管理论文基于双向认证的“网络钓鱼”攻击防范技术.doc

资源描述

《管理论文基于双向认证的“网络钓鱼”攻击防范技术.doc》由会员分享，可在线阅读，更多相关《管理论文基于双向认证的“网络钓鱼”攻击防范技术.doc（3页珍藏版）》请在三一办公上搜索。

1、基于双向认证的“网络钓鱼”攻击防范技术基于双向认证的“网络钓鱼”攻击防范技术是小柯论文网通过网络搜集，并由本站工作人员整理后发布的，基于双向认证的“网络钓鱼”攻击防范技术是篇质量较高的学术论文，供本站访问者学习和学术交流参考之用，不可用于其他商业目的，基于双向认证的“网络钓鱼”攻击防范技术的论文版权归原作者所有，因网络整理，有些文章作者不详，敬请谅解，如需转摘，请注明出处小柯论文网，如果此论文无法满足您的论文要求，您可以申请本站帮您代写论文，以下是正文。摘要目前“网络钓鱼”攻击已成为继电脑病毒之后的最大的网络安全隐患之一。本文提出了一种基于双向认证机制防范“网络钓鱼”攻击的解决方案。关

2、键词双向认证网络钓鱼口令认证“网络钓鱼”（Phishing）泛指在网络上盗窃他人身份的一种形式，其本质就是犯罪分子利用网络，通过各种非法途径获取用户信用卡号、注册用户名、密码和社会保障号码等个人财务信息，进而利用窃取的他人信息进行诈骗活动，获取经济利益，受攻击的目标主要集中在如保险、信用卡、支付系统、ATM网络。一、攻击方法1.“钓鱼”之一:电子邮件诈骗分子发送以中奖、顾问、对帐为内容的邮件引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗取用户资金。2.“钓鱼”之二:盗号木马。犯罪分子通过发送邮件或在网站中隐藏

3、木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱。3.“钓鱼”之三:网址欺骗。犯罪分子建立起域名与内容都与真正网上银行系统、网上证券交易平台极为相似的网站，通过电子邮件、短信、QQ、BBS以及搜索引擎等各种形式引诱用户访问假冒网站，并输入账号、密码等信息，进而窃取用户的个人信息。二、双向认证的解决方案1.双向认证机制。认证是证实被认证对象是否属实和是否有效的一个过程，其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。双向认证机制的原理：设A和B是一对平等的实体，A的口令为PA，B的口令为PB，A

5、对自己的口令PA和随机数RB进行加密f(PA|RB）,并发送给B；(5)B验证A:f(PA|RB)=f*(PA|RB）?B利用单向函数f对自己保存的PA和RB进行加密f(PA|RB）,并与收到的f*(PA|RB）进行比较，若相等，则B确认A的身份是真实的，否则认为A的身份是不真实的。2.基于双向认证的防范“网络钓鱼”攻击方案。本文根据双向认证机制的原理提出防范网络钓鱼攻击的方案，方案分为申请注册与登录验证两个部分。(1)申请注册。客户向网站服务器提出注册申请，并提交个人信息;用户IDA与用户口令PA。网站服务器接受申请，利用HMAC函数和服务器的种子密钥K对用户信息（IDA、PA）与时间戳T进

6、行加密，生成服务器验证口令PB=HMAC（IDA|PA|T，K），服务器保存（IDA、PA、PB），并将PB发送给该客户。客户接受并保存服务器验证口令PB;网站服务器端保存了用户IDA、用户口令PA与服务器的口令PB;同样客户端保存了网站服务器的口令PB,客户的个人信息用户IDA、用户口令PA。(2)登录验证。登录验证流程(如图1所示）:客户向网站服务器提出登录请求，提交自己的ID；网站服务器验证ID合法后，接受客户登录请求；客户发送一随机数RA，并要求网站服务器提供验证信息；网站服务器提供验证信息f（PB|RA)|RB，并要求客户提供验证信息;客户经验证确认为真实网站后,提供客户验证信息f(

7、PA|RB）;网站验证确认为合法用户后，开始进入应用操作；3.双向认证机制的安全性分析(1)情况一。假冒网站试图采用与真实网站一样的登录验证流程骗取客户信息。假冒网站无服务器验证口令PB，客户利用PB对网站服务器的验证（验证1）失败，提示“非法网站”退出,当然也就不可能窃取客户PA。(2)情况二。假设攻击者已窃取了用户IDA和PA，试图登录真实网站。攻击者用PA不能推导出PB，PB安全保存在USB KEY，密文传输，无法窃取PB，网站服务器利用PA对客户的验证(验证2）失败，提示“非法客户”退出,登录失败。(3)情况三。假设攻击者已窃取了用户USB KEY和IDA，试图登录网站。验证1通过，验

8、证2 失败，提示“非法客户”退出，登录失败。“网络钓鱼”也是“愿者上钩”，之所以不断发生，就是人们防范观念淡薄，反之，用户安全意识的提高，严格执行的安全策略、养成良好的安全习惯能有效地降低”网络钓鱼”的风险。同时要从根本上防御“网络钓鱼”攻击还必须依靠安全技术的不断提高。参考文献:张焕国刘玉珍:密码学引论.武汉:武汉大学出版社，2004注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文其他参考文献Baker, Sheridan. The Practical Stylist. 6th ed. New York: Harper & Row, 1985.Flesch, Rudolf.

9、 The Art of Plain Talk. New York: Harper & Brothers, 1946.Gowers, Ernest. The Complete Plain Words. London: Penguin Books, 1987.Snell-Hornby, Mary. Translation Studies: An Integrated Approach. Amsterdam: John Benjamins, 1987.Hu, Zhuanglin. 胡壮麟, 语言学教程 M. 北京: 北京大学出版社, 2006.Jespersen, Otto. The Philoso

10、phy of Grammar. London: Routledge, 1951.Leech, Geoffrey, and Jan Svartvik. A Communicative Grammar of English. London: Longman, 1974.Li, Qingxue, and Peng Jianwu. 李庆学、彭建武, 英汉翻译理论与技巧 M. 北京: 北京航空航天大学出版社, 2009.Lian, Shuneng. 连淑能, 英汉对比研究 M. 北京: 高等教育出版社, 1993.Ma, Huijuan, and Miao Ju. 马会娟、苗菊, 当代西方翻译理论选读

11、M. 北京: 外语教学与研究出版社, 2009.Newmark, Peter. Approaches to Translation. London: Pergmon P, 1981.Quirk, Randolph, et al. A Grammar of Contemporary English. London: Longman, 1973.Wang, Li. 王力, 中国语法理论 M. 济南: 山东教育出版社, 1984.Xu, Jianping. 许建平, 英汉互译实践与技巧 M. 北京: 清华大学出版社, 2003.Yan, Qigang. 严启刚, 英语翻译教程 M. 天津: 南开大学出版社, 2001.Zandvoort, R. W. A Handbook of English Grammar. London: Longmans, 1957.Zhong, Shukong. 钟述孔, 英汉翻译手册 M. 北京: 商务印书馆, 1983.Zhou, Zhipei. 周志培, 汉英对比与翻译中的转换 M. 上海: 华东理工大学出版社, 2003.

展开阅读全文