电信应用信息安全解决方案

现在,几乎各种电信服务 ( 包括固定电话、移动电话、小灵通、宽带上网等 ) 都可以在网上办理、查询和支付电信服务费,确实大大方便了电信用户,但是在方便的同时,随着互联网用户的剧增,各种电信应用系统的信息安全问题就突显出来了。主要存在的问题总结如下:

1、机密性问题 :用户在使用各种网上电信服务系统时要求用户输入用户帐号和密码以及银行卡帐号等机密信息后,用户端电脑就把此机密数据通过 互联网 传到电信服务系统的服务器,这个传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ,如果此类机密信息不加密传输,则非常容易和极有可能在传输过程中被非法截取而获得用户的电信服务系统的登录帐号和密码以及用于支付的银行卡信息,这就可以解释为何用户没有"泄露"密码,但银行帐户上的钱还是不翼而飞了。

2、完整性问题: 如果在用户端电脑到电信服务系统服务器之间的在线交易信息和银行帐号信息传输不加密的话,则非常容易和极有可能在传输过程中被非法恶意篡改,把应该转帐给电信服务提供商的钱篡改为转帐到其他银行帐号,而用户还不知晓,以为已经付款,因为用户提交时是填写正确的,但电信服务提供商却没有收到付款。

3、真实身份认证问题: 涉及到两个真实身份的认证问题,一个是电信用户的真实身份认证,另一个是电信服务网站的真实身份。非法分子可以伪造、假冒电信服务系统网站和用户的身份,因此用户无法知道他们所登录的网站是否是可信的真实的电信服务系统网站,而电信服务系统也无法验证登录到电信服务系统的用户是否就是合法身份,仅凭"用户名+口令"的传统身份认证方式根本就没有任何安全性。而某某电信的 ADSL 虚拟拨号软件上声称"对由于用户泄露口令而导致损失不付责任"的说法是不负责任的做法,建议用户不要使用有此类声明的电信服务提供商的服务。电信服务系统应该采取切实可行的技术手段来保证即使用户口令被泄露 ( 更何况犯罪分子可以有许多途径得到用户的口令,而不是用户的过错 ) 非法用户也无法通过真实身份认证,同时也要采取技术措施让用户非常容易识别是真正的电信服务系统网站还是假冒的电信服务系统网站,仅仅提醒用户记住复杂的英文域名和网址是不够的,因为假冒的电信服务系统网站的域名往往与真实电信服务系统网站只差 1 个字母。

4、交易的不可否认性问题: 电信服务系统用户有可能会否认其在线交易行为,这里有许多原因,可能是用户本身的原因,也可能是电信服务系统的问题,每笔交易一定要有可靠的签名记录用于纠纷仲裁的法律依据。
针对以上安全隐患和可能出现的问题, WoSign 推出了基于 PKI 技术的电信应用 信息安全解决方案,完全解决了以上 4 大问题:

(1) 为电信服务网站服务器 (Web 服务器和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强制128位加密的SSL证书,确保全球用户在任何地方都可以使用任何浏览器实现在线申请和管理电信服务,支持从浏览器到服务器之间机密信息的高强度加密传输,从而有效地防止了银行卡信息、服务帐号、密码和交易数据的机密性和完整性。
( 请广大电信用户铭记:登录电信服务网站时一定要看看浏览器右下方是否有"安全锁 标志",如果没有,请一定不要使用此类网站,因为您输入的所有交易信息和帐号信息都极有可能和非常容易被非法窃取和非法篡改! )

(2) 为每个电信服务用户颁发一个全球通用的 ( 在任何地方,即使在国外也可以使用 ) 单位数字证书用于登录电信服务系统网站的真实身份认证和用于每个交易的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题, 强烈推荐用户使用 USB 移动数字证书来确保是真实的您安全地登录电信服务系统 ( 需要登录和交易时就把移动数字证书插入电脑的 USB 口,交易完毕就拔下 ) 。

(3) 在电信服务系统网站的显著位置显示安全认证签章,让用户一眼就看出他 / 她正准备联上的网站确实是该用户计划交易的电信服务系统网站,而不是假冒的网站。现在假冒一个一模一样的网站只需几秒钟时间,而网站身份认证签章在假冒网站上是不能显示的。