抗授权劫持攻击的安全电子交易方案被引量：1

Anti-Authority Hijack Secure Electronic Transaction

下载PDF

导出

摘要针对现有的网络交易安全方案中存在授权与认证分离及与交易相关的敏感操作在复杂、未审计环境下完成等问题,本文提出了一个基于可信计算模块的安全电子交易方案.该方案采用可信设备(如,安全智能手机、安全PDA等)作为安全交易认证与交易授权终端;将交易认证与交易授权绑定,确保安全敏感操作在独立可信强审计计算环境中完成.即使敌手拥有对客户端计算机的完全控制,本方法亦可有效抵抗中间人攻击、浏览器劫持、交易授权劫持、以及keylogger等间谍软件威胁. We propose a trusted computing module based secure electronic transaction architecture, which uses trusted equipment as the identity authentication and transaction authorization terminal. The new framework binds authentication and authorization in e-transaction operations and guarantees the secure sensitive operation is executed properly in an independent, trusted, auditable environment. Our approach thwarts Man-in-the-Middle attacks, protects a user＇s account even in the presence of most spywares like keyloggers and fends off the authorization hijack attacks efficiently.

作者毛剑韦韬陈昱邹维

机构地区北京大学计算机科学技术研究所

出处《武汉大学学报（理学版）》 CAS CSCD 北大核心 2008年第5期593-597,共5页 Journal of Wuhan University:Natural Science Edition

基金国家高技术研究发展计划(863)项目(2006AA01Z402 2006AA01Z422) 国家自然科学基金资助项目(60703044 60672102)

关键词身份窃取 WEB欺骗授权劫持 identity theft Web spoofing authorization hijack

分类号 TP901 [自动化与计算机技术]

引文网络
相关文献

参考文献8

1Kaspersky Laboratory. Analyst' s Diary [EB/OL]. [2007-07-12]. http://www, viruslist, com/en/weblog? calendar:2007- 05.
2Schouwenberg R. Targeted Banker Malware on Ddemand. The Last Minutes Presentation, VB2007[EB/ OL]. [ 2007-10-15 ]. http ;//www. virusbtn, com/con- f erence / vb2OO 7 /abstracts /Last Minute3. xml.
3Prono B, Kuo C, Perrig A. Phoolproof Phishing Prevention[C]//Proceedings of the Financial Cryptography and Data Security 10th International Confer-ence. Berlin: Springer-Verlag, 2006.
4Sharp R, Madhavapeddy A, Want R, et al. Fighting Crimeware: An Architecture for Split-Trust Web Applications[R/OL]. [2007-09-25]. http://rich, recoil. org/ publications/crimeware-techreport, pd f .
5Citibank. Virtual Account Number[EB/OL]. [2007- 05-27]. http://www, citibank, com/us/cards/tour/cb/ shpvan, htrn.
6Sailer R,Zhang X,Jaeger T,et al. Design and Implementation of a TCG-Based Integrity Measurement Architecture[ C ]/ / Proceedings of the 13th Conference on USENIX Security Symposium. Berkeley:USENIX Association, 2004.
7Sharp R,Scott J,Beresford A. Secure Mobile Compu ting Via Public Terminals [C/OL]. [2007-09-23]. http ://research. microsoft, com/-jws/ pub files/ perva sive2OO6-securemobilecomputing, pd f .
8McCune M J, Perrig A, Reiter K M. Bump in the Ether:A Framework for Securing Sensitive User Input [C/OL]. [2007-06-21]. http://sparrow, ece. cmu. edu/group/ pub/mccunej_bite, pd f .

同被引文献6

1康荣保,张玲,兰昆.SSL中间人攻击分析与防范[J].信息安全与通信保密,2010,7(3):85-87. 被引量：10
2左黎明,夏萍萍,陈祚松.基于国密SM2数字签名的网络摄像头保护技术[J].信息网络安全,2018(5):32-40. 被引量：7
3左黎明,胡凯雨,张梦丽,夏萍萍.一种具有双向安全性的基于身份的短签名方案[J].信息网络安全,2018(7):47-54. 被引量：7
4刘奇旭,邱凯丽,王乙文,陈艳辉,陈浪平,刘潮歌.面向OAuth2.0授权服务API的账号劫持攻击威胁检测[J].通信学报,2019,40(6):40-50. 被引量：13
5朱博昌.基于OAuth2.0协议的授权登录国内应用现状研究[J].现代信息科技,2019,3(20):151-154. 被引量：13
6赵嘉熙,邬卓恒.系统科学视域下基于OAuth2.0的授权登录安全性提升方案研究分析[J].网络安全技术与应用,2022(3):14-16. 被引量：2

引证文献1

1郝恬,左黎明,陈艺琳.基于口令签名和OAuth2.0协议的强身份认证方案[J].计算机系统应用,2023,32(4):347-353. 被引量：3

二级引证文献3

1吴海燕,李凯锋.统一身份认证在中大型企业信息化中的深度集成应用[J].信息与电脑,2023,35(8):156-159.
2李志威,王巍,王恺.基于OAuth2.0协议的门户系统设计与实现[J].中国数字医学,2023,18(12):47-51. 被引量：2
3何嘉欣,王枫,杨光.基于Spring Cloud的EAST集成数据访问系统设计与实现[J].仪表技术,2024(4):7-12.

1王东恩,王虎.浅谈人脸识别在计算机网络安全中的应用[J].科技传播,2010,2(9):128-128. 被引量：1
2谢正颢.WEB欺骗与防范[J].信息网络安全,2005(2):80-81.
3叶卫东.基于Internet的网络安全性的分析及解决实例[J].视听界（广播电视技术）,2008,0(3):77-81.
4Web欺骗及其防范[J].网络与信息,2001,15(8):60-61.
5黑客进行Web欺骗的手段和预防措施[J].中国新通信,1999,0(4):17-20.
6陈振声.电脑安全必备最新应用技术[J].家电维修（大众版）,2015,0(6):34-35.
7江海客.安全[J].程序员,2008(3):22-22.
8用360修复404网页故障[J].电脑爱好者（普及版）,2011(A01):152-152.
9时钟.安全第一，躲在沙盒里用IE[J].电脑乐园,2007(4):14-14.
10郭建伟.给IE贴上“写保护”[J].大众软件,2006(5):62-63.

武汉大学学报（理学版）

2008年第5期

浏览历史

内容加载中请稍等...

抗授权劫持攻击的安全电子交易方案被引量：1

参考文献8

同被引文献6

引证文献1

二级引证文献3

相关作者

相关机构

相关主题

浏览历史

抗授权劫持攻击的安全电子交易方案 被引量：1

参考文献8

同被引文献6

引证文献1

二级引证文献3

相关作者

相关机构

相关主题

浏览历史

抗授权劫持攻击的安全电子交易方案被引量：1