046手机银行安全协议设计与研究样本
(样本只提供该系统的基本情况介绍,若需要完整的设计和论文,建议您购买本系统,凡是购买本站系统的,本站均根据您的要求,把系统上的开发信息,题目等修改成符合您的要求)
本设计包含内容:毕业论文+开题报告+答辩稿
论文大概:
1.1 摘
要
“手机银行”又称“移动银行”,是利用移动电话办理银行相关业务的简称,是银行实现电子化服务的一种渠道,是移动通信网络上的一项电子商务服务系统。手机银行通过移动通信网络将客户手机连接至银行,利用手机界面直接完成各种金融理财业务。手机银行具有传统商业银行无法比拟的优势,具备不可限量的发展潜力,并逐渐呈显出快速增长的态势。但是真正使用手机进行交易的用户很少。尽管尚未见到产生重大安全问题,但从发展的角度来看,一个经过精心设计和完善分析的安全协议无疑将大大增强用户的信心,有助于手机银行系统的蓬勃发展。
安全协议对手机银行系统的安全性质起着决定作用,是系统成败的关键。对其进行精心的设计和完善的分析是手机银行系统开发中必不可少的一个组成部分。但目前很多手机银行系统中只是简单的使用了若干密码算法作为安全措施,没有把消息交换过程抽象描述成安全协议的形式,更谈不上对其进行形式化的分析证明。密码算法的选择和使用过程也不能为用户提供足够的安全信心。而且整个系统没有充分考虑所有可能的攻击,尤其是重放攻击。
为此,本文深入研究了手机银行的运行环境,安全协议的设计和分析方法及协议所需密码算法的安全性质,选择了一套包括分组密码、公钥密码、Hash函数和数字签名的密码算法。在此基础上提出了一个手机银行安全协议-MB协议,分析了设计协议时使用的重要技术,并和其他相关协议进行了比较。
关键词: 手机银行、安全协议、形式化分析、密码体制、Strand空间、
1.2 Abstract
Mobile banking in other words is
moving banking,it is the shorten of the thing by the mobile
telephone to do the banking commerce,is the road of the bank to
realize the electric,is the E-commerce service system over the
moving communication network. Mobile banking though the moving
communication network to make caustom’s mobile with the bank,using
the mobile to do all the commerces. Mobile banking has great
advantages and has unlimited development,so acting
increasing.Athough it hven’t happened security problems, the
customer is very limit.To considering the development,an security
protocol can make customer’s confidence and can make the mobile
banking developed.
The security protocol, which is a crucial
basis in mobile banking services, determines the security properties
or even the fate of whole system. Thus, in the development of a
mobile banking system, elaborate designing and complete analyzing of
its security protocol are undoubtedly indispensable. But at present,
many mobile banking systems only use some cryptographic algorithms
as security measures, without depicting the procedure of message
exchanging as a secuity protocol, needless to say how to analyze it
or provide the correctness proof of it. Moreover, the method of
choosing and using cryptographic algorithms fail to make customers
feel safe. And besides, the whole system can't resist all the
possible attacks, especially replay attack.
Therefore, in this
thesis, we investigate the runtime environment of mobile banking
systems, study the design and analysis methods of security protocols
and the security properties of cryptographic algorithms required,
choose a suite of cryptographic algorithms deliberately, and hereby
propose a security protocol for mobile banking services – the MB
protocol. We discuss the important designing technologies used in
MB-protocol and compare it with protocols related.
