第六章 移动商务安全.pptVIP

【学习目标】 1．了解移动商务面临的安全威胁以及安全需求 2．掌握WAP的安全体系和相关技术 3．掌握基于WPKI的移动商务安全的相关知识 4．了解移动支付的安全标准及应用协议 移动商务（M-Commerce）是由电子商务（E-Commerce）的概念衍生出来的。传统意义的电子商务以PC机为主要界面，是“有线的电子商务”；而移动商务则是通过手机、PDA等移动通信终端设备与互联网有机结合进行的电子商务活动。互联网技术、移动通信技术和其他技术的完善组合创造了移动商务。 移动商务与互联网电子商务主要区别区别如下： （1）承载的网络不同 （4）操作系统不同 （3）终端不同 （2）所使用的网络协议不同 二、移动商务面临的安全威胁 1．无线窃听 2．假冒攻击 3．信息篡改 4．服务后抵赖 三、移动商务的安全需求 解决移动商务的安全问题与解决互联网电子商务的安全问题类似，就是要解决认证、鉴别、授权、完整性、机密性、不可否认性等问题。 1．移动接入 2．加密和身份识别 移动终端的SIM/STK卡具有加密和身份识别能力。 3．移动支付 4．信息安全 四、移动商务隐私问题 五、移动商务安全现状 一、WAP概述 1．WAP的概念 WAP（Wireless Application Protocol，无线应用协议）是一个用于向无线终端进行智能化信息传递的无需授权、不依赖平台的协议。 WAP针对屏幕较小、连接速率较低和内存较小设备的上网需求而设计，提供一种以安全迅速、灵活、在线和交互的方式连接服务、信息和其他用户的媒介。 2．WAP的特点 （1）WAP是公开的全球无线协议标准，并且是基于现有的互联网标准制定的。 （2）WAP提供了一套开放、统一的技术平台。 （3）WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。 （4）为了保持现有的巨大的移动市场，WML用户的界面直接映射到现有的手机界面上。 二、WAP的体系结构 1．WAE（Wireless Application Environment，无线应用环境） 2．WSP（Wireless Session Protocol，无线会话协议） 3．WTP（Wireless Transaction Protocol，无线事务协议） 4．WTLS（Wireless Transport Layer Security，无线传输层安全） 5．WDP（Wireless Datagram Protocol，无线数据报协议） 三、WAP移动商务安全架构体系 1．无线标记语言脚本加密应用程序接口MLSCrypt WMLScript（Wireless Makeup Language Script，无线标记语言脚本）作为JavaScript的扩展子集，WMLScript针对窄带宽进行了优化。MLSCrypt（WMLScript Crypto API）是一个应用编程接口，使用该接口可访问WMLScript加密库中的安全函数（如密钥对的生成、数字签名及处理PK中常用的一些数据对象的函数）。 2．无线个人身份模块WIM WIM是安装在WAP终端设备中的一种无法被篡改的计算机芯片，包含了WTLS客户端和服务器端采用X.509格式证书相互进行鉴别的功能，并嵌入了对公开密钥加密技术的支持。 3．无线传输层安全协议WTLS WTLS是以TLS标准为基础发展而来的，并针对无线网络环境中的连接方式、计算能力、带宽限制等特点进行了必要的改造，支持数据报服务、支持优化的分组大小以及握手、动态密钥更新，提供了实体鉴别、数据加密和保护数据完整性的功能，可以确保在WAP终端和WAP网关之间的安全通信。 4．无线公钥基础设施 WPKI是对传统ITIF基于X..509公钥基础设施PKI（Public Key Infrastructure）的优化和扩展，它将互联网电子商务中PKI的安全机制引入到移动电子商务中，采用公钥基础设施、证书管理策略、软件和硬件等技术，有效建立安全和值得信赖的无线网络通信环境。 四、WAP移动商务实体安全策略 1．WAP手机的安全 2．WAP网关的安全 3．WEB内容服务器的安全 （1）安全的WAP程序代码 （2）安全防护技术 WPKI（Wireless Public Key Infrastructure）即“无线公开密钥基础设施”，它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。 WPKI并不是一个全新的PKI标准，它是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥，通过第三方的可信任