密码学及安全应用9要点.ppt

第9章 移动电子商务安全 目录 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 无线应用通信协议(WAP) WAP协议设计原则 （1）操作能力。 （2）伸缩性。能够根据用户的需求对移动网络的服务进行定制。 （3）效率。提供适合于移动网络特点的服务质量（QoS）保证。 （4）可靠性。提供一致的和可靠的服务应用平台。 （5）安全性。即使在不具有保护能力的移动网络和设备上，仍能通过WAP提供的服务来保护用户数据的完整性。 WWW和WAP协议特点的比较 WAP的应用模型和结构 WAP应用基本工作流程 ① 用户使用移动终端将编码后的HTTP请求通过移动信息网络发送给WAP网关。 ② WAP网关接收到请求，将其解码并转换为标准的HTTP请求提交给内容服务器。 ③ 内容服务器将响应信息返回给WAP网关。 ④ WAP网关再将响应信息解码并返回给用户 WAP的体系结构 10.1.3移动网络技术 1. 移动IP技术解决节点移动（即IP地址变化）而导致通信中断的问题 2. IEEE 802.11标准无线局域网标准 3. 蓝牙技术采用分散式网络结构以及跳频技术，支持点对点及点对多点通信 目录 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 移动电子商务面临的安全威胁 无线网络面临的安全威胁 移动终端面临的安全威胁 无线网络面临的安全威胁 1. 窃听 2. 冒充 3. 拒绝服务攻击 4. 访问控制面临的威胁 重放攻击 6 无线网络标准的缺陷 移动终端面临的安全威胁 2. 终端弱加密能力 3. 病毒和黑客威胁 1. 终端被盗用 移动商务管理面临的安全威胁 3. 移动信息安全管理的标准化问题 4. 口令攻击与协议安全 2 SP提供商的安全管理问题 移动电子商务的安全需求 1. 双向身份认证 2. 密钥协商与双向密钥控制 3. 双向密钥确认 4. 能够检测到DoS攻击和重放攻击 5. 较高的容错能力和较低的资源消耗 7. 经济性 目录 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 10.4.1 无线公钥基础设施(WPKI) WPKI: 传统的PKI技术应用于无线网络环境的优化扩展 特点： 引入新的压缩证书格式（WTLS证书），减少证书数据量； 引入椭圆曲线密码算法，减少密钥长度； 引入证书URL，移动终端可只存储证书的URL WPKI的体系结构 WPKI的工作过程 WPKI的工作过程 ① 终端用户通过移动终端向PKI Portal递交证书申请请求； ② PKI Portal对用户的申请进行审查，审查合格则将申请转发给CA。 ③ CA为用户生成一对公私钥并制作证书，将证书交给PKI Portal； ④ CA同时将证书存储到目录服务器，供有线网络服务器查询证书 ⑤ PKI Portal保存用户的证书，针对每一份证书产生一个证书URL，将该URL发送给移动终端。 ⑥ 内容服务器（比如移动电子商务服务器）从PKI目录服务器中下载证书及证书撤销信息备用； ⑦ 移动终端和WAP网关利用CA颁发的证书建立安全WTLS连接； ⑧ WAP网关与内容服务器进行安全的SSL/TLS连接； ⑨ 移动终端和内容服务器实现安全信息传送。 WPKI与PKI的技术对比 10.4.2 WPKI与PKI的技术对比 1. 证书格式优化 本地证书保存方式优化 3. 证书撤销方式优化 4. 公钥加密算法优化 5. WPKI协议优化 6. 证书管理不同 10.4.3 WTLS协议 WTLS协议功能:实现 WAP的安全策略 1. WAP的安全会话模式 WAP网关与Web服务器之间通过SSL进行安全通信，确保了保密性、完整性和对服务器的认证。 WAP网关和移动终端之间的安全通信使用WTLS协议。 WAP的业务流程 2. WTLS协议与SSL的区别 ①底层协议不同：TLS工作在TCP之上，WTLS是工作在WDP之上，需要处理丢包、重复和乱序等问题，而TLS中这些问题由TCP来处理； ② 无线承载延迟较大：WTLS需要在保证安全的情况下尽可能地减小通信双方的协议交互； ③ 无线承载带宽较低：协议开销必须最小化； ④ 终端能力受限：保证可靠性的同时尽可能选择计算量和内存需求量小的算法 WTLS和SSL的比较 WTLS的应用分类 ① Classl：服务器和客户端不需要相互认证。这称为匿名加密模式，这种方式可以建立安全通信的通道，但没有对通信双方的身份进行认证。 ② Class2：服务器被客户端