作为一种结合了货币电子化与移动通信的崭新服务,手机银行业务不仅可以使人们在任何时间、任何地点处理多种金融业务,而且极大地丰富了银行服务的内涵,使银行能以便利、高效的方式为客户提供传统和创新的服务。由于手机银行业务的复杂性和特殊性,安全性成为影响手机银行业务发展的关键问题。手机需要通过移动网络接入互联网,这样移动网络和IP网络的双重安全威胁使得手机银行的安全问题更加严重。针对通信链路与手机病毒带来的数据被监听和窃取等风险,采用一种动态的认证方式,用户在每次业务操作之前都进行认证。为了使用户在业务操作过程中多次认证但不用多次登录,在第一次认证通过后颁发一个只在当前连接有效的票据作为业务操作之前的凭据,银行端在用户成功登录后只认证票据。由于银行服务分为多个应用系统,例如转账查询等属于基本应用,股票、基金、外汇等可能属于另一个应用系统。为了使用户在使用这些应用时不用再次登录,引入单点登录技术。因此,本文提出了一种基于OTP认证和单点登录技术的手机银行安全解决方案。用户请求业务连接会使用SIM卡端生成的OTP口令去获得票据,银行接到请求会首先验证票据。由于OTP口令的一次性,使得票据也只有效一次,这样数据即使被破译或窃听,没有SIM卡端生成的OTP口令也无法被冒名顶替。手机银行客户端软件使用静态的登录密码,用户手机被盗取或丢失后,无法启动软件也就无法进行任何操作。最后,基于OMS操作系统,实现了方案的主要功能。包括认证服务器认证OTP口令和票据的功能,以及手机客户端软件的基本功能。