淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-1306201214281000
中文論文名稱 電子金融系統安全性研究
英文論文名稱 Study on the Security of E-Finance System
校院名稱 淡江大學
系所名稱(中) 資訊工程學系碩士在職專班
系所名稱(英) Department of Computer Science and Information Engineering
學年度 100
學期 2
出版年 101
研究生中文姓名 林大為
研究生英文姓名 Ta-Wei Lin
學號 799410211
學位類別 碩士
語文別 中文
第二語文別 英文
口試日期 2012-06-13
論文頁數 112頁
口試委員 指導教授-徐郁輝
委員-趙景明
委員-陳柏榮
委員-徐郁輝
中文關鍵字 網路銀行  電子銀行  資訊安全  網路攻擊 
英文關鍵字 Internet Banking  E-banking  Information Security  Network Attack 
學科別分類 學科別應用科學資訊工程
中文摘要 隨著網際網路的普及,民眾在家使用網路銀行進行各種線上轉帳、匯款交易的情況已經很普及。網路銀行為了確保交易安全性均具備了各種安全驗證機制,如:使用者鑑別、SSL加密、Smart Card Identify、OTP(one time password)等方法,但面對日新月異的攻擊手法仍舊難以全面防範。舉例來說目前市面上各家網路銀行大多以微軟的IE為Base進行開發,因使用了Active X元件與IE特有的JScript支援方法而造成Client端的Browser限定只能使用IE進行交易。然而微軟提供了非常強大的功能給IE的Plug-in開發者,藉由微軟提供的BHO技術,我們可對IE進行使用者行為模式追蹤,甚至在使用者不知情的情況下竄改網路交易訊息內容。
本研究係針對網路銀行線上轉帳交易之安全性問題進行研究,並將系統設計、交易流程、安全機制進行研究與分析。對於使用IE進行交易時,因BHO技術所衍生的風險問題進行相關說明與探討,同時提出改良與加強防範的方法。
英文摘要 With the popularization of internet, it is very common using internet bank to perform on-line accounts transferring at home. In order to guarantee the transaction security, the internet bank has possessed various kinds of safety and security mechanisms. For instance, the internet bank provides users’ authentication, SSL, Smart Card identification, one-time password and other methods. Despite this efforts, it is still difficult to lockout all kind of attacks. For example, most internet banks use Microsoft IE as the base platform, in which Active X and JScript are used. It turns out that the browser of client can only use IE to do the deal. Since Microsoft equips very strong function for plug-in developer in IE, it makes that tracing the transaction activities very easy. Furthermore, one can use BHO to overwrite transaction
information without being discovered.
This research investigates the security and safety issues of transactions of internet bank. Specially, we focus on the risk due to the adoption of BHO technology.
The method of security improvement and prevention will be proposed.
論文目次 目錄
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機 1
1.3 研究目的 3
1.4 論文內容大綱 4
第二章 文獻探討 5
2.1 電子金融系統發展史 5
2.2 資訊安全威脅 7
2.2.1 網路常見的攻擊手法 8
2.2.2 惡意軟體危害 14
2.3 資訊安全原則 17
2.3.1 安全攻擊 18
2.3.2 安全機制 22
2.4 密碼學與密碼演算法 27
2.4.1 對稱式加密法 29
2.4.2 非對稱式加密法 35
第三章 系統架構與研究方法 44
3.1 系統架構 44
3.1.1 系統模組 45
3.1.2 系統模型 46
3.2 研究方法 50
3.2.1 網路銀行交易風險 50
3.2.2 網路銀行參與角色 52
3.2.3 網路銀行安全機制 53
3.2.4 網路銀行轉帳交易流程 55
3.2.5 網路銀行轉帳潛在風險 60
3.2.6 BHO動作流程與重要函式介面 65
第四章 實驗與成果展示 70
4.1 BHO攻擊網路銀行轉帳交易方式 70
4.2 網路銀行預防BHO攻擊方法 74
4.3 BHO防護方法實作方式 75
4.4 增強轉帳交易安全性的作法 79
4.4.1 Java與密碼學 80
4.4.2 使用Base64提高安全性 88
4.5 實驗結果 89
第五章 結論與未來研究方向 94
5.1 結論 94
5.2 未來研究方向 95
參考文獻 97
附錄-英文論文 100

圖目錄
圖2-1 電子金融付款系統架構圖 6
圖2-2 中間人攻擊法 (man-in-the-middle attack) 13
圖2-3 安全威脅 19
圖2-4 智慧卡的構造 25
圖2-5 對稱式加密法的模型[13] 29
圖2-6 DES加密法的模型[13] 30
圖2-7 3DES加密原理 31
圖2-8 3DES解密原理 31
