1、芯盾 Trusfort移动身份认证安全解决方案,北京芯盾时代科技有限公司产品总监 杜旭,随芯而动 秉信而行,身份欺诈规模化 花样翻新速度快,2016年上半年安全联盟接收举报信息47.3万条，其中18.3万条被认定为恶意网址，占总量的将近40%。,恶意网址占很大部分，75.01%,35.5万条举报网址中，钓鱼欺诈（53.35%）,中奖、积分兑换、网银失效类钓鱼网站是主流,下载apk木马的网址,诈骗信息的传播途径以电话、短信为主,仿冒银行是诈骗的主要手段,越来越多的恶意网址必须在手机或微信端打开；包含apk木马链接的短信数量逐渐攀升；,信息盗取：撞库拖库,2011.10，CSDN网站640万用户资

2、料遭拖库泄密2011.12，天涯论坛4000万用户数据外泄2014.01，如家、汉庭等酒店2000万用户数据遭泄露2014.09，iCloud遭破解，明星照片泄露2014.12，12306订票网站13万余条12306用户数据网上售卖2015.02，Uber 5万名司机信息泄露2015.04，遍布19个省份的社保系统相关信息泄露达5279.4万条2015.10，网易163/126电子邮箱过亿数据泄漏2015.12，申通快递被黑客入侵系统，3万多条包含客户信息的快递单遭到泄漏,步骤一：账号窃取,社工库已收集上亿用户的撞库密码，可查询,北京芯盾时代科技有限公司,移动互联网领域，身份安全问题频发,互联

3、网业务（场景）,业务层面,用户名口令拖库暴力撞库数据链路攻击数据存储攻击业务逻辑漏洞攻击银行卡盗转盗刷恶意注册、登录刷单薅羊毛,攻击,设备层面,登录过程嗅探口令破解获取键盘输入获取应用反编译破解录屏和远程控制短信验证码截取权限及数据获取,用户层面,社会工程学电话短信欺诈口令猜测钓鱼攻击身份伪造,北京芯盾时代科技有限公司,短信窃取：基站无线拦截,运营商,银行,验证码短信,干扰信号，用户设备降频到2G（3、4G短信加密，2G不加密）,短信不加密，空口拦截,黑客,正常用户,步骤二：短信窃取,北京芯盾时代科技有限公司,设备绑定绕过方法,步骤三：设备绑定,Android手机系统堆栈,Hardware,H

4、AL,Linux Kernel,Android Runtime&Libraries,Android Framework,Android Applications,系统指纹：Android IDIMSIIMEI,内核指纹,硬件指纹,SE,SE指纹,设备指纹按照手机系统堆栈的层次可分为四个层次。一般手机APP仅采用最高层“系统指纹”进行设备绑定和验证。但在改串号软件中，IMEI、MAC、AndroidID等均可轻易被篡改，安全性很差。,改串号、改信息,北京芯盾时代科技有限公司,黑色产业链日益完善,央视集中报道5分钟网上买到上千银行卡信息几乎全部正确起底“电信诈骗术”之“验证码”骗局人行发布170，

5、261号文加强金融交易过程中的安全监管；认证安全事件波及银行、第三方支付、证券、P2P金融及互联网公司，各种盗转盗刷、身份欺诈、隐私盗取事件层出不穷；身份欺诈呈现专业化、规模化、组织化。2015年仅打码平台的充值客户数比2014年增长了27%，充值金额增长了40%，160万人的地下产业链；,国家重视,刚性需求,增长迅猛,上游,拖库/撞库/社工库伪基站/猫池僵尸/木马/蠕虫恶意软件/钓鱼网站打码平台刷单/刷串号,中游,身份信息窃取账号密码窃取短信验证码拦截恶意注册POS/WiFi窃取信息交易平台,下游,信息获取,实施攻击,钱财盗转支付盗刷盗买/盗卖欺诈勒索刷单/薅羊毛网络黄牛,1.阿里巴巴201

6、5数据风控年报,北京芯盾时代科技有限公司,芯盾时代：新一代智慧身份认证服务提供商,目标：利用创新的设备认证、生物认证、身份反欺诈技术和安全认证协议算法，对现有身份验证方式进行革命性的创新，为金融、政府、互联网及各行各业提供更安全、免密、智能的身份认证服务,1,2,3,4,账号+密码,账号+密码+验证码,账号+密码+U盾,芯盾身份认证,安全性：单因素认证，安全级别非常低，易受拖库撞库、社会工程学、口令窃取等攻击灵活性：普适性身份认证方式,安全性：伪双因素认证，安全级别低，易受短信验证码盗取攻击灵活性：简单方案，使用广泛。2015年中国短信验证码市场规模达50亿元,安全性：双因素认证，安全级别高，

