网络游戏信息安全解决方案
目前网络游戏日益盛行,随着网络精品游戏不断推出,更多的玩家进入到网络虚幻世界。一个修炼了许久的帐号不仅仅是玩家时间精力的堆积,同时也是大笔资金的投入。据相关报告,我国有 61% 的玩家经历过装备和虚拟物品被盗,被盗号的占 33% ,被黑客攻击的占 6% 。而帐号密码被盗,主要由于游戏提供商的游戏帐号和密码在网上是明文传输和游戏玩家的身份认证手段不科学导致的。主要存在的问题总结如下:
1、 机密性问题 :游戏用户在登录游戏系统时要求用户输入用户帐号和密码等机密信息后,用户电脑就把此机密数据通过 互联网 传到游戏服务器,这个传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ,如果此类机密信息不加密传输,则非常容易和极有可能在传输过程中被非法截取而获得用户的登录帐号和密码,这就可以解释为何用户没有“泄露”密码,但帐号还是被非法盗用,虚拟装备不翼而飞了。
2、 完整性问题: 如果在游戏用户电脑到游戏服务器之间的有关虚拟装备交易信息传输不加密的话,则非常容易和极有可能在传输过程中被非法恶意篡改,使得虚拟装备被非法转到其他帐号,而用户还不知晓,因为用户提交虚拟装备交易信息时是填写正确的。
3、 真实身份认证问题: 涉及到两个真实身份的认证问题,一个是游戏用户的合法身份,另一个是游戏网站的真实身份。非法用户可以假冒游戏网站来盗取用户的用户名和密码,也可以伪造游戏用户的身份,因此用户无法知道他们所登录的网站是否是可信的真实的游戏网站,而游戏提供商也无法验证登录到游戏网站的用户是否就是合法用户,仅凭“用户名+口令”的传统身份认证方式根本就没有任何安全性。而有些游戏提供商声称“对由于用户泄露口令而导致损失不付责任”的说法是不负责任的做法,建议用户不要选择有此类声明的游戏提供商。游戏提供商应该采取切实可行的技术手段来保证即使用户口令被泄露 ( 更何况犯罪分子可以有许多途径得到用户的口令,而不是用户的过错 ) 非法用户也无法通过真实身份认证,同时也要采取技术措施让用户非常容易识别是正宗的游戏网站还是假冒的游戏网站,仅仅提醒用户记住复杂的英文域名和网址是不够的,因为假冒的游戏网站的域名往往与真实游戏网站只差 1 个字母。
4、 交易的不可否认性问题: 游戏用户有可能会否认其在线装备交易行为,这里有许多原因,可能是用户本身的原因,也可能是游戏网站的原因,每笔交易一定要有可靠的签名记录用于纠纷仲裁的法律依据。
针对以上安全隐患和可能出现的问题, WoSign推出了基于 PKI 技术外包服务的网络游戏信息安全解决方案,完全解决解决了以上 4 大问题:
(1) 为游戏服务器 (Web 服务和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强制128位加密的SSL证书,确保用户在任何地方都可以使用任何浏览器和游戏客户端软件安全登录游戏服务器,支持从浏览器到服务器之间机密信息的高强度加密传输,从而有效地防止了游戏帐号、密码和交易数据的机密性和完整性。
( 请广大网游玩家铭记:登录网游时一定要看看浏览器 ( 或网游客户端软件 ) 右下方是否有“安全锁 标志”,如果没有,请一定不要输入任何您认为机密的担心会被窃取的信息,因为您输入的所有交易信息和帐号信息都极有可能和非常容易被非法窃取和非法篡改! )
(2) 游戏提供商应该为每个游戏用户颁发一个全球通用的客户端个人证书用于登录网游的身份认证和用于每个交易的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑 ( 网吧 ) 和专用电脑的间谍软件 ( 木马软件 ) 或其他可能的手段非法使用数字证书问题, 强烈推荐用户使用 USB 移动数字证书来确保是真实的您在合法登录您的网游帐号 ( 需要登录和在线玩时就把移动数字证书插入电脑的 USB 口,退出后就拔下 ) 。 可选 WoSign免费客户端证书 或选购 超管CA-企业版。
以上解决方案涉及到的产品有:服务器 SSL 证书、客户端数字证书、网站身份认证,请浏览以下页面了解产品详情,我们不仅提供产品,而且免费提供开发和应用指导:
服务器 SSL 证书: https://www.wosign.com/OVSSL/OV_ZhenSSL_Pro.htm
企业CA托管解决方案:https://www.wosign.com/Products/EPKI_Organizations.htm
客户端数字证书:http://www.wosign.com/Products/clientcert.htm
强身份认证技术选型指南:http://www.wosign.com/solution/Strong_authentication_solution.htm
使用客户端数字证书实现强身份认证登录演示:https://www.wosign.com/LoginDemo/
如果您就是游戏提供商的信息主管,并对我们的解决方案感兴趣,请 联系我们 ,我们会把更详细的方案发给您;如果您是网游用户,请注意以上的安全提示,并请督促您的游戏提供商采取有效的安全防范措施或选择有以上信息安全措施的游戏提供商,只有用户和网游提供商齐努力才能确保用户的帐号和密码以及游戏装备的安全,我们愿意为此做出应有的贡献。