Keywords: Mobile banking、 Security protocol、 Formal
analysis、 Cryptography、Strand Space
目录
第一章 引言 1
1.1 研究动因 1
1.2
研究背景 1
1.2.1手机银行发展现状及趋势 1
1.2.2安全协议简介 6
1.3
本文工作 6
1.4 本文组织 7
第二章
安全协议及其形式化方法 8
2.1密码学基础 8
2.1.1概述 8
2.1.2分组密码的选择 8
2.1.3公钥密码的选择 9
2.1.4
Hash函数的选择 11
2.1.5数字签名方案的选择 12
2.2安全协议概述 14
2.2.1安全协议的概念 14
2.2.2安全协议的安全性质 15
2.3安全协议的缺陷 16
2.3.1基本协议缺陷 17
2.3.2口令/密钥猜测缺陷 17
2.3.3陈旧消息缺陷 17
2.3.4并行会话缺陷 17
2.3.5内部协议缺陷 17
2.3.6密码系统缺陷 17
2.4安全协议的形式化分析 18
2.4.1研究历史与现状 18
2.4.2基于推理结构性方法 19
2.4.3基于攻击结构性方法 22
2.4.4基于证明结构性方法 24
2.4.5
Strand
空间模型理论 25
2.5安全协议的设计准则 28
2.6安全协议的未来发展方向 30
2.7
小结 30
第三章
手机银行安全协议的设计 32
3.1设计条件 32
3.1.1移动通信的特点 32
3.1.2受限的硬件设备 32
3.1.3假设条件 32
3.2协议目的 33
3.3
协议描述 33
3.3.1符号说明 33
3.3.2协议过程描述 34
3.3.3协议形式化规则描述 36
3.4使用的重要技术 36
3.4.1数字信封 36
3.4.2降低运算强度 36
3.4.3非对称的协议结构 36
3.5与其他协议的比较 36
3.5.1和SET协议的比较 37
3.5.2和NSL协议的比较 37
3.6小结 37
第四章
手机银行安全协议的分析 39
4.1 基于Strand空间理论的MB协议分析 39
4.1.1
MB协议的Strand空间 39
4.1.2认证属性的证明 39
4.1.3秘密属性的证明 42
4.2MB协议的逻辑分析 44
4.2.1可追究性证明 44
4.3MB协议的其他分析 45
4.3.1重放攻击分析 45
4.3.2消息完整性分析 45
4.3.3性能分析 45
4.4小结 45
第五章
总结与展望 50
5.1 本文总结 50
5.2 进一步的工作 50
5.2.1
关于Strand空间模型 50
5.2.2关于手机银行安全协议 51
5.2.3攻击测试方案设想 51
参考文献 52
致
谢 54
第一章 引言
1.2.1 1.1
研究动因
安全协议对手机银行系统的安全性质起着决定作用,是系统成败的关键。对其进行精心的设计和完善的分析是手机银行系统开发中必不可少的一个组成部分。但目前很多手机银行系统中只是简单的使用了若干密码算法作为安全措施,没有把消息交换过程抽象描述成安全协议的形式,更谈不上对其进行分析证明。密码算法的选择和使用过程也不能为用户提供足够的安全信心。而且整个系统没有充分考虑所有可能的攻击,尤其是重放攻击。
现在各家银行开通的手机银行系统主要提供信息类服务,交易类服务很少,真正使用手机进行交易的用户就更少。因此,尽管尚未见产生重大安全问题,但从发展的角度来看,一个经过精心的设计和完善的分析的安全协议无疑将大大增强用户的信心,有助于手机银行系统的蓬勃发展。
手机银行系统中现存的另一个问题就是尚未实现一卡通用。尽管各家银行都推出了手机银行业务,但业务范围不同,具体的办理手续也不相同,且目前发行的手机银行卡彼此互不兼容,一张手机银行卡只能享受一个银行的服务,使手机银行的方便性大打折扣。
本文吸取以往安全协议的设计经验,遵照安全协议的设计准则,设计了一个适合于手机银行的安全协议,并对设计出的协议进行周密细致的形式化分析,证明了其能实现期望的安全目标。同时,该协议允许一个用户在多家银行开户,由移动短信中心负责将交易短信分发到各家银行,也是为实现一卡通用所做的一个尝试。
1.2.2 1.2
研究背景
1.2.2.1 1.2.1手机银行发展现状及趋势
文献[1][2][3]中对手机银行及其发展现状和趋势做了详细介绍,现总结如下:
1、手机银行产生背景
“手机银行”又称“移动银行”,是利用移动电话办理银行相关业务的简称,是银行实现电子化服务的一种渠道,是移动通信网络上的一项电子商务服务系统。手机银行通过移动通信网络将客户手机连接至银行,利用手机界面直接完成各种金融理财业务。
