PRODUCTS产品及服务
认识eID
什么是eID
eID的生成和发放
eID的使用
eID身份服务体系
eID身份服务
eID隐私服务
帮助中心
热点问题
支持设备
安全贴士
这样上网很危险
如何防止黑客盗走自己的“一切”
守护信息安全十大攻略
安全扫码,不乱填个人信息
手机丢失了怎么办?
手机应用安全须知
京东事件提醒如何保护自己的数据?
公共WiFi安全警醒
eID真正的网络安全卫士
金联周讯
金联周讯(2017年第1117号)
金联周讯(2017年第1110号)
金联周讯(2017年第1103号)
金联周讯(2017年第1020号)
金联周讯(2017年第1013号)
金联周讯(2017年第0929号)
金联周讯(2017年第0922号)
金联周讯(2017年第0908号)
金联周讯(2017年第0901号)
金联周讯(2017年第0825号)
金联周讯(2017年第0818号)
金联周讯(2017年第0811号)
金联周讯(2017年第0728号)
金联周讯(2017年第0721号)
金联周讯(2017年第0714号)
金联周讯(2017年第0707号)
金联周讯(2017年第0630号)
金联周讯(2017年第0616号)
金联周讯(2017年第0609号)
金联周讯(2017年第0526号)
金联周讯(2017年第0519号)
金联周讯(2017年第0512号)
金联周讯(2017年第0505号)
金联周讯(2017年第0428号)
金联周讯(2017年第0421号)
金联周讯(2017年第0414号)
金联周讯(2017年第0407号)
金联周讯(2017年第0331号)
金联周讯(2017年第0324号)
金联周讯(2017年第0317号)
金联周讯(2017年第0310号)
金联周讯(2017年第0303号)
金联周讯(2017年第0224号)
金联周讯(2017年第0217号)
金联周讯(2017年第0210号)
金联周讯(2017年第0120号)
金联周讯(2017年第0113号)
金联周讯(2017年第0106号)
金联周讯(2016年第1230号)
金联周讯(2016年第1223号)
金联周讯(2016年第1216号)
金联周讯(2016年第1209号)
金联周讯(2016年第1202号)
金联周讯(2016年第1125号)
金联周讯(2016年第1118号)
专家视点
胡传平:eID与网络实名制的进化论
方滨兴:推广eID是我国网络身份管理
严则明:eID将通过银行卡、社保卡被
胡永涛:eID网络身份认证技术分析
热点事件
eID与中国食品安全指数研究工程办公
公安部·金联汇通·中德宏泰战略合
eID与银联数据达成战略合作
金联汇通:eID服务机构破局港股远程
香港证监会:准许以eID核实身份远程
    当前的互联网,特别是移动互联网,安全依然是个主要问题,账户资金被盗事件时有发生。利用eID卡内的密钥,可以帮助解决互联网的安全问题。
    在当前的互联网应用中,口令依然是保护账户安全的主要手段。在安全性要求较高的场合,通常再增加短信验证码,账户安全性有所提升,但还不能有效阻止攻击。
口令的安全性实在太弱,不论怎样在服务器侧加强防护、如何教育用户,对于如下三种攻击方式都显得无可奈何。
   口令猜测:这是一种最笨拙的攻击方式,却是一种非常有效的攻击方式,因为都是人工操作,服务器无法区分当前的访问者到底是合法用户,还是攻击者,近年来央视所曝光的安全事件都是采用这种原始攻击方式。攻击者首先通过非法渠道购买大量用户敏感信息,如账户名、姓名、身份证号码、电话号码、家庭住址等,然后用这些敏感信息进行组合,猜测用户在网银或第三方支付的口令,通常猜中率可达20%,然后这些账户下的资金就归自己支配了。
   钓鱼:钓鱼是通过邮件、短信或其他方式,诱导用户访问钓鱼站点,输入自己的账户及口令,这样攻击者就直接获得了用户的口令。对于整体的互联网用户而言,很多用户缺乏安全意识,对各种形式的诱骗也缺乏辨识能力,尤其是在移动互联网,手机浏览器对域名的显示相对弱化,用户更难辨别钓鱼站点,中招的可能性更大。
   拖库、撞库:这是专业黑客经常干的事,并且形成了产业链,令业务系统更加无可奈何,最近发生的某宝账户被恶意转走32万元,就属于此类攻击的典型案例。用户在互联网上面临各种应用系统,每个系统都需要用户去注册,为了便于记忆,绝大部分用户在不同的系统中都使用了相同的用户名和口令。这也是没有办法的事情,有多少人能记住多个口令呢?专业黑客正是利用了这一点,针对防护做的不够严密的站点进行攻击,窃取其全部的账户口令(如2011年末CSDN及众多站点的口令泄露事件),这就是“拖库”。黑客获得多个站点的账户口令后,可进行横向比较,就知道了相同用户名常用的几个口令,然后再用这些口令去尝试那些所谓防护严密的网站,若猜中了就称为“撞库”。只要攻击者掌握的口令足够多,撞库成功的可能性达到50%应不是问题。

