月度归档: 2015年1月

分类
安全播报

网上购票遇钓鱼网站 连续中圈套被骗

网上订火车票,未想到却中“圈套”遭遇连续被骗。“网上订票,被要求重新操作一次,可将上次的车票款退回,没想到是骗局。”

18日, 据临沂的夏先生介绍,他在市区一科技广场工作,因为有事要去趟苏州,他准备乘坐高铁前往。“以前都是到售票厅去购买,听说现在网上就能订,我就通过一订票网站进行订票。”夏先生说,17日上午11时许,他从网上搜索“枣庄至苏州高铁”,随后就进入了一家名为“中国铁路”字样的订票网站,“我就在这个网站预定了一张当天晚上7点07分枣庄至苏州的车票。”

夏先生称,订票10多分钟后,他接到一陌生男子打来电话,称由于他订票时操作时间过长,身份证输入有错误,车票已被锁定,需要重新操作一次解开。“该男子用的是标准的普通话,来电显示是北京号码。”夏先生说,听说要重新操作一次,他有些怀疑,因为钱已经从网银划走了,重新操作一次,那不是要再买一次,“看到我有些迟疑,该男子称重新操作一次,车票解锁后上一次订票的钱会自动退回到银行卡里去,而且如果重新操作后再次出现问题,可以拨打电话010******进行投诉。”

于是,夏先生就再次进入该网站,根据提示键入了相关信息,再次预定了一张当天晚上7点07分枣庄至苏州的车票。“我再次上网查询,发现274元已经从网银上扣走了,但上一次订票的钱并没有退回。”夏先生说,他就赶紧给对方打电话要求退钱,“听说后,对方突然挂断了电话,投诉电话打不通。我赶紧给银行打电话,经查询,两笔钱都已扣走了。赶紧拨打110报了警。最后,只好自己开车去苏州,希望市民今后遇到类似情况要注意。”夏先生说。

天威诚信提醒大:应认准全国铁路系统统一订票网址www.12306.cn,市民也可通过中国铁路客户订票热线(95105105),或前往正规代售点购买火车票。“中国铁路客户服务中心是唯一官方订票网站,而且不收任何附加费用,市民进入网站订票,成功或者不成功等相关信息都是通过短信送达,不会打电话通知;

同时也请网民注意,不要轻易点击陌生链接,登录网站时要先看清网址,一般凡是和网民发生信息及资金交互的网站,都会部署ssl证书,通过加密手段对信息传输进行加密,并且会在网站上呈现小金色锁、绿色地址栏https、安全签章等标识,大家看到这些标识就可以放心登录网站并进行交易。如没有以上标识请勿交易。避免上当受骗

分类
知识中心

SSL证书分层结构和安全功能

SSL证书位于应用层和传输层之间,它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。SSL协议本身分为两层:

上层为SSL握手协议、SSL密码变化协议和SSL警告协议;

底层为SSL记录协议。

SSL握手协议:是SSL协议非常重要的组成部分,用来协商通信过程中使用的加密套件(加密算法、密钥交换算法和 MAC算法等)、在服务器和客户端之间安全地交换密钥、实现服务器和客户端的身份验证。

SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输。

SSL警告协议:用来向通信对端报告告警信息,消息中包含告警的严重级别和描述。

SSL记录协议:主要负责对上层的数据(SSL握手协议、SSL密码变化协议、SSL警告协议和应用层协议报文)进行分块、计算并添加MAC值、加密,并把处理后的记录块传输给对端。

SSL是一种用于Web的安全通信标准,可以把它理解成分层体系结构中的一层,位于应用层和传输层之间,建立用户与服务器之间的加密通信,确保信息传递的安全性。数据经过它流出的时候被加密,再往TCP/IP送,而数据从TCP/IP流入之后先进入它这一层被解密,同时它也能够验证网络连接两端的身份。SSL可以对各种应用数据进行加密,如HTTP, POP, FTP等。SSL提供的安全机制可以保证应用层数据在传输时不被监听、伪造和篡改。

SSL工作在公共密钥和私人密钥基础上,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器端建立连接,服务器端把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个安全通道。