手机银行是银行电子化服务的产物:随着互联网络与移动通信技术发展的方兴未艾,传统的银行服务方式已被赋予了新的内涵。从传统的柜台办理到网上银行及手机银行的出现,新技术的应用正在改变着银行决策者的观念与银行业的竞争规则,营业网点的数量及覆盖率已不再是银行决策者追求的目标,更不是体现银行综合竞争能力的关键,“科技兴行”、“科技立行”已成为银行决策者作为业务发展和提高竞争力的重要理念。如何能够给客户提供更方便的服务才是银行竞争致胜的法宝。银行通过对互联网络与移动通信等高新技术的使用突破了时间及空间的限制,不仅改变着人们对银行的认识,也促使银行加快业务的创新,并提高了对客户的服务质量及服务便利性。
与银行服务方式相关的调查及预测表明:未来几年银行传统分支机构数量将大幅减少,自动柜员机(ATM)数量将低幅增长,电话银行服务也将放缓增长速度,最具生命力及前途的两种新兴服务方式将是网上银行与手机银行。
手机银行是继网上银行出现之后,因移动通信技术迅猛发展而新出现的一种银行服务渠道,是网络银行服务的延伸。在具有网络银行全网互联和高速数据交换等优势的基础上,手机银行更加突出了移动通信随时随地的独特性,使它成为银行业一种更加便利、更具竞争性的服务方式。
手机银行用户可突破时空限制,按己所需获取相对廉价的服务。从全世界来看,业已出现的两类手机银行产品,所采用的机制分别是短消息服务(Short
Message Service,SMS)和无线应用协议 (Wireless Application
Protocol,WAP)。SMS类的手机银行业务是由手机、GSM短信中心和银行业务系统构成的。手机与GSM短信中心通过GSM(2G)无线网络连接,而GSM短信中心与银行系统之间的通信可以通过有线网络来完成。某些情况下,短信中心还可能通过一个业务增值平台与银行前置机相连,以减轻短信中心的负担。在亚洲市场上,SMS手机银行得到了消费者高度的青睐。
WAP类手机银行产品的主要特征则是执行无线应用协议,是目前在欧美市场上公认的主流产品。WAP作为符号文字使用的是WML系统,不足之处在于只能打开WML语言模式的网页,无法与Internet使用的HTML语言进行互换。
2、国外手机银行的发展
世界上率先实现商业性运作的手机银行项目是由东欧的捷克斯洛伐克Expandia银行与移动通信运营商Radiomobile公司在布拉格地区联合推出的,其GSM网络从1996年9月31日开始使用,拥有315000用户,由德国捷德(G&D)公司提供SIM卡技术及安全系统。该手机银行系统从1998年5月1日运行,推出后即吸引了4000多个银行客户,该系统目前已能支持多家银行业务。其基于捷德公司的IC卡-STARSIM平台,能运行在一系列的标准化手机上。该手机银行可为客户提供包括帐户资料和安全支付在内的大量在线金融服务,功能包括诸如帐户结算、股票和货币信息查询、帐单支付以及客户服务热线等。如客户申请了这项服务,就将得到一张载有手机银行应用程序的STARSIM卡,凭借这张卡,客户可得到由Expandia银行和Radiomobil提供的范围广泛的新颖服务。
手机银行服务一经推出就在银行信息电子化水平最高的欧美国家大行其道。美国花旗银行与法国Gemplus公司、美国M1公司于1999年1月携手推出了手机银行,客户可以用GSM手机银行了解帐户余额和支付信息,并利用短信息服务向银行发送文本信息执行交易,客户还可以从花旗银行下载个人化菜单,阅读来自银行的通知和查询金融信息。这种服务方式更加贴近客户,客户可以方便地选择金融交易的时间、地点和方式。据统计2001年全法国90%以上的银行开通了手机银行业务。
现在更有一种新的手机银行业务正风靡欧洲,它就是手机支付服务。在瑞典,人们可以利用手机拨号购买饮料,买票乘坐公共汽车。由于使用方便且其安全程度高于传统的支付方式(不必向商家提供信用卡号码)。所以在瑞典、德国、奥地利和西班牙大受欢迎,该服务目前已推广到英国等国家。手机支付这种新型银行业务前景广阔。2003年,全球移动金融服务收入已达200亿欧元,其中欧洲地区达到47亿欧元。
在日本,占据日本移动通讯市场59.3%份额最大的日本移动通信公司-NTT
