由中国移动通信集团公司主办,信通传媒协办的“2010(第四届)移动互联网研讨会”于12月13日-14日在北京国际会议中心举行。
本届大会延续了历届会议“无处不在的网络,无所不能的业务”的主题,将着重探讨移动互联网领域的技术、应用及其发展趋势。
北京数字证书认证中心副总经理 林雪焰
林雪焰:大家下午好,很高兴在这里跟大家一起交流关于安全可信移动互联网的话题。作为北京数字认证中心,是国家批准的第三方数字认证中心,实际上现在也给中国移动提供第三方数字证书服务。今天的话题来源于我们跟移动研究院一起字的一个课题,叫做移动签名的服务平台。这个服务平台现在应该是一个很新的东西,大家可以到展台的角落里有一个角落是在讲移动签名服务平台的。我讲的内容三个方面,需求、服务平台的介绍和应用前景。
首先说一下互联网的发展,实际上刚才提到在中东的交流需求,实际上早期的互联网就是这样的,需要交流是一个主需求,但实际上发展到现在,互联网实际上是一个交易的互联网,最早是QQ这种业务发展得好,现在实际上大家看到淘宝支付宝,1.2亿的用户在使用网银,使用购物,使用在线的交易。实际上作为交易的互联网非常需要知道用户的身份,实名的身份,而且需要得到用户对交易过程的一个确认和不可否认,然后这种技术应该是面向大众,足够安全而且易用的,我觉得移动互联网也会面临这个过程。刚才章总提到的在浏览器的主要应用是交流,是看新闻,但是未来应该是交易会是一个主流应用,而且会带来收益的应用,对于运营商来说。
实际上我们可以以一个网银的例子来看安全,现在的网银,北京数字认证也给银行提供证书的服务,在网银的现在阶段,应该大多数网银都在使用USBKEY或者动态口令这种双因子认证,就是不但要知道这个口令,而且要获得一个介质,这种双因子认证还是面临着安全问题,虽然我买了一个USBKEY,实际上也面临这种风险,比如木马的劫持,送到KEY里的数据是在电脑里送过去,我们现在基于的安全,电脑实际上已经不安全了,完全认为电脑是不安全的,是有木马,是有各种各样恶意程序的,这样送到KEY里的数据是不安全的,这样的话签名数据或者对交易的确认也是不安全的。还有一种攻击是钓鱼加中间人,这也是典型的攻击。我们看到这个动态令牌,动态令牌可以实现安全的认证,但是如果有个钓鱼网站把动态的令牌的质询提供给用户,用户实际上给这个钓鱼网站送到这个令牌的数据的话,实际上这个安全性也得不到保证。这个是我们目前网银的安全,这也是一个在互联网上用得很多的,上亿用户在用的安全问题。
目前来说,我们看到今年开始,这些大的网银厂商已经开始做交互式的USB的(TOOK),做交易的时候实际上建立了一个第二条路,就是说除了电脑,不安全的电脑看到的网银页面,另外跟银行之间建立一个安全的通道,这个通道送到这个(TOOK)上显示,然后用户根据TOOK的判断确定网银的操作是否执行。实际上这个的特点是用电脑以外的介质去实现用户,用户确认这个交易用的不是电脑,而是另外一个途径,它的技术核心在这儿。我们看到工商银行已经开始全面地推U盾二代,这个应该是做了一个很艰难的决定,用户直接对KEY的数据进行确认,这种钓鱼和中间人攻击的话已经不可能。因为它只能基于计算机,而它没有办法去对USB TOOK的显示和案件进行钓鱼或者植入木马,这样的话实际上实现了一个很安全的交互。但这有个问题,实际上USBKEY的问题就存在,一方面它是一个很高昂的成本,第二个方面关键是每一个银行都需要一个TOOK,每一个应用都需要这样一个TOOK,这样的TOOK会是大量的,如果这种电脑的安全性没有办法解决的话,实际上大量的银行的TOOK,支付宝的TOOK,各种各样业务的TOOK都会存在。
