网络安全理论与技术03—用户认证概要.ppt

第四章 身份认证技术 案例1： 2003 年 2月初，一名电脑黑客攻破了一家负责代表商家处理信用卡交易业务的企业的数据库，万事达、维萨和美国运通三大组织被侵入的信用卡账号总数超过800 万张，构成有吏以来最大的信用卡资料泄密事故。 北京、广东两地发生多起股民股票被盗卖盗买事件，一些股民账户上的绩优股被换成了垃圾股“银广夏”，涉及金额100 多万。事情发生后，舆论一片哗然，证券机构和银行究竟是哪里出了问题？ 二、案例评析： 发生如此事件的原因是多方面的，但基于信息安全的问题主要有两点： 1. 基于用户名 + 密码这种身份验证方式的脆弱性。 2. 公司业务系统和内部管理中存在安全漏洞。 如传统的基于单一密码的身份验证方式，其用户名和密码本身就容易泄露；委托信息容易被篡改；对于交易造成的责任，由于无法确认用户身份，用户可以拒绝承担；用户的交易信息传输于网上，极易被他人窃取等等。 包括网上证券交易在内的电子商务和电子政务运行，如何才能保证信息传输的真实性、完整性、不可抵赖性呢？目前普遍采用的方法是身份认证技术。 2005年我国发生信用卡诈骗案件1835件，涉案金额6697.03万元，境内信用卡诈骗造成的经济损失约合1亿元。2006年一季度，全国公安机关共立信用卡诈骗案件275起，涉案金额1022万元，同比都有所下降。从地域上看，信用卡诈骗案件主要集中在上海、北京、广东、福建、四川等经济发达、人口较密集的地区。犯罪手段日趋智能化、高科技化，网络犯罪来势凶猛，影响持卡人网上交易信心。 近日公安部披露了当前信用卡犯罪的5种常见的银行卡犯罪手法。 　　1、利用黑客软件，网络病毒盗取客户银行卡号、密码。 　 2、“网络钓鱼”，即在互联网上设立假的金融机构网站，骗取银行卡号、密码。2005年北京、广西公安机关先后破获了假冒银行网站盗划资金的案件。犯罪嫌疑人在互联网上向用户发送虚假电子邮件，诱骗银行卡客户登录与真银行网站页面完全一致的假网站上，诱骗受害人填写个人资料、账户号码及密码等内容。黑龙江一犯罪嫌疑人利用购物网站窃取持卡人的信息，累计推算出156万个有效银行卡卡号，破解了其中7万多个密码，伪造了8800多张银行卡，流窜到陕西、安徽、河北等地，多次作案，涉案金额几十万元。 　　 3、短信诈骗。2005年3月出现并延续至今的手机短信诈骗，几乎覆盖了全国所有的省份，上千万个手机用户收到过冒充银行及银联的虚假短信，数以千计的持卡人上当，损失金额超过千万元。 4、在ATM机上做起手脚。2005年4月，广东省河源市出现了犯罪嫌疑人在ATM机键盘上加装银行卡密码器的新型犯罪手段。该密码器表面类似另一个“键盘”，但其背面却是一个配有液晶装置屏幕的制作精细的电路板，可以自动记录银行卡客户输入的密码，令银行卡客户防不胜防。 　　5、用假卡大宗购物行骗。2006年1月，上海市公安机关抓获5名马来西亚籍犯罪嫌疑人，缴获伪造的“VISA”、“MASTERCARD”国际信用卡42张，该犯罪团伙通过持假卡大肆骗购黄金珠宝、名牌数码产品、名牌服装等高档商品。 交行双控没锁住百万存款 专家指交行网银有漏洞 杨俊文是湖南长沙某房地产公司的法人代表，因为要和香港某公司合作一笔业务，筹集到100万元作为保证金。 　　为了保证资金的安全，“由双方共同控制这笔资金”，即“资金双控”（是银行的一种支付方式，由交易双方共同控制 ）。 　　经过多次咨询后，今年5月16日，杨在交通银行长沙潇湘支行柜台，办理了太平洋借记卡，存入了100万元现金，并开通了网上银行业务(下简称“网银”)。双方按照约定，由杨掌握着存单、身份证、银行卡，还有银行推荐买的一套“电子钥匙”(USBKey)；密码则由对方单独设定和掌握。 　　就这样，他们完成了“资金双控”的程序。 当天办理完这些手续，杨俊文当着香港公司代表的面，对存单、身份证、银行卡和电子钥匙进行了封存。双方约好，在香港见面进一步详谈合作的细节。杨俊文便于当天下午2时45分飞赴香港。 　　到香港后的第二天上午，杨俊文打电话联系与其约定洽谈的香港公司负责人，但电话一直打不通。他预感到事情不妙，便立即通知远在长沙的公司会计，去交通银行查询资金情况。 　　会计按杨的指令带着封存的存单、身份证、银行卡和电子钥匙，匆匆赶到交通银行潇湘支行柜台查询该笔资金情况，这时发现账户上的百万资金已经不翼而飞了，只剩下4950元。 杨俊文惊呆了。郁闷过后，他觉得近百万资金不能这样平白无故地蒸发，应该有人对此负责。“银行明知道我这笔资金是需要和香港合作方双控的，他们告诉我有了电子钥匙，即