Docomo最先推出了利用手机上网处理银行业务的在线服务,即通常所说的手机银行。拥有4000万手机用户,接入5万家增值服务提供商(SP)的Docomo在日本已被各类商业银行、信用合作社、邮政储蓄、农业协会等视作最重要的合作伙伴。因为手机银行业务在日本银行业中已受到普遍的重视,被视作与网络银行、电话银行相匹配的“直接银行”工具之一而得到较大力度的推广和应用。以东京三菱银行的“东京三菱直接服务”为例,1999年9月至2000年6月使用电话银行、网络银行和手机银行的比例分别占到20%、70%、10%。随着使用者的不断增多,服务内容的不断充实,手机银行业务日渐成为日本银行个人业务的支柱之一。
3、国内手机银行的发展
中国加入WTO后,网络银行业务的竞争是中国银行业面临的最先冲击。手机银行的出现又使中外银行多了一个新的竞争点。
与国外手机银行的发展相比,我国手机银行起步晚,但发展迅猛。最早的是2000年2月14日,中国银行与中国移动通信集团公司签署了联合开发手机银行服务合作协议,并于2000年5月17日正式在全国范围内先期开通北京、天津、上海、深圳等26个地区手机银行服务。几乎与中国银行同时,中国工商银行与中国移动通信集团公司也于2000年5月17日开通了手机银行系统,并首先在北京、天津、河北、上海、江苏、浙江、福建、江西、
山东、广东、重庆、深圳等十二个省市分行开通。2000年3月24日,招商银行发布信息,宣布已与深圳移动通信公司联合在深圳推出手机银行服务,随后在重庆、北京、武汉、上海等11个城市推出。2000年4月26日,中国光大银行宣布在摩托罗拉公司的支持下推出手机银行服务。2001年广东发展银行中山分行与中山移动通信公司联合推出手机钱包项目。目前国内各家手机银行服务项目的开通基本上都是分期进行的,首期主要以帐户查询、存款帐户间转帐、金融信息查询和临时挂失等信息类服务为主。
从技术角度讲,内地现行的SMS制式的手机银行架构中,使用的是基于Java语言平台的SIM卡片,也称STK(SIM
Tools
Kit)卡。它与一般的SIM卡的不同之处在于存储量扩大至32k,并能在运营商想改进其业务特性或允许用户定制其手机特征时进行现场升级。STK卡实现支持移动增值业务则是通过STK的小型编程语言实现的。此外,SMS制式的手机银行还要求电信运营商在其短信息中心与银行应用系统和数据库之间增设短信接口,以过滤及分发从手机STK卡向应用系统发送的指令和数据;相应也可在向手机STK卡发送信息之前,转译或过滤从银行系统中传来的信息。如中国移动通信集团与其合作伙伴就使用基于Java技术的Simera
SIM卡,并从1999年开始与其合作开发整套增值业务平台。
从目前国内各银行开展的手机银行服务上看,国内手机银行的发展还处于起步阶段,大多以提供查帐等信息类服务为主,而存在巨大市场需求且能为银行带来收益的交易类服务(移动购物、移动支付等)却不多。这除了银行自身的交易服务和应用功能尚待完善外,实现移动交易的安全技术难度大和市场发展涉及的层面多是制约其发展的关键所在。
4、制约我国手机银行发展的主要因素
手机银行虽然具有传统商业银行无法比拟的优势,具备不可限量的发展潜力,并逐渐呈显出快速增长的态势。但是,同其他新鲜事物的发展规律一样,手机银行的发展同样会存在许多困难和制约因素,突出表现在:
(1)安全机制不够健全:与网上银行一样,安全问题是人们最关心的问题。资金和货币的电子化,很容易使银行在转帐、交易、支付等服务过程中生成各种风险。无论是银行,还是企业或个人如果没有足够的安全保障是根本不会使用这一服务的。因此这就要求在实施手机银行解决方案时必须考虑交易过程中所涉及的各个方面、环节的安全性,必须采用比一般的信息增值服务高得多的安全保障机制,包括信息收发的保密性、完整性、不可抵赖性、公平性等。要想快速、健康的发展手机银行服务,就必须解决好安全问题,建立并维持一种令人信任的环境和机制,
而这种信用安全体系的建立有赖于政府、银行、技术提供商等各利益群体长期不懈的努力。因此各金融机构和广大用户对手机银行安全性的顾虑是制约手机银行(交易类服务)发展的首要因素。
(2)服务单一,内容不够丰富。
(3)手机银行卡没有空中下载(OTA)功能,更新困难,且无法实现一卡通用。
(4)手机银行卡换卡麻烦,手续复杂,市场推广的难度大。
(5)看不到投资收益,银行缺乏足够的动力。目前国内手机银行服务因安全技术等问题,大都停留在提供免费的帐务信息一类,仅仅作为其他服务形式的一种补充,只是延伸了银行的服务,并没有给银行投资手机银行项目带来直接收益,使银行丧失了发展手机银行的原动力。利用手机银行为用户提供有偿的增值服务,特别是提供市场需求量巨大的交易类服务,能给银行带来巨大的收益,这才是银行推行手机银行的价值所在。
