《电子商务安全与管理》第7章.ppt

《《电子商务安全与管理》第7章.ppt》由会员分享，可在线阅读，更多相关《《电子商务安全与管理》第7章.ppt（28页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、电子商务安全与管理 2006 2006年年8 8月月第七章第七章移动电子商务安全与应用移动电子商务安全与应用第七章第七章 随随着着移移动动互互联联网网的的快快速速发发展展，商商家家可可以以通通过过移移动动电电子子商商务务将将市市场场目目标标定定位位到到个个人人。从从单单纯纯的的网网上上发发布布传传递递信信息息到到建建立立网网上上商商务务信信息息中中心心；从从借借助助传传统统贸贸易易手手段段的的雏雏形形电电子子商商务务交交易易到到完完成成产产、供供、销销整整体体业业务务流流程程的的网网上上电电子子商商务务虚虚拟拟市市场场；从从封封闭闭的的银银行行电电子子金金融融系系统统到到开开放放移移动动的的网

2、网络络电电子子银银行行；移移动动商商务务是是2121世世纪纪的的生存方式。生存方式。移移动动电电子子商商务务是是电电子子商商务务的的一一个个新新的的分分支支，但但是是从从应应用用角角度度来来看看，它它的的发发展展是是对对有有线线电电子子商商务务的的补补充充与发展，是电子商务发展的新形态。与发展，是电子商务发展的新形态。移移动动电电子子商商务务将将传传统统的的商商务务和和已已经经发发展展起起来来的的、但但是是分分散散的的电电子子商商务务整整合合起起来来，将将各各种种业业务务流流程程从从有有线线向向无无线线转转移移和和完完善善，是是一一种种新新的的突突破破，是是电电子子商商务务发展的最高形式。发展

3、的最高形式。本章共分三节介绍移动电子商务的安全与本章共分三节介绍移动电子商务的安全与应用应用 第一节第一节 移动电子商务安全概述移动电子商务安全概述 第二节第二节 移动安全协议和标准移动安全协议和标准 第三节第三节 移动系统安全移动系统安全第七章第七章第一节第一节 移动电子商务安全概述移动电子商务安全概述 在移动通信和电子商务系统平台之上实现安全的在移动通信和电子商务系统平台之上实现安全的移动商务，必须保障移动商务交易、客户数据、客户移动商务，必须保障移动商务交易、客户数据、客户终端以及移动新业务等的安全。当前主要有阻止未经终端以及移动新业务等的安全。当前主要有阻止未经授权用户访问、保护数据传

4、送、保护移动设备上的数授权用户访问、保护数据传送、保护移动设备上的数据、保护现有安全投资四项保障移动数据安全的基本据、保护现有安全投资四项保障移动数据安全的基本措施。措施。一、移动代理安全一、移动代理安全 二、移动数据安全的基本措施二、移动数据安全的基本措施 三、手机病毒的原理及手机安全防护措施三、手机病毒的原理及手机安全防护措施 四、移动商务面临的安全威胁与法律问题四、移动商务面临的安全威胁与法律问题第七章第七章一一.移动代理安全移动代理安全（一）移动代理的概念（一）移动代理的概念 移动代理移动代理(Mobile Agent(Mobile Agent简称简称MA)MA)不同于远程执行，不同于

5、远程执行，移动代移动代理能够不断地从一个网络位置移动到另一个位置，能够根据自理能够不断地从一个网络位置移动到另一个位置，能够根据自己的选择进行移动。己的选择进行移动。移动代理的优点：移动代理的优点：(1)(1)服务请求动态地移动到服务器端执行服务请求动态地移动到服务器端执行 (2)(2)移动代理不需要统一的调度移动代理不需要统一的调度 （二）（二）MAMA的安全性问题的安全性问题 MA MA系统所受的威胁主要有：系统所受的威胁主要有：MAMA受到恶意代理或其它恶意受到恶意代理或其它恶意MAMA的攻击的攻击；低层传输网络受到攻击。低层传输网络受到攻击。为了保护代理服务器为了保护代理服务器,以防止

