《移动商务的安全管理ppt课件.ppt》由会员分享,可在线阅读,更多相关《移动商务的安全管理ppt课件.ppt(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第10章 移动电子商务的安全管理移动电子商务安全概述移动电子商务安全概述移动电子商务安全问题移动电子商务安全问题移动电子商务安全解决方案移动电子商务安全解决方案移动电子商务安全管理策略移动电子商务安全管理策略移动电子商务安全的发展趋势移动电子商务安全的发展趋势10.1 移动电子商务安全概述移动电子商务安全概述移动电子商务移动电子商务移动电子商务是指通过手机、个人数字助理移动电子商务是指通过手机、个人数字助理(PDA)和掌上电脑等手持移动终端设备与)和掌上电脑等手持移动终端设备与无线上网技术结合所构成的一个电子商务体无线上网技术结合所构成的一个电子商务体系。系。1.移动电子商务的内涵移动电子商务
2、的内涵10.1 移动电子商务安全概述移动电子商务安全概述(1)便捷:无论何时何地,终端用户都可以随时随)便捷:无论何时何地,终端用户都可以随时随地的进行商业交易与支付活动;地的进行商业交易与支付活动;(2)灵活:用户可以根据自己的需求选择灵活的接)灵活:用户可以根据自己的需求选择灵活的接入与支付方式;入与支付方式;(3)高效:移动终端是一种智能化程度非常高的设)高效:移动终端是一种智能化程度非常高的设备;备;(4)个性化:移动终端可提供针对不同用户群的个)个性化:移动终端可提供针对不同用户群的个性化的服务信息。性化的服务信息。2.移动电子商务的特点移动电子商务的特点o移动电子商务主要提供的服务
3、有:PIM(个人信息服务)、银行业务、交易、购物等其他行业。10.1 移动电子商务安全概述移动电子商务安全概述 3.移动电子商务的应用移动电子商务的应用交易交易娱乐娱乐购物购物银行业务银行业务定票定票移动电子商务融合了移动通信网络和互联网络而实现,在终端上与传统电子商务也有很大的区别,因此移动电子商务的安全既包括了传统Internet电子商务系统的安全问题,也包括信息在移动通信网络中传输的安全风险和移动终端本身的安全。10.1 移动电子商务安全概述移动电子商务安全概述 4.移动电子商务安全特点移动电子商务安全特点移动终端(手机、移动终端(手机、掌上电脑、掌上电脑、)安全和)安全和无线网络安全无
4、线网络安全固定终端固定终端(机)安全(机)安全有线有线网络网络安全安全移动电子商务与传统电子商务安全比较移动电子商务与传统电子商务安全比较移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.1 移动电子商务安全概述移动电子商务安全概述.移动电子商务安全的基本需求移动电子商务安全的基本需求身份标识身份标识(Identification)身份认证身份认证(Authentication)每一个用户,应有一个唯一的用户每一个用户,应有一个唯一的用户ID、识别名称等对其身份进行标识。、识
5、别名称等对其身份进行标识。接入控制接入控制(Access Control)数据完整性数据完整性(Integrity)不可否认性不可否认性(Non-Repudiation)数据保密性数据保密性(Confidentiality)系统应该能够通过密码、标识或数字认证确保用户身份是合法的用户。系统应该能够通过密码、标识或数字认证确保用户身份是合法的用户。通过授权等安全机制保证有合适权限的用户才能访问相应的系统功能。通过授权等安全机制保证有合适权限的用户才能访问相应的系统功能。利用信息分类和校验等手段保证数据在整个交易过程中没有被修改。利用信息分类和校验等手段保证数据在整个交易过程中没有被修改。通过数字
6、签名等手段来保证交易各参与方对整个交易活动不得抵赖。通过数字签名等手段来保证交易各参与方对整个交易活动不得抵赖。通过加密手段保证数据在交易过程中不得被未经授权的人员所正确读取。通过加密手段保证数据在交易过程中不得被未经授权的人员所正确读取。思考:传统电子商务安全要思考:传统电子商务安全要求是什么?求是什么?移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.1 移动电子商务安全概述移动电子商务安全概述移动电子商务的安全技术加解密技术(1)对称密码体制又称单钥或私钥密码体制,在这
