捷大信安加密卡

1. 脫穎而出｜江南信安榮登「金智獎」榜單

近日，2020 年度（第五屆）「中國網路安全與信息產業金智獎」評選結果公布，江南信安（北京） 科技 有限公司（以下簡稱「江南信安」）在眾多參選企業中脫穎而出，榮獲「年度創新企業獎」。

「金智獎」由信息安全與通信保密雜志社、中國網路空間安全網主辦，北京商用密碼行業協會、中關村智能終端操作系統產業聯盟協辦。本屆評選獲得了參選企業的大力支持和業界同仁的廣泛關注，在120餘位專家評委、50餘位媒體評委以及1000餘位專業評委的參與和見證下，經過網路投票、媒體和專家終評等系列環節，最終產生了所有的獎項。

江南信安憑借多年來在信息安全領域與商用密碼體系領域的積淀和耕耘，從核心的商用密碼技術應用持續拓展，構築完成具有自主知識產權的完整信息安全產品線和完善的服務模式，產品覆蓋了移動安全接入、PKI/CA、SSL、VPN、UTM、統一身份認證與信息加密、內網綜合安全防護等主流安全技術/產品市場，多項產品通過國家主管部門鑒定、認證。

同時，江南信安圍繞雲計算、物聯網、大數據、移動互聯網和智慧城市等國家新技術方向，較早的提出了「端、管、雲、控」的信息安全保障理念，通過全方位結合應用安全、數據安全、通信安全、物聯安全和安全大數據管控等多個維度，打造了涵蓋移動互聯網安全、雲安全和物聯網安全的綜合性安全產品和解決方案，實現了公司在移動互聯網等新興領域信息安全保障的戰略布局。

江南信安經過多年的發展，收獲了廣泛而高端的優質客戶資源，取得了眾多成功案例，與客戶建立了良好的合作關系。產品已成功部署於國內支柱型金融、能源、政府、軍工等行業，直接服務於近百萬用戶。用戶對產品功能和性能予以非常高的評價，對公司提供的服務也表示滿意。

某國內大型電力企業辦公業務安全保障基礎平台項目

結合電力企業信息安全保障體系現狀，基於「四統一」建設原則，憑借著新一代國產商用SM2/3/4演算法，使用新型USB密碼機和伺服器密碼機等產品，融合具有自主知識產權的信息安全新技術，採用雲安全架構構建新一代的辦公業務基礎安全支撐平台，作為辦公業務保障基礎設施，承擔起公司協同辦公系統、電子文件管理系統、數字檔案館系統等安全支撐功能，並採用模塊化結構，便於未來新型密碼演算法、新型安全保護技術引用，為未來構建國家電力綜合性的密碼安全基礎保障雲平台奠定了堅實的基礎。

某國內大型能源企業移動辦公安全平台

能源企業移動辦公安全平台，採用江南信安的移動安全接入認證系統，通過使用國產商用密碼演算法以及PKI體系，建立起一套完整的移動安全應用平台，通過從終端、通信、應用、管理等多方面的安全保障，將能源企業統建的OA、門戶、ERP、財務以及各種遠程損管、工業監視、線路巡護等辦公及業務系統整合入移動安全平台中，使其成為世界500強企業中唯一一家使用國產商用密碼演算法實現移動辦公的大型企業。本項目中部署了移動安全接入認證系統10套，移動安全接入客戶端組件100000點，服務近100000用戶，7*24小時運行。

某國內政策性銀行網銀平台國密改造項目

此銀行作為國內首屈一指的政策性銀行，早在2008-2014年即採用江南信安的SSL安全網關、密碼安全中間件、USB密碼機等產品，構建了涵蓋網銀、助學貸款等業務的國內首個基於國產商用SM1演算法的網銀平台，並榮獲了人民銀行 科技 進步二等獎。

近年來該銀行為進一步貫徹人行針對國產商用密碼演算法的改造要求，並提升現有網銀平台安全性，使用江南信安支持國產商用SM2、SM3、SM4演算法的相應密碼安全產品構建了新一代網銀平台，由於其出色的安全性，網銀平台又一次榮獲了人民銀行 科技 進步二等獎，並面向10餘萬用戶提供服務。

另外銀行辦公信息化建設中，採用了江南信安的移動安全接入認證系統產品，為員工、客戶、合作夥伴提供安全接入服務，該系統採用國產密碼技術集合OTP動態令牌進行應用的全方位防護，並通過江南信安移動安全接入產品實現了移動終端資產管理，提高了管理的便捷性。此系統平台目前正在進行平台擴建，用以建設銀行移動網銀應用平台。目前此系統已經通過用戶驗收，使用反饋良好。

截至目前，公司已為國家十餘部/委/辦/局、眾多軍工集團、發電集團、金融集團及其分支機構提供了覆蓋「移動安全、應用安全、網路安全、工業控制及物聯網安全、雲安全」等領域的數十萬個信息安全產品、數十類信息安全行業解決方案與安全集成服務。公司已經完成的數十個重大安全集成項目，其中既涵蓋對安全需求極高、評測標准極嚴格的等分級保護項目，也包括與國家支柱型企業信息安全規劃相關的信息安全等級保障工程。

由信息安全與通信保密雜志社發起的「金智獎年度評選」至今已成功舉辦了五屆，被中國網路安全產業視為發展的風向標，得到了業界的高度關注和認可，有效地提升了企業的影響力、競爭力和品牌價值，並推動了網安產業的發展。

