把好信息安全第一关——飞天诚信(打印版)

@FTsafe.com——安全对策及发展趋势介绍内容网上应用的安全软肋网上身份认证安全措施分析网上身份认证攻击手段及对策飞天诚信ePass系列USBKey网上应用的安全软肋网上应用对身份认证的需求电子金融•各大银行网上金融产品：网上理财、在线管理账户、在线汇款…•网上证券、网上基金、网上外汇电子政务•工商在线、税务在线、网上报关…•网上政务自动化办公、网上政务招投标…电子商务•阿里巴巴（B2B）•淘宝网、eBay（B2C）网上应用的安全软肋网上银行的安全现状数据•截至2006年底，我国主要商业银行网银用户数量为7494.5万户，比2005年增加约2105.4万户，增长幅度达到39％。•出于对网上银行安全性的担忧，2006年约61%的用户不敢使用网上银行，而在2005年，这个数字是50%事件•工行某帐户被不法分子以网上购物方式支出，6000元存款仅剩0.82元。•中国最大网银盗窃案：金额高达777万，农业银行被判全额赔偿。•电脑突然中毒，建行网上银行账户被盗3万元。•……客户端安全是网银安全的软肋个人电脑不安全•系统漏洞百出•病毒、木马泛滥•黑客远程控制通过互联网接入银行系统•“钓鱼”网站层出不穷•中间人攻击不易察觉缺少面对面认证•银行系统“只认数字不认人”•用户安全防范意识和手段薄弱网上应用的安全软肋介绍内容网上应用的安全软肋网上身份认证安全措施分析网上身份认证攻击手段及对策飞天诚信ePass系列USBKey帐号+密码最原始最简单的安全措施•主要用于大众版网银最不安全•大部分不提供支付功能网上身份认证安全措施分析措施1动态口令卡比传统的密码安全•可以保证有限次数的一次一密容易被复制不能对交易进行签名•无法保证交易的不可否认性网上身份认证安全措施分析措施2文件数字证书基于PKI体系可提供数字签名存在被复制的危险网上身份认证安全措施分析措施3电子动态令牌比动态密码卡安全•一次一密，不限次数硬件不可被复制•时间同步机制（一分钟一密）•事件同步机制（一次一密）易受中间人攻击网上身份认证安全措施分析措施4数字证书强双因素认证•PIN和Key构成两个必要因子结合智能卡技术，安全强度高•保护私钥安全结合PKI技术，使用比较简单是目前最安全的方式•需要结合网银系统提高安全性网上身份认证安全措施分析措施5介绍内容网上应用的安全软肋网上身份认证安全措施分析网上身份认证攻击手段及对策飞天诚信ePass系列USBKey针对动态口令卡的攻击攻击手段•记录用户使用过的位置密码•一次使用两个不重复的密码，32次就可以复制整张密码卡•使用次数越多，两个密码都落在已经使用过的位置的可能性越大对策•一次一密，不重复使用。网上身份认证攻击手段及对策中间人攻击（MITM）使用中间人攻击动态令牌系统•MITM伪造银行网站•通过木马使用户登录指向MITM对策•使用可输入交易信息的动态令牌网银服务器MITM服务器客户端用户登录MITM伪造网站MITM使用用户信息登录网银网银要求用户输入交易信息及一次性口令用户输入交易信息及一次性口令MITM转发网银信息MITM修改交易信息并使用一次性口令向网银下达指令用户使用动态令牌产生一次性口令网上身份认证攻击手段及对策码截获攻击使用PIN码截获攻击USBKey证书•攻击者通过木马截获用户PIN码•用户未将USBKey及时拔下对策•使用软件盘或安全键盘控件•提示用户及时拔下USBKey•USBKey使用生物识别或触发开关网银服务器客户端使用木马截获用户PIN码攻击者伪造用户身份登录网银并发出交易指令网银要求用户用户证书及交易签名木马将签名值发送给攻击者攻击者发送签名数据给木马攻击者向网银提交签名值网上身份认证攻击手段及对策攻击者USBKey验证PIN码正确进行签名客户端劫持攻击用户计算机完全被木马控制•攻击者通过木马控制客户端的显示和操作•木马在实际用户使用时改变用户指令对策•在USBKey上内置液晶显示或语音提示•交易帐号和金额一次性传入USBKey中•USBKey显示或读出交易数据请用户确认网银服务器客户端用户登录网银并发送交易指令木马截获交易指令，篡改交易帐号和金额，发送给网银服务器网银传输交易确认页面并要求交易签名客户端向网银提交签名值木马篡改页面显示为客户指定交易，并要求用户确认网上身份认证攻击手段及对策木马向USBKey发送非法交易数据用户根据网页显示确认交易并按键触发签名InterPassVie算法破解攻击新闻•2007年9月，德国波昂大学的一群数学家利用数百台电脑，在质数分解算法上取得突破，成功地解决了“matrixstep”的限制，把一个长307位的整数分解成三个质数的乘积。这个307位的整数换算成二进制是1017位。•1024位RSA的安全性岌岌可危对策•RSA的发明人之一，MIT的RonaldRivest听到这则消息，只简单的表示：他们早就建议用2048位的编码了•使用支持2048位RSA运算的USBKey•使用其它非对称算法（如ECC）体系•无需惊慌，未雨绸缪，有备无患网上身份认证攻击手段及对策ePass3000介绍内容网上应用的安全软肋网上身份认证安全措施分析网上身份认证攻击手段及对策飞天诚信ePass系列USBKey飞天诚信公司简介专业的智能身份认证产品供应商•1999年推出国内首款USBKey•商用密码产品生产定点和销售许可单位•国内规模最大的研发团队，全部自主知识产权•全球唯一通过WindowsVistaLogo认证的USBKey厂家•年产量350万支，最全的USBKey产品线•海外销售额占35%，出口40多个国家和地区•服务网络：–国内：北京、上海、广州、武汉、成都–海外：日本分公司、马来西亚飞天诚信主要银行用户国外银行•马来西亚BumiputraCommerceBankMalaysia银行•马来西亚RHBBank•马来西亚MayBank国有/股份制商业银行•中国银行•交通银行、中信银行、民生银行•兴业银行、华夏银行、徽商银行•深圳发展银行城市商业银行•北京/上海银行、北京/上海农村商业银行•青岛商行、包头商行、深圳农村商业银行飞天诚信ePass系列USBKeyInterPass3000Voice/View•可复核交易信息的用户交互型USBKey•液晶显示或语音提示交易帐号和金额•用户确认后按键触发签名BioPass3000•内置硬件指纹(生物)识别技术的USBKeyePass3003Auto•无需安装任何软件的USBKey，无驱无软，即插即用StorePass2000/3000•内置可移动磁盘的USBKey（128～2G空间）ePass3000/3003•全球首款32位USBKey，支持2048位RSA算法ePass2000/2001•网上应用使用量最大的USBKey飞天诚信ePass系列USBKey谢谢飞天诚信愿以自己的努力为共建和谐可信安全环境贡献力量