[论文解读] A Multi-Factor Security Protocol for Wireless Payment - Secure Web Authentication using Mobile Devices
本文提出了一种用于无线支付的多因素身份验证协议,通过结合传统的登录名/密码与通过短信发送的交易识别码(TIC),在不修改现有无线网络基础设施的前提下,提升了安全性和可用性。该协议实现了无需修改现有网络基础设施的双向身份验证,为使用移动设备进行安全网络访问提供了一种轻量级且可部署的解决方案。
Previous Web access authentication systems often use either the Web or the Mobile channel individually to confirm the claimed identity of the remote user. This paper proposes a new protocol using multifactor authentication system that is both secure and highly usable. It uses a novel approach based on Transaction Identification Code and SMS to enforce extra security level with the traditional Login/password system. The system provides a highly secure environment that is simple to use and deploy, that does not require any change in infrastructure or protocol of wireless networks. This Protocol for Wireless Payment is extended to provide two way authentications.
研究动机与目标
- 解决无线支付系统中单因素网络身份验证的安全局限性。
- 提升真实移动环境中可用性和部署可行性。
- 在不修改现有网络协议的前提下,为用户和网络服务提供强相互身份验证。
- 通过短信发送的交易码作为第二重因素,防止网络钓鱼和重放攻击。
- 将协议扩展以支持端到端安全移动网络交易中的双向身份验证。
提出的方法
- 协议引入由服务器端生成并通过短信发送至用户移动设备的交易识别码(TIC)。
- 用户输入TIC以及其登录名和密码以完成身份验证。
- 系统执行相互身份验证:服务器验证TIC,客户端使用质询-响应机制验证服务器身份。
- 协议运行于标准网络协议之上,无需更改无线网络基础设施或客户端软件。
- TIC具有时间特异性和交易特异性,可防止重放攻击。
- 设计支持与现有网络身份验证系统的向后兼容性。
实验结果
研究问题
- RQ1如何为无线支付系统设计一种轻量级、安全且可用的多因素身份验证协议?
- RQ2基于短信的TIC是否能有效增强传统登录名/密码系统的安全性,且无需更改基础设施?
- RQ3在移动网络环境中,如何以最小的用户操作摩擦实现双向身份验证?
- RQ4使用TIC对抵抗常见网络攻击(如网络钓鱼和会话劫持)有何影响?
- RQ5该协议能否在现有移动和网络技术环境下实现真实世界部署?
主要发现
- 通过作为第二重身份验证因素的、具有时间敏感性的一次性TIC,协议成功提升了安全性。
- 系统实现了双向身份验证,有效保护用户和服务免受冒充攻击。
- 无需更改现有无线网络基础设施或网络协议,可实现轻松部署。
- 协议通过依赖广泛可用的短信和标准网络界面,保持了良好的可用性。
- 与仅依赖密码的系统相比,使用TIC显著降低了网络钓鱼和重放攻击的风险。
- 由于与当前移动和网络技术的兼容性,该解决方案在真实无线支付应用中具有实际可行性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。