第10章移动商务的安全管理

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第10章移动电子商务的安全管理移动电子商务安全概述移动电子商务安全问题移动电子商务安全解决方案移动电子商务安全管理策略移动电子商务安全的发展趋势10.1移动电子商务安全概述移动电子商务移动电子商务是指通过手机、个人数字助理(PDA)和掌上电脑等手持移动终端设备与无线上网技术结合所构成的一个电子商务体系。1.移动电子商务的内涵10.1移动电子商务安全概述(1)便捷:无论何时何地,终端用户都可以随时随地的进行商业交易与支付活动;(2)灵活:用户可以根据自己的需求选择灵活的接入与支付方式;(3)高效:移动终端是一种智能化程度非常高的设备;(4)个性化:移动终端可提供针对不同用户群的个性化的服务信息。2.移动电子商务的特点移动电子商务主要提供的服务有:PIM(个人信息服务)、银行业务、交易、购物等其他行业。10.1移动电子商务安全概述3.移动电子商务的应用交易娱乐购物银行业务定票零售行业无线医疗行业物流领域资产管理和诊断移动娱乐移动电子商务融合了移动通信网络和互联网络而实现,在终端上与传统电子商务也有很大的区别,因此移动电子商务的安全既包括了传统Internet电子商务系统的安全问题,也包括信息在移动通信网络中传输的安全风险和移动终端本身的安全。10.1移动电子商务安全概述4.移动电子商务安全特点移动终端(手机、掌上电脑、PAD)安全和无线网络安全固定终端(PC机)安全有线网络安全移动电子商务与传统电子商务安全比较10.1移动电子商务安全概述5.移动电子商务安全的基本需求身份标识(Identification)身份认证(Authentication)每一个用户,应有一个唯一的用户ID、识别名称等对其身份进行标识。接入控制(AccessControl)数据完整性(Integrity)不可否认性(Non-Repudiation)数据保密性(Confidentiality)系统应该能够通过密码、标识或数字认证确保用户身份是合法的用户。通过授权等安全机制保证有合适权限的用户才能访问相应的系统功能。利用信息分类和校验等手段保证数据在整个交易过程中没有被修改。通过数字签名等手段来保证交易各参与方对整个交易活动不得抵赖。通过加密手段保证数据在交易过程中不得被未经授权的人员所正确读取。思考:传统电子商务安全要求是什么?10.1移动电子商务安全概述6.移动电子商务的安全技术—加解密技术(1)对称密码体制又称单钥或私钥密码体制,在这种体制中,加密密钥和解密密钥是一样的或彼此之间容易确定。(2)非对称密码体制又称双钥或公钥密码体制,每个用户拥有两种密钥,即公开密钥和私有密钥,公开密钥可以向所有人公开,而只有用户自己知道其私有密钥。明文明文密文加密算法解密算法密钥密钥加解密过程发送方用自己的私有密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文.密文明文发送方Internet密文密钥发送方(=密钥接收方)加密明文接收方密钥接收方解密10.1移动电子商务安全概述6.移动电子商务的安全技术—对称加密过程2Alice产生一对密钥,用于加密和解密3Alice将一个密钥公开,另一个密钥私有BobAlice1Bob要发送消息给Alice4Bob用Alice的公钥对消息加密,发送给Alice。只有Alice能解密10.1移动电子商务安全概述6.移动电子商务的安全技术—非对称加密过程10.1移动电子商务安全概述6.移动电子商务的安全技术—认证技术(之一)身份认证是防止攻击者主动攻击的重要技术,认证的主要目的,一是验证消息发送者和接收者的真伪;二是验证消息的完整性,验证消息在传送或存储过程中是否被篡改或延迟等。(1)数字签名在书面文件上签名是确认文件的一种手段,其作用有两点:第一,因为自己的签名难以否认,从而确认了文件已签署这一事实;第二,因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名也能确认以下两点:第一,信息是由签名者发送的;第二,信息自签发后到收到为止未曾作过任何修改。