04移动商务安全.ppt-倚动实验室.ppt

手机病毒的防治 为用户提供手机固件或者操作系统升级服务，修补漏洞。 系统认证第三方软件 内部捆绑反病毒软件，提供最基本的安全服务 手机制造商 移动通信运营商 最直接有效的办法是让网络运营商进行网络杀毒。 2 3 手机病毒的防治 结合手机的特点，推出更有效的手机反病毒软件 将存储卡或手机直接与PC相连，利用PC上杀毒软件进行查杀操作 提供无线网络在线杀毒，能够较好地做到杀毒能力和实时查杀的兼顾。 安全软件生产商 4 本章小结 移动商务在安全性方面所存在的问题和技术现状 移动通信两种常见加密技术（包括GSM加密和GPRS加密）以及认证技术（包括终端认证和口令认证） 从政府、企业和交易伙伴的角度分析移动交易信任机制 移动终端的安全性措施，如操作系统安全技术、终端下载软件的认证和存储信息的备份与恢复 分析了常见手机病毒的特征及危害，并介绍用户、运营商、制造商和软件生产商四方面的防治措施 第四章 移动商务安全 倚动软件工厂实验室  移动电子商务 1 2 移动商务安全概述 移动安全通信技术 目录CONTENTS 3 4 移动终端安全 手机病毒 本章导读 移动商务安全概述 移动商务面临的安全威胁 ： 无线窃听 :通过接收设备获取无线信道上传输的内容 。 漫游安全 ：当用户漫游到攻击者所在的一定区域内，在终端用户不知情的情况下，信息可能被攻击者窃取和篡改，服务也可能被拒绝。 假冒攻击 ：假冒合法用户或发送假冒信息欺骗其他用户的行为。 完整性侵害 ：网络攻击者截取信息后，并私自修改、删除、插入或重传合法用户的信息或信念数据的过程。 业务抵赖 ：业务发生后否认业务发生，以逃避付费或逃避责任。 1 移动商务安全概述 2 移动商务的安全需求： 保密性和身份认证需求 数据信息完整性 不可否认性 匿名性（用户身份和位置隐藏、用户的不可跟踪性） 容错能力 移动商务安全概述 3 移动商务安全技术现状： 完整性保护技术：用于提供消息认证的安全机制 真实性保护技术：用来确认某一实体所声称的身份，以防假冒攻击。 机密性保护技术：为了防止敏感数据泄漏给那些未经授权的实体 抗抵赖技术：为了防止恶意主体事后否认所发生的事实或行为。 其他安全技术：以密码学为基础的消息交换协议 移动商务安全概述 4 移动商务安全的发展趋势： 减少移动终端的处理和存储负担，降低双方交易信息的传输量和保障交易安全是移动商务研究亟待解决的问题。 随着指纹识别、视网膜识别和面部特征匹配等一系列生物特征识别技术的成熟，其必将在给电子商务带来更高级别的安全过程中发挥重要的作用。 重视移动商务隐私问题。 移动安全通信技术 对称密钥加密的特点是文件加密和解密使用相同的密钥。 1对称密钥加密体制： 1 信息加密原理： RC4、混沌算法、DES（数据加密标准Data Encryption Standard）、lDEA（国际数据加密算法）、RC2 移动安全通信技术 非对称密钥加密的特点是加密和解密使用的是两个不同的密钥 2非对称密钥加密体制： 1 信息加密原理： 背包公钥算法、RSA公钥加密算法、椭圆曲线加密算法ECC、EIGamal，DSS等著名的非对称加密算法。 移动安全通信技术 对基站收发台（BTS）和移动台（MS）之间传递的信息加密，确保用户通信的保密性。 1GSM加密： 2 移动通信加密： 移动安全通信技术 在GPRS系统中，对SGSN和移动台之间的无线链路上的信令和用户数据进加密保护。 2GPRS加密： 2 移动通信加密： 移动安全通信技术 目前主要考虑以下安全需求： 双向身份认证保密性。 协议尽量简单 密钥协商和双向密钥控制 双向密钥确认 1移动商务身份认证现状及需求 ： 3 终端身份认证： 移动安全通信技术 注意：WAP中存储是终端证书的URL，而不是终端证书，而终端证书则集中保存在证书目录里。网络服务器和WAP网关根据证书URL到对应的位置取证书来难移动终端身份。 2移动终端认证 ： 3 终端身份认证： 移动安全通信技术 3口令认证技术： 3 终端身份认证： 比较项目 静态口令认证技术 OTP认证技术 动态性 口令固定不变，难以抵御重放攻击。 OTP口令可以随设定的时间或事件等变量自动变化，无需人工干预。 一次性 静态口令在传输过程中易被截获，难以抵御窃听攻击。 OTP口令一次有效，良好的抗窃听性 随机性 静态口令通常比较简单， OTP口令随机生成、无规律， 认证机制 静态口令认证技术是单向认证机