7、种体制中,加密密对称密码体制又称单钥或私钥密码体制,在这种体制中,加密密钥和解密密钥是一样的或彼此之间容易确定。钥和解密密钥是一样的或彼此之间容易确定。(2)非对称密码体制又称双钥或公钥密码体制,每个用户拥有两种密非对称密码体制又称双钥或公钥密码体制,每个用户拥有两种密钥,即公开密钥和私有密钥,公开密钥可以向所有人公开,而只有钥,即公开密钥和私有密钥,公开密钥可以向所有人公开,而只有用户自己知道其私有密钥。用户自己知道其私有密钥。明文明文密文加密算法解密算法密钥密钥加解密过程移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安
8、全管理培训课件(ppt43(ppt43页页)o发送方用自己的私有密钥对要发送的信息进行加发送方用自己的私有密钥对要发送的信息进行加密密o发送方将加密后的信息通过网络传送给接收方发送方将加密后的信息通过网络传送给接收方o接收方用发送方进行加密的那把私有密钥对接收接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文到的加密信息进行解密,得到信息明文.密文密文明文明文发发送方送方Internet密文密文密密钥钥发发送方送方(=密密钥钥接收方接收方)加密加密明文明文接收方接收方密密钥钥接收方接收方解密解密10.1 移动电子商务安全概述移动电子商务安全概述 移动电子商务的安全技术
9、对称加密过程移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)2 Alice产生一对密钥,用于加密和解密产生一对密钥,用于加密和解密3 Alice将一个密钥公开,另一个密钥私有将一个密钥公开,另一个密钥私有BobAlice1 Bob要发送消息给要发送消息给Alice4 Bob用用Alice的公钥对消息加密,发送给的公钥对消息加密,发送给Alice。只有。只有Alice能解密能解密10.1 移动电子商务安全概述移动电子商务安全概述 移动电子商务的安全技术非对称加密过程移动商务的安全管
10、理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.1 移动电子商务安全概述移动电子商务安全概述 移动电子商务的安全技术认证技术(之一)身份认证是防止攻击者主动攻击的重要技术,认证的主要目的,一是验证消息发送者身份认证是防止攻击者主动攻击的重要技术,认证的主要目的,一是验证消息发送者和接收者的真伪;二是验证消息的完整性,验证消息在传送或存储过程中是否被篡改或延和接收者的真伪;二是验证消息的完整性,验证消息在传送或存储过程中是否被篡改或延迟等。迟等。(1)数字签名)数字签名v在书面文件上签名是确
11、认文件的一种手段,其作用有两点在书面文件上签名是确认文件的一种手段,其作用有两点:v第一,因为自己的签名难以否认,从而确认了文件已签署这一事实;第一,因为自己的签名难以否认,从而确认了文件已签署这一事实;v第二,因为签名不易仿冒,从而确定了文件是真的这一事实。第二,因为签名不易仿冒,从而确定了文件是真的这一事实。v数字签名也能确认以下两点:数字签名也能确认以下两点:v第一,信息是由签名者发送的;第一,信息是由签名者发送的;v第二,信息自签发后到收到为止未曾作过任何修改。第二,信息自签发后到收到为止未曾作过任何修改。移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页
12、)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.1 移动电子商务安全概述移动电子商务安全概述 移动电子商务的安全技术认证技术(之一)数字签名过程数字签名过程公开的公开的Hash算法算法数字指纹数字指纹 移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)数字签名的作用数字签名的作用u若数字签名可用签名者的公开密钥正确地解开,则表示该数字签名是由签名者所产生的;u两者的信息摘要相同表示文件没有被他人篡改过。10.1 移动电子商务安全概述移动电子
13、商务安全概述 移动电子商务的安全技术认证技术(之一)验证消息发送者和接收者的真伪验证消息发送者和接收者的真伪验证消息的完整性验证消息的完整性移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.1 移动电子商务安全概述移动电子商务安全概述 移动电子商务的安全技术认证技术(之二)(2)数字证书)数字证书数字证书数字证书(Digital ID)又叫又叫“网络身份证网络身份证”、“数字身份证数字身份证”,其主要内容,其主要内容:u 由认证中心发放并经认证中心数字签名的;由认证中心发放并
