隨著網際網路的普及，民眾在家使用網路銀行進行各種線上轉帳、匯款交易的情況已經很普及。網路銀行為了確保交易安全性均具備了各種安全驗證機制，如：使用者鑑別、SSL加密、Smart Card Identify、OTP(one time password)等方法，但面對日新月異的攻擊手法仍舊難以全面防範。舉例來說目前市面上各家網路銀行大多以微軟的IE為Base進行開發，因使用了Active X元件與IE特有的JScript支援方法而造成Client端的Browser限定只能使用IE進行交易。然而微軟提供了非常強大的功能給IE的Plug-in開發者，藉由微軟提供的BHO技術，我們可對IE進行使用者行為模式追蹤，甚至在使用者不知情的情況下竄改網路交易訊息內容。
    本研究係針對網路銀行線上轉帳交易之安全性問題進行研究，並將系統設計、交易流程、安全機制進行研究與分析。對於使用IE進行交易時，因BHO技術所衍生的風險問題進行相關說明與探討，同時提出改良與加強防範的方法。

With the popularization of internet, it is very common using internet bank to perform on-line accounts transferring at home. In order to guarantee the transaction security, the internet bank has possessed various kinds of safety and security mechanisms. For instance, the internet bank provides users’ authentication, SSL, Smart Card identification, one-time password and other methods. Despite this efforts, it is still difficult to lockout all kind of attacks. For example, most internet banks use Microsoft IE as the base platform, in which Active X and JScript are used. It turns out that the browser of client can only use IE to do the deal. Since Microsoft equips very strong function for plug-in developer in IE, it makes that tracing the transaction activities very easy. Furthermore, one can use BHO to overwrite transaction
information without being discovered. 
    This research investigates the security and safety issues of transactions of internet bank. Specially, we focus on the risk due to the adoption of BHO technology.
The method of security improvement and prevention will be proposed.

目錄
第一章  緒論	1
1.1  研究背景	1
1.2  研究動機	1
1.3  研究目的	3
1.4  論文內容大綱	4
第二章  文獻探討	5
2.1  電子金融系統發展史	5
2.2  資訊安全威脅	7
2.2.1  網路常見的攻擊手法	8
2.2.2  惡意軟體危害	14
2.3  資訊安全原則	17
2.3.1  安全攻擊	18
2.3.2  安全機制	22
2.4  密碼學與密碼演算法	27
2.4.1  對稱式加密法	29
2.4.2  非對稱式加密法	35
第三章  系統架構與研究方法	44
3.1  系統架構	44
3.1.1  系統模組	45
3.1.2  系統模型	46
3.2  研究方法	50
3.2.1  網路銀行交易風險	50
3.2.2  網路銀行參與角色	52
3.2.3  網路銀行安全機制	53
3.2.4  網路銀行轉帳交易流程	55
3.2.5  網路銀行轉帳潛在風險	60
3.2.6  BHO動作流程與重要函式介面	65
第四章  實驗與成果展示	70
4.1  BHO攻擊網路銀行轉帳交易方式	70
4.2  網路銀行預防BHO攻擊方法	74
4.3  BHO防護方法實作方式	75
4.4  增強轉帳交易安全性的作法	79
4.4.1  Java與密碼學	80
4.4.2  使用Base64提高安全性	88
4.5  實驗結果	89
第五章  結論與未來研究方向	94
5.1  結論	94
5.2  未來研究方向	95
參考文獻	97
附錄－英文論文	100

圖目錄
圖2-1 電子金融付款系統架構圖	6
圖2-2 中間人攻擊法 (man-in-the-middle attack)	13
圖2-3 安全威脅	19
圖2-4 智慧卡的構造	25
圖2-5 對稱式加密法的模型[13]	29
圖2-6 DES加密法的模型[13]	30
圖2-7 3DES加密原理	31
圖2-8 3DES解密原理	31
圖2-9 AES加密演算法虛擬碼[15]	33
圖2-10 AES加密法的模型[13]	34
圖2-11 非對稱式加密法的模型[13]	36
圖2-12 HTTP一般連線與HTTP加密連線	39
圖2-13 SSL Handshake[16]	41
圖3-1 網路銀行系統架構圖	45
圖3-2 網路銀行系統架構圖	46
圖3-3 網路銀行系統流程圖	48
圖3-4 網路銀行交易系統架構	51
圖3-5 網路銀行參與角色	52
圖3-6 使用者身份鑑別架構圖	53
圖3-7 鍵盤輸入側錄方式[17]	56
圖3-8 動態虛擬鍵盤	57
圖3-9 圖形驗證碼機制	58
圖3-10 網路銀行資料傳送過程示意圖	59
圖3-11 網路銀行系統交易流程架構圖	60
圖3-12 一般正常網路銀行轉帳交易流程	63
圖3-13 遭受BHO惡意程式攻擊網路銀行轉帳交易流程	64
圖3-14 BHO動作流程	67
圖3-15 BHO運作方式	69
圖4-1 BHO與轉帳流程(A)	72
圖4-2 BHO與轉帳流程(B)	73
圖4-3 鍵盤定義檔	76
圖4-4 引擎類別和安全提供者之間的關係	81
圖4-5 JCE實作RSA演算法	83
圖4-6 JCA與JCE的實作方式	85
圖4-7 利用JSSE取得SSL協定的安全Socket	86
圖4-8 Java密碼學的分類	87
圖4-9 Base64實作方式	89
圖4-10 動態鍵盤(a)	90
圖4-11 鍵盤碼與英數字對應碼關係(a)	90
圖4-12 動態鍵盤(b)	91
圖4-13 鍵盤碼與英數字對應碼關係(b)	91
圖4-14 動態鍵盤(c)	92
圖4-15 鍵盤碼與英數字對應碼關係(c)	92
圖4-16 動態鍵盤(d)	93
圖4-17 鍵盤碼與英數字對應碼關係(d)	93

