关键字 |
手机银行、网络钓鱼、木马的恶意软件,用户身份验证,一次性密码,销,Fiestal网络 |
介绍 |
电子商务(EC)是一个术语用来执行任何类型的业务或商业交易在互联网的帮助下。提供服务,比如网上购物,trade,电子银行,在线服务,比如旅游门票预订,etickets等等。一个在线交易系统是一种支付方式,授权转让基金电子资金转移(EFT)。即使是在发展中国家人们喜欢网上支付,因为方便和成本。在网上交易,电子支付通过信用卡/借记卡片或直接网上银行交易。网络支付是最首选模式的任何事务,因为它具有安全特性。网络支付已经成为不可或缺的模式,正越来越多地使用从小商人大,开展业务。在线支付简化我们的生活,greatextent [1]。 |
电子银行(电子银行)是电子商务最成功的企业之一。客户是免费开展业务没有任何空间和时间的限制。银行使用电子银行,因为这不仅满足了客户的需求,也拥有更多的经济优势取代了高收入的银行职员与中央服务器成本少得多。随着科技的进步和完善,更复杂的智能手机和pda已经成为更受欢迎。因为人们认为手机是一个个人可靠的工具,成为他们生活的重要的事情。这使得剧烈改变我们如何执行我们的银行操作。几乎所有的设备能够使用互联网,手机是随后在电子银行的发展。[7] |
相关文献 |
答:手机银行。 |
短信银行是一种移动银行,服务提供商为其客户提供从银行,允许他们选定的银行服务操作在手机使用SMS消息传递。移动银行服务包括信息查询、通知和警报、应用程序和转移支付。[11]。手机银行(手机银行)比电子银行有更多的优点:可以随时随地访问这些设备,移动设备提供了比个人电脑更安全。即使银行雇用comparativelyless手机银行的职员数量受到如此的欢迎。收入和损失帐户而且有利:例如银行交易通过职员费用非常多银行事务使用移动银行应用程序[7]。用户能够访问他们的借记卡/信用卡信息占一个短信。使用短信银行,帐户余额可以检查,账户可以总结,奖励积分可以检查,对支票簿的请求,拒绝支付对发行支票可以做到的。生成事务提醒重要的事件(如信用支票,借方余额,信用卡/借记卡交易数量超过指定的数量,空头支票,缺乏最低账户余额的推动通过手机提供即时服务。任何访问在线支付的客户的银行账户转移,进入客户的剖面图将立即通过短信沟通,需要验证使用OTP(一次密码)收到客户的移动在继续之前的交易。 SMS alerts on unauthorized accesses to bank accounts, fraudulent transactions etc. are sent immediately to the customers. Mobile based application is used for connecting customer handset with bank server for all such services. Banks checks the authenticity of the user before any Pull services can proceed. The user’s mobile number must be registered with the home branch of the bank, in person, in which the customer has account. The bank, for any transaction or enquiry requested, checks the genuinely of the person and also the transaction initiated is approved, before proceeding using an SMS to the registered mobile number.[11] |
b .一次性Password-Mobile事务授权号码。 |
一次密码。(OTP)利用multi-factorauthorization /身份验证应用程序作为一个额外的因素。他们仅适用oneauthorization或身份验证请求。为了避免convenientway密码列表,为用户提供一个OTP通过短信发送。的电话号码的用户必须注册为服务提供了短信otp authenticationor授权。otp相当 |
流行的基于web的服务作为额外授权orauthentication因素。[2] |
的传统方法生成OTP每当用户发起一个银行事务如下。在第一步的用户进入首页他的银行帐户。然后他进入他的用户名和密码。他被允许登录到网页的个人帐户,如果用户身份验证是有效的。然后用户启动一个事务,银行服务器响应OTP也称为[2]移动事务授权号码(移动棕褐色或mTAN)他的手机或pda。这是第二个级别的身份验证完成,以避免密码盗窃。然后用户认证与OTP OTP自己。的OTP检查服务器和事务所得如果有效。 |
有两种主要方法OTP [5]。在第一种方法,称为基于时间的OTP, theone-time密码变化频繁的时间间隔(说,每两分钟)。secondapproach,称为基于事件的OTP,为每笔交易生成一次性密码或登录从不同的IP地址。 |
c . OTP威胁。 |
(我)无线截取: |