14、经认证中心数字签名的;u 包含公开密钥拥有者以及公开密钥相关信息的一种电子文件;包含公开密钥拥有者以及公开密钥相关信息的一种电子文件;u可以用来证明数字证书持有者的真实身份可以用来证明数字证书持有者的真实身份;u是是PKI体系中最基本的元素;体系中最基本的元素;u证书是一个机构颁发给个体的证明,所以证书的权威性取决证书是一个机构颁发给个体的证明,所以证书的权威性取决于该机构的权威性。于该机构的权威性。认证机构(认证机构(CA)注册机构()注册机构(RA)证书库)证书库 密钥备份和恢复系统密钥备份和恢复系统证书废除系统证书废除系统 自动密钥更新自动密钥更新 密钥历史档案密钥历史档案 应用程序接口
15、应用程序接口 最终用户最终用户传统电子商务传统电子商务PKI由哪几个基本部分组成?由哪几个基本部分组成?移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)数字证书的作用u证明在电子商务或信息交换中参与者的身份;证明在电子商务或信息交换中参与者的身份;u授权进入保密的信息资源库;授权进入保密的信息资源库;u提供网上发送信息的不可否认性的依据;提供网上发送信息的不可否认性的依据;u验证网上交换信息的完整性。验证网上交换信息的完整性。10.1 移动电子商务安全概述移动电子商务安全概述 移
16、动电子商务的安全技术认证技术(之二)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)颁证机关签名颁证机关签名 证书格式:证书格式:序列号序列号签名算法签名算法 颁证机构颁证机构有效期限有效期限持有人姓名持有人姓名持有人公钥持有人公钥证书采用格式证书采用格式辨识数字证书的标识辨识数字证书的标识签名证书采签名证书采用的算法用的算法 颁证机构名称颁证机构名称证书有效期限证书有效期限公钥数值及演算标示公钥数值及演算标示证书采用格式证书采用格式签名证书采签名证书采用的算法用的算法辨识数字证
17、书的标识辨识数字证书的标识证书采用格式证书采用格式签名证书采签名证书采用的算法用的算法 颁证机构名称颁证机构名称辨识数字证书的标识辨识数字证书的标识证书采用格式证书采用格式签名证书采签名证书采用的算法用的算法 颁证机构名称颁证机构名称辨识数字证书的标识辨识数字证书的标识证书采用格式证书采用格式签名证书采签名证书采用的算法用的算法 颁证机构名称颁证机构名称辨识数字证书的标识辨识数字证书的标识证书采用格式证书采用格式签名证书采签名证书采用的算法用的算法公钥数值及演算标示公钥数值及演算标示 颁证机构名称颁证机构名称辨识数字证书的标识辨识数字证书的标识证书采用格式证书采用格式签名证书采签名证书采用的算
18、法用的算法证书有效期限证书有效期限公钥数值及演算标示公钥数值及演算标示确认证书的拥有者确认证书的拥有者辨识数字证书的标识辨识数字证书的标识证书采用格式证书采用格式签名证书采签名证书采用的算法用的算法确保证书资料不被篡改确保证书资料不被篡改在移动电子商务中最常用到的数字证书是在移动电子商务中最常用到的数字证书是X.509,证书的机构包括:,证书的机构包括:10.1 移动电子商务安全概述移动电子商务安全概述 移动电子商务的安全技术认证技术(之二)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt
19、43页页)10.1 移动电子商务安全概述移动电子商务安全概述7 7移动电子商务的安全技术移动电子商务的安全技术无线公开密钥体系无线公开密钥体系(WPKI)(WPKI)1.移动终端通过注册机构向证书中心申请数字证书移动终端通过注册机构向证书中心申请数字证书2.证书中心经过审核用户身份后签发证书中心经过审核用户身份后签发数字证书给用户数字证书给用户3.用户将证书、私钥存放在用户将证书、私钥存放在UIM卡中,移动终端在无线网络卡中,移动终端在无线网络上进行电子商务操作时利用数字证书保证端对端的安全。上进行电子商务操作时利用数字证书保证端对端的安全。4.服务提供商则通过验证用户证书确定服务提供商则通过
