网游账号安全之现状与未来卫鹏飞.ppt

网游账号安全之现状与未来卫鹏飞 引子 网游账号被盗途径 键盘记录（少） 内存截取（多） 截图录像（少） 远程控制（少） 会话劫持（少） 钓鱼欺诈（少） …… 上篇：网游账号安全之现状提纲 网游公司账号保护现状 有：账号被盗后有补救策略 锁：锁定账号的策略 保：密保类策略 护：客户端保护 现状：账号被盗后有补救策略 现状：账号被盗后有补救策略 上线交易时限 上线后需要过几分钟人物才能进行交易，延长盗号周期。 限制异地交易 如果玩家在A城市登陆后72小时未在其他城市登陆，即为本地，其他城市为异地，异地无法交易 仓库保险箱密码 角色状态回溯 现状：账号被盗后有补救策略 仓库保险箱密码 现状：锁定账号的策略 现状：锁定账号的策略 网页锁 上线前，需要登陆网页，输入网页密码后才能登陆游戏。 优点：脱离游戏客户端，甚至可以脱离本机环境 缺点：输入麻烦 右图为九城安全锁 现状：锁定账号的策略 电话锁 绑定固定电话或小灵通，上线登陆时，需要用指定电话打一下游戏官方，验证通过才能登陆游戏。 优点：脱离网络平台，安全性较高 缺点：电话号码容易伪造 应用公司：搜狐，网易等 现状：锁定账号的策略 手机锁 手机可以发送短信指令，具有控制账号下线，锁定等功能 右图为网易 手机密保 现状：锁定账号的策略 硬件锁 绑定指定机器，如果硬件信息不正确则无法登陆 现状：密保类保护账号的策略 现状：密保类保护账号的策略 矩阵密保 目前应用最广泛的保护方法，矩阵密保卡分为实物版，电子版，手机版 现状：密保类保护账号的策略 手机密保 登陆游戏前，先用手机获取手机密保口令，然后才能登陆游戏 右图为天晴密保 现状：密保类保护账号的策略 硬件密保（动态令牌） 每隔1分钟将产生一个全新的、不能重复使用的密码，是在账号密码基础上新增加的一个动态密码，即使木马窃取了，也必须在1分钟内登陆才有效。 典型代表有盛大密保、将军令、巨人密保等 现状：密保类保护账号的策略 盛大密保 现状：客户端保护 现状：客户端保护 客户端内置查杀木马引擎 现状：客户端保护 客户端挂接安全厂商保护模块 客户端内置安全厂商的保险箱，安全启动游戏，防止木马注入 现状：客户端保护 安全合作 网游公司与安全厂商合作。例如：巨人网络与瑞星、江民、金山、奇虎、微点、超级巡警、卡巴斯基、麦咖啡等国内和国际安全公司进行技术合作，努力提高网民的安全意识和创建一个更安全的网络大环境 网游公司内部也协调建立了网游安全技术联盟，大家合作应对解决网游安全问题 现状：客户端保护 非明文处理 客户端处理数据时，内存中的真实数据不能以明文出现。比如，玩家在密保卡输入时，界面显示G8，玩家输入34，而内存中就需要将这些数据以非明文方式存放 现状：客户端保护 矩阵密保卡信息获取 玩家界面显示G8，而内存中能找到该坐标 玩家点击转盘中的3数字，内存中也会出现 现状：客户端保护 网游保护系统 网游保护系统主要是反外挂系统，而反外挂系统在一定程度上能抵御木马作者分析游戏客户端。校验客户端的功能可以防止木马以patch客户端代码的方式获取密码。 下篇：网游账号安全之未来提纲 未来账号保护的发展方向 密：USB Key在网游中的应用 海：海量随机数据的验证 无：人体特征识别，无需密码 极：专用的游戏机或游戏系统 未来：USB Key在网游中的应用 未来：USB Key在网游中的应用 USB Key采用双钥（公钥）加密的认证模式，USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。 目前成熟的应用：网上银行 未来：USB Key在网游中的应用 USB Key在网游中的应用 无须额外驱动，只要支持usb即可使用 USB Key必须时刻插在电脑上 设置硬件开关，处理关键交易 结合动态令牌 无线蓝牙模式 未来：海量随机数据的验证 未来：海量随机数据的验证 传统矩阵密保是8*10的数据量，那么只有80组口令，如果木马在监听玩家输入的密保卡信息，很快就可以获取到密保卡的绝大部分信息。虽然密保卡信息不完整，但是在很少的次数内就能登陆成功，一旦登陆成功，玩家虚拟财产就会造成损失。 如果用海量数据来升级传统矩阵密保，盗号者将非常困难地获取密保信息 未来：海量随机数据的验证 假设每次登陆暴露3个口令，80个口令时： 未来：海量随机数据的验证 10000个口令时： 未来：海量随机数据的验证 传统矩阵密保的实物是一张卡片，如果升级成海量数据，那么将会是一本小字典，而且每本都不一样。 实物不现实，用电子版，存储在手机，psp，mp3等