GSM技术不安全是由于一些漏洞如缺乏相互的身份验证和弱加密算法。进一步的研究表明,手机和基站之间的通信可以窃听和解密使用协议的弱点。最近,它已被证明,家庭基站(小3 g基站部署在用户家中)可以被滥用拦截3 g通信,包括短信[2]。 |
(2)手机木马: |
手机恶意软件,尤其是木马,包含otp旨在拦截短信,是一个不断上升的威胁。这种恶意软件是由犯罪分子直接赚钱的目的。在下面,我们提供的概述不同类型的短信OTP窃取木马。ZITMO(来自其它移动)的宙斯木马为Symbian操作系统是第一个已知的恶意软件是专门为interceptingmTANs创建的。ZITMO也可以删除短信。这种能力可以用来完全掩盖这样一个事实,一个SMS messagecontaining mTAN抵达受感染的电话。此外,通过SMS ZITMOTrojan可以远程配置。例如,通过这个攻击者可以改变目的地转发短信的数量。这个木马从网上商店购买物品,拦截包含验证码的短信,必须完成支付过程。此外,进一步的移动恶意软件,也偷了身份验证凭证,攻击手机主人[2]。 |
一个新的商业手机木马mSpy mobileapp,可以安装在手机被窃听。一旦安装完毕,普遍可以获得远程访问监控的移动,能够阅读文本,在需要的时候随时。mSpyinstalled,可以监控所有移动的电话,短信可以跟踪,邮件同步到手机可以读,可以跟踪GPS定位,日历和地址簿可以访问和即时消息可以阅读。它转移砍小数据包中的数据,这样就不明显,可以几乎从未被发现。[10] |
(3)网络钓鱼 |
网络钓鱼是一种形式的电子身份盗窃,社会工程和网站spoofingtechniques用来诱骗用户透露机密信息与经济价值。在一个典型的攻击,theattacker发送大量欺骗性电子邮件随机网民似乎来自legitimatebusiness组织如银行。电子邮件催促收件人(即。,the potential victim) to update his personalinformation using links in the email, if the recipient does not do so it will result in the suspending of his online banking account. Such un-grounded threats are common in social engineering attacks and are an effective technique inpersuading users. When the unsuspecting victim follows the phishing link provided in the e-mail, he is directed to a web site that is under the control of the attacker. The site is prepared in a way such that it looks familiar to the victim by imitating the visual corporate identity of the target organization by using same icons, logos and textual information. [1] |
一个。视觉欺骗文本:用户可能会被一个域名的语法在“顶式”攻击,替代字母可能会忽视(例如www.paypai.com使用小写字母“i”lookssimilar字母“l”,和www.paypa1.com替代品的数字“1”字母“l”。 |
b。图像屏蔽底层文本:网络钓鱼者使用的一个常见的技术是使用一个图像的一个合法的超链接。图像本身作为一个超链接到一个不同的,流氓网站。 |
c。Windows屏蔽底层:常用的网络钓鱼技术是将一个非法browserwindow之上,或旁边,一个合法的窗口。如果他们有相同的外观和感觉,用户可能mistakenlybelieve,窗户都是来自同一来源,不管地址或安全指标的变化。[1] |
(iv) Man-In-The-Browser |
MITB攻击本质上是一个男人中间MITM攻击,但与典型MITM攻击,这通常发生在协议层,MITB攻击用户和浏览器之间的介绍。尤其是木马,恶意软件是用于感染浏览器。恶意软件通常是当用户单击一个applet安装在一个网站,他/她是骗clickingbecause它声称一个更新或其他类似的行动是必要的。MITB当前杀毒软件恶意软件主要是检测不到的,尽管它可能会发现如果保护水平很高,也会抑制许多无害的程序。MITB修改用户的内容当一个在线银行网站访问通过添加额外的字段到页面为了妥协第二身份验证机制。MITB攻击,客户启动一个事务,攻击者修改交易凭据被破坏,额外的字段添加恶意软件警告攻击者,给黑客控制网上银行接口,因此操作语句和账户余额以反映客户的事务。一旦用户使用一个标记来生成一个OTP或接收短信,用户输入代码并在不知情的情况下授权操作事务的思考是正确的。[8] |
(v)窃取密码和身份盗窃: |
用户名和密码可以通过肩窥偷来的猜测。这些类型的攻击发生通常由一个密切联系的人。人类倾向于与他们的生日密码或者他们的最爱,容易记住。这使得fraudsterseasy猜和未经授权的交易。 |