20、验证用户证书确定用户身份并提供给用户相应的服务,从用户身份并提供给用户相应的服务,从而实现电子商务在无线网络上的安全运而实现电子商务在无线网络上的安全运行。行。密钥备份恢复密钥备份恢复证书签发机关证书签发机关数字证书库数字证书库应用接口应用接口证书作废系统证书作废系统移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.1 移动电子商务安全概述移动电子商务安全概述7 7移动电子商务的安全技术移动电子商务的安全技术无线公开密钥体系无线公开密钥体系(WPKI)(WPKI)无线公开密钥
21、体系无线公开密钥体系(WPKI)是移动电子商务中应用较多的一种安全体是移动电子商务中应用较多的一种安全体系;系;它是将互联网电子商务中它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系;套遵循既定标准的密钥及证书管理平台体系;用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全的无线网络环境。立安全的无线网络环境。无线公开密钥体系无线公开密钥体系(WPKI)作用:作用:移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页
22、页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.2 移动电子商务安全问题移动电子商务安全问题 移动电子商务存在的安全问题分析移动电子商务由于利用了很多新兴的设备和技术,因此带来移动电子商务由于利用了很多新兴的设备和技术,因此带来了很多新的安全问题。了很多新的安全问题。在传统电子商务中,很多顾客和企业由于担心因安全问题蒙在传统电子商务中,很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外,电子商务除包含大部分
23、传统电子商务所面临的各种安全问题外,由于自身的移动性所带来的一些相关特性又产生了大量全新的由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。安全问题。总的来说,移动电子商务的安全面临着技术、管理和法律几总的来说,移动电子商务的安全面临着技术、管理和法律几个方面的挑战,与传统电子商务相比,其安全问题更加复杂,个方面的挑战,与传统电子商务相比,其安全问题更加复杂,解决起来难度更大。解决起来难度更大。移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)10.2 移动电子商务安
24、全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题移动电子商务由于采用了移动网络通信技术,其无线通信信道是移动电子商务由于采用了移动网络通信技术,其无线通信信道是一个开放性信道,因此移动电子商务的通信过程中存在着比传统一个开放性信道,因此移动电子商务的通信过程中存在着比传统有线电子商务更多的不安全因素:有线电子商务更多的不安全因素:(1)无线窃听无线窃听伪造的网上银行服务器伪造的网上银行服务器网上银行服务器网上银行服务器银行银行错误的错误的DNSDNS或输错网址或输错网址窃听窃听网上银行用户网上银行用户移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(
25、ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)无线窃听可以导致信息泄露,移动用户的身份信息和位置无线窃听可以导致信息泄露,移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟踪。信息的泄露可以导致移动用户被无线跟踪。无线窃听可以导致其他一些攻击,如传输流分析,即攻击无线窃听可以导致其他一些攻击,如传输流分析,即攻击者可能并不知道消息的真正内容,但他知道这个消息的存在,者可能并不知道消息的真正内容,但他知道这个消息的存在,并知道消息的发送方和接收方地址,从而可以根据消息传输并知道消息的发送方和接收方地址,从而可以根据消息传输流的信息分析通