10.1移动电子商务安全概述6.移动电子商务的安全技术—认证技术(之一)生成摘要发送方私钥明文发送方接收方信息摘要信息摘要加密过程单向散列函数信息摘要明文明文信息摘要明文生成摘要信息摘要单向散列函数发送方公钥解密过程信息摘要比较身份认证数字签名过程公开的Hash算法数字指纹数字签名的作用若数字签名可用签名者的公开密钥正确地解开,则表示该数字签名是由签名者所产生的;两者的信息摘要相同表示文件没有被他人篡改过。10.1移动电子商务安全概述6.移动电子商务的安全技术—认证技术(之一)验证消息发送者和接收者的真伪验证消息的完整性10.1移动电子商务安全概述6.移动电子商务的安全技术—认证技术(之二)(2)数字证书数字证书(DigitalID)又叫“网络身份证”、“数字身份证”,其主要内容:由认证中心发放并经认证中心数字签名的;包含公开密钥拥有者以及公开密钥相关信息的一种电子文件;可以用来证明数字证书持有者的真实身份;是PKI体系中最基本的元素;证书是一个机构颁发给个体的证明,所以证书的权威性取决于该机构的权威性。认证机构(CA)注册机构(RA)证书库密钥备份和恢复系统证书废除系统自动密钥更新密钥历史档案应用程序接口最终用户传统电子商务PKI由哪几个基本部分组成?数字证书的作用证明在电子商务或信息交换中参与者的身份;授权进入保密的信息资源库;提供网上发送信息的不可否认性的依据;验证网上交换信息的完整性。10.1移动电子商务安全概述6.移动电子商务的安全技术—认证技术(之二)颁证机关签名证书格式:序列号签名算法颁证机构有效期限持有人姓名持有人公钥证书采用格式辨识数字证书的标识签名证书采用的算法颁证机构名称证书有效期限公钥数值及演算标示证书采用格式签名证书采用的算法辨识数字证书的标识证书采用格式签名证书采用的算法颁证机构名称辨识数字证书的标识证书采用格式签名证书采用的算法颁证机构名称辨识数字证书的标识证书采用格式签名证书采用的算法颁证机构名称辨识数字证书的标识证书采用格式签名证书采用的算法公钥数值及演算标示颁证机构名称辨识数字证书的标识证书采用格式签名证书采用的算法证书有效期限公钥数值及演算标示确认证书的拥有者辨识数字证书的标识证书采用格式签名证书采用的算法确保证书资料不被篡改在移动电子商务中最常用到的数字证书是X.509,证书的机构包括:10.1移动电子商务安全概述6.移动电子商务的安全技术—认证技术(之二)10.1移动电子商务安全概述7.移动电子商务的安全技术—无线公开密钥体系(WPKI)1.移动终端通过注册机构向证书中心申请数字证书2.证书中心经过审核用户身份后签发数字证书给用户3.用户将证书、私钥存放在UIM卡中,移动终端在无线网络上进行电子商务操作时利用数字证书保证端对端的安全。4.服务提供商则通过验证用户证书确定用户身份并提供给用户相应的服务,从而实现电子商务在无线网络上的安全运行。密钥备份恢复证书签发机关数字证书库应用接口证书作废系统10.1移动电子商务安全概述7.移动电子商务的安全技术—无线公开密钥体系(WPKI)无线公开密钥体系(WPKI)是移动电子商务中应用较多的一种安全体系;它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系;用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全的无线网络环境。无线公开密钥体系(WPKI)作用:10.2移动电子商务安全问题移动电子商务存在的安全问题分析移动电子商务由于利用了很多新兴的设备和技术,因此带来了很多新的安全问题。在传统电子商务中,很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外,由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。总的来说,移动电子商务的安全面临着技术、管理和法律几个方面的挑战,与传统电子商务相比,其安全问题更加复杂,解决起来难度更大。10.2移动电子商务安全问题1.