6、恶意的代理对它的破坏以防止恶意的代理对它的破坏,通常通常采用的安全检测技术有：采用的安全检测技术有：(1)(1)身份认证身份认证(Authentication)(Authentication)。(2)(2)代码验证代码验证(Verification)(Verification)。(3)(3)授权认证授权认证(Authorization)(Authorization)。第七章第七章二、移动数据安全的基本措施二、移动数据安全的基本措施 开发和执行移动商业解决方案时，应该考虑如下四个移动开发和执行移动商业解决方案时，应该考虑如下四个移动安全问题：安全问题：（一）（一）阻止未经授权的用户访问阻止未经授

7、权的用户访问（二）（二）保护数据传送保护数据传送（三）（三）保护移动设备上的数据保护移动设备上的数据（四）（四）保护现有安全投资保护现有安全投资第七章第七章三、手机病毒的原理及手机安全防护措施三、手机病毒的原理及手机安全防护措施（一）手机病毒的种类及症状（一）手机病毒的种类及症状 1 1）EPOCEPOC病毒。病毒。2 2）Trojan horseTrojan horse病毒病毒 3 3）UnavailableUnavailable病毒病毒 4 4）Hack-mobile.smsdosHack-mobile.smsdos病毒病毒 （二）手机病毒的原理（二）手机病毒的原理 手机病毒必须具备两个基

8、本的条件才能传播和发作，首先手机病毒必须具备两个基本的条件才能传播和发作，首先移动服务商要提供数据传输功能移动服务商要提供数据传输功能，另外，另外，要求手机使用的是动要求手机使用的是动态操作系统，也就是支持态操作系统，也就是支持JavaJava等高级程序写入功能。等高级程序写入功能。第七章第七章（三）手机病毒的攻击模式（三）手机病毒的攻击模式 直接攻击手机本身，使手机无法提供服务。直接攻击手机本身，使手机无法提供服务。攻击攻击WAPWAP服务器使服务器使WAPWAP手机无法接收正常信息手机无法接收正常信息 攻击和控制攻击和控制“网关网关”,”,向手机发送垃圾信息。向手机发送垃圾信息。（四）手机

9、病毒的防护措施（四）手机病毒的防护措施 使用手机上网功能时，尽量从正规网站上下载信息；使用手机上网功能时，尽量从正规网站上下载信息；如果收到含有病毒的短信或邮件时，应立即删除；如果收到含有病毒的短信或邮件时，应立即删除；如果键盘被锁死，可以取下电池后开机再删除；如果仍无法如果键盘被锁死，可以取下电池后开机再删除；如果仍无法删除，可以尝试将手机卡换到另一型号的手机上删除；删除，可以尝试将手机卡换到另一型号的手机上删除；如果病毒一直占据内存，无法进行清除，可以将手机拿到厂如果病毒一直占据内存，无法进行清除，可以将手机拿到厂商维修部重写芯片程序。商维修部重写芯片程序。第七章第七章四、移动商务面临的安

10、全威胁与法律问题四、移动商务面临的安全威胁与法律问题（一）移动商务面临的安全威胁（一）移动商务面临的安全威胁 1 1技术方面的安全威胁技术方面的安全威胁 1 1）网络本身的威胁。）网络本身的威胁。2 2）无线）无线AdHocAdHoc应用的威胁。应用的威胁。3)3)网络漫游的威胁。网络漫游的威胁。4 4）物理安全。）物理安全。2 2隐私和法律问题隐私和法律问题 1 1）垃圾短信息。）垃圾短信息。2 2）定位新业务的隐私威胁。）定位新业务的隐私威胁。（二）移动商务的法律保障（二）移动商务的法律保障第七章第七章第二节第二节 移动安全协议和标准移动安全协议和标准一、蓝牙标准一、蓝牙标准（一）蓝牙技术

