(电子商务安全)第7章移动电子商务安全.ppt

第7章 移动电子商务安全 第7章 移动电子商务安全 任务驱动 在网络安全威胁日益严重的今天，移动商务系统的安全是一个不容忽视的重要问题。实现移动电子商务最重要的一个问题就是如何保证政府和企业网络和信息的安全。由于移动商务要经过运营商的移动网络，这就有可能发生信息泄密或引入黑客攻击的问题。所以移动商务应用必须首先解决好移动接入的安全问题。通过本章学习，学生应该能够了解移动电子商务面临的危险和安全需求，熟悉移动电子商务不同安全机制的基本内容，掌握移动支付的基本流程和架构，清楚移动支付面临的威胁和应对策略。 第7章 移动电子商务安全 本章内容 7.1移动电子商务安全概述 7.2移动电子商务安全机制 7.3移动支付 7.4移动支付面临的安全威胁 7.1移动电子商务安全概述 7.1.1移动电子商务面临的安全威胁 1．无线链路威胁 ⑴窃听。非法用户截获移动台与基站、网络间交换的信息，分析并窃取信令、语音、数据等业务及用户与网络的身份。 ⑵假冒。非法用户截获某个合法用户或网络的足够多的信息时，就可以假冒他们对于网络和用户进行欺骗，以达到某种非法的目的。 ⑶重放。非法用户截获某次通信中用户和网络之间的全面交换信息，需要时，在某个时候将其重新发送以达到某种欺骗的目的。 7.1移动电子商务安全概述 2．服务网络威胁 ⑴非授权访问数据。 ⑵对数据完整性的威胁。 ⑶拒绝服务攻击。 ⑷否认。 ⑸非授权访问服务。 7.1移动电子商务安全概述 3．移动通信终端威胁 ⑴攻击者利用窃取的移动通信终端设备访问系统资源。 ⑵对系统内部工作有足够了解的攻击者可以获取更多的访问权限。 ⑶攻击者利用借来的移动通信终端超出允许的范围访问系统。 ⑷通过修改、插入或者删除移动通信终端中的数据以破坏终端数据的完整性。 ⑸通过修改、插入或者删除USIM卡中的数据以破坏USIM卡数据的完整性。 7.1移动电子商务安全概述 7.1.2移动电子商务安全目标 在保护基础网络设施时，顾及客户数据(包括与客户有关的保密信息)，并为此采取适当的手段给予充分的安全保证也是十分重要的。至于客户，无论他们是传统意义上的消费者，还是在移动商务环境中的合作伙伴，都必须列入考虑范围之内。 保护那些易于遭受恶意代码(如病毒)攻击的客户终端和互联系统变得日益重要，尽管终端用户可能承担根本责任，但他们也会找到网络运营商要求提供一定的保护。 7.1移动电子商务安全概述 7.1.3移动电子商务的安全需求 在开发和执行移动商业解决方案时，应该考虑如下5个移动安全问题。 ⑴阻止未经授权用户访问。 ⑵保护数据传送。 ⑶保护丢失的设备上的数据。 ⑷保护移动资产。 ⑸保护现有的安全投资。 综上所述，移动电子商务的安全需求应包括如下几方面。 ⑴保密性。 ⑵数据完整性。 ⑶用户鉴别。 ⑷不可抵赖性。 7.2移动电子商务安全机制 7.2.1无线应用协议(WAP) WAP(Wireless Application Protocol，无线应用协议)是由爱立信、诺基亚和摩托罗拉率先提出并获得广大通信和信息技术厂商支持的一种标准应用协议，是数字移动电话、Internet或其他个人数字助理(PDA)、计算机应用之间进行通信的开放型全球标准。通过WAP这种技术，就可以将Internet的大量信息及各种各样的业务引入到移动电话中。无论身在何时、何地，只要用户需要信息，就可以打开WAP手机，去享受无穷无尽的网上信息和网上资源。 典型的WAP体系定义了3类实体。 ⑴具有WAP用户代理功能的移动终端。 ⑵WAP网关。 ⑶源数据服务器。 7.2移动电子商务安全机制 1．WAP的应用 常见的WAP应用是使用具有WAP功能的移动终端，直接连接国际互联网收发电子邮件，浏览交通状况、气象信息、娱乐资讯，或者与智能网结合访问计费、修改个人数据等。WAP最有潜力的应用是与电子商务结合，实现移动中的电子商务。例如随时参与证券交易，使用移动网络银行业务，在移动中实现网上购物。现在随身需要携带的钱包、电话本、信用卡、手机等，在将来，可能只剩下一部具有WAP功能的移动电话，它可以实现打电话、付账、买车票、管理个人工作安排等功能。 WAP将改善许多今日已有的电子商务的应用，并使一系列创新的增值业务成为可能。 7.2移动电子商务安全机制 2．WAP的安全策略 WAP的安全会话模式如图7-3所示。一个安全的WAP会话通过两个阶段实现。 (1)WAP网关与Web服务器间通过SSL进行安全通信，确保了保密性、完整性和服务器认证。 (2)WAP网关和移动用户之间的安全通信使用WTLS协议。 7.2移动电子商务安全机制 7.2.2 WPKI 1．WPKI模型的组成 同PKI系统相似，WPKI系统是由认证中心CA、注册中心RA、证书目录数据库和终端实体所组成