2. HTTPS中間人攻擊

前言
之前為信安系統導論展示准備的實驗被之前的小組「捷足先登」了，無奈只能又找別的實驗，看了各個小組的題目，發現已經涵蓋了大部分常見易操作的攻擊方式，很難找到一個完全獨立於其他人攻擊方式的新實驗，畢竟攻擊思路都有共通之處，常用工具也就那些。
翻論壇找到一個有關中間人攻擊的實驗，覺得可以作為這次的展示，遂決定以此為題。

背景知識

原理介紹
1.HTTPS和HTTP
HTTPS是在HTTP應用層基礎上使用SSL（完全套接層）作為子層，SSL使用數據加密技術確保數據在網路上傳輸而不會被截取及竊聽。

2.中間人攻擊
①SSLStrip （降級攻擊）的工作原理及步驟
（1） 先進行中間人攻擊來攔截 HTTP 流量。
（2） 將出現的 HTTPS 鏈接全部替換為 HTTP,同時記下所有改變的鏈接。
（3） 使用 HTTP 與受害者機器連接。
（4） 同時與合法的伺服器建立 HTTPS。
（5） 受害者與合法伺服器之間的全部通信經過了代理轉發。
（6） 其中，出現的圖標被替換成為用戶熟悉的「小黃鎖」圖標，以建立信任。
（7） 這樣，中間人攻擊就成功騙取了密碼、賬號等信息，而受害者一無所知。
總而言之，SSLStrip是一種降級攻擊。
②sslsplit（解密攻擊）工作原理
工具的主要原理是以中間人的身份將證書插入到客戶端和伺服器中間，從而截斷客戶端和伺服器之間的數據。
之前我們大多數做的都是針對於80埠的欺騙（http），也就是說，只要是超越了80埠我們就會有點棘手：比如常用的443埠（https），比如465（smtps）和587埠，這些都是通過SSL加密進行數據傳輸的，簡單的80埠監聽肯定是什麼都拿不到的。這個時候，就體現出SSL證書劫持的作用了。
總而言之，SSLSplit是一種偽造證書攻擊。

3.埠轉發

數據包都是有原地址和目標地址的，NAT(network address translation，網路地址轉換)就是要對數據包的原地址或者目標地址（也可以修改埠的）進行修改的技術。為什麼我們要修改ip地址呢？是這樣的互聯網中只能傳送公網地址的數據包，私有地址的數據包是無法傳送的。這樣你想下，你每天在wifi環境下看視頻瀏覽網站的時候你的ip是什麼（私有地址，你手機、pad、電腦發出來的所有數據包原地址都是私有地址。怎麼在互聯網上傳送）。為了能讓你的數據包在能在互聯網上傳送，必須給你一個公網ip才行。所以當你上互聯網的時候，路由器會幫你把所有的數據包的原地址轉換成它的wlan口的ip地址（這個就是公網ip，一般就是ADSL撥號獲取的ip）。這個轉換的技術就是NAT。當你所訪問的伺服器給你回應數據包時，路由器會把所有數據包目標地址，由它的wlan口的ip地址，改回你內網的ip地址。這樣你才能上互聯網。所以你每天都在使用NAT技術。

4..數據重定向的方法
如何重定向到攻擊者電腦上成為靶機和伺服器的中間人，其實有很多種方式。
比如：
（1）arp攻擊（偽裝網關）
（2）DNS劫持（偽裝伺服器）
（3）wifi釣魚（之前pxy他們組做的實驗就可以利用起來）
（4）修改hosts文件（把舍友暴打一頓，然後把他的電腦里的hosts文件改掉）
（5）修改默認網關（把舍友暴打一頓，然後把他的電腦里的默認網關改成自己的ip）

攻擊過程
1.sslstrip攻擊
①將設備設置為轉發模式，這樣我們的設備就可以轉發目標不是我們設備的數據包。若不這樣，則目標主機會出現斷網的情況，arp欺騙就成了arp斷網攻擊。

防範方式
我們可以看到，無論是哪種攻擊手段，利用的都是區域網的中間人攻擊。因此一些防範方式有：
①不隨意連接公共wifi
②對於arp表中的ip和MAC地址進行靜態固定
③開啟一些安全軟體的arp防火牆
④及時更新瀏覽器版本或換用其他安全性高的瀏覽器

一些感想
找一種比較有特點的攻擊方式不是那麼容易，實現更不容易，這過程中遇到了各種問題，一些問題網上也找不到確切的解決方法，一度卡住後想要放棄換實驗，但還是做了下來。盡管還是沒能完全實現，但展示出自己的問題和疑惑也未嘗不可。展示的過程中主要還是展示原理和實操過程，而對於實驗的准備、中途遇到的問題以及其他實驗過程，則沒有時間也不必要作為展示，但這一過程其實才是實驗對於我們小組成員來說最重要的。

小組成員也都很努力，也都按照自己的能力分擔了不同的工作，不像操作系統的小組有人完全劃水...總體來說實驗還是比較成功的（強行自我鼓勵），希望以後再有類似的展示能做的更完善吧。

3. 信大捷安的公司產品介紹

信大捷安安全產品完全基於我國自主密碼演算法、基於自主知識產權，涵蓋了移動互聯網安全所需的晶元、智能卡、終端安全和系統安全領域，打通產業鏈條，形成具有技術、性能和價格競爭優勢的系列化產品。
公司產品包括移動安全接入產品、移動終端安全產品、行業解決方案產品、安全密碼晶元產品等4大系列，20餘個品種。其核心產品SQY42公網移動安全接入系統、安全智能TF卡、USB安全存儲加密卡、全平台二代U盾、智能安全晶元、密信通/政信通等，均居國內領先水平，已廣泛應用於公安、消防、電力、稅務、金融等多個領域。