    可见,一个基于口令的系统的安全性是十分脆弱的,服务器防护做得再好,都不能防止攻击者获得用户的口令,然后以合法用户的身份进入系统。近期发生的明星艳照门事件正是说明了这一点,苹果公司的iCloud系统没有任何受到攻击的迹象,而明星们的艳照照样流出,就是攻击者获得了明星们的Apple ID密码。

    为了增强账户的安全性,增加短息验证码是常见的方式,但安全性只是略有增强,因为还存在如下三个问题:
   客户端木马:客户端木马可以窃取并转发短信,当截获到短信验证码时,可将短信验证码转发给攻击者。尤其是Android系统,由于对应用下载没有统一的管理,攻击者经常将恶意木马打包到热门游戏或软件中,用户的手机被安装了木马也很难被发现,遭受攻击在所难免。
   恶意补卡:由于移动运营商在SIM卡的管理上存在一定漏洞,恶意补卡也为获取短信验证码提供方便之门。经常看到针对某宝的攻击方式,攻击者频繁的给受害者打骚然电话,受害者无奈关机,攻击者立即到运营商营业厅申请补办受害人的SIM卡,营业厅对申请者的审核是说出最近几次的电话使用情况,这个攻击者当然知道,于是就得到了关联到受害人手机号码的新SIM卡,之后攻击者就可使用新SIM卡到受害人的账户上为所欲为了。
    服务不可用:有两种情形将导致用户收不到短信,致使短信验证码方案不可用,进而影响了业务系统的可用性。其一是移动网络信号不好,或用户到了国外,由于采用标准不同无法漫游;另一种情形是手机中的安全软件将短信验证码作为垃圾短信拦截,手机没有短信提示音,收件箱中也没有。由于这两种情形的存在,使得业务系统不能完全依赖短信验证码,有时不得不降级允许用户使用口令进行交易,而这也给攻击者开了方便之门。
    面对账户安全问题,最根本的解决之道是采用密码学方法进行交易认证,如对交易信息进行数字签名,唯有这样才能大大增加攻击者的攻击难度,从根本上解决账户安全。eID卡中有用户唯一的私钥和数字证书,使得eID卡除了能够证实用户身份,也可通过高强度的密码技术来保护账户安全。
    作为一种公共的安全基础设施,eID卡可用于保护任何形式的电子信息,实际中根据业务应用的不同特点,主要有三种形式的安全保护:
    远程身份认证,某些应用需重点保护登录账户的安全,如证券交易系统,登录之后就可进行任何交易,故必须保证登录安全。eID卡可用于保护此类应用,在登录过程中可用eID卡内私钥对登录随机数进行签名,服务器进行验证后即可允许用户登录。
    交易保护,有些应用必须保证交易安全,如支付类应用或转账类应用,必须保证用户对当前交易数据的认可,eID卡用于此类应用的方式就是对交易数据进行签名,类似网银转账必须使用UKey签名,可以从本质上解决移动互联网的支付安全问题。
    电子合同保护,有些应用的重点保护对象是电子合同,如P2P行业,借款人和出资人之间形成的电子合同,应采用电子签名,使合同具有不可抵赖性,受到电子签名法保护。eID证书是由公安机关颁发的,具有权威性,用eID证书所对应的私钥进行签名,可对电子合同形成有效保护。

    同样,鉴于eID卡的特点,在NFC手机上使用eID卡来实现安全保护具有最佳用户体验。若用户手机不支持NFC,可采用手机读卡器方式,手机App只要集成访问eID的SDK即可。对于PC应用,可通过扫码方式利用手机及eID卡来保护安全。