管理论文基于双向认证的“网络钓鱼”攻击防范技术

《管理论文基于双向认证的“网络钓鱼”攻击防范技术》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、基于双向认证的“网络钓鱼”攻击防范技术 基于双向认证的“网络钓鱼”攻击防范技术是小柯论文网通过网络搜集，并由本站工作人员整理后发布的，基于双向认证的“网络钓鱼”攻击防范技术是篇质量较高的学术论文，供本站访问者学习和学术交流参考之用，不可用于其他商业目的，基于双向认证的“网络钓鱼”攻击防范技术的论文版权归原作者所有，因网络整理，有些文章作者不详，敬请谅解，如需转摘，请注明出处小柯论文网，如果此论文无法满足您的论文要求，您可以申请本站帮您代写论文，以下是正文。 　　[摘要]目前“网络钓鱼”攻击已成为继电脑病毒之后的最大的网络安全隐患之一。本文提出了一种基于双向认证机制

2、防范“网络钓鱼”攻击的解决方案。 　　[关键词]双向认证网络钓鱼口令认证 　　 　　“网络钓鱼”（Phishing）泛指在网络上盗窃他人身份的一种形式，其本质就是犯罪分子利用网络，通过各种非法途径获取用户信用卡号、注册用户名、密码和社会保障号码等个人财务信息，进而利用窃取的他人信息进行诈骗活动，获取经济利益，受攻击的目标主要集中在如保险、信用卡、支付系统、ATM网络。 　　一、攻击方法 　　1.“钓鱼”之一:电子邮件 　　诈骗分子发送以中奖、顾问、对帐为内容的邮件引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，

3、继而盗取用户资金。 　　2.“钓鱼”之二:盗号木马。犯罪分子通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱。 　　3.“钓鱼”之三:网址欺骗。犯罪分子建立起域名与内容都与真正网上银行系统、网上证券交易平台极为相似的网站，通过电子邮件、短信、QQ、BBS以及搜索引擎等各种形式引诱用户访问假冒网站，并输入账号、密码等信息，进而窃取用户的个人信息。 　　二、双向认证的解决方案 　　1.双向认证机制。认证是证实被认证对象是否属实和是否有效的一个过程，其基本思想是通过验证被认证对象的属性来达

4、到确认被认证对象是否真实有效的目的。 　　双向认证机制的原理： 　　设A和B是一对平等的实体，A的口令为PA，B的口令为PB，A、B共享口令PA与PB，f为单向函数，RA、RB是随机数。 　　(1)A请求与B通信A→B:RA 　　A首先选择一个随机数RA，发送给B； 　　(2)B提交验证信息B→A:f(PB

5、

6、RA)

7、

8、RB 　　B收到RA后，产生随机数RB，利用单向函数f对自己的口令PB和随机数RA进行加密f(PB

9、

10、RA）,并连同RB一起发送给A; 　　(3)A验证B:f(PB

11、

12、RA)==f*(PB

13、

14、RA）? 　　A利用单向函数f对自己保存的PB和RA进行加密f(PB

15、

16、R

17、A）,并与收到的f*(PB

18、

19、RA）进行比较，若相等，则A确认B的身份是真实的，否则认为B的身份是不真实的。 　　(4)A提交验证信息A→B:f(PA

20、

21、RB） 　　在确认B为真实的之后，A利用单向函数f对自己的口令PA和随机数RB进行加密f(PA

22、

23、RB）,并发送给B； 　　(5)B验证A:f(PA

24、

25、RB)==f*(PA

26、

27、RB）? 　　B利用单向函数f对自己保存的PA和RB进行加密f(PA

28、

29、RB）,并与收到的f*(PA

30、

31、RB）进行比较，若相等，则B确认A的身份是真实的，否则认为A的身份是不真实的。 　　2.基于双向认证的防范“网络钓鱼”攻击方案。本文根据双向认证机制的原理

32、提出防范网络钓鱼攻击的方案，方案分为申请注册与登录验证两个部分。 　　(1)申请注册。客户向网站服务器提出注册申请，并提交个人信息;用户IDA与用户口令PA。网站服务器接受申请，利用HMAC函数和服务器的种子密钥K对用户信息（IDA、PA）与时间戳T进行加密，生成服务器验证口令PB=HMAC（IDA

33、

34、PA

35、

36、T，K），服务器保存（IDA、PA、PB），并将PB发送给该客户。客户接受并保存服务器验证口令PB;网站服务器端保存了用户IDA、用户口令PA与服务器的口令PB;同样客户端保存了网站服务器的口令PB,客户的个人信息用户IDA、用户口令PA。 　　(2)登录验证。登录验证流程(

37、如图1所示）:客户向网站服务器提出登录请求，提交自己的ID；网站服务器验证ID合法后，接受客户登录请求；客户发送一随机数RA，并要求网站服务器提供验证信息；网站服务器提供验证信息f（PB

38、

39、RA)

40、

41、RB，并要求客户提供验证信息;客户经验证确认为真实网站后,提供客户验证信息f(PA

42、

43、RB）;网站验证确认为合法用户后，开始进入应用操作； 　　3.双向认证机制的安全性分析 　　(1)情况一。假冒网站试图采用与真实网站一样的登录验证流程骗取客户信息。假冒网站无服务器验证口