基于恶意软件的攻击,宙斯,感染用户手机和嗅的所有短信被交付给受感染的移动。攻击者窃取用户名和密码使用恶意软件。攻击者然后部队用户安装恶意移动应用程序通过引诱他一些无辜的一段代码,攻击者然后用偷来的凭证登录。当OTP发送到用户手机进行验证,恶意软件将OTP短信转发到终端由攻击者控制的。攻击者然后进入OTP完成bankingtransaction。[13] |
为确保OTP相关技术 |
从各个malwares,保护OTP MITB攻击提出了不同的想法。 |
答:短端到端加密: |
第一个想法时使用端到端加密保护OTP消息theSMS消息被拦截或窃听。生成的OTP使用强大的AES加密算法。生成的OTP值是使用强大的AES加密算法并将其发送给用户。AES是迭代和非对称密钥分组密码,使用三个键的优势128年,192年和256年。AES使用128位加密和解密的一块。位。这是一个完美的保护个人数据加密算法。AES加密工具将输入文本转换为密文的repetitionsbased加密密钥。AES解密方法使用相同的过程来变换thecipher文本回到最初的纯文本使用相同的密钥。很难打破即使使用蛮力攻击。 The encrypted OPT password is send to mobile through Bluetooth technology or modem[13]. The drawback of this method is that it has large system load for encryption and decryption. |
b .虚拟专用通道手机: |
手机短信OTP木马是一个主要的威胁。创建一个虚拟专用通道,防止木马攻击,需要测试获得最小的操作系统制造商和minimal-to-no服务提供商和移动网络运营商的支持。这个专用通道内的手机操作系统通过删除某些短信广大交付过程在电话上和重定向到特殊OTPapplication。虚拟专用通道的终点是一个applicationwith默认短信应用程序类似的功能。它接收和storesSMS消息。唯一的区别是,它只会接收OTP消息,和它的消息存储不能由其他应用程序读取。[2]。服务器应该区分正常细胞的机密信息。 |
提出的方法获得一次密码使用FEISTAL网络 |
摘要Feistal网络加密算法加密OTP的方法。这种方法的主要优势是,输入的大小可以很容易地改变,符合生成在每一轮,这产生级联迭代。很难破解如果更多轮用于加密。 |
加密阶段 |
让F轮函数和K0K1…,Kn - 1的资料库轮1 2 . .分别,n。然后加密操作如下: |
(我)把明文块分成两等份,(L0,R0) |
(2)每一轮我= 0,1,2,…,n,计算 |
L (a)我+ 1= R我 |
(b) R我+ 1李= F (R我K我) |
(3)然后密文(Rn + 1,我n + 1)。 |
解密阶段 |
密文的解密(Rn + 1,我n + 1)。是通过计算同一轮函数F,因为我= n, n - 1,…, 0和sub-keysK的逆转nKn - 1…,0 |
(v) R我L =我+ 1 |
(六)L我= R我+ 1 F (L我+ 1K我) |
(七),那么(R0, L0)是纯文本。 |
当用户登录用户名和密码,启动银行交易银行服务器生成一个随机的六位数OTP。这个OTP通过通信通道传播短信到用户手机。在该方法提高OTP的安全或mTAN服务器加密OTP而不是将它作为纯文本发送到用户手机。 |
4-digitsecret个人指数(PIN)是由银行,当用户注册网上银行/手机银行。这是存储在服务器上,充当工具生成不同的轮feistal网络资料库的每当特定用户启动一个事务 |
.Step i键生成的服务器。 |
(我)提供的用户输入的四位销银行(如5639)。销是独特的,而且对每个用户一个秘密。 |
(2)销的数字。说p。(在这里。5 + 6 + 3 + 9 = 23日2 + 3 = 5)。 |
(3)现在,p mod = n。这里问是一个数字为单个用户选择的银行。 |
例如, |
销= 5639 p = 5 |
(iv) 5国防部3 = 2 |
这个销(v)是单独的二进制编码的。0101 0110 0011 1001。这些数字可以通过添加2延伸到每一个数字。 |
(vi)的二进制编码的键 |
0101 0111 0110 1000 0011 0101 1001 1011 |
(K0)(K1)(K2)(K3)(K4)(K5)(K6)(K7)(没有。轮= 8) |
这个键K0 - K7,用作个人轮feistel网络资料库。这些存储在银行服务器和每次使用特定用户启动一个事务。这里的秘密销和对于每一个用户注册,qare独特的银行手机银行交易。 |
第二步:使用Fiestal网络加密: |
fiestal网络的输入数据块和关键。输入是分成两半的子密钥生成使用销,遍历数据轮。inputhere是6位数的二进制编码的OTP,子键areK1 K2…K7。为每个8轮。 |
OTP: 463967 |
OTP BCD形式:010001100011100101100111 |
有许多轮fiestal加密方法基于键的数量。在每一轮中,纯文本进行一些变换基于每一轮的子键. . |
L0和Ro -输入1,进入网络的初始值。 |
Liand Ri -输出圆的我 |
