首页>解决方案>移动增值服务信息安全解决方案

移动增值服务信息安全解决方案

在移动增值服务 ( 短信 ) 飞速发展的今天,增值服务的运作技术和运作方式都已经日趋成熟,各运营商和各个移动增值服务提供商 (SP) 之间为了争夺有限的客户资源,都使出了浑身解数来提供各种丰富多彩的移动增值服务并且采取了一系列措施来不断提高服务质量。但是,其中最重要的信息安全问题并没有得到足够的重视,由信息安全问题而引起的客户投诉不断增加,已经到了各个 SP 和移动运营商必须重视的时候了,主要存在的问题直接如下:

1、 机密性问题 :用户在使用各种 移动增值服务时 SP 都要求用户在移动增值服务网站上注册和订阅等,这就涉及到 要求用户输入用户帐号和密码以及银行卡帐号等机密信息后,用户端电脑就把此机密数据通过 互联网 传到 移动增值服务网站 服务器,这个传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ,如果此类机密信息不加密传输,则非常容易和极有可能在传输过程中被非法截取而获得用户的 移动增值服务 登录帐号和密码以及用于网上支付的银行卡信息,这就可以解释为何用户没有“泄露”密码,但银行帐户上的钱还是不翼而飞了。同时,移动上网也涉及到用户认证问题,用户的认证信息以及其他机密信息如果不加密传输,则非常容易和极有可能在空中传输过程中被非法截取而泄密。还有,手机 WAP 上网,如果 WAP 服务器没有部署 SSL数字证书(SSL证书)则所有从手机到 WAP 服务器之间经过的无线和有线传输链路中都非常容易和极有可能在整个传输过程中被非法截取而泄密。

2、 完整性问题: 如果在移动用户无论是使用电脑或手机与 移动增值服务网站 服务器之间的购物信息和银行帐号信息传输不加密的话,则非常容易和极有可能在传输过程中被非法恶意篡改,把应该转帐给 移动增值服务网站 的钱篡改为转帐到其他银行帐号,而用户还不知晓,以为已经付款,因为用户提交时是填写正确的,但 移动增值服务网站 却没有收到购物款。还有,现在手机可以方便地下载各种音乐、图片和软件代码,这里就有非常大的安全隐患,一旦不注意就让手机中毒,如何保证供手机下载的内容的合法性、安全性和完整性就非常重要。

3、 真实身份认证问题: 涉及到两个真实身份的认证问题,一个是 移动增值服务 用户的真实身份,另一个是 移动增值服务网站 的真实身份。非法分子可以伪造、假冒 移动增值服务网站 和用户的身份,因此用户无法知道他们所登录的网站是否是可信的真实的 移动增值服务网站 ,而 移动增值服务网站 也无法验证登录到 移动增值服务网站 的用户是否就是合法身份,仅凭“用户名+口令”的传统身份认证方式根本就没有任何安全性。而有些 移动增值服务网站 声称“对由于用户泄露口令而导致损失不付责任”的说法是不负责任的做法,建议用户不要使用有此类声明的 移动增值服务 。 移动增值服务网站 应该采取切实可行的技术手段来保证即使用户口令被泄露 ( 更何况犯罪分子可以有许多途径得到用户的口令,而不是用户的过错 ) 非法用户也无法通过真实身份认证,同时也要采取技术措施让用户非常容易识别是真正的 移动增值服务网站 还是假冒的 移动增值服务网站 ,仅仅提醒用户记住复杂的英文域名和网址是不够的,因为假冒的 移动增值服务网站 的域名往往与真实 移动增值服务网站 只差 1 个字母。更何况,有些 移动增值服务网站设立了各种陷阱来套住移动用户或 骗取用户的银行卡信息,所以真实网站身份认证就非常重要了。

4、 交易的不可否认性问题: 移动增值服务 用户有可能会否认其在线交易行为,这里有许多原因,可能是用户本身的原因,也可能是 移动增值服务网站 方面的原因,每笔交易一定要有可靠的签名记录用于纠纷仲裁的法律依据。

针对以上安全隐患和可能出现的问题, WoSign 推出了基于 PKI 技术的移动增值服务信息安全解决方案,完全解决了以上 4 大问题:

(1)为 移动增值服务网站 服务器 (Web 服务器、 WAP 服务器以及其他服务器 ) 颁发全球通用的支持所有浏览器支持所有联网终端 ( 包括电脑和移动终端如智能手机、 PDA 等 ) 的真正 128 位的SSL证书,确保全球用户在任何地方都可以使用任何联网终端使用 移动增值服务 ,支持从电脑浏览器 / 手机浏览器到服务器之间机密信息的高强度加密传输,从而有效地防止了银行卡信息、帐号、密码和交易数据的机密性和完整性。
( 请广大 移动增值服务 用户铭记:一定要注意您在访问 移动增值服务网站 时看看浏览器右下方是否有“安全锁 标志”,如果没有,请一定不要使用此 移动增值服务 网站,因为您输入的所有交易信息和帐号信息都极有可能和非常容易被非法窃取和非法篡改! )

(2) 为 移动增值服务开发商提供基于微软移动操作系统的各种移动应用的代码签名服务,从而确保移动用户下载的代码的完整性和安全性。
( 请广大 移动增值服务 用户铭记:同电脑下载一样,不要随便下载没有经过权威第三方颁发的代码签名的移动应用到您的智能手机上,否则就有可能中毒而瘫痪 )

(3) 移动增值服务网站应该为移动增值服务用户颁发一个全球通用的 ( 在任何地方,即使在国外也可以使用 ) 单位数字证书用于登录 移动增值服务网站 的真实身份认证和用于每个交易的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题, 强烈推荐用户使用 USB 移动型数字证书来确保是真实的您安全地使用 移动增值服务 ( 需要登录和交易时就把移动数字证书插入电脑的 USB 口,交易完毕就拔下 ) 。

(4) 为各种移动增值服务的下载代码申请移动代码签名证书,签署下载代码,让移动用户放心下载。

以上解决方案涉及到的产品有:服务器 SSL 证书、客户端数字证书、网站身份认证,请浏览以下页面了解产品详情,我们不仅提供产品,而且免费提供开发和应用指导:

服务器 SSL 证书: https://www.wosign.com/OVSSL/OV_ZhenSSL_Pro.htm

PDF 文件签名证书: https://www.wosign.com/Products/PDF_signing.htm

企业CA托管解决方案:https://www.wosign.com/Products/EPKI_Organizations.htm

客户端数字证书:http://www.wosign.com/Products/clientcert.htm

强身份认证技术选型指南:http://www.wosign.com/solution/Strong_authentication_solution.htm

使用客户端数字证书实现强身份认证登录演示:https://www.wosign.com/LoginDemo/

微软移动代码签名证书:http://www.wosign.com/Products/Signing/mobile_code_signing.htm

如果您就是 移动增值服务 (SP) 的信息主管,并对我们的解决方案感兴趣,请 联系我们 ,我们会把更详细的方案发给您;如果您是 移动增值服务的 用户,请注意以上的安全提示,并请督促您的移动增值服务提供商采取有效的信息安全防范措施,只有用户和 移动增值服务提供商齐努力才能确保移动增值服务的信息安全,我们愿意为此做出应有的贡献。