把好信息安全第一关——飞天诚信(打印版)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,把好,信,信息,安,安全,第,第一,关,关,北京,飞,飞天,诚,诚信,科,科技,有,有限,公,公司,谢梁,XieLiangFT,安,安全,对,对策,及,及发,展,展趋,势,势,介,绍,绍,内,内,容,容,网上,应,应用,的,的安,全,全软,肋,肋,网上,身,身份,认,认证,安,安全,措,措施,分,分析,网上,身,身份,认,认证,攻,攻击,手,手段,及,及对,策,策,飞天,诚,诚信ePass系,列,列USBKey,网上,应,应用,的,的安,全,全软,肋,肋,网上,应,应用,对,对身,份,份认,证,证的,需,需求,电子,金,金融,各大,银,银行,网,网上,金,金融,产,产品,：,：网,上,上理,财,财、,在,在线,管,管理,账,账户,、,、在,线,线汇,款,款,网上,证,证券,、,、网,上,上基,金,金、,网,网上,外,外汇,电子,政,政务,工商,在,在线,、,、税,务,务在,线,线、,网,网上,报,报关,网上,政,政务,自,自动,化,化办,公,公、,网,网上,政,政务,招,招投,标,标,电子,商,商务,阿里,巴,巴巴,（,（B2B,）,）,淘宝,网,网、eBay,（,（B2C,）,）,网上,应,应用,的,的安,全,全软,肋,肋,网上,银,银行,的,的安,全,全现,状,状,数,据,据,截至2006,年,年底,，,，我,国,国主,要,要商,业,业银,行,行网,银,银用,户,户数,量,量为7494.5,万,万户,，,，比2005,年,年增,加,加约2105.4,万,万户,，,，增,长,长幅,度,度达,到,到39,。,。,出于,对,对网,上,上银,行,行安,全,全性,的,的担,忧,忧，2006,年,年约61%的,用,用户,不,不敢,使,使用,网,网上,银,银行,，,，而,在,在2005年,，,，这,个,个数,字,字是50%,事,件,件,工行,某,某帐,户,户被,不,不法,分,分子,以,以网,上,上购,物,物方,式,式支,出,出，6000,元,元存,款,款仅,剩,剩0.82元,。,。,中国,最,最大,网,网银,盗,盗窃,案,案：,金,金额,高,高达777万,，,，农,业,业银,行,行被,判,判全,额,额赔,偿,偿。,电脑,突,突然,中,中毒,，,，建,行,行网,上,上银,行,行账,户,户被,盗,盗3,万,万元,。,。,网上,应,应用,的,的安,全,全软,肋,肋,网银,系,系统,拓,拓朴,结,结构,客户,端,端安,全,全是,网,网银,安,安全,的,的软,肋,肋,个人,电,电脑,不,不安,全,全,系统,漏,漏洞,百,百出,病毒,、,、木,马,马泛,滥,滥,黑客,远,远程,控,控制,通过,互,互联,网,网接,入,入银,行,行系,统,统,“钓,鱼,鱼”,网,网站,层,层出,不,不穷,中间,人,人攻,击,击不,易,易察,觉,觉,缺少,面,面对,面,面认,证,证,银行,系,系统,“,“只,认,认数,字,字不,认,认人,”,”,用户,安,安全,防,防范,意,意识,和,和手,段,段薄,弱,弱,网上,应,应用,的,的安,全,全软,肋,肋,介,绍,绍,内,内,容,容,网上,应,应用,的,的安,全,全软,肋,肋,网上,身,身份,认,认证,安,安全,措,措施,分,分析,网上,身,身份,认,认证,攻,攻击,手,手段,及,及对,策,策,飞天,诚,诚信ePass系,列,列USBKey,帐号+密,码,码,最原,始,始最,简,简单,的,的安,全,全措,施,施,主要,用,用于,大,大众,版,版网,银,银,最不,安,安全,大部,分,分不,提,提供,支,支付,功,功能,网上,身,身份,认,认证,安,安全,措,措施,分,分析,措施1,动态,口,口令,卡,卡,比传,统,统的,密,密码,安,安全,可以,保,保证,有,有限,次,次数,的,的一,次,次一,密,密,容易,被,被复,制,制,不能,对,对交,易,易进,行