表目錄
表1-1 網路銀行的功能	2
表2-1 惡意軟體的種類比較	16
表2-2 使用者身份鑑別的方法	23
表2-3 各種對稱加密法比較	35
表2-4 RSA目前破解狀況	38
表2-5 各公開金鑰加密演算法的對應領域	43
表4-1 Sun Provider及SunJCEprovider所支援的演算法標準名稱	83
表4-2 Java密碼學abstract類別	87

[1] http://www.fisc.com.tw
[2] http://cca.yuntech.edu.tw/
[3] 鄭治成，B2B金流最佳方案—金融EDI業務，財金雙月刊，VOL.10，2000.06
[4] 范姜群暐，我國網路金流業務發展概況，財金資訊季刊，No.68，2011.09
[5] http://zh-tw.facebook.com/hacker.news.update/posts/355174957882690
[6] http://ophcrack.sourceforge.net/
[7] http://en.wikipedia.org/wiki/Rainbow_table
[8] http://www.ogcio.gov.hk/tc/infrastructure/methodology/security_policy/doc/g3.pdf
[9] http://www.microsoft.com/taiwan/security/articles/virus101.mspx
[10] 徐廣寅，資訊安全管理導論，2004
[11] http://williamstallings.com/
[12] 張真誠、林祝興，資訊安全技術與應用，2006
[13] Behrouz Forouzan、Firouz Mosharraf 著 林仁勇、梁廷宇、張志標、韓端勇 譯，Foundations of Computer Science (Second Edition) 計算機概論第二版，2009
[14] 潘天佑，資訊安全概論與實務 ，2008
[15] 林祝興、黃志雄，資訊安全實務數位憑證技術與應用，2011
[16] http://www.jeckle.de/
[17] http://www.codeguru.com/
[18] http://msdn.microsoft.com/en-us/library/bb250436(v=vs.85).aspx
[19] 吳政道，網路ATM付款機制安全性之研究，國立台灣科技大學資訊管理系資訊管理研究所碩士論文，台灣，2005
[20] 黃聖懿，網頁上表格填寫自動化的研究，國立交通大學資訊工程系資訊工程研究所碩士論文，台灣，2002
[21] Jonatban Knudsen 著 阮韻芳 譯，JAVA Cryptography JAVA密碼學，1999
[22] 梁棟 著 鄭宇翔 譯，JAVA 加密與解密的藝術 ，2010
[23] William Stallings 著 曾志光、巫坤品 譯，Cryptography and Network Security： Principles and Practice (Second Edition) 密碼學與網路安全 － 原理與實務第二版，2001
[24] 張真誠、林祝興、江季翰，電子商務安全 Electronic Commerce Security，2000
[25] Brett McLaughlin 著 陳建勳 譯，JAVA & XML JAVA與XML，2002
[26] 位元文化，XML技術實務，2009
[27] Lars Klander 著 蘇澈 譯，Hacker Proof －The Ultimate Guide to Network Security 駭客的秘密 － 系統安全篇，1998
[28] Lars Klander 著 蘇澈 譯，Hacker Proof －The Ultimate Guide to Network Security 駭客的秘密 － 網際網路篇，1998
[29] 莊振宏，針對網路銀行之異常偵測模組研究，長庚大學資訊管理系資訊管理研究所碩士論文，2003
[30] D.Brent Chapman Elizabeth D. Zwicky 著 王旭 譯，Building Internet Firewalls 架設防火牆，1998
[31] William Stallings 著 賴榮樞 譯，Network Security Essentials (3rd Edition)網路安全精要(第三版)， 2009