【正文】 . P產(chǎn)生一個(gè)相同的SK，并且P和S之間進(jìn)一步的通信由SK加密。做完這一步然后繼續(xù)下一個(gè)，否則此交易確認(rèn)會話將被終止。對于它的傳播[18]，目標(biāo)設(shè)備會顯示一條消息，詢問其用戶通過藍(lán)牙接收消息的確認(rèn)。l 域欺騙：假設(shè)攻擊者可以直接在客戶端通過域名假冒的銀行網(wǎng)頁劫持[20]，類似于釣魚攻擊，攻擊者不可能收集客戶的任何信息。在這種情況下，對于攻擊者這將比陌生人竊取手機(jī)更容易，不只是熟人有更多的機(jī)會留在目標(biāo)周圍，而且行為不容易被發(fā)現(xiàn)或懷疑。但是，當(dāng)攻擊者是目標(biāo)客戶的熟人的時(shí)候，這種情況下概率可能增加。這就意味著如果在有限的輸入次數(shù)里攻擊者不能輸入正確的密碼，通常是三次，客戶的DC將會被鎖定，這就要求客戶在銀行的服務(wù)員的幫助下解鎖。l 網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚攻擊目標(biāo)通常是受害人的用戶名和密碼。 移動電話惡意軟件分析在過去的幾年里，移動電話的外觀和功能已經(jīng)改變了很多。2. P使用對稱密鑰SK解密，并在其屏幕上顯示T，然后轉(zhuǎn)發(fā)｛T，RS1｝PKC到M。C的簽名模式：｛H(RC,RS)｝PVC。USB令牌方案作為網(wǎng)上身份認(rèn)證的解決方案，其有不爭的優(yōu)勢，但是它也暴露了一堆缺陷。生物識別技術(shù)是另一個(gè)牽連‘Something a person has’的因素。在第二節(jié)中，我們描述了相關(guān)的工作。用戶可能會忘記它，從而不得不把密碼寫下來以便于之后提醒他。使用移動電話進(jìn)行網(wǎng)上銀行身份驗(yàn)證Xing FangNational Center for the Protection of FinancialInfrastructureMadison, South Dakota, USAxingfang912Justin ZhanNational Center for the Protection of FinancialInfrastructureMadison, South Dakota, USAjustinzzhan摘要：網(wǎng)上銀行身份驗(yàn)證在網(wǎng)上銀行安全領(lǐng)域起著重要作用。此外，新興的網(wǎng)絡(luò)釣魚技術(shù)[3]滋生了大量的釣魚網(wǎng)站誘使受害者親手將自己的密碼泄露。在第三節(jié)中，我們介紹了我們的方法。這兩個(gè)因素與原來的密碼方案，即一個(gè)人知道的東西，組成了三個(gè)傳統(tǒng)的網(wǎng)上認(rèn)證因素[8]。這很尷尬，因?yàn)槊慨?dāng)用戶想要使用網(wǎng)上銀行時(shí)，客戶需要額外的USB閃存驅(qū)動器。5. S首先驗(yàn)證C的證書，然后通過使用PKC解密并比較哈希結(jié)果驗(yàn)證其簽名。3. M檢索T并在它的屏幕上顯示。如今，手機(jī)類似于一個(gè)小型的個(gè)人電腦，通常擁有一個(gè)鍵盤和一個(gè)操作系統(tǒng)。由于我們的身份驗(yàn)證協(xié)議的用戶不需要提供其密碼，不應(yīng)該接受這種類型的攻擊。除此之外，當(dāng)客戶發(fā)現(xiàn)他的手機(jī)丟失了，客戶可以調(diào)用銀行的幫助臺立即停用他的數(shù)字證書。在這種情況下，在我們今后的工作中降低這種風(fēng)險(xiǎn)是值得的。l 攻擊者是熟人。在他可以收到客戶的DC之前，他必須提供一個(gè)假的欺騙客戶，這是不可行的。Cabir[17]，一種藍(lán)牙蠕蟲病毒，利用藍(lán)牙渠道當(dāng)手機(jī)運(yùn)行Symbian系統(tǒng)時(shí)本身將傳播到其他移動電話。如果內(nèi)容匹配，C要通過點(diǎn)擊M上的接受按鈕來確認(rèn)T。SK的生成是基于了解了RC、RS和前主片的。更嚴(yán)重的缺陷是，該計(jì)劃不能防止假交易被簽署。此外，手機(jī)OTP容易泄漏，因?yàn)檫@讓攻擊者竊聽明文發(fā)送的SMS消息。在第五節(jié)，我們提供了一個(gè)結(jié)論。與此相對應(yīng)，已經(jīng)開發(fā)出各種重點(diǎn)解決網(wǎng)上銀行的密碼驗(yàn)證的安全問題的解決方案。在本文中我們引入一個(gè)新的網(wǎng)上銀行的身份驗(yàn)證協(xié)議。如果密碼很短或有一些線索使得它容易記住，它就難以抵抗?jié)撛诘墓簟Ｎ覀兊慕鉀Q方案屬于這一類，將客戶的移動手機(jī)存儲他的證書，而不是閃存驅(qū)動器。多因素認(rèn)證[4]是由聯(lián)邦金融機(jī)構(gòu)檢查委員會（FFIEC）所提出的解決方案，以應(yīng)對第三個(gè)安全問題和今天充滿風(fēng)險(xiǎn)的互聯(lián)網(wǎng)環(huán)境。它可以嵌入到個(gè)人電腦、筆記本電腦和手機(jī)。3. C使用M的鍵盤輸入PIN。該協(xié)議的步驟如下所述。然而，這樣一個(gè)安全優(yōu)勢是不足以證明手機(jī)比USB閃存驅(qū)動器更適合網(wǎng)上銀行認(rèn)證。為了使描述清楚，我們將攻擊分為兩類：遠(yuǎn)程攻擊和本地攻擊。然后，攻擊者的下一個(gè)挑戰(zhàn)是要搞清楚手機(jī)的PIN碼。通過將所有的攻擊分為兩類，我們能夠清楚地注意到，該協(xié)議對所有遠(yuǎn)程攻擊免疫。相應(yīng)地，此時(shí)得到正確的手機(jī)PIN碼對攻擊者而言也不是個(gè)挑戰(zhàn)。然而，如果沒有客戶手機(jī)，攻擊者將無法確認(rèn)任何交易。在此之后，Cabir繼續(xù)迫使其主機(jī)尋找其他可用目標(biāo)，繼續(xù)傳播。5