26、信目的,并可以猜测通信内容。流的信息分析通信目的,并可以猜测通信内容。无线窃听主要威胁无线窃听主要威胁10.2 移动电子商务安全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)(2)冒充和抵赖)冒充和抵赖10.2 移动电子商务安全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题在无线通信网络中,移动站与网络控制中心以及其它移动站之间不存在在无线通信网络中,移动站与网络控制中心以及其
27、它移动站之间不存在固定的物理连接,当攻击者截获到一个合法用户的身份信息时,他就可固定的物理连接,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个信息来冒充该合法用户的身份入网,这就是所谓的身份冒充以利用这个信息来冒充该合法用户的身份入网,这就是所谓的身份冒充攻击。攻击。移动站移动站无线通信网络无线通信网络网络控制中心网络控制中心合法用户合法用户1合法用户合法用户i合法用户合法用户n截获截获非法用户非法用户冒充冒充移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)移动商务的安全管理培训课件移动商务的安全管理培训课件(ppt43(ppt43页页)所交易后抵赖
28、是指交易双方中的一方在交易完成后否认其所交易后抵赖是指交易双方中的一方在交易完成后否认其参与了此交易。这种威胁在传统电子商务中也很常见,假参与了此交易。这种威胁在传统电子商务中也很常见,假设客户通过网上商店选购了一些商品,然后通过移动支付设客户通过网上商店选购了一些商品,然后通过移动支付系统向网络商店付费。这个应用系统中就存在着两种服务系统向网络商店付费。这个应用系统中就存在着两种服务后抵赖的威胁:后抵赖的威胁:(1)客户在选购了商品后否认其选择了某些或全部商品而)客户在选购了商品后否认其选择了某些或全部商品而拒绝付费;拒绝付费;(2)商店收到了客户的付款却否认已经受到付款而拒绝交)商店收到了
29、客户的付款却否认已经受到付款而拒绝交付商品。付商品。10.2 移动电子商务安全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题10.2 移动电子商务安全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题(3)重传攻击重传攻击所谓重传攻击是指攻击者将窃听得到的有效信息经过一段时所谓重传攻击是指攻击者将窃听得到的有效信息经过一段时间后再传给信息接收者,目的是企图利用曾经有效的信息在间后再传给信息接收者,目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的。改变了的情形下达到同样的目的。例如,攻击者利用截获到的合法用户口令来获得网络控制中例如,
30、攻击者利用截获到的合法用户口令来获得网络控制中心的授权,从而访问网络资源。心的授权,从而访问网络资源。10.2 移动电子商务安全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题(4)病毒和黑客)病毒和黑客回答是肯定的。与有线互联网络一样,移动通信网络和移动终端也面临着病毒和回答是肯定的。与有线互联网络一样,移动通信网络和移动终端也面临着病毒和黑客的威胁。随着移动电子商务的发展,越来越多的黑客和病毒编写者将无线网黑客的威胁。随着移动电子商务的发展,越来越多的黑客和病毒编写者将无线网络和移动终端作为攻击的对象。络和移动终端作为攻击的对象。无线通信网络是否存在无线通信网络是
31、否存在病毒?病毒?首先,携带病毒的移动终端不仅可以感染无线网络,还可以感染固定网络,由于无线首先,携带病毒的移动终端不仅可以感染无线网络,还可以感染固定网络,由于无线用户之间交互的频率很高,病毒可以通过无线网络迅速传播,再加上有些跨平台的病用户之间交互的频率很高,病毒可以通过无线网络迅速传播,再加上有些跨平台的病毒可以通过固定网络传播,这样传播的速度就会进一步加快。毒可以通过固定网络传播,这样传播的速度就会进一步加快。其次,移动终端的运算能力有限,其次,移动终端的运算能力有限,PC机上的杀毒软件很难使用,而且很多无线网络机上的杀毒软件很难使用,而且很多无线网络都没有相应的防毒措施。都没有相应的
