密码学及安全应用9分解.ppt

第9章 移动电子商务安全 目录 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 无线应用通信协议(WAP) WAP设计目标 能通过手机等无线终端方便安全地访问Internet上的信息资源 能独立运行于各种无线网络之上而不必考虑这些无线网络之间的差异 WAP协议设计原则 （1）操作能力。 （2）伸缩性。能够根据用户的需求对移动网络的服务进行定制。 （3）效率。提供适合于移动网络特点的服务质量（QoS）保证。 （4）可靠性。提供一致的和可靠的服务应用平台。 （5）安全性。即使在不具有保护能力的移动网络和设备上，仍能通过WAP提供的服务来保护用户数据的完整性。 WWW和WAP协议特点的比较 WWW WAP 数据传输 文本格式数据 二进制数据（高度压缩） 网页格式 HTML WML 脚本语言 JavaScript等 WMLScript 对中低带宽的优化 无 有 对信号不连续问题的处理 无 有 WAP的应用模型和结构 WAP应用基本工作流程 ① 用户使用移动终端将编码后的HTTP请求通过移动信息网络发送给WAP网关。 ② WAP网关接收到请求，将其解码并转换为标准的HTTP请求提交给内容服务器。 ③ 内容服务器将响应信息返回给WAP网关。 ④ WAP网关再将响应信息解码并返回给用户 WAP的体系结构 10.1.3移动网络技术 1. 移动IP技术解决节点移动（即IP地址变化）而导致通信中断的问题 2. IEEE 802.11标准无线局域网标准 3. 蓝牙技术采用分散式网络结构以及跳频技术，支持点对点及点对多点通信 目录 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 移动电子商务面临的安全威胁 无线网络面临的安全威胁 移动终端面临的安全威胁 无线网络面临的安全威胁 1. 窃听 2. 冒充 3. 拒绝服务攻击 4. 访问控制面临的威胁 重放攻击 6 无线网络标准的缺陷 移动终端面临的安全威胁 2. 终端弱加密能力 3. 病毒和黑客威胁 1. 终端被盗用 移动商务管理面临的安全威胁 3. 移动信息安全管理的标准化问题 4. 口令攻击与协议安全 2 SP提供商的安全管理问题 移动电子商务的安全需求 1. 双向身份认证 2. 密钥协商与双向密钥控制 3. 双向密钥确认 4. 能够检测到DoS攻击和重放攻击 5. 较高的容错能力和较低的资源消耗 7. 经济性 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 目录 10.4.1 无线公钥基础设施(WPKI) WPKI: 传统的PKI技术应用于无线网络环境的优化扩展 特点： 引入新的压缩证书格式（WTLS证书），减少证书数据量； 引入椭圆曲线密码算法，减少密钥长度； 引入证书URL，移动终端可只存储证书的URL WPKI的体系结构 取代RA WPKI的工作过程 WPKI的工作过程 ① 终端用户通过移动终端向PKI Portal递交证书申请请求； ② PKI Portal对用户的申请进行审查，审查合格则将申请转发给CA。 ③ CA为用户生成一对公私钥并制作证书，将证书交给PKI Portal； ④ CA同时将证书存储到目录服务器，供有线网络服务器查询证书 ⑤ PKI Portal保存用户的证书，针对每一份证书产生一个证书URL，将该URL发送给移动终端。 ⑥ 内容服务器（比如移动电子商务服务器）从PKI目录服务器中下载证书及证书撤销信息备用； ⑦ 移动终端和WAP网关利用CA颁发的证书建立安全WTLS连接； ⑧ WAP网关与内容服务器进行安全的SSL/TLS连接； ⑨ 移动终端和内容服务器实现安全信息传送。 WPKI与PKI的技术对比 WPKI PKI 应用环境 无线网络 有线网络 证书 WTLS证书/X.509证书 X.509证书 密码算法 ECC椭圆曲线密码算法 RSA 安全连接协议 WTLS SSL/TLS 证书撤销 短时证书 CRL、OCSP等协议 本地证书保存 证书URL 证书 CA交叉认证 不支持 支持 弹性CA 不支持 支持 10.4.2 WPKI与PKI的技术对比 1. 证书格式优化 本地证书保存方式优化 3. 证书撤销方式优化 4. 公钥加密算法优化 5. WPKI协议优化 6. 证书管理不同 10.4.3 WTLS协议 WTLS协议功能:实现 WAP的安全策略 1. WAP的安全会话模式 WAP网关与Web服务器之间通过SSL进行安全通信，确保了保密性、完整性和对服务器的认证。 WAP网关