,行签,名,名,无法,保,保证,交,交易,的,的不,可,可否,认,认性,网上,身,身份,认,认证,安,安全,措,措施,分,分析,措施2,文件,数,数字,证,证书,基于PKI体,系,系,可提,供,供数,字,字签,名,名,存在,被,被复,制,制的,危,危险,网上,身,身份,认,认证,安,安全,措,措施,分,分析,措施3,电子,动,动态,令,令牌,比动,态,态密,码,码卡,安,安全,一次,一,一密,，,，不,限,限次,数,数,硬件,不,不可,被,被复,制,制,时间,同,同步,机,机制,（,（一,分,分钟,一,一密,）,）,事件,同,同步,机,机制,（,（一,次,次一,密,密）,易受,中,中间,人,人攻,击,击,网上,身,身份,认,认证,安,安全,措,措施,分,分析,措施4,USBKey数,字,字证,书,书,强双,因,因素,认,认证,PIN和Key构,成,成两,个,个必,要,要因,子,子,结合,智,智能,卡,卡技,术,术，,安,安全,强,强度,高,高,保护,私,私钥,安,安全,结合PKI技,术,术，,使,使用,比,比较,简,简单,是目,前,前最,安,安全,的,的方,式,式,需要,结,结合,网,网银,系,系统,提,提高,安,安全,性,性,网上,身,身份,认,认证,安,安全,措,措施,分,分析,措施5,介,绍,绍,内,内,容,容,网上,应,应用,的,的安,全,全软,肋,肋,网上,身,身份,认,认证,安,安全,措,措施,分,分析,网上,身,身份,认,认证,攻,攻击,手,手段,及,及对,策,策,飞天,诚,诚信ePass系,列,列USBKey,针对,动,动态,口,口令,卡,卡的,攻,攻击,攻击,手,手段,记录,用,用户,使,使用,过,过的,位,位置,密,密码,一次,使,使用,两,两个,不,不重,复,复的,密,密码,，,，32次,就,就可,以,以复,制,制整,张,张密,码,码卡,使用,次,次数,越,越多,，,，两,个,个密,码,码都,落,落在,已,已经,使,使用,过,过的,位,位置,的,的可,能,能性,越,越大,对策,一次,一,一密,，,，不,重,重复,使,使用,。,。,网上,身,身份,认,认证,攻,攻击,手,手段,及,及对,策,策,中间,人,人攻,击,击（MITM,）,）,使,用,用,中,中,间,间,人,人,攻,攻,击,击,动,动,态,态,令,令,牌,牌,系,系,统,统,MITM,伪,伪,造,造,银,银,行,行,网,网,站,站,通,过,过,木,木,马,马,使,使,用,用,户,户,登,登,录,录,指,指,向,向MITM,对,策,策,使,用,用,可,可,输,输,入,入,交,交,易,易,信,信,息,息,的,的,动,动,态,态,令,令,牌,牌,网银 服务器,MITM 服务器,客户端,用户登录MITM伪造网站,MITM使用用户信息登录网银,网银要求用户输入交易信息及一次性口令,用户输入交易信息及一次性口令,MITM转发网银信息,MITM修改交易信息并使用一次性口令向网银下达指令,用户使用动态令牌 产生一次性口令,网,上,上,身,身,份,份,认,认,证,证,攻,攻,击,击,手,手,段,段,及,及,对,对,策,策,木马向USB Key发送PIN码并要求签名,BioPass3000,InterPass3000,PIN,码,码,截,截,获,获,攻,攻,击,击,使,用,用PIN,码,码,截,截,获,获,攻,攻,击,击USBKey,证,证,书,书,攻,击,击,者,者,通,通,过,过,木,木,马,马,截,截,获,获,用,用,户,户PIN,码,码,用,户,户,未,未,将,将USBKey,及,及,时,时,拔,拔,下,下,对,策,策,使,用,用,软,软,件,件,盘,盘,或,或,安,安,全,全,键,键,盘,盘,控,控,件,件,提,示,示,用,用,户,户,及,及,时,时,拔,拔,下,下USBKey,USBKey,使,使,用,用,生,生,物,物,识,识,别,别,或,或,触,触,发,发,开,开,关,关,网银 