1、金 融 移 动 化的安全新挑战众 人 网 络 周 强 上海众人网络安全技术有限公司众人公司一直致力于自主可控的密码技术研发,创始人谈剑锋先生是我国最早的网络安全专家之一,是著名的“绿色兵团”创始人,为我国的信息安全事业做出了开创性的贡献!众人科技自主研发具备独立知识产权的“公众互联网安全认证平台”,此平台现在已在工业和信息化部CSIP运行,应用于中国电信全国31省的WiFi接入认证。在此基础上进一步开发的“智慧城市公共区域安全网络系统”,以动态密码的核心技术为基础,用云计算搭建统一身份认证云平台,快速、有效地解决了公共区域网络的安全认证问题。可提高公共区域网络的身份认证的安全性,最终提高用户使
2、用的便捷性和满意度。同时以其强大的用户认证机制以及安全监管功能,有助于规范国家公共网络管理系统,在大数据时代为国家信息安全保驾护航。网络安全损失日趋严重来自CNNIC的最新数据显示,截止2015年6月,全国网民数规模已达到6.68亿人,手机网民数达到5.57亿人,占网民总数的83.3%;网游行业,截止2014年年底,国内虚拟物品交易总额已超过1000亿,有安全保障的交易方式成为用户首选;电商行业,截止2014年年底中国网民在线购物交易额突破1亿。而近一年来,资金被盗805亿,人均124元。而2013年网游等虚拟物品被盗超过200亿。全球网络犯罪掘金3万亿美元,已超过大麻、冰毒和可卡因贩毒之总和
3、。今年发布的中国网民权益保护调查报告(2015)中显示,中国78.2%的网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号及工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。大数据时代:新兴技术加大安全威胁智慧网、物联网发展起来后,任何一个终端,都可能是攻击终端,比如说ATM,数字电视,POS机,还有空调、冰箱、门禁甚至马桶,任何一个智能设备都有可能是发起攻击的终端。“中兴事件”表明我国芯片、操作系统等核心软硬件产品绝大部分依赖于进口国外巨头主导占据了我国信息产品77%,芯片和精密制造设备85%,电脑
4、操作系统95%,卫星导航定位产业95%的市场。我们使用的“网络”是建立在沙漠之上的海市蜃楼!短信验证码的盗取案例北京海淀警方刚破的案子,三个嫌疑人通过黑产渠道买来事主的住址、手机号、银行卡信息,之后分工明确的冒充快递联系事主盗取手机SIM卡后利用短信验证码把钱都转走了。短信的HK代表的是换卡、后面的数字代表的是新的sim卡卡号(临时号码)!新卡在骗子手里,用户的卡就不能用了,骗子可能就此转走你的银行卡,支付宝或者微信账户资金。业务安全:业务系统的风险管理需要基于用户的行为,以及业务系统诸多的日志分析,有效的防欺诈、防泄漏。终端安全:涉及到系统安全,主要问题是介质对敏感信息的保护,尤其是密钥等的
5、防盗取、防复制,但是由于移动终端的跨平台、硬件多样性,安全和便捷一直成为解决方案的权衡要素。应用安全:涉及到应用自身的防护和网络传输安全,防篡改、防重放是核心问题,通过钓鱼和中间人攻击,可以很容易获知应用中的敏感数据。账号安全:主要涉及对于人的认证授权,防盗用、防误用是核心问题,与人和设备相关的诸多要素都被引入到认证环节,但是由于移动终端的开放性,认证问题的隐患还很突出。移动支付主要风险分析移动支付的新挑战用户体验移动终端移动终端硬件扩展硬件扩展性不足,性不足,限制了对限制了对U盾和数盾和数字证书的字证书的广泛使用广泛使用移动终端移动终端的计算能的计算能力相对较力相对较弱,限制弱,限制了高强度
6、了高强度非对称加非对称加密算法的密算法的使用使用移动终端移动终端的软件功的软件功能有所简能有所简化,其浏化,其浏览器不能览器不能像电脑浏像电脑浏览器一样览器一样支持控件支持控件移动终端移动终端的平台开的平台开放性变强,放性变强,增大了系增大了系统攻击面统攻击面 移动终端移动终端-移动通信终移动通信终端,手机、笔记本电脑、端,手机、笔记本电脑、平板电脑、平板电脑、POSPOS机等等。机等等。移动终端的处理能力有移动终端的处理能力有了极大提高,成为综合了极大提高,成为综合信息处理平台。信息处理平台。我们需要认真思考面向我们需要认真思考面向移动应用的密码安全技移动应用的密码安全技术。术。移动终端安全