32、防毒措施。另外,移动设备的多样化以及使用软件平台的多种多样,使其病毒感染的方式也随之另外,移动设备的多样化以及使用软件平台的多种多样,使其病毒感染的方式也随之多样化,这给采取防范措施带来很大的困难。多样化,这给采取防范措施带来很大的困难。10.2 移动电子商务安全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题(5)插入和修改数据)插入和修改数据攻击者劫持了正常的通信连接后,可能在原来的数据上进行修改或者恶意地插入一些攻击者劫持了正常的通信连接后,可能在原来的数据上进行修改或者恶意地插入一些数据和命令数据和命令。攻击者可以利用虚假的连接信息使得接入点或基站误以为已达到
33、连接上限,从而拒攻击者可以利用虚假的连接信息使得接入点或基站误以为已达到连接上限,从而拒绝对合法用户的正常访问请求。绝对合法用户的正常访问请求。合法用户合法用户拒绝拒绝服务服务10.2 移动电子商务安全问题移动电子商务安全问题 1.1.技术上面临的主要问题技术上面临的主要问题(6)无线网络标准的缺陷无线网络标准的缺陷移动电子商务涉及到很多无线网络标准,其中使用比较广泛的是实现移动电子商务涉及到很多无线网络标准,其中使用比较广泛的是实现无线手机访问因特网的无线手机访问因特网的WAP(Wireless Application Protocol)标)标准和构建无线局域网准和构建无线局域网(WLAN)
34、的的802.11标准。标准。802.11无线局域网的安全问题主要包括:无线局域网的安全问题主要包括:802.11标准使用的标准使用的WEP(有线等效加密(有线等效加密,保护网络通讯数据包保护网络通讯数据包避免被监听者破译避免被监听者破译)安全机制存在缺陷,公用密钥容易泄露且难)安全机制存在缺陷,公用密钥容易泄露且难以管理,容易造成数据被拦截和窃取;以管理,容易造成数据被拦截和窃取;WLAN的设备容易为黑客所控制和盗用来向网络传送有害的数的设备容易为黑客所控制和盗用来向网络传送有害的数据据;网络操作容易受到堵塞传输通道的拒绝服务攻击;网络操作容易受到堵塞传输通道的拒绝服务攻击;许多许多WLAN在
35、跨越不同子网的时候往往不需要第二次的登陆检在跨越不同子网的时候往往不需要第二次的登陆检查。查。10.2 移动电子商务安全问题移动电子商务安全问题2.2.管理上面临的主要问题管理上面临的主要问题(1)手机短信的安全管理问题手机短信的安全管理问题 目前通信公司对垃圾短信只是采取事后管理的办法,即限目前通信公司对垃圾短信只是采取事后管理的办法,即限制手机短信的容量,比如每天一个手机号码最多只能发送制手机短信的容量,比如每天一个手机号码最多只能发送100条条短信,发现有号码发送短信异常,数量特别多而且集中,会采短信,发现有号码发送短信异常,数量特别多而且集中,会采取取7天内禁止该号码再发送信息的处罚。
36、天内禁止该号码再发送信息的处罚。但是那些垃圾短信的制造者会轮流使用多张卡发送短信,每但是那些垃圾短信的制造者会轮流使用多张卡发送短信,每张卡的使用寿命也很短,这使得治理垃圾短信收效甚微。而且张卡的使用寿命也很短,这使得治理垃圾短信收效甚微。而且作为通信公司来讲,不敢贸然替客户屏蔽掉这些信息,同时运作为通信公司来讲,不敢贸然替客户屏蔽掉这些信息,同时运营商也要顾及到客户的隐私权。营商也要顾及到客户的隐私权。利用利用“短信猫短信猫”在短时间内向移动用户密集发送垃圾短信在短时间内向移动用户密集发送垃圾短信利用诱惑性的文字可能会间接骗取用户的金融资料或诱骗利用诱惑性的文字可能会间接骗取用户的金融资料或
37、诱骗机主拨打高额的信息台电话机主拨打高额的信息台电话垃圾短信众多,使得对移动电子商务产生恐惧垃圾短信众多,使得对移动电子商务产生恐惧10.2 移动电子商务安全问题移动电子商务安全问题2.2.管理上面临的主要问题管理上面临的主要问题(2)SP提供商的安全管理问题提供商的安全管理问题 SP提供商通过移动运营商提供的增值接口,可以通过短信、彩信、提供商通过移动运营商提供的增值接口,可以通过短信、彩信、无线应用协议无线应用协议WAP等方式为手机用户发送产品广告、提供各种移等方式为手机用户发送产品广告、提供各种移动增值服务。动增值服务。由于由于SP与移动运营商之间是合作关系,因此移动运营商很难充当与移动
38、运营商之间是合作关系,因此移动运营商很难充当监督管理的角色,部分不法监督管理的角色,部分不法SP以利益为重,利用手机的以利益为重,利用手机的GPRS上上网功能,向用户发送虚假信息和广告,哄骗他们用手机登陆该网网功能,向用户发送虚假信息和广告,哄骗他们用手机登陆该网站,实际上却自动订购了某种包月服务,网站以此骗取信息费。站,实际上却自动订购了某种包月服务,网站以此骗取信息费。很多用户容易将比较机密的个人资料或商业信息存储在移动设很多用户容易将比较机密的个人资料或商业信息存储在移动设备当中,如备当中,如PIN码、银行帐号甚至密码等,原因是这些移动设备码、银行帐号甚至密码等,原因是这些移动设备可以随
