管理论文基于双向认证的“网络钓鱼”攻击防范技术

《管理论文基于双向认证的“网络钓鱼”攻击防范技术》由会员分享，可在线阅读，更多相关《管理论文基于双向认证的“网络钓鱼”攻击防范技术（3页珍藏版）》请在金锄头文库上搜索。

1、基于双向认证的“网络钓鱼”攻击防范技术基于双向认证的“网络钓鱼”攻击防范技术是小柯论文 网通过网络搜集，并由本站工作人员整理后发布的，基于双向认证的“网络钓鱼”攻击防范 技术是篇质量较高的学术论文，供本站访问者学习和学术交流参考之用，不可用于其他商 业目的，基于双向认证的“网络钓鱼”攻击防范技术的论文版权归原作者所有，因网络整理， 有些文章作者不详，敬请谅解，如需转摘，请注明出处小柯论文网，如果此论文无法满足 您的论文要求，您可以申请本站帮您代写论文，以下是正文。摘 要 目前“网络钓鱼”攻击已成为继电脑病毒之后的最大的网络安全隐患之一。 本文提出了一种基于双向认证机制防范“网络钓鱼”攻击的解决

2、方案。关键词 双向认证 网络钓鱼 口令认证“网络钓鱼”（Phishing）泛指在网络上盗窃他人身份的一种形式，其本质就是犯罪分 子利用网络，通过各种非法途径获取用户信用卡号、注册用户名、密码和社会保障号码等 个人财务信息，进而利用窃取的他人信息进行诈骗活动，获取经济利益，受攻击的目标主 要集中在如保险、信用卡、支付系统、ATM 网络。一、攻击方法1.“钓鱼”之一:电子邮件诈骗分子发送以中奖、顾问、对帐为内容的邮件引诱用户在邮件中填入金融账号和 密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用 卡号等信息，继而盗取用户资金。2.“钓鱼”之二:盗号木马。犯罪分子通过发

3、送邮件或在网站中隐藏木马等方式大肆传 播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户 账号和密码，并发送给指定邮箱。3.“钓鱼”之三:网址欺骗。犯罪分子建立起域名与内容都与真正网上银行系统、网上 证券交易平台极为相似的网站，通过电子邮件、短信、QQ、BBS 以及搜索引擎等各种形 式引诱用户访问假冒网站，并输入账号、密码等信息，进而窃取用户的个人信息。二、双向认证的解决方案1.双向认证机制。认证是证实被认证对象是否属实和是否有效的一个过程，其基本 思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。双向认证机制的原理：设 A 和 B 是一对平等的

4、实体，A 的口令为 PA，B 的口令为 PB，A、B 共享口令 PA 与 PB，f 为单向函数，RA、RB 是随机数。(1)A 请求与 B 通信 AB:RA A 首先选择一个随机数 RA ，发送给 B；(2)B 提交验证信息 BA:f(PB|RA)|RB B 收到 RA 后，产生随机数 RB，利用单向函数 f 对自己的口令 PB 和随机数 RA 进 行加密 f(PB|RA）,并连同 RB 一起发送给 A;(3)A 验证 B:f(PB|RA)= f*(PB|RA）?A 利用单向函数 f 对自己保存的 PB 和 RA 进行加密 f(PB|RA）,并与收到的 f*(PB|RA）进行比较，若相等，则

5、A 确认 B 的身份是真实的，否则认为 B 的身份是不真 实的。(4)A 提交验证信息 AB:f(PA|RB）在确认 B 为真实的之后，A 利用单向函数 f 对自己的口令 PA 和随机数 RB 进行加 密 f(PA|RB）,并发送给 B；(5)B 验证 A:f(PA|RB)=f*(PA|RB）?B 利用单向函数 f 对自己保存的 PA 和 RB 进行加密 f(PA|RB）,并与收到的 f*(PA|RB）进行比较，若相等，则 B 确认 A 的身份是真实的，否则认为 A 的身份是不真 实的。2.基于双向认证的防范“网络钓鱼”攻击方案。本文根据双向认证机制的原理提出防 范网络钓鱼攻击的方案，方案分为