服务器,客户端,使用木马截获用户PIN码,攻击者伪造用户身份登录网银,并发出交易指令,网银要求用户用户证书及交易签名,木马将签名值发送给攻击者,攻击者发送签名数据给木马,攻击者向网银提交签名值,网,上,上,身,身,份,份,认,认,证,证,攻,攻,击,击,手,手,段,段,及,及,对,对,策,策,攻击者,USB Key验证PIN码正确进行签名,客,户,户,端,端,劫,劫,持,持,攻,攻,击,击,用,户,户,计,计,算,算,机,机,完,完,全,全,被,被,木,木,马,马,控,控,制,制,攻,击,击,者,者,通,通,过,过,木,木,马,马,控,控,制,制,客,客,户,户,端,端,的,的,显,显,示,示,和,和,操,操,作,作,木,马,马,在,在,实,实,际,际,用,用,户,户,使,使,用,用,时,时,改,改,变,变,用,用,户,户,指,指,令,令,对,策,策,在USBKey,上,上,内,内,置,置,液,液,晶,晶,显,显,示,示,或,或,语,语,音,音,提,提,示,示,交,易,易,帐,帐,号,号,和,和,金,金,额,额,一,一,次,次,性,性,传,传,入,入USBKey,中,中,USBKey,显,显,示,示,或,或,读,读,出,出,交,交,易,易,数,数,据,据,请,请,用,用,户,户,确,确,认,认,网银 服务器,客户端,用户登录网银并发送交易指令,木马截获交易指令，篡改交易帐号和金额，发送给网银服务器,网银传输交易确认页面并要求交易签名,客户端向网银提交签名值,木马篡改页面显示为客户指定交易，并要求用户确认,网,上,上,身,身,份,份,认,认,证,证,攻,攻,击,击,手,手,段,段,及,及,对,对,策,策,木马向USB Key发送非法交易数据,用户根据网页显示确认交易并按键触发签名,InterPass View,算,法,法,破,破,解,解,攻,攻,击,击,新,闻,闻,2007,年,年9,月,月,，,，,德,德,国,国,波,波,昂,昂,大,大,学,学,的,的,一,一,群,群,数,数,学,学,家,家,利,利,用,用,数,数,百,百,台,台,电,电,脑,脑,，,，,在,在,质,质,数,数,分,分,解,解,算,算,法,法,上,上,取,取,得,得,突,突,破,破,，,，,成,成,功,功,地,地,解,解,决,决,了,了,“,“matrixstep,”,”,的,的,限,限,制,制,，,，,把,把,一,一,个,个,长,长307,位,位,的,的,整,整,数,数,分,分,解,解,成,成,三,三,个,个,质,质,数,数,的,的,乘,乘,积,积,。,。,这,这,个,个307,位,位,的,的,整,整,数,数,换,换,算,算,成,成,二,二,进,进,制,制,是,是1017,位,位,。,。,1024,位,位RSA,的,的,安,安,全,全,性,性,岌,岌,岌,岌,可,可,危,危,对,策,策,RSA,的,的,发,发,明,明,人,人,之,之,一,一,，,，MIT,的,的RonaldRivest,听,听,到,到,这,这,则,则,消,消,息,息,，,，,只,只,简,简,单,单,的,的,表,表,示,示,：,：,他,他,们,们,早,早,就,就,建,建,议,议,用,用2048,位,位,的,的,编,编,码,码,了,了,使,用,用,支,支,持,持2048,位,位RSA,运,运,算,算,的,的USBKey,使,用,用,其,其,它,它,非,非,对,对,称,称,算,算,法,法,（,（,如,如ECC,）,）,体,体,系,系,无,需,需,惊,惊,慌,慌,，,，,未,未,雨,雨,绸,绸,缪,缪,，,，,有,有,备,备,无,无,患,患,网,上,上,身,身,份,份,认,认,证,证,攻,攻,击,击,手,手,段,段,及,及,对,对,策,策,ePass3000,介,绍,绍,内,内,容,容,网上应,用,用的安,全,全软肋,网上身,份,份认证,安,安全措,施,施分析,网上身,份,份认证,攻,攻击手,段,段及对,策,策,飞天诚,信,信ePass,系,系列USBKey,飞天诚,信,信ePass,系,系列USBKey,飞天诚,信