11、定义的标准及其特点（一）蓝牙技术定义的标准及其特点 1 1蓝牙标准蓝牙标准 1 1）Generic AccessGeneric Access。2 2）Service Discovery ApplicationService Discovery Application。3 3）Cordless TelephonyCordless Telephony。4 4）IntercomIntercom。5 5）Serial PortSerial Port。6 6）HeadsetHeadset。7 7）Dial-up NetworkingDial-up Networking。第七章第七章 8 8）FaxFax

12、。9 9）LAN AccessLAN Access。10 10）Generic Object ExchangeGeneric Object Exchange。11 11）Object PushObject Push。12 12）File TransferFile Transfer。13 13）SynchronizationSynchronization。2 2蓝牙通讯技术的特点蓝牙通讯技术的特点 1 1）蓝牙技术工作在全球开放的）蓝牙技术工作在全球开放的2.4GHzISM2.4GHzISM（即工业、科学、（即工业、科学、医学）频段。医学）频段。2 2）使用跳频频谱扩展技术，把频带分成若干个跳频

13、信道）使用跳频频谱扩展技术，把频带分成若干个跳频信道（hop channelhop channel），在一次连接中，无线电收发器按一定的码序），在一次连接中，无线电收发器按一定的码序列不断地从一个信道列不断地从一个信道“跳跳”到另一个信道。到另一个信道。3 3）一台蓝牙设备可同时与其它七台蓝牙设备建立连接。）一台蓝牙设备可同时与其它七台蓝牙设备建立连接。4 4）数据传输速率可达）数据传输速率可达1Mbit/s1Mbit/s。第七章第七章 5 5）低功耗、通讯安全性好。）低功耗、通讯安全性好。6 6）在有效范围内可越过障碍物进行连接，没有特别）在有效范围内可越过障碍物进行连接，没有特别的通讯视角

14、和方向要求。的通讯视角和方向要求。7 7）支持语音传输。）支持语音传输。8 8）组网简单方便。）组网简单方便。（二）蓝牙的安全性（二）蓝牙的安全性 蓝牙装置可以与经过认证的一方进行双边连接，或蓝牙装置可以与经过认证的一方进行双边连接，或者是永久性连接（称为者是永久性连接（称为pairingpairing，配对联机），这样一，配对联机），这样一来受信赖的一方就不需要每次都要经过认证流程（比如来受信赖的一方就不需要每次都要经过认证流程（比如耳机与电话之间）。耳机与电话之间）。应用本身与使用者设置也会影响到安全。应用本身与使用者设置也会影响到安全。第七章第七章二、无线应用协议二、无线应用协议(WAP

15、)(WAP)无无线线应应用用协协议议（Wireless Wireless Application Application ProtocolProtocol，WAPWAP）是是一一个个用用于于在在无无线线通通信信设设备备（手手机机、寻寻呼呼机机等等）之之间间进进行行信信息息传传输输的的无无须须授授权权、也也不不依依赖赖平平台台的的协协议议，可可用用于于InternetInternet访访问问、WAPWAP网网页访问、收发电子邮件等等页访问、收发电子邮件等等。WAPWAP常识常识 第七章第七章（一）（一）WAPWAP的体系结构与工作原理的体系结构与工作原理 1 1WAPWAP的层次结构的层次结构

16、1)1)应用层。应用层。2)2)无线会话层。无线会话层。3)3)传输协议层。传输协议层。4)4)安全协议层。安全协议层。5)5)数据报协议层。数据报协议层。2 2WAPWAP工作原理工作原理第七章第七章（二）（二）WAPWAP系统的架构系统的架构1.1.因特网三维网架构因特网三维网架构第七章第七章2.2.因特网因特网WAPWAP网络架构网络架构3 3WAPWAP的微浏览器的微浏览器第七章第七章三、无线三、无线PKIPKI PKI(Public PKI(Public Key Key Infrastructure)Infrastructure)即即公公开开密密钥钥体体系系，是是利利用公钥理论和技术