39、身携带,数据和信息便于查找。但是由于移动设备体积可以随身携带,数据和信息便于查找。但是由于移动设备体积较小,而且没有建筑、门锁和看管保证的物理边界安全,因此较小,而且没有建筑、门锁和看管保证的物理边界安全,因此很容易丢失和被窃。很多用户对他们的移动设备没有设置密码很容易丢失和被窃。很多用户对他们的移动设备没有设置密码保护,对存储信息没有备份,在这种情况下丢失数据或被他人保护,对存储信息没有备份,在这种情况下丢失数据或被他人恶意盗用,都将会造成很大的损失。恶意盗用,都将会造成很大的损失。10.2 移动电子商务安全问题移动电子商务安全问题2.2.管理上面临的主要问题管理上面临的主要问题(3)移动终
40、端的安全管理问题)移动终端的安全管理问题另外,用户在使用移动设备时大多数是在公共场合,周围行人较另外,用户在使用移动设备时大多数是在公共场合,周围行人较多,彼此之间的距离很近,尤其是在地铁这样比较拥挤的交通工多,彼此之间的距离很近,尤其是在地铁这样比较拥挤的交通工具上,设备显示信息和通话信息比较容易泄露给他人,用户在信具上,设备显示信息和通话信息比较容易泄露给他人,用户在信息安全防范意识方面有所欠缺。息安全防范意识方面有所欠缺。10.2 移动电子商务安全问题移动电子商务安全问题2.2.管理上面临的主要问题管理上面临的主要问题(4)工作人员的安全管理问题工作人员的安全管理问题人员管理常常是移动电
41、子商务安全管理中比较薄弱的环节。未人员管理常常是移动电子商务安全管理中比较薄弱的环节。未经有效的训练和不具备良好职业道德的员工本身,对系统的安经有效的训练和不具备良好职业道德的员工本身,对系统的安全是一种威胁。工作人员素质和保密观念是一个不容忽视的问全是一种威胁。工作人员素质和保密观念是一个不容忽视的问题,无论系统本身有多么完备的防护措施,也难以抵抗其带来题,无论系统本身有多么完备的防护措施,也难以抵抗其带来的影响。的影响。对于外来攻击者,他们可能通过各种方式及渠道,获取用户的对于外来攻击者,他们可能通过各种方式及渠道,获取用户的个人信息和商业信息等,如果员工在各方面都加紧防范,应该个人信息和
42、商业信息等,如果员工在各方面都加紧防范,应该可以杜绝不少漏洞。我国很多企业对职工安全教育做的不够,可以杜绝不少漏洞。我国很多企业对职工安全教育做的不够,又缺乏有效的管理和监督机制,有些企业买通对手的管理人员,又缺乏有效的管理和监督机制,有些企业买通对手的管理人员,窃取对手的商业机密,甚至破坏对方的系统,这给企业带来极窃取对手的商业机密,甚至破坏对方的系统,这给企业带来极大的安全隐患。大的安全隐患。10.2 移动电子商务安全问题移动电子商务安全问题2.2.管理上面临的主要问题管理上面临的主要问题(5)信息安全管理的标准化问题)信息安全管理的标准化问题目前移动电子商务产业刚刚起步,这个领域还没有国
43、际标准,我目前移动电子商务产业刚刚起步,这个领域还没有国际标准,我国也没有自己的国家标准和统一管理机构。国也没有自己的国家标准和统一管理机构。设备厂商在无线局域网设备安全性能的实现方式上各行其道,使设备厂商在无线局域网设备安全性能的实现方式上各行其道,使得移动用户既不能获得真正等效于有线互联网的安全保证,也难得移动用户既不能获得真正等效于有线互联网的安全保证,也难以在保证通讯安全的基础上实现互通互联和信息共享。由于没有以在保证通讯安全的基础上实现互通互联和信息共享。由于没有安全标准的评测依据,又缺乏有关信息安全的管理法规,主管部安全标准的评测依据,又缺乏有关信息安全的管理法规,主管部门很难对信
44、息安全标准做出规范要求,这也为移动电子商务信息门很难对信息安全标准做出规范要求,这也为移动电子商务信息安全的审查和管理工作带来了很大困难。安全的审查和管理工作带来了很大困难。10.3 移动电子商务安全解决方案移动电子商务安全解决方案1.1.基于基于WAP的安全解决方案的安全解决方案(1)方案的实现目标)方案的实现目标具有身份认证功能,确保具有身份认证功能,确保Web服务器能够确认消息的来源,使服务器能够确认消息的来源,使移动终端与移动终端与Web服务器之间能够互相确认对方的真实身份,防止服务器之间能够互相确认对方的真实身份,防止不法入侵者伪装成他人进行欺骗。不法入侵者伪装成他人进行欺骗。确保数