技术上面临的主要问题移动电子商务由于采用了移动网络通信技术,其无线通信信道是一个开放性信道,因此移动电子商务的通信过程中存在着比传统有线电子商务更多的不安全因素:(1)无线窃听伪造的网上银行服务器网上银行服务器银行错误的DNS或输错网址窃听网上银行用户无线窃听可以导致信息泄露,移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟踪。无线窃听可以导致其他一些攻击,如传输流分析,即攻击者可能并不知道消息的真正内容,但他知道这个消息的存在,并知道消息的发送方和接收方地址,从而可以根据消息传输流的信息分析通信目的,并可以猜测通信内容。无线窃听主要威胁10.2移动电子商务安全问题1.技术上面临的主要问题(2)冒充和抵赖10.2移动电子商务安全问题1.技术上面临的主要问题在无线通信网络中,移动站与网络控制中心以及其它移动站之间不存在固定的物理连接,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个信息来冒充该合法用户的身份入网,这就是所谓的身份冒充攻击。移动站无线通信网络网络控制中心合法用户1合法用户i合法用户n截获非法用户冒充所交易后抵赖是指交易双方中的一方在交易完成后否认其参与了此交易。这种威胁在传统电子商务中也很常见,假设客户通过网上商店选购了一些商品,然后通过移动支付系统向网络商店付费。这个应用系统中就存在着两种服务后抵赖的威胁:(1)客户在选购了商品后否认其选择了某些或全部商品而拒绝付费;(2)商店收到了客户的付款却否认已经受到付款而拒绝交付商品。10.2移动电子商务安全问题1.技术上面临的主要问题10.2移动电子商务安全问题1.技术上面临的主要问题(3)重传攻击所谓重传攻击是指攻击者将窃听得到的有效信息经过一段时间后再传给信息接收者,目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的。例如,攻击者利用截获到的合法用户口令来获得网络控制中心的授权,从而访问网络资源。10.2移动电子商务安全问题1.技术上面临的主要问题(4)病毒和黑客回答是肯定的。与有线互联网络一样,移动通信网络和移动终端也面临着病毒和黑客的威胁。随着移动电子商务的发展,越来越多的黑客和病毒编写者将无线网络和移动终端作为攻击的对象。无线通信网络是否存在病毒?首先,携带病毒的移动终端不仅可以感染无线网络,还可以感染固定网络,由于无线用户之间交互的频率很高,病毒可以通过无线网络迅速传播,再加上有些跨平台的病毒可以通过固定网络传播,这样传播的速度就会进一步加快。其次,移动终端的运算能力有限,PC机上的杀毒软件很难使用,而且很多无线网络都没有相应的防毒措施。另外,移动设备的多样化以及使用软件平台的多种多样,使其病毒感染的方式也随之多样化,这给采取防范措施带来很大的困难。10.2移动电子商务安全问题1.技术上面临的主要问题(5)插入和修改数据攻击者劫持了正常的通信连接后,可能在原来的数据上进行修改或者恶意地插入一些数据和命令。攻击者可以利用虚假的连接信息使得接入点或基站误以为已达到连接上限,从而拒绝对合法用户的正常访问请求。合法用户拒绝服务10.2移动电子商务安全问题1.技术上面临的主要问题(6)无线网络标准的缺陷移动电子商务涉及到很多无线网络标准,其中使用比较广泛的是实现无线手机访问因特网的WAP(WirelessApplicationProtocol)标准和构建无线局域网(WLAN)的802.11标准。802.11无线局域网的安全问题主要包括:802.11标准使用的WEP(有线等效加密,保护网络通讯数据包避免被监听者破译)安全机制存在缺陷,公用密钥容易泄露且难以管理,容易造成数据被拦截和窃取;WLAN的设备容易为黑客所控制和盗用来向网络传送有害的数据;网络操作容易受到堵塞传输通道的拒绝服务攻击;许多WLAN在跨越不同子网的时候往往不需要第二次的登陆检查。10.2

1 / 43
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功