网络安全理论与技术03—用户认证选编.ppt

;第四章 身份认证技术;二、案例评析： 发生如此事件的原因是多方面的，但基于信息安全的问题主要有两点： 1. 基于用户名 + 密码这种身份验证方式的脆弱性。 2. 公司业务系统和内部管理中存在安全漏洞。 如传统的基于单一密码的身份验证方式，其用户名和密码本身就容易泄露；委托信息容易被篡改；对于交易造成的责任，由于无法确认用户身份，用户可以拒绝承担；用户的交易信息传输于网上，极易被他人窃取等等。 包括网上证券交易在内的电子商务和电子政务运行，如何才能保证信息传输的真实性、完整性、不可抵赖性呢？目前普遍采用的方法是身份认证技术。 ; 2005年我国发生信用卡诈骗案件1835件，涉案金额6697.03万元，境内信用卡诈骗造成的经济损失约合1亿元。2006年一季度，全国公安机关共立信用卡诈骗案件275起，涉案金额1022万元，同比都有所下降。从地域上看，信用卡诈骗案件主要集中在上海、北京、广东、福建、四川等经济发达、人口较密集的地区。犯罪手段日趋智能化、高科技化，网络犯罪来势凶猛，影响持卡人网上交易信心。 近日公安部披露了当前信用卡犯罪的5种常见的银行卡犯罪手法。 　　1、利用黑客软件，网络病毒盗取客户银行卡号、密码。 　 2、“网络钓鱼”，即在互联网上设立假的金融机构网站，骗取银行卡号、密码。2005年北京、广西公安机关先后破获了假冒银行网站盗划资金的案件。犯罪嫌疑人在互联网上向用户发送虚假电子邮件，诱骗银行卡客户登录与真银行网站页面完全一致的假网站上，诱骗受害人填写个人资料、账户号码及密码等内容。黑龙江一犯罪嫌疑人利用购物网站窃取持卡人的信息，累计推算出156万个有效银行卡卡号，破解了其中7万多个密码，伪造了8800多张银行卡，流窜到陕西、安徽、河北等地，多次作案，涉案金额几十万元。 　　; 3、短信诈骗。2005年3月出现并延续至今的手机短信诈骗，几乎覆盖了全国所有的省份，上千万个手机用户收到过冒充银行及银联的虚假短信，数以千计的持卡人上当，损失金额超过千万元。 4、在ATM机上做起手脚。2005年4月，广东省河源市出现了犯罪嫌疑人在ATM机键盘上加装银行卡密码器的新型犯罪手段。该密码器表面类似另一个“键盘”，但其背面却是一个配有液晶装置屏幕的制作精细的电路板，可以自动记录银行卡客户输入的密码，令银行卡客户防不胜防。 　　5、用假卡大宗购物行骗。2006年1月，上海市公安机关抓获5名马来西亚籍犯罪嫌疑人，缴获伪造的“VISA”、“MASTERCARD”国际信用卡42张，该犯罪团伙通过持假卡大肆骗购黄金珠宝、名牌数码产品、名牌服装等高档商品。;交行双控没锁住百万存款 专家指交行网银有漏洞; 杨俊文惊呆了。郁闷过后，他觉得近百万资金不能这样平白无故地蒸发，应该有人对此负责。“银行明知道我这笔资金是需要和香港合作方双控的，他们告诉我有了电子钥匙，即使密码丢了，对方也不可能把钱取走，所以我就选择控制电子钥匙。可是，钱还是被对方转走了！”经过反复思考，他认为交通银行应该对他的损失负责。 　　2007年6月5日，杨俊文以服务合同纠纷为由，将交通银行股份有限公司长沙潇湘支行告上法庭。 庭审的焦点是：交通银行网上银行系统的安全性、电子钥匙的作用，以及泄密责任等。 　　原告坚持认为，是由于被告一再承诺，在网银环境中一方持有银行借记卡和电子钥匙，另一方持有借记卡密码，可以实现“资金双控”，原告才向被告办理了存款和网上银行业务。 　　杨俊文和公司会计曾多次咨询过交通银行其他网点工作人员，得到的答复是，有了电子钥匙，哪怕丢了密码，钱也转不走。杨俊文正是相信了这些，才放心地把钱存入交通银行，让对方设置密码，自己掌握存单、身份证、银行卡和电子钥匙。 　　“我们自始至终都没有动过封存的存单、身份证、银行卡和电子钥匙，对方为什么只凭密码就把钱划走了呢？”杨俊文说，按照交通银行网上银行协议，光有密码是不能将款划走的。; 法院判决认为：杨俊文在银行申请办理了交通银行太平洋借记卡并开通网上银行服务，双方已成立了网上银行服务合同，该合同合法有效，交通银行已经将100万元存入指定账户，并将进行网上交易的USBKey及相关资料交由杨俊文保管。杨俊文在太平洋借记卡上的存款99万余元被凭密码从网上转走的根本原因就是杨俊文违反合同关于保密的约定。其损失由自己承担，杨俊文与第三方达成的对借记卡内的存款实行双控的约定不能约束交通银行。 杨俊文明确表示对一审判决结果不服，已经提起上诉。 交行网银系统有漏洞 　　在接受记者采访时，杨俊文回忆起事件经过时，有一种“如梦初醒”的感觉。开始谈判时，杨提出在其他银行开户更方便，不