45、据的保密性,用安全会话密钥进行数据的加解密操作,确保数据的保密性,用安全会话密钥进行数据的加解密操作,确保只有信息的发送者和预定的接收者能看到信息,保证用户的确保只有信息的发送者和预定的接收者能看到信息,保证用户的帐号、密码以及其他的个人机密信息不会被泄露。帐号、密码以及其他的个人机密信息不会被泄露。能识别数据的完整性,保证接收方能够判断数据在传输过程中能识别数据的完整性,保证接收方能够判断数据在传输过程中是否被修改,防止不法入侵者利用虚假信息替代合法信息或者肆是否被修改,防止不法入侵者利用虚假信息替代合法信息或者肆意篡改信息。意篡改信息。(2)WAP的安全结构体系的安全结构体系10.3 移动
46、电子商务安全解决方案移动电子商务安全解决方案1.1.基于基于WAP的安全解决方案的安全解决方案基于基于WAP的安全架构模型的安全架构模型主要安全主要安全参与实体参与实体网络安全网络安全协议平台协议平台安全基础安全基础设施平台设施平台(3)WAP应用模型的安全风险分析应用模型的安全风险分析10.3 移动电子商务安全解决方案移动电子商务安全解决方案1.1.基于基于WAP的安全解决方案的安全解决方案WAP的安全会话模式的安全会话模式第一阶段:确保了第一阶段:确保了保密性、完整性和保密性、完整性和服务器认证服务器认证第二阶段:第二阶段:WAP网关与网关与移动用户之间的安全通信移动用户之间的安全通信使用
47、使用WTLS协议协议(4)现有的端到端安全模型现有的端到端安全模型10.3 移动电子商务安全解决方案移动电子商务安全解决方案1.1.基于基于WAP的安全解决方案的安全解决方案端到端安全模型端到端安全模型WAP服务器模型服务器模型该模型将该模型将WAP网关安置在网关安置在Web服务器端,使服务器端,使WAP网关作为最终服务器的一部网关作为最终服务器的一部分,而不是整个过程中的一个环节,这样做使数据在移动终端到服务器端的分,而不是整个过程中的一个环节,这样做使数据在移动终端到服务器端的传输过程中一直处于传输过程中一直处于WTLS加密状态。当数据被安全传送至服务器端之后,加密状态。当数据被安全传送至
48、服务器端之后,WAP网关将数据解密出来直接提交给服务器操作,从而在数据通道上避免了网关将数据解密出来直接提交给服务器操作,从而在数据通道上避免了协议转换的过程,实现了端到端的安全。协议转换的过程,实现了端到端的安全。10.3 移动电子商务安全解决方案移动电子商务安全解决方案1.1.基于基于WAP的安全解决方案的安全解决方案端到端安全模型端到端安全模型透明网关模型透明网关模型(4)现有的端到端安全模型现有的端到端安全模型该模型中,该模型中,WAP网关接收加密的网关接收加密的WTLS数据流后,让其直接到达浏览器一方如图所数据流后,让其直接到达浏览器一方如图所示。示。在这种情况下,当网关检测到在这种
49、情况下,当网关检测到WTLS数据流时,数据流时,WAP网关只完成数据的格式转换,网关只完成数据的格式转换,而不对数据进行解密处理,只有当数据到达应用提供商一方才进行解密、验证签名而不对数据进行解密处理,只有当数据到达应用提供商一方才进行解密、验证签名等工作。在整个处理过程中,攻击者所能得到的只是密文和数字签名,因而保证了等工作。在整个处理过程中,攻击者所能得到的只是密文和数字签名,因而保证了移动电子商务的安全性。移动电子商务的安全性。10.3 移动电子商务安全解决方案移动电子商务安全解决方案1.1.基于基于WAP的安全解决方案的安全解决方案(4)现有的端到端安全模型现有的端到端安全模型端到端安
50、全模型端到端安全模型WTLS隧道(隧道(Tunneling)模型)模型在该模型中,移动终端对要发送的数据应用在该模型中,移动终端对要发送的数据应用WTLS加密,网关收到加密消息后,不进行加密,网关收到加密消息后,不进行解密而用直接解密而用直接TLS对对WTLS加密消息进行再次加密,然后发送给加密消息进行再次加密,然后发送给Web服务器。服务器收服务器。服务器收到消息后,先进行对应网关的到消息后,先进行对应网关的TLS的解密,然后进行对应移动终端的的解密,然后进行对应移动终端的WTLS解密。解密。反之,当数据从服务器端发送到移动终端时,也需要两次加密,先进行反之,当数据从服务器端发送到移动终端时