手机银行安全性技术研究

  • 格式:pdf
  • 大小:1.75 MB
  • 文档页数:2

信息安全• Information Security212 •电子技术与软件工程 Electronic Technology & Software Engineering【关键词】手机银行安全 威胁分析 安全评估1 前言随着移动终端的研发,手机早已经不仅是为通信而存在,智能手机也已经不再是奢侈品,更加成为娱乐和商务功能的主要应用对象,同时也成为人们工作和学习的有力助手。

2013年1月15日,国内手机市场整体规模达2.6亿台,相比2012年同期增长20.6%。

随着快速发展的无线网络技术,智能手机的功能越来越强大,更重要的是带有WiFi 和3G 或4G 功能,使得上网速度,安全性和稳定性都获得了很大的提升。

手机银行安全性技术研究文/徐立杰 程晓荣手机研发技术的发展给手机银行的使用带来了巨大的契机,银行与每个人的生活息息相关,传统的银行柜台服务经常是长队如龙,排队浪费人们大量的时间。

通过各种智能终端和手机连接到手机银行的用户可以直接完成各种银行交易。

伴随着智能手机技术的发展,通信速率和功能的拓展以及手机存储技术的进步,促使手机应用愈加广泛。

同样,这也造成手机保留越来越多的重要数据信息, 使手机上的各种数据成为攻击者的新目标,手机的信息安全将从最初的用户隐私上升到数字内容安全,以及支付安全等各个方面。

移动互联网与业务应用的重要组成部分,手机的安全性,是关系到移动互联网业务的基础,如何保障手机银行相关系统的安全,安全评估必须作为系统建设的基础,也是系统安全的重要保障。

2 手机银行主要使用的技术探究手机银行现阶段主要使用的技术有以下三种:2.1 SMS方式SMS(short message service)即短信服务方式,该实现方式主要是由手机银行系统,短信中心以及手机终端组成。

客户使用SIM 卡上的菜单用加密短信方式向银行系统发出短信指令,然后通过GSM 网络发出短信;GSM 短信中心系统收到短信之后,转发给银行系统,银行系统接着对短信内容执行处理。

银行主机处理客户请求后,系统将处理结果转换成短信格式再把需要的结果短息信发给客户。

该方式的优点就是客户很容易接入手机银行系统,缺点则是较复杂的银行业务交互性差,完成一次业务也可能需要发送多条短信。

2.2 STK(Sim Tool Kit) 方式手机银行卡系统的客户端使用的贴片式SIM 扩展卡,是标准的CPU 智能卡。

采用STK 技术实现相关功能,通过加密短信和柜面端进行交互,因此,只要支持STK 功能、能够收发短信的手机都可以使用。

而STK 功能是GSM/CDMA 规范的标准功能,绝大部分手机都支持该功能,因此手机银行卡具有良好的开放性。

2.3 WAP方式WAP(Wirelessa Application Protoeol)即通过WAP 的方式使用手机浏览器访问银行网站办理银行业务。

WAP 方式是一种无线应用协议,是全球性的开放协议。

手机银行客户端无需安装任何软件,绝大部分手机都内置WAP 浏览器。

使用WAP 浏览器来处理银行业务的在线服务很早就已成为国内外手机银行的主流技术。

授权的用户进入系统。

对身份认证系统有以下要求:(1)信息的相互传递需要能够不具备可传递性。

该要求主要是为了能够防止当用户发送完成相关的验证用户信息后,第三方截取该验证信息后进行伪装攻击所进行要求的。

(2)身份验证能够具有实时性,也就是指双方的身份验证必须能够在较短的时间内完成。

(3)加密密钥的存储安全要得到保证,防止第三方窃取密钥,造成信息泄露。

3 系统的设计整个防盗系统的核心模块主要是由RFID 模块组成,由于篇幅有限,笔者主要对RFID 模块的具体设计进行一个较为详细的讲述。

整个RFID 模块通信系统的结构框图的设计如图2所示。

在对RFID 模块进行选型时,从低功耗、传输速率以及识别距离等多个方面来进行考虑,最后选取的是由NXP 公司所研发和生产的PCF 7900这款RFID 模块,该模块的工作频率为12.49MHz[1] ,具有较高的集成度,其识别距离也比较广,在所使用的系统之中没有增加有源电路的情况之下,该款芯片也能够依靠自身的内部发送器来完成相关数据的发送和接收,其工作距离可以达到1.5米。

该款芯片内部还集成有高集成度的模拟电路,能够较好的实现卡内解调以及解码的相关操作,同时还带有一组并行接口,通过该接口可以直接和相应的八位控制器相连,大大降低的系统设计难度,在并行接口内部还拥有IRQ 线与地址锁存,能够较好的与相连的控制器灵活的完成相应的中断处理任务,并有一个低功耗的硬件复位模块,具体的RFID 发射天线原理图的设计如图3所示。

3 总结笔者通过利用RFID 技术,将其运用于汽车的智能钥匙和车载模块中,结合AES-128算法,能够在一定程度上降低汽车被盗的风险,对汽车防盗技术的研究具有一定的帮助作用。

参考文献[1]NXP. PCF7900ATT/PCF7900ETT: ActiveTag IC and Processor[Z].2009.[2]单承赣,单玉峰,姚磊.射频识别(RFID)原理与应用[M].北京:电子工业出版社,2010.[3]游战清,李苏剑.无线射频识别技术(RFID)理论与应用[M].北京:电子工业出版社,2004.作者单位海军驻北京二三九厂军代表室 北京市 100013<<上接211页Information Security •信息安全Electronic Technology & Software Engineering 电子技术与软件工程• 2132.4 客户端方式客户端方式就是指在手机上面通过下载安装客户端软件,利用Client 方式实现访问手机银行功能的软件技术,目前流行的主要有KJA V A 、BREW(Binary Runtim Environment for Wireless)、iPhone 等不同平台的版本。