圖2-9 AES加密演算法虛擬碼[15] 33
圖2-10 AES加密法的模型[13] 34
圖2-11 非對稱式加密法的模型[13] 36
圖2-12 HTTP一般連線與HTTP加密連線 39
圖2-13 SSL Handshake[16] 41
圖3-1 網路銀行系統架構圖 45
圖3-2 網路銀行系統架構圖 46
圖3-3 網路銀行系統流程圖 48
圖3-4 網路銀行交易系統架構 51
圖3-5 網路銀行參與角色 52
圖3-6 使用者身份鑑別架構圖 53
圖3-7 鍵盤輸入側錄方式[17] 56
圖3-8 動態虛擬鍵盤 57
圖3-9 圖形驗證碼機制 58
圖3-10 網路銀行資料傳送過程示意圖 59
圖3-11 網路銀行系統交易流程架構圖 60
圖3-12 一般正常網路銀行轉帳交易流程 63
圖3-13 遭受BHO惡意程式攻擊網路銀行轉帳交易流程 64
圖3-14 BHO動作流程 67
圖3-15 BHO運作方式 69
圖4-1 BHO與轉帳流程(A) 72
圖4-2 BHO與轉帳流程(B) 73
圖4-3 鍵盤定義檔 76
圖4-4 引擎類別和安全提供者之間的關係 81
圖4-5 JCE實作RSA演算法 83
圖4-6 JCA與JCE的實作方式 85
圖4-7 利用JSSE取得SSL協定的安全Socket 86
圖4-8 Java密碼學的分類 87
圖4-9 Base64實作方式 89
圖4-10 動態鍵盤(a) 90
圖4-11 鍵盤碼與英數字對應碼關係(a) 90
圖4-12 動態鍵盤(b) 91
圖4-13 鍵盤碼與英數字對應碼關係(b) 91
圖4-14 動態鍵盤(c) 92
圖4-15 鍵盤碼與英數字對應碼關係(c) 92
圖4-16 動態鍵盤(d) 93
圖4-17 鍵盤碼與英數字對應碼關係(d) 93

表目錄
表1-1 網路銀行的功能 2
表2-1 惡意軟體的種類比較 16
表2-2 使用者身份鑑別的方法 23
表2-3 各種對稱加密法比較 35
表2-4 RSA目前破解狀況 38
表2-5 各公開金鑰加密演算法的對應領域 43
表4-1 Sun Provider及SunJCEprovider所支援的演算法標準名稱 83
表4-2 Java密碼學abstract類別 87
參考文獻 [1] http://www.fisc.com.tw
[2] http://cca.yuntech.edu.tw/
[3] 鄭治成,B2B金流最佳方案—金融EDI業務,財金雙月刊,VOL.10,2000.06
[4] 范姜群暐,我國網路金流業務發展概況,財金資訊季刊,No.68,2011.09
[5] http://zh-tw.facebook.com/hacker.news.update/posts/355174957882690
[6] http://ophcrack.sourceforge.net/
[7] http://en.wikipedia.org/wiki/Rainbow_table
[8] http://www.ogcio.gov.hk/tc/infrastructure/methodology/security_policy/doc/g3.pdf
[9] http://www.microsoft.com/taiwan/security/articles/virus101.mspx
[10] 徐廣寅,資訊安全管理導論,2004
[11] http://williamstallings.com/
[12] 張真誠、林祝興,資訊安全技術與應用,2006
[13] Behrouz Forouzan、Firouz Mosharraf 著 林仁勇、梁廷宇、張志標、韓端勇 譯,Foundations of Computer Science (Second Edition) 計算機概論第二版,2009
[14] 潘天佑,資訊安全概論與實務 ,2008
[15] 林祝興、黃志雄,資訊安全實務數位憑證技術與應用,2011
[16] http://www.jeckle.de/
[17] http://www.codeguru.com/
[18] http://msdn.microsoft.com/en-us/library/bb250436(v=vs.85).aspx
[19] 吳政道,網路ATM付款機制安全性之研究,國立台灣科技大學資訊管理系資訊管理研究所碩士論文,台灣,2005
[20] 黃聖懿,網頁上表格填寫自動化的研究,國立交通大學資訊工程系資訊工程研究所碩士論文,台灣,2002
[21] Jonatban Knudsen 著 阮韻芳 譯,JAVA Cryptography JAVA密碼學,1999
[22] 梁棟 著 鄭宇翔 譯,JAVA 加密與解密的藝術 ,2010
[23] William Stallings 著 曾志光、巫坤品 譯,Cryptography and Network Security: Principles and Practice (Second Edition) 密碼學與網路安全 - 原理與實務第二版,2001
[24] 張真誠、林祝興、江季翰,電子商務安全 Electronic Commerce Security,2000
[25] Brett McLaughlin 著 陳建勳 譯,JAVA & XML JAVA與XML,2002
[26] 位元文化,XML技術實務,2009
[27] Lars Klander 著 蘇澈 譯,Hacker Proof -The Ultimate Guide to Network Security 駭客的秘密 - 系統安全篇,1998
[28] Lars Klander 著 蘇澈 譯,Hacker Proof -The Ultimate Guide to Network Security 駭客的秘密 - 網際網路篇,1998
[29] 莊振宏,針對網路銀行之異常偵測模組研究,長庚大學資訊管理系資訊管理研究所碩士論文,2003
[30] D.Brent Chapman Elizabeth D. Zwicky 著 王旭 譯,Building Internet Firewalls 架設防火牆,1998
[31] William Stallings 著 賴榮樞 譯,Network Security Essentials (3rd Edition)網路安全精要(第三版), 2009
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2017-07-04公開。
  • 同意授權瀏覽/列印電子全文服務,於2017-07-04起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信