第三章 移动电子商务安全解决方案.pptVIP

第三章 移动电子商务安全解决方案 移动电子商务的安全解决方案 移动电子商务的安全需求 业务安全实现模型 基于非PKI体系的安全实现技术 基于WPKI体系的安全实现技术 两种技术的比较 一、移动电子商务的安全需求 移动电子商务系统的安全需求 移动电子商务业务的安全需求 1.移动电子商务系统的安全需求 数据机密性需求 信息完整性需求 信息的可认证性需求 防抵赖性需求 用户身份隐秘 2.移动电子商务三类业务的安全需求 交易类 安全商务数据处理类 安全认证类 二、业务安全实现模型 通信安全模型 移动电子商务系统中安全实现模型 1.通信安全模型 点到点安全模型 端到端安全模型 点到点加密的优缺点： 优： 易操作 每一次链路仅需一组密钥 能提供安全的通信序列 缺： 中间结点间的数据易被暴露 端到端加密的优缺点： 优： 保密级别更高 缺： 需要更复杂的密钥管理系统 可以进行流量分析 加密是离线的 2.移动电子商务系统中安全实现模型 基于短消息(SMS)的移动电子商务安全实现模型 基于无线应用协议(WAP)的移动电子商务安全实现模型 WAP是实现移动电子商务的重要技术之一，目前发布了四个版本：WAP1.0，WAP1.1，WAP1.2，WAP2.0 三、基于非PKI体系的安全实现技术 PKI：（Public Key Infrastructure ） 即“公钥基础设施”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系 。 1.基于口令的安全实现机制 2.基于挑战响应机制的安全实现机制 3.动态口令与挑战响应机制相结合的安全实现机制 4.Hash链安全实现机制 5.VPN安全实现机制 1.基于口令的安全实现机制 采取的方法：身份认证 原理：系统为每一合法用户建立一个用户名/口令对，当用户登录系统时，提示用户输入自己的用户名/口令，系统通过核对用户输入的用户名/口令与系统系统内已有的合法用户的用户名/口令是否匹配来验证用户的身份。 优点：实现简单、应用广泛、速度快 缺点：安全性弱，容易被猜测和监听 实现：在服务器端保存用户的账号信息，对终端处理能力要求不高。 应用：用于移动电子商务中对安全级别要求最低、每笔业务资金额较小的业务。(收费电子邮箱、收费游戏、下载铃声、图片、信息查询等) 2.基于挑战响应机制的安全实现机制 原理：每次认证时，认证服务器给客户端发送一个不同的“挑战”文本，客户端程序收到这个文本后，进行相应的“响应”。 优点：实现简单，用户使用方便，安全性优于口令机制。 缺点：速度相对于口令模式要慢。 实现：需要服务器保存有共享秘密，同时服务器和终端上配置有相关的软件，对终端处理能力要求不高。 应用：应用于移动电子商务中对安全级别要求较低，每笔业务资金额较小的业务。(收费视频点播、收费电子图书、收费音乐、自动售货机、彩票投注等) 3.动态口令与挑战响应机制相结合的安全实现机制 核心：生成动态口令 优点：充分利用了挑战/响应方式的优点，还利用了动态口令对挑战的结果进行加密，避免了网络侦听、重放攻击、口令猜测、字典攻击等攻击方法，安全性优于前两种机制。 实现：需要服务器保存有共享秘密，同时服务器和终端上配置有相关的软件(动态口令卡)，对终端处理能力要求不高。 应用：使用范围和与前述业务一样。 4.Hash链安全实现机制 特点：实现相对简单，用户使用需按一定的业务规则，速度快，具有较高的安全性。提供商家对用户的身份认证，不提供用户对商家的认证。提供商务活动中很重要的不可否认性服务。 实现：引入独立的第三方经济人，它负责为终端用户提供证书以及相应的认证承诺，同时为商家兑现支付承诺。 应用：主要用于微支付业务。 a.获得授权 5.VPN安全实现机制 Virtual Private Network,虚拟专用网。是利用开放的公共网络建立私有数据的传输通道，从而将远程的分支办公室、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种WAN技术。 特点：实现简单，用户使用方便，速度快，具有较高的安全性。具有完备的认证、加密和密钥协商协议标准，能够实现端到端的数据安全传输，为用户提供安全可靠的通信。 实现：根据选择的安全机制在服务器和终端配置相应的软件。 应用：集团用户、特殊人群。(安全商务数据传输、企业内部办公、企业间公文传递、手机证劵、手机银行等) 四、基于WPKI体系的安全实现技术 PKI的组成： 1.认证机构(CA) 2.数字证书库 3.密钥备份及恢复系统 4.证书作废系统 5.证书应用管理系统 WPKI体系的构建也围绕以上五个系统进行。 WPKI对PKI的优化扩展： 1.PKI协议 2.数字证书 3.加密算法和密钥 WPKI的工作模式 1.申请证书 基于WPKI体系