客户端软件对手机终端要求较高,需要对指定的手机开发客户端软件,优点是客户端软件针对性更强,更多的功能都集成在客户端软件中,访问速度加快,缺点就是各种版本的手机操作系统的能力和特点存在着很大的差异,增加了开发的难度,维护成本也比较高。

3 手机银行安全机制分析几乎所有商业银行都推出手机银行业务,手机银行的安全产品可分为两类:3.1 独立于手机终端的安全产品主要有以下几种静态密码:客户预先留存的密码,每次使用银行服务帐户时使用此密码登录,密码发送到银行,服务器提取银行系统的密码进行比较保留,使客户身份验证得以实现。

静态密码安全性较低,存在着比较严重的安全隐患,易受到暴力破解、钓鱼网站诈骗、键盘记录、在线篡改等攻击,其优点体现在易用性方面,用户在初次使用以及交易时的易用性较好。

电子银行口令卡:以矩阵形式印有若干字符串的卡片,每个字符串对应一个唯一的坐标。

在验证身份时,用户将系统指定坐标所对应的字符串作为密码输入,系统校验密码字符的正确性。

在使用上,用户不需要安装程序,初次使用时的易用性较好,但在交易时易用性较差,且使用过程比较繁琐。

动态口令牌:是一个有显示屏的专用硬件,类似电子表,内部有电源,有显示芯片,一般以一分钟为一个显示周期,用此设备产生的动态口令输入到手机终端设备让银行系统进行核对,至此就实现了客户的身份认证。

安全性较好,不容易被复制,不需要在手机或电脑安装程序。

缺点就是完成一次交易较复杂。

证书密码器:也是一种内置电源和芯片,能够随机产生密码,有外显示屏以及数字键盘。

客户可以依靠数字键盘把拟交易的金额还有账号名称等信息手工输入到证书密码器中去。

密码器经过一定的安全算法对交易要素进行签字,产生安全密码。

其优点在于安全性高于动态口令牌,能够有效地预防病毒篡改交易信息,而且还能够依靠签名防止交易抵赖。

不足之处是使用较为复杂,需要输入一些用户的交易信息。

3.2 基于手机终端的安全产品手机银行尤盾:其技术原理与在普通电脑使用的网上银行尤盾类似,手机银行盾是以存储卡的方式,使用它之前需要银行系统事先为客户签发证书。

证书一般会存在于移动终端的内存卡中,用户通过专门的浏览器来登陆手机银行网站。

当客户在手机银行办理业务需要安全认证的时候,专用的浏览器会自动调用存储于内存卡安全认证,当客户输入密码后完成签名认证。

还有一种方式是在SIM 卡上贴膜。

这两种手机银行尤盾的优点就是便于携带,不需要额外的设备支持。

缺点是容易受到病毒攻击。

手机证书密码器:原理与证书密码器类型,它只需要把安全认证模块预先装入到手机内存卡或者SIM 卡膜片上,不再需要额外的设备。

用移动终端的数字键输入密码和一些交易信息。

缺点是初次使用需要购买专用的装在有安全认证模块的内存卡或者SIM 卡膜片。

4 移动终端面临的安全威胁4.1 威胁分析客户使用网上银行最关注的一件事情就是安全问题,在普通电脑网络环境中面临的安全威胁种类繁多,在移动网络环境下要想实现一个安全性高的需求是极其复杂的。

随着移动终端设备的发展,相应的移动网络技术也在迅速发展,在互联网中出现的各种安全问题逐步开始向移动网络延伸。

在移动终端中也出现了各种病毒和攻击。

因而,手机银行安全问题越来越受到关注。

手机银行与互联网网上银行类似,遇到的安全威胁主要包括以下几种:手机钓鱼网站、在线篡改个人信息、暴力破解用户密码、键盘输入信息记录、远程控制等。

(1)移动网络对手机银行安全的主要影响有如下情况:最主要的就是移动网络本身的安全机制存在着较大的漏洞,运行在移动网络上面的各种实体会面临到一些威胁。

比如手机比较容易遗失,一般在移动终端设置的密码都不是特别复杂,这就给不法分子有机可乘,容易让不法分子利用密码破解软件对密码进行破解。

(2)手机本身也有许多安全威胁存在,移动终端的主频越来越高,内外存越来越大,但是各个厂商对其设计时的安全性考虑很有限。

对手机银行的安全性产生影响的主要有如下几个方面:病毒攻击威胁,主要是通过手机本身的漏洞程序或者是手机操作系统的漏洞进行下载和传播,使手机上面的信息和各种资源受到严重的威胁;木马威胁,主要是进行自身的复制,窃取终端上的账号密码等个人隐私信息;漏洞威胁,手机操作系统的系统漏洞比PC 机操作系统漏洞还多,操作系统上的各个应用程序在设计和实施的过程中都存在潜在漏洞;窃听威胁,在移动通信的信道中,个人重要信息很容易被各种监听设备捕捉到。

最严重的威胁是由于客户个人疏忽造成手机的丢失或者个人信息的泄露,所以我们需要从以上几个方面引起重视,防范手机银行中的各种威胁。

4.2 手机银行安全性评估的需求经过上述分析,我们得出:针对手机银行安全的评估主要可以从以下几个方面探究。

智能手机终端是手机银行发展的主要趋势,我们需要重视手机银行的安全问题。