Web客户机通过连接到一个支持SSL的服务器,启动一次SSL会话。支持SSL的典型Web服务器在一个与标准HTTP请求(默认为端口80)不同的端口(默认为443)上接受SSL连接请求。当客户机连接到这个端口上时,它将启动一次建立SSL会话的握手。当握手完成之后,通信内容被加密,并且执行消息完整性检查,知道SSL会话过期。SSL创建一个会话,在此期间,握手必须只发生过一次。

SSL协议的优点是它提供了连接安全性,具有以下3个基本属性。

1)连接的私有性:在初始握手定义了一个会话密钥后,使用会话密钥进行加密通信。对数据的加密采用了对称加密技术,如DES和RC4等。

2)连接的认证性:通过密码技术(如RSA和DSS)来验证对等实体的身份。

3)连接的可靠性:消息传输使用一个带密钥的MAC(消息认证码),包括了消息完整性检查。其中MAC是通过把密钥和消息一起经安全哈希函数(如SHA和MD5)处理后得到的。

分类
知识中心

SSL证书利用密钥算法更安全

SSL证书对称密钥算法和MAC算法要求通信双方具有相同的密钥,否则解密或MAC值验证将失败。因此,要建立加密通道或验证消息完整性,必须先在通信双方部署一致的密钥。

SSL证书利用非对称密钥算法加密密钥的方法实现密钥交换,保证第三方无法获取该密钥。SSL客户端(如Web浏览器)利用SSL服务器(如Web服务器)的公钥加密密钥,将加密后的密钥发送给SSL服务器,只有拥有对应私钥的SSL服务器才能从密文中获取原始的密钥。SSL通常采用RSA算法加密传输密钥。

实际上,SSL客户端发送给SSL服务器的密钥不能直接用来加密数据或计算MAC值,该密钥是用来计算对称密钥和MAC密钥的信息,称为premaster secret。SSL客户端和SSL服务器利用premaster  secret计算出相同的主密钥(master secret),再利用master secret生成用于对称密钥算法、MAC算法等的密钥。premaster secret是计算对称密钥、MAC算法密钥的关键。

用来实现密钥交换的算法称为密钥交换算法。非对称密钥算法RSA用于密钥交换时,也可以称之为密钥交换算法。

利用非对称密钥算法加密密钥之前,发送者需要获取接收者的公钥,并保证该公钥确实属于接收者,否则,密钥可能会被非法用户窃取。如错误!未找到引用源。Cindy冒充Bob,将自己的公钥发给  Alice,Alice利用Cindy的公钥加密发送给Bob的数据,Bob由于没有对应的私钥无法解密该数据,而Cindy截取数据后,可以利用自己的私钥解密该数据。SSL证书利用PKI提供的机制保证公钥的真实性。

分类
知识中心

SSL证书身份验证更具有安全性

电子商务和网上银行等应用中必须保证要登录的Web服务器是真实的,以免重要信息被非法窃取。SSL证书利用数字签名来验证通信对端的身份。

非对称密钥算法可以用来实现数字签名。由于通过私钥加密后的数据只能利用对应的公钥进行解密,因此根据解密是否成功,就可以判断发送者的身份,如同发送者对数据进行了“签名”。例如,Alice使用自己的私钥对一段固定的信息加密后发

给Bob,Bob利用Alice的公钥解密,如果解密结果与固定信息相同,那么就能够确认信息的发送者为Alice,这个过程就称为数字签名

SSL客户端必须验证SSL服务器的身份,SSL服务器是否验证SSL客户端的身份,则由SSL服务器决定。

 SSL证书身份验证更具有安全性-1

使用数字签名验证身份时,需要确保被验证者的公钥是真实的,否则,非法用户可能会冒充被验证者与验证者通信。如错误!未找到引用源。Cindy冒充Bob,将自己的公钥发给 Alice,并利用自己的私钥计算出签名发送给Alice,Alice利用“Bob”的公钥(实际上为 Cindy的公钥)成功验证该签名,则Alice认为Bob的身份验证成功,而实际上与Alice通信的是冒充Bob的Cindy。SSL利用PKI提供的机制保证公钥的真实性。