6、申请注册与登录验证两个部分。(1)申请注册。客户向网站服务器提出注册申请，并提交个人信息;用户 IDA 与用户 口令 PA。网站服务器接受申请，利用 HMAC 函数和服务器的种子密钥 K 对用户信息 （IDA、PA）与时间戳 T 进行加密，生成服务器验证口令 PB=HMAC（IDA|PA|T，K） ， 服务器保存（IDA、PA、PB） ，并将 PB 发送给该客户。客户接受并保存服务器验证口令 PB;网站服务器端保存了用户 IDA、用户口令 PA 与服务器的口令 PB;同样客户端保存了网 站服务器的口令 PB,客户的个人信息用户 IDA、用户口令 PA。(2)登录验证。登录验证流程(如图 1 所

7、示）:客户向网站服务器提出登录请求，提交 自己的 ID；网站服务器验证 ID 合法后，接受客户登录请求；客户发送一随机数 RA，并要 求网站服务器提供验证信息；网站服务器提供验证信息 f（PB|RA)|RB，并要求客户提供 验证信息;客户经验证确认为真实网站后,提供客户验证信息 f(PA|RB）;网站验证确认为合 法用户后，开始进入应用操作；3.双向认证机制的安全性分析(1)情况一。假冒网站试图采用与真实网站一样的登录验证流程骗取客户信息。假冒 网站无服务器验证口令 PB，客户利用 PB 对网站服务器的验证（验证 1）失败，提示“非法 网站”退出,当然也就不可能窃取客户 PA。(2)情况二。假

8、设攻击者已窃取了用户 IDA 和 PA，试图登录真实网站。攻击者用 PA 不能推导出 PB，PB 安全保存在 USB KEY，密文传输，无法窃取 PB，网站服务器利用 PA 对客户的验证(验证 2）失败，提示“非法客户”退出,登录失败。(3)情况三。假设攻击者已窃取了用户 USB KEY 和 IDA，试图登录网站。验证 1 通 过，验证 2 失败，提示“非法客户”退出，登录失败。“网络钓鱼”也是“愿者上钩”，之所以不断发生，就是人们防范观念淡薄，反之，用 户安全意识的提高，严格执行的安全策略、养成良好的安全习惯能有效地降低”网络钓鱼” 的风险。同时要从根本上防御“网络钓鱼”攻击还必须依靠安全技

9、术的不断提高。参考文献:张焕国 刘玉珍:密码学引论.武汉:武汉大学出版社，2004注：本文中所涉及到的图表、注解、公式等内容请以 PDF 格式阅读原文其他参考文献Baker, Sheridan. The Practical Stylist. 6th ed. New York: Harper & Row, 1985.Flesch, Rudolf. The Art of Plain Talk. New York: Harper & Brothers, 1946.Gowers, Ernest. The Complete Plain Words. London: Penguin Books, 1987

10、.Snell-Hornby, Mary. Translation Studies: An Integrated Approach. Amsterdam: John Benjamins, 1987.Hu, Zhuanglin. 胡壮麟, 语言学教程 M. 北京: 北京大学出版社, 2006.Jespersen, Otto. The Philosophy of Grammar. London: Routledge, 1951.Leech, Geoffrey, and Jan Svartvik. A Communicative Grammar of English. London: Longman,

11、 1974.Li, Qingxue, and Peng Jianwu. 李庆学、彭建武, 英汉翻译理论与技巧 M. 北京: 北京航空航天大学出版社, 2009.Lian, Shuneng. 连淑能, 英汉对比研究 M. 北京: 高等教育出版社, 1993.Ma, Huijuan, and Miao Ju. 马会娟、苗菊, 当代西方翻译理论选读 M. 北京: 外语教学与研究出版社, 2009.Newmark, Peter. Approaches to Translation. London: Pergmon P, 1981.Quirk, Randolph, et al. A Grammar of

12、 Contemporary English. London: Longman, 1973.Wang, Li. 王力, 中国语法理论 M. 济南: 山东教育出版社, 1984.Xu, Jianping. 许建平, 英汉互译实践与技巧 M. 北京: 清华大学出版社, 2003.Yan, Qigang. 严启刚, 英语翻译教程 M. 天津: 南开大学出版社, 2001.Zandvoort, R. W. A Handbook of English Grammar. London: Longmans, 1957.Zhong, Shukong. 钟述孔, 英汉翻译手册 M. 北京: 商务印书馆, 1983.Zhou, Zhipei. 周志培, 汉英对比与翻译中的转换 M. 上海: 华东理工大学出版社, 2003.