5、大力推广手机银行的益处
手机银行只是诸多移动支付增值服务中的一个缩影,它昭示着一个崭新消费时代的开始,更加预示着这个电子时代的明日辉煌。随着诸如移动证券、移动彩票、移动票务、移动政务、移动办公等增值服务的不断涌现,现有的手机银行/移动支付模式将会被注入更加丰富的功能和新的活力。而参与运营手机银行系统分工的各个利益团体(如移动运营商、平台开发商、平台运营商、银行、服务提供商SP、广大移动终端用户、普通消费者、以及社会各界)将连结成一条衔接人们生活方方面面的高效能价值链,而且这条新兴的多产业价值链将会对社会和人们的生活产生不可估量的级数效应,并最终会进一步促进科技的发展和技术的不断进步。移动支付系统能够给各团体带来的长期利益和广泛的社会效应:
(1)手机银行给移动运营商带来的利益:
•手机银行的开展将推进移动运营商数据业务的进一步发展。
•手机银行有助于提高移动用户的忠诚度。
•手机银行有助于促进移动运营商与其他服务提供商的合作。
(2)手机银行给银行带来的利益:
•降低银行经营成本,提高赢利能力。
•拓展银行服务方式,增强银行竞争力。
•延长了银行服务的时间,扩大了银行服务范围。
•方便展开中间服务,增加银行收入。
•易于推广银行的金融产品,增加业务量。
•利于开展有偿收费服务,获得新的服务收入。
(3)手机银行给服务提供商(SP)带来的益处:
•提高竞争力。
•拓展新业务,吸引新客户。
•节约成本。
•快速抢占市场。
•原有业务体系不受影响,更好了解用户消费行为。
(4)手机银行给广大消费者带来的益处:
•用户将享受丰富多彩的增值服务。
•用户将真正享受每周7天,每天24小时(7×24)的无障碍消费体验。
(5)手机银行有助于建立完善的社会信用体系。
6、手机银行未来展望
互联网的出现,改变了人们生活、工作的传统模式,打破了时间、地域的限制,给予人们更多的信息。但随着互联网与无线通信技术的发展,人们已不满足于固定地点与Internet的连接,人们希望随时随地的得到和处理需要的信息,于是无线互联的出现,实现了人们自由的愿望。而移动支付系统和移动交易平台概念的萌生更是带给了人们前所未有的商务模式。而且越来越多的人相信,移动电子商务的时代已经向我们走来,并且移动电子商务存在着巨大的潜在市场。
波士顿咨询公司的一项调查显示,60%以上的早期移动用户及潜在用户希望,移动终端能在三、五年内成为广泛使用的支付工具。据Gartner公司对美国移动用户的预计,到2005年,人均通过手机支付的交易货款达到300美元。而根据著名研究机构Ovum公司的调查,预计到2006年手机支付总额将达到370亿美元。
据统计,目前中国各商业银行发行的各种类型的银行卡数量已经超过4亿张,而我国的移动用户也已突破2亿,如果能把这两个数字背后的商业潜力有效地挖掘出来,无疑将会给我国的移动通信产业和金融业带来无尽商机。
1.2.2.2 1.2.2安全协议简介
安全协议,有时也称作密码协议,是以密码学为基础的消息交换协议,其目的是在分布式网络环境中提供各种安全服务。安全目标是多种多样的。如认证参加协议的主体身份,在主体之间安全地分配密钥或其他各种秘密等。电子商务协议的目标还有非否认性、可追究性、公平性等等。实践证明,现有的许多安全协议往往存在着许多安全漏洞、不能完全实现其安全目标。现代攻击者有更多的手段达到破坏网络安全的目的,许多网络系统面临着各种各样,新、旧攻击手段的威胁。因此,如何保障安全协议的安全性已成为目前信息安全的研究热点之一。(文献[4])
安全协议是一个脆弱的、易错的系统,想设计一个正确的、符合安全目标的、没有冗余的安全协议十分困难。而且安全协议往往在复杂的,各种各样非安全的环境中运行,它错误和漏洞很难完全用人工识别。因此,协议形式化分析长期以来被视为分析协议安全性的有效工具。它使得协议设计者通过系统分析将注意力集中于接口、系统环境的假设、在不同条件下系统的状态、条件不满足时出现的情况以及系统不变的属性,并通过系统验证,提供协议必要的安全保证。通俗说来,安全协议的形式化分析时采用一种正规的、标准的方法对协议进行分析,以检查协议是否满足其安全目标。近年来,安全协议形式化方法蓬勃发展,取得了丰硕的成果。
1.2.3 1.3
本文工作
本文深入研究了手机银行的运行环境,安全协议的设计和分析方法及协议所需密码算法的安全性质,选择了一套包括分组密码、公钥密码、Hash函数和数字签名的密码算法。在此基础上提出了一个手机银行安全协议-MB协议,分析了设计协议时使用的重要技术,并和其他相关协议进行了比较。