把好信息安全第一关——飞天诚信(打印版).ppt

www.FT,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,把好信息安全第一关,北京飞天诚信科技有限公司,谢梁,XieLiangFT,安全对策及发展趋势,介 绍 内 容,网上应用的安全软肋,网上身份认证安全措施分析,网上身份认证攻击手段及对策,飞天诚信,ePass,系列,USB Key,网上应用的安全软肋,网上应用对身份认证的需求,电子金融,各大银行网上金融产品：网上理财、在线管理账户、在线汇款,网上证券、网上基金、网上外汇,电子政务,工商在线、税务在线、网上报关,网上政务自动化办公、网上政务招投标,电子商务,阿里巴巴（,B2B,）,淘宝网、,eBay,（,B2C,）,网上应用的安全软肋,网上银行的安全现状,数 据,截至,2006,年底，我国主要商业银行网银用户数量为,7494.5,万户，比,2005,年增加约,2105.4,万户，增长幅度达到,39,。,出于对网上银行安全性的担忧，,2006,年约,61%,的用户不敢使用网上银行，而在,2005,年，这个数字是,50%,事 件,工行某帐户被不法分子以网上购物方式支出，,6000,元存款仅剩,0.82,元。,中国最大网银盗窃案：金额高达,777,万，农业银行被判全额赔偿。,电脑突然中毒，建行网上银行账户被盗,3,万元。,网上应用的安全软肋,网银系统拓朴结构,客户端安全是网银安全的软肋,个人电脑不安全,系统漏洞百出,病毒、木马泛滥,黑客远程控制,通过互联网接入银行系统,“钓鱼”网站层出不穷,中间人攻击不易察觉,缺少面对面认证,银行系统“只认数字不认人”,用户安全防范意识和手段薄弱,网上应用的安全软肋,介 绍 内 容,网上应用的安全软肋,网上身份认证安全措施分析,网上身份认证攻击手段及对策,飞天诚信,ePass,系列,USB Key,帐号,+,密码,最原始最简单的安全措施,主要用于大众版网银,最不安全,大部分不提供支付功能,网上身份认证安全措施分析,措施,1,动态口令卡,比传统的密码安全,可以保证有限次数的一次一密,容易被复制,不能对交易进行签名,无法保证交易的不可否认性,网上身份认证安全措施分析,措施,2,文件数字证书,基于,PKI,体系,可提供数字签名,存在被复制的危险,网上身份认证安全措施分析,措施,3,电子动态令牌,比动态密码卡安全,一次一密，不限次数,硬件不可被复制,时间同步机制（一分钟一密）,事件同步机制（一次一密）,易受中间人攻击,网上身份认证安全措施分析,措施,4,USB Key,数字证书,强双因素认证,PIN,和,Key,构成两个必要因子,结合智能卡技术，安全强度高,保护私钥安全,结合,PKI,技术，使用比较简单,是目前最安全的方式,需要结合网银系统提高安全性,网上身份认证安全措施分析,措施,5,介 绍 内 容,网上应用的安全软肋,网上身份认证安全措施分析,网上身份认证攻击手段及对策,飞天诚信,ePass,系列,USB Key,针对动态口令卡的攻击,攻击手段,记录用户使用过的位置密码,一次使用两个不重复的密码，,32,次就可以复制整张密码卡,使用次数越多，两个密码都落在已经使用过的位置的可能性越大,对策,一次一密，不重复使用。,网上身份认证攻击手段及对策,中间人攻击（,MITM,）,使用中间人攻击动态令牌系统,MITM,伪造银行网站,通过木马使用户登录指向,MITM,对策,使用可输入交易信息的动态令牌,网银 服务器,MITM,服务器,客户端,用户登录,MITM,伪造网站,MITM,使用用户信息登录网银,网银要求用户输入交易信息及一次性口令,用户输入交易信息及一次性口令,MITM,转发网银信息,MITM,修改交易信息并使用一次性口令向网银下达指令,用户使用动态令牌 产生一次性口令,网上身份认证攻击手段及对策,木马向,USB Key,发送,PIN,码并要求签名,BioPass3000,InterPass3000,PIN,码截获攻击,使用,PIN,码截获攻击,USB Key,证书,攻击者通过木马截获用户,PIN,码,用户未将,USB