中文--使用移动电话进行网上银行身份验证(编辑修改稿)

中文--使用移动电话进行网上银行身份验证(编辑修改稿)内容摘要：

响应P：S复核配置并把密码的选择和银行证书，一个RS，客户证书的要求一起发送回去。 2. 在一个银行的证书验证成功后，为了用来证明目前的M持有者是真正的C，M显示一条消息提示C输入PIN。 3. C使用M的键盘输入PIN。 4. C的证书与PKC、C的签名和前主片相结合，当正确的PIN给出后由PKB加密后发送到S。 C的签名模式：｛H(RC,RS)｝PVC。 5. S首先验证C的证书，然后通过使用PKC解密并比较哈希结果验证其签名。 最后，S为进一步使用，计算一个对称密钥SK。 SK的生成是基于了解了RC、RS和前主片的。 6. P产生一个相同的SK，并且P和S之间进一步的通信由SK加密。 在这点上，成功地完成认证过程。 客户端数字证书可以获取银行信息，当客户打开她的帐户或从银行的网站载后。 而客户端的公钥私钥对能在她的手机由TPM产生。 而客户端的公钥私钥对能够产生的内银行的证书在第2步验证实际上是由P的浏览器进行的。 如果验证失败，认证过程将立即终止。 手机在线身份验证协议的步骤今天的PC已经成为一个不受信任的设备[16]这是有争议的。 然而，无处不在的恶意软件，如特洛伊木马和后门，联接到Internet的计算机容易受到黑客甚至脚本的操纵。 因此，如果在这样的计算机上进行网上交易这是绝对危险的，尤其当这恶意的个人电脑有能力修改交易。 为了解决这个问题，交易确认提供了一个对策要求客户使用她的手机确认在线交易。 该协议的步骤如下所述。 图2 交易确认协议1. 由于交易需要得到证实，S发送以下消息到P：｛T，｛T，RS1｝PKC｝SK,其中T代表交易信息，RS1是S另外一个随机生成的数字。 2. P使用对称密钥SK解密，并在其屏幕上显示T，然后转发｛T，RS1｝PKC到M。 3. M检索T并在它的屏幕上显示。 C是能直观比较两个屏幕的T。 如果内容匹配，C要通过点击M上的接受按钮来确认T。 做完这一步然后继续下一个，否则此交易确认会话将被终止。 4. M对P发送确认消息｛H(T，RS1)｝PVC。 5. P对S转发｛｛H（T，RS1）｝PVC｝SK,这是等待检索以及对哈希和本地结果进行比较，以最终完成交易。 四、 安全与攻击分析在本节中，我们将对手机进行安全分析，然后再对协议进行现在的攻击进行分析。 移动电话的物理安全性分析手机我们的社会生活中已经变得越来越重要。 一个主要原因是，有越来越多的功能已经在手机中集成，如互联网浏览，手机银行和购物。 人们使用手机不仅用来打电话发短信，同时也用它们来处理相对复杂的事件，如阅读新闻、支付帐单、订票。 甚至开会。 手机越来越多的应用可能提高了他们的人身安全。 换句话说，人们现在比以前更多的关注他们的移动电话，这使得手机比其他人们不打算更多关心的设备比较难丢失或被盗，如USB闪存驱动器。 然而，这样一个安全优势是不足以证明手机比USB闪存驱动器更适合网上银行认证。 因此，对于可以对我们身份验证协议产生最严重威胁的手机恶意软件进行深入检查，这是可取的。 移动电话恶意软件分析在过去的几年里，移动电话的外观和功能已经改变了很多。 如今，手机类似于一个小型的个人电脑，通常拥有一个键盘和一个操作系统。 不幸的是，安全威胁像恶意软件，曾今只存在个人电脑上，已经被移植到了手机上。 Cabir[17]，一种蓝牙蠕虫病毒，利用蓝牙渠道当手机运行Symbian系统时本身将传播到其他移动电话。 对于它的传播[18]，目标设备会显示一条消息，询问其用户通过蓝牙接收消息的确认。 如果用户允许他的手机接收这条消息，该蠕虫就会在用户手机上安装。 在此之后，Cabir继续迫使其主机寻找其他可用目标，继续传播。 除了Cabir病毒，手机木马程序Skulls[19] 用骷髅图像取代应用程序图标以及使很多应用瘫痪来感染受害者的手机。 删除该木马程序的唯一方法是使用第三方文件管理器[18]。 尽管它具有可怕的传播能力，Cabir病毒在其主机上相当薄弱的影响：它只是耗尽电池或阻碍使用蓝牙[18]。 幸运的是Skulls的攻击很容易被保护，因为受到感染[19]之前有警告显示给用户。 此外，基于没有任何破环性事件由于手机恶意软件而发生这一事实，我们相信，手机仍然是一个相对于PC的外设更安全的环境。 因此，使用手机作为一种媒体来存储和处理认证组件是合理的。 协议的攻击分析在本节中将彻底描述和分析可以应用于该协议的攻击。 为了使描述清楚，我们将攻击分为两类：远程攻。