Fi -圆的函数 |
Ki -子圆我的关键 |
每一轮我= 1,2,…,n,计算 |
李+ 1 =国际扶轮 |
国际扶轮李+ 1 = F (Ri, Ki) |
加密后的密文阶段(Rn + 1, Ln + 1)。 |
|
这个密文密文is101001110011111111011000穿过沟通媒介,达到用户的移动 |
第三步:在移动键生成。 |
加密的二进制OTP存储用户的收件箱移动。用户请求进入销和子键K1, K2…K7are生成的技术一样在服务器上完成的。这些子键传递给解密阶段生成24位OTP纯文本。 |
第四步:解密使用Fiestal网络: |
|
第八轮 |
|
4 OTP可以解密只有4位销在他的移动用户输入的是正确的。自从销只有用户知道,即使黑客看到加密OTP,它不能被解密。 |
第五步:两级用户身份验证销和OTP。 |
|
4 OTP可以解密只有4位销在他的移动用户输入的是正确的。自从销只有用户知道,它提供了两个级别的身份验证。只有销和OTP是正确的用户可以进行手机银行交易,他发起的。 |
分析提出了想法 |
•Feistal网络用于加密worksin时尚称为格式保存加密[9]。纯文本和加密后的密文是相同的二进制格式。 |
•加密和解密操作非常类似,逆转的关键schedulewill足够了。因此代码的大小或电路需要实现这样一个密码是最小的。 |
•这个网络使用EXOR逻辑操作是可逆的。 |
•轮增加安全性,因此很难打破。 |
•4位秘密销+加密提供额外的双重安全除了密码,访问他的个人网页的clientuses银行网站。销为完美的用户标识和密码在会话期间避免man-in-thebrowser攻击。即使跟踪用户名和密码使用任何技术讨论,销(只有客户知道)提供了额外的安全 |
•整个短信路径从银行服务器用户移动是由安全加密。恶意软件木马仍然可以得到4 OTP但不能解密。 |
结论 |
现在我们执行我们的大多数银行交易和移动商务使用智能手机和pda的方便。它节省了很多钱和时间和银行简单多了。这有很多舒适和便利但暴露了我们新时代的手机银行交易风险就像钓鱼,MITB攻击,身份盗窃等复杂和技术使我们的生活更容易,还黑客使用高端科技发明新方法获取敏感信息,比如用户名和密码从银行或信用卡客户。介绍了基于短信的OTP防止这种威胁提供实时认证。印度央行已经在一定程度上使它为所有的互联网交易授权。但即使这是容易被攻击的威胁在OTP的传播从银行服务器通过开放的移动通信用户的移动路径。在本研究论文中,我们提出了一种新颖的方法相结合的秘密4个人指数和feistal加密方法增强安全更上一层楼。这是一个简单但有效的措施来应对不同的在线帐户盗窃和欺诈我们移动商务交易安全。 |
数据乍一看 |
|
引用 |
- Chang-Lung Tsai Chun-Jung陈。“受信任的手机银行验证方案基于OTP的组合和生物识别技术”,《收敛3卷,不。3 23-30 2012
- k . Rieck p Stewin, j。塞弗特,“基于短信的一次性密码:攻击和防御”DIMVA 2013, 7967信号,出版社柏林海德堡2013,pp。150 - 159年,2013年
- 斯里兰卡Rangarajan周二et al,“使用密码保护短信”,国际期刊的计算机科学和信息技术,卷4(2),285 - 288年,2013年
- Chang-Lung Tsai Chun-Jung陈。“受信任的手机银行验证方案基于OTP的组合和生物识别技术”,《收敛3卷,不。2012年9月3 23-30
- 安德鲁·y Lindell“时间与基于事件的一次性密码”,阿拉丁知识系统,2007年
- m . Viju普拉卡什,p .阿尔文婴儿和s . JeyaShobana“消除脆弱攻击使用一次性密码和PassText -混合模式的分析研究“环球杂志》的计算机科学和工程技术1 (2),133 - 140,©2010 UniCSE ISSN: 2219 - 2158年11月。2010年。
- Dr.D.S。Rao等人,“一次通过加密密码安全移动银行”,计算机技术和应用的国际期刊,Sept-Oct 2011
- DaudaSute,中钢协。浏览器中的“人-网上银行的威胁”,ISACA日报》4卷,2013年
- 年代。方面和K。Chitra”格式保存加密使用Feistel密码”,学报》国际会议在计算机技术研究的趋势,2013年
- http://www.mspyapp.com。
- D Sumathy et al,”一个框架的安全问题和标准高效短信”,国际期刊《计算机技术与应用、卷5 (2),469 - 478,ISSN: 2229 - 6093年,2014年3 - 4月
- http://en.wikipedia.org/wiki/Feistel_cipher。
- http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html。
- E.Kalaikavitha女士,女士。朱莉安娜Gnanaselvi,“安全登录使用一次加密密码(Otp)和基于移动的登录方法”,研究Inventy:国际工程与科学》杂志上,卷。2,问题10,14 - 17页,ISSN (e): 2278 - 4721, ISSN,页:2319 - 6483年,2013年4月
|