Key,及时拔下,对策,使用软件盘或安全键盘控件,提示用户及时拔下,USB Key,USB Key,使用生物识别或触发开关,网银 服务器,客户端,使用木马截获用户,PIN,码,攻击者伪造用户身份登录网银,并发出交易指令,网银要求用户用户证书及交易签名,木马将签名值发送给攻击者,攻击者发送签名数据给木马,攻击者向网银提交签名值,网上身份认证攻击手段及对策,攻击者,USB Key,验证,PIN,码正确进行签名,客户端劫持攻击,用户计算机完全被木马控制,攻击者通过木马控制客户端的显示和操作,木马在实际用户使用时改变用户指令,对策,在,USB Key,上内置液晶显示或语音提示,交易帐号和金额一次性传入,USB Key,中,USB Key,显示或读出交易数据请用户确认,网银 服务器,客户端,用户登录网银并发送交易指令,木马截获交易指令，篡改交易帐号和金额，发送给网银服务器,网银传输交易确认页面并要求交易签名,客户端向网银提交签名值,木马篡改页面显示为客户指定交易，并要求用户确认,网上身份认证攻击手段及对策,木马向,USB Key,发送非法交易数据,用户根据网页显示确认交易并按键触发签名,InterPass,View,算法破解攻击,新 闻,2007,年,9,月，德国波昂大学的一群数学家利用数百台电脑，在质数分解算法上取得突破，成功地解决了,“,matrix step”,的限制，把一个长,307,位的整数分解成三个质数的乘积。这个,307,位的整数换算成二进制是,1017,位。,1024,位,RSA,的安全性岌岌可危,对策,RSA,的发明人之一，,MIT,的,Ronald,Rivest,听到这则消息，只简单的表示：他们早就建议用,2048,位的编码了,使用支持,2048,位,RSA,运算的,USB Key,使用其它非对称算法（如,ECC,）体系,无需惊慌，未雨绸缪，有备无患,网上身份认证攻击手段及对策,ePass3000,介 绍 内 容,网上应用的安全软肋,网上身份认证安全措施分析,网上身份认证攻击手段及对策,飞天诚信,ePass,系列,USB Key,飞天诚信,ePass,系列,USB Key,飞天诚信公司简介,专业的智能身份认证产品供应商,1999,年推出国内首款,USB Key,商用密码产品生产定点和销售许可单位,国内规模最大的研发团队，全部自主知识产权,全球唯一通过,Windows Vista Logo,认证的,USB Key,厂家,年产量,350,万支，最全的,USB Key,产品线,海外销售额占,35%,，出口,40,多个国家和地区,服务网络：,国内：北京、上海、广州、武汉、成都,海外：日本分公司、马来西亚,飞天诚信主要银行用户,国外银行,马来西亚,Bumiputra,Commerce Bank Malaysia,银行,马来西亚,RHB Bank,马来西亚,May Bank,国有,/,股份制商业银行,中国银行,交通银行、中信银行、民生银行,兴业银行、华夏银行、徽商银行,深圳发展银行,城市商业银行,北京,/,上海银行、北京,/,上海农村商业银行,青岛商行、包头商行、深圳农村商业银行,飞天诚信,ePass,系列,USB Key,针对安全问题应对的,USB Key,InterPass3000 Voice/View,可复核交易信息的用户交互型,USB Key,液晶显示或语音提示交易帐号和金额,用户确认后按键触发签名,BioPass3000,内置硬件指纹,(,生物,),识别技术的,USB Key,ePass3003Auto,无需安装任何软件的,USB Key,，无驱无软，即插即用,StorePass2000/3000,内置可移动磁盘的,USB Key,（,128,2G,空间）,ePass3000/3003,全球首款,32,位,USB Key,，支持,2048,位,RSA,算法,ePass2000/2001,网上应用使用量最大的,USB Key,飞天诚信,ePass,系列,USB Key,谢 谢,飞天诚信愿以自己的努力,为共建和谐可信安全环境贡献力量,