密[A];第九次全国计算机安全学术交流会论文集[C];1994年

10 金宏波;;浅析PKI的信息化物证[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年

相关重要报纸文章 前10条

1 天津 张文兵;听专家说网上银行防盗[N];电子报;2006年

2 赵晓涛;趋势科技推出网银安全产品[N];网络世界;2009年

3 记者 向杰;“网银窃贼”病毒来袭用户资金遭受威胁[N];科技日报;2009年

4 鲁德明;网银安全：用户难以承受之重[N];金融时报;2006年

5 ;网上银行首次用指纹登录 一个账号可绑定8个指纹[N];网络世界;2007年

6 ;核心产品是关键[N];网络世界;2002年

7 电脑商报记者 张戈;网上银行联盟化[N];电脑商报;2009年

8 见习记者　 王睿;电子银行,各有千秋[N];上海金融报;2006年

9 本报记者 姜姝;速递!卡巴斯基实验室全球峰会[N];中国电脑教育报;2008年

10 王宏斌;基于Web Services技术的网上银行集成体系框架[N];现代物流报;2006年

相关博士学位论文 前1条

1 王皓;基于身份密码体制的研究[D];山东大学;2012年

相关硕士学位论文 前10条

1 赵国坚;网上银行之路[D];对外经济贸易大学;2002年

2 韩琦;差异化战略在网上银行中的应用[D];对外经济贸易大学;2002年

3 陈义;网上银行的银行与客户关系的研究[D];对外经济贸易大学;2001年

4 耿少羽;网上银行跨行互联系统的设计与实现[D];吉林大学;2010年

5 乔勇;网上银行与电子货币的监管与调控[D];首都经济贸易大学;2003年

6 赵菁;网上银行服务质量模型研究[D];对外经济贸易大学;2006年

7 付慧;网上银行环境下企业客户潜在价值影响因素研究[D];浙江大学;2006年

8 郑莉;网上商户B2C系统及其安全机制[D];吉林大学;2006年

9 李俊秀;Struts框架研究及在网上银行中的应用[D];浙江大学;2006年

10 闫义;电子印章系统设计[D];吉林大学;2009年

本文编号：2543101