7、可抵御现有攻击灵活性：移动端使用体验差。2015年中国U盾市场规模近100亿元,安全性：多因素认证，安全级别高，可抵御现有攻击灵活性：直接利用移动终端进行身份认证，用户体验最优,北京芯盾时代科技有限公司,芯盾智慧身份认证体系,大数据：用趋势分析告诉你0|1不能解决的安全问题大数据身份反欺诈，是指通过运用大数据构建模型的方法对借款人进行风险控制和风险提示。,芯盾设备认证,芯盾生物认证,芯盾大数据身份反欺诈服务,应 用,设备,北京芯盾时代科技有限公司,保险柜、防盗门,视频监控,芯盾交易安全保护服务,核心技术：初始化与SoftSE,手机银行APP,Trusfort芯盾安全认证组件,Trusfort安

8、全认证系统,运营商,设备绑定及认证,1,申请转账交易,4,生成并发送短信验证码,5,发送短信短信验证码,6,填写短信验证码和交易密码点击确认,7,芯盾身份验证,2,芯盾身份验证,3,交易确认,8,验证短信验证码和交易密码,9,芯盾认证系统,威胁情报,攻击事件,用户行为,系统状态,设备数据,识别恶意手机号、IP、账号等,识别特定危险事件,识别黑客攻击行为,识别攻击设备,识别系统漏洞及危险,应用信息,大数据分析维度及其作用,设备独一无二的特征标识，可以识别出终端设备环境的变化，有效区分出刷机、刷串号等危险行为。设备指纹技术的核心是解决移动终端设备的标识存在的冲突和漂移,操作系统的状态，尤其是应用运

9、行环境的变化会对应用运行时内存、存储数据等产生影响，所以对系统状态或运行状态的变化进行监控，可以杜绝黑客采用模拟器进行的攻击,识别病毒木马及非法APP,安装木马、二次打包应用，是窃取用户信息、短信验证码等的主要方式。实时监控手机终端内安装的应用程序，可以及时发现其中是否存在木马、病毒、二次打包等恶意应用,恶意用户或黑客一般连续作案或批量盗取用户信息。根据发生欺诈、盗刷、恶意注册等行为的高危用户黑名单，可提前对业务风险进行预警和控制,目前普遍的黑客盗刷、盗卡等案件都是借助了运营商和银行机制的漏洞，所以通过一些典型事件的监控，可以及时获知用户、终端设备是否成为黑客攻击目标,根据用户交易金额、类型、

10、位置、账户信息、操作习惯等信息，结合用户前后操作的关联性，可以对用户的攻击、欺诈等行为进行判断，及时阻断高风险的业务请求,北京芯盾时代科技有限公司,芯盾大数据身份反欺诈服务模型,基于海量的设备数据、威胁情报数据和用户行为数据，构建独有的以设备安全为核心的智能实时身份反欺诈模型。,识别设备仿冒/篡改识别模拟器识别攻击框架/调试器识别系统Root/越狱识别病毒木马/山寨APP识别特殊攻击事件,识别恶意设备识别恶意手机号识别虚假用户信息识别欺诈/泄露账号识别欺诈IP地址识别风险Wifi,识别非常规操作位置 识别非常规操作时间识别非常规操作频次识别非常规目标账户识别非常规业务种类识别非常规额度,智慧身

11、份认证：安全服务核心架构,保障三个点（人、设备、应用）、两个链接（人与设备、设备与应用）的安全可信,北京芯盾时代科技有限公司,安全身份认证（B2B2C）Trusfort TIMS统一身份认证（B2B2E）Trusfort CIMS物联网身份认证（B2B2C）Trusfort MIMS,芯盾 统一身份认证（CIMS）方案,北京芯盾时代科技有限公司,统一认证身份管理 IAM（Identity Access Management）手机绑定身份，装在手机里的“你自己”免密认证记不住的密码，无需再记刷一下脸、念一串数、摁摁手指安全认证告别拖库撞库、密码泄露、盗转盗刷、身份欺诈等安全风险,北京芯盾时代科技

12、有限公司,芯盾 物联网身份认证（MIMS）方案,芯盾物联网安全认证云平台Trusfort MIMS,智能硬件、智能家居、智能汽车、智慧城市等IOT市场快速发展背后，身份认证安全问题已逐渐显现芯盾综合采用云计算、大数据、身份认证、终端安全等各类技术，提供物联网线上、线下多种身份认证解决方案：线上认证方案：基于FIDO UAF、U2F快速身份识别框架，结合独有技术，提供免密、快捷、标准化、跨App的线上安全认证方案线下认证方案：采用NFC、HCE、TEE/SE等技术，为物联网设备提供安全便捷的近场身份认证服务,智能汽车,智能家居,智慧城市,智能插座,智能穿戴,智能移动,智能电视,智能芯片,关注安全、聚焦行业,北京芯盾时代科技有限公司,2016 ISC 互联网安全创新企业总冠军,央视报道，抓获倒转盗刷团伙,