为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。

MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。利用MAC算法验证消息完整性的过程。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改,接收者将丢弃该报文。

SSL证书身份验证更具有安全性-2

MAC算法具有如下特征,使其能够用来验证消息的完整性:

消息的任何改变,都会引起输出的固定长度数据产生变化。通过比较MAC值,可以保证接收者能够发现消息的改变。

MAC算法需要密钥的参与,因此没有密钥的非法用户在改变消息的内容后,无法添加正确的 MAC值,从而保证非法用户无法随意修改消息内容。

MAC算法要求通信双方具有相同的密钥,否则 MAC值验证将会失败。因此,利用MAC算法验证消息完整性之前,需要在通信两端部署相同的密钥。

分类
知识中心

SSL证书通过加密保证安全

SSL证书在浏览器和Web服务器之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。同时,Netscape公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是HTTP over SSL,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。

然而,加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用HTTPS协议进行传输,那么该网站的性能和效率将会大大降低,而且没有这个必要,因为一般来说并不是所有数据都要求那么高的安全保密级别

网络上传输的数据很容易被非法用户窃取,SSL证书采用在通信双方之间建立加密通道的方法保证数据传输的机密性。

所谓加密通道,是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方,无法将密文恢复为明文,从而保证数据传输的机密性。

加解密算法分为两类:

对称密钥算法:数据加密和解密时使用相同的密钥。

非对称密钥算法:数据加密和解密时使用不同的密钥,一个是公开的公钥,一个是由用户秘密保存的私钥。利用公钥(或私钥)加密的数据只能用相应的私钥(或公钥)才能解密。

与非对称密钥算法相比,对称密钥算法具有计算速度快的优点,通常用于对大量信息进行加密(如对所有报文加密);而非对称密钥算法,一般用于数字签名和对较少的信息进行加密。

SSL证书加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有DES、3DES、AES等,这些算法都可以有效地防止交互数据被窃听。

对称密钥算法要求解密密钥和加密密钥完全一致。因此,利用对称密钥算法加密传输数据之前,需要在通信两端部署相同的密钥。

分类
知识中心

赛门铁克(VeriSign)SSL证书—企业网站安全第一通道

如今,对大多数年轻网民来说,网络购物已经成为一件稀松平常的事情。人们能够毫不犹豫地在购物网站上完成支付,是因为今天的技术已经能够为网络交易的真实性和安全性提供保障。比如,当我们在网上完成一笔交易时,都会提示安装安全证书,此时安全证书就相当于网站的身份证。浏览器在登录网站时会根据证书中提供的信息,逐级验证证书的真伪,以保证证书的真实性和网站的真实性。

其实所安装的安全证书,就是SSL证书及服务器证书。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer),以SSL安全协议来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,以及保障数据的完整性。

由于SSL技术建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

其次,SSL证书技术通过加密信息和提供鉴权,不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密,而不被黑客截取,即使截取到也是密文,也看不到真实的用户名与密码。而我们经常遇到的网络攻击,如数据劫持和钓鱼攻击等,都是在没有SSL证书的保护下造成的。这极有可能让用户信息泄露甚至造成严重的经济损失,而通过SSL证书认证就可有效避免,因为只有授权用户才能读取数据。

所以,随着网络的普及,网络安全环境对SSL证书的需求日益加大,目前世界500强企业中93%的公司和世界100家最大的银行中97%的银行以及全球50家大型电子商务网站中的47个网站都安装了赛门铁克(VeriSign)SSL证书。企业只有部署了SSL证书,才真正给了网民一个放心的交易平台。

目前在中国的网络安全市场也早已与世界同步,大部分互联网企业都部署了SSL证书,以期给广大个人网络用户最大极度的安全保障。天威诚信作为国内网络安全服务商经过几年的开拓已经领跑业界,合作伙伴遍及各个行业。近期更是签约了国航、强生等商业巨头。天威诚信提示广大用户重视网络安全、防止财产损失。