7、提出了新的课题 密钥没地方放了 以往的密码技术遇到了挑战、以往的安全理念遇到了挑战 算法固定、公开,密钥保密 重硬件、轻软件我们熟悉的身份认证密码技术:PKI OTP 固定口令 基于生物特征等等均存在问题。条形码、二维码等等只是信息载体。SE实行有困难。新型密码体制 单向密码函数 SOTP技术S-strong、soft、super、safe一种新型密码体制:密码算法与密钥融合,一人一密+一次一密可用于分组密码、序列密码及带密钥的哈希函数SOTP(Super One-Time-Password)是一种基于可重构计算的用户密钥是一种基于可重构计算的用户密钥与算法融合的创新安全认证技术,与算法融合的
8、创新安全认证技术,它强调一人一密与一次一密的结合。它强调一人一密与一次一密的结合。其解决了密码系统中密钥存储的难其解决了密码系统中密钥存储的难题。题。双向认证协商建立安全传输通道双向认证协商建立安全传输通道多因素计算生成一次性认证码多因素计算生成一次性认证码敏感信息移动端安全保护敏感信息移动端安全保护卡号标识化卡号标识化基本概念安全功能自主可控SOTP技术基于多年实战对抗经验转化,完全自主可控,相关技术也已经申报获得国家专利。独特性:技术构思独树一帜,将密钥和算法融合,先天具有白盒密码特质,是解决移动金融当前突出安全问题的先进技术。动态性:算法动态生成,无密钥存储。算法形态易于碎片化、云端化,
9、算法的载体具有多态性。普适性:密码具有分级、分布式部署等特点,灵活适应嵌入式设备、物联网传感器、穿戴式设备等环境之上的运算,具有无处不在的适应能力。SOTP技术是移动安全新选择 SOTP的安全功能优势 利用SOTP可以进行身份认证、会话密钥同步、数据加密、数字签名。可以生成存储保护密钥,进行本地的数据保护。可以进行分布式部署,建立类PKI的层次体系。优势:系统安全性 个体难度增加 可定期或不定期更新SOTPSOTP解决有中心应用场景的信息安全需求;解决有中心应用场景的信息安全需求;对无中心的应用需求可用较小代价对无中心的应用需求可用较小代价解决。解决。双向认证 使用SOTP算法插件,通过挑战应
10、答的形式,可以实现移动端和服务器的双向认证,防止假冒攻击。双向认证后生成共享的会话密钥,对整个会话过程全程加密保护及完整性验证。动态口令/一次性支付码 使用SOTP算法插件,根据硬件特征码、用户保护码、交易要素等参数,计算生成一串计算机可以识别的字符串信息。服务器端采用通用的算法及个人密钥,根据相同的参数计算出信息进行比对,如果相同则验证通过。安全存储 使用SOTP算法插件,将硬件特征码、随机数作为参数,分散出数据加密密钥,使用加密密钥通过国密SM4算法对本地数据进行加密存储保护。SOTP密码体制的安全功能典型应用场景:线上支付SOTPSOTP电商电商外卖外卖出行出行住宿住宿团购团购交易交易人
11、人时间时间设备设备空间空间1、生成SOTP插件密码机密码机支付认证系统支付认证系统快捷支付平台快捷支付平台快捷支付快捷支付APP5、提交验证申请3、发送支付请求4、多因素计算 一次性支付码2、加载SOTP插件6、验证支付码 返回支付结果 与传统认证方式的对比SOTP安全插件安全插件短信验证码短信验证码手机令牌手机令牌U盾与盾与OTP令牌令牌安全性密钥安全密钥与算法融合,无法获取验证码安全依赖运营商静态密钥种子易泄露硬件保护,安全运算安全一人一算法,安全简单比对算法固定,密钥易被分析硬件保护,安全传输安全双向认证,建立密文传输通道验证码下发信道易被监听通用安全传输信道存在风险通用安全传输信道存在风险专属安全通过硬件信息参与运算、地理位置校验等方式保障使用的唯一性移动端木马病毒易读取转发短信验证码若密钥泄露可任意复制硬件唯一,复制难度高易用性便捷受电信网络信号限制便捷携带不方便操作复杂成本低较高低高可控性自主可控依赖于运营商自主可控委托开发生产谢谢大家!
