銀行卡系統(tǒng)安全問題及對(duì)策的研究.pdf

1、隨著銀行的發(fā)展和技術(shù)的進(jìn)步，銀行業(yè)務(wù)信息化、網(wǎng)絡(luò)化、社會(huì)化是銀行業(yè)發(fā)展的必然趨勢(shì)。銀行卡系統(tǒng)是銀行系統(tǒng)的一個(gè)重要組成，它的安全性直接關(guān)系到每個(gè)人的切身利益。因此銀行卡系統(tǒng)的安全性是一個(gè)十分重要和實(shí)際的課題。 目前國(guó)內(nèi)銀行卡行業(yè)對(duì)于安全問題已經(jīng)具有一些常用的行業(yè)做法和相應(yīng)規(guī)范（如人民銀行的行業(yè)標(biāo)準(zhǔn)、VISA和MasterCard國(guó)際組織的規(guī)范），使用了一些成熟的加密算法（如DES、3DES、RSA），但是這些做法和規(guī)范往往存在有安

2、全隱患或漏洞，因此必須對(duì)它們進(jìn)行相應(yīng)的分析和改進(jìn)。 傳統(tǒng)銀行卡系統(tǒng)的安全性主要涉及到MAC、PIN的傳輸、PIN的存儲(chǔ)、密鑰的安全；隨著網(wǎng)上支付的發(fā)展，銀行卡系統(tǒng)又引入了網(wǎng)上安全性。 銀行卡系統(tǒng)中使用的MAC存在較多的問題，攻擊者可以通過偽造報(bào)文MAC、文件MAC或部分回放攻擊對(duì)銀行卡系統(tǒng)進(jìn)行攻擊。這導(dǎo)致系統(tǒng)的安全性大為降低。本文針對(duì)交易信息在交換過程中MAC的問題，進(jìn)行了回放攻擊和消息篡改的分析，并在此基礎(chǔ)上提出了對(duì)目

3、前MAC算法的改進(jìn)措施。 銀行卡系統(tǒng)中的PIN在傳輸過程中容易受到PIN BLOCK攻擊。對(duì)于國(guó)內(nèi)常用的6位長(zhǎng)度的PIN，在使用國(guó)產(chǎn)HSM指令體系的情況下，攻擊者平均只需要通223.1次計(jì)算；而在使用Racal加密指令體系下，攻擊者平均只需要835.2次計(jì)算,即可獲得持卡人的PIN。本文針對(duì)PIN在傳輸過程中的問題，進(jìn)行了PIN BLOCK攻擊的分析，并在此基礎(chǔ)上提出了對(duì)PIN BLOCK格式和加密機(jī)的改進(jìn)措施。 PI

4、N在存儲(chǔ)過程中容易受到Decimalization Table攻擊。對(duì)于6位長(zhǎng)度的PIN，Decimalization Table攻擊僅需要平均20.42次的計(jì)算，即可獲得持卡人PIN。本文針對(duì)PIN在發(fā)卡系統(tǒng)的存儲(chǔ)中的問題，進(jìn)行了Decimalization Table攻擊的分析，并在此基礎(chǔ)上提出了對(duì)PIN存儲(chǔ)算法和加密機(jī)的改進(jìn)措施。 對(duì)于銀行卡系統(tǒng)的密鑰安全性，首先，銀行卡系統(tǒng)的密鑰存在著強(qiáng)度問題。除此之外，工作密鑰交換過

5、程也存在著問題，通過回放攻擊，攻擊者可以很容易的癱瘓整個(gè)銀行卡系統(tǒng)。本文針對(duì)密鑰在使用、交換和存儲(chǔ)過程中的問題，進(jìn)行了密鑰強(qiáng)度和回放攻擊的分析，并在此基礎(chǔ)上提出了對(duì)密鑰長(zhǎng)度、工作密鑰交換過程和加密管理的改進(jìn)措施。 對(duì)于網(wǎng)上支付，目前VISA和MasterCard組織已經(jīng)推出3D安全協(xié)議來替代SET。本文介紹了3D安全協(xié)議。3D安全協(xié)議是建立在TLS（SSL）之上的。本文針對(duì)網(wǎng)上3D-Secure協(xié)議中的問題，進(jìn)行了中間人攻擊和C