17、建立的提供信息安全服务的基础设施。用公钥理论和技术建立的提供信息安全服务的基础设施。（一）无线公开密钥体系的概念（一）无线公开密钥体系的概念 WPKIWPKI即即“无无线线公公开开密密钥钥体体系系”，它它是是将将互互联联网网电电子子商商务务中中PKIPKI安安全全机机制制引引入入到到无无线线网网络络环环境境中中的的一一套套遵遵循循既既定定标标准准的的密密钥钥及及证证书书管管理理平平台台体体系系，它它可可以以用用来来管管理理在在移移动动网网络络环环境境中中使使用用的的公公开开密密钥钥和和数数字字证证书书，有有效效建建立立安安全全和和值值得得信信赖赖的的无无线线网网络络环境。环境。一一个个完完整整

18、的的WPKIWPKI系系统统必必须须具具有有以以下下部部分分：PKIPKI客客户户端端、注注册册机机构构(RA)(RA)、认认证证机机构构(CA)(CA)和和证证书书库库以以及及应应用用接接口口等等基基本本构构成成部部分分，其构建也将围绕着这五大系统进行。，其构建也将围绕着这五大系统进行。第七章第七章（二）保密信息和资料的传输（二）保密信息和资料的传输 WPKI WPKI技术可以解决保密信息传输的问题。技术可以解决保密信息传输的问题。当发送信息给一位或多位接收人时，发送者可以先将信息当发送信息给一位或多位接收人时，发送者可以先将信息加密、签名。这样，只有指定的接收人才可以在加密、签名。这样，只

19、有指定的接收人才可以在CACA中心的服务中心的服务器上取得公钥并开启邮件，即使该信息被其他人截获，这些人器上取得公钥并开启邮件，即使该信息被其他人截获，这些人也会因为得不到公钥而无法阅读信息。也会因为得不到公钥而无法阅读信息。第七章第七章四、无线网络标准四、无线网络标准IEEE802.11bIEEE802.11b（一）（一）IEEE 802.11bIEEE 802.11b标准简介标准简介 IEEE802.11bIEEE802.11b无无线线局局域域网网的的带带宽宽最最高高可可达达11Mbps11Mbps，比比原原IEEE802.11IEEE802.11标准快标准快5 5倍，扩大了无线局域网的应

20、用领域。倍，扩大了无线局域网的应用领域。（二）（二）IEEE 802.11bIEEE 802.11b的基本运作模式的基本运作模式 IEEE 802.11bIEEE 802.11b运作模式基本分为两种：运作模式基本分为两种：点对点模式点对点模式和和基本模式基本模式。(1)(1)点点对对点点模模式式是是指指无无线线网网卡卡之之间间的的通通信信方方式式，只只要要PCPC插插上上无无线线网网卡卡即可与另一装有无线网卡的即可与另一装有无线网卡的PCPC连接，连接，(2)(2)而而基基本本模模式式是是指指无无线线网网络络规规模模扩扩充充或或无无线线和和有有线线网网络络并并存存时时的的通通信方式，这是信方式

21、，这是IEEE 802.11bIEEE 802.11b最常用的方式。最常用的方式。（三）（三）IEEE 802.11bIEEE 802.11b的应用前景的应用前景 (1)(1)企业可以应用无线局域网作为他们有限局域网的延伸。企业可以应用无线局域网作为他们有限局域网的延伸。(2)(2)小小企企业业和和家家庭庭用用户户也也将将使使用用无无线线局局域域网网代代替替有有线线网网络络，从从而而获获得得无线局域网提供的诸多无线局域网提供的诸多“无线无线”服务。服务。第七章第七章第三节第三节 移动系统安全移动系统安全一一、移动支付系统安全方案、移动支付系统安全方案 移动支付是指交易双方通过移动设备进行商业交

22、易。移动支付是指交易双方通过移动设备进行商业交易。(一一)移动支付的分类移动支付的分类 移动支付分为移动支付分为微支付微支付和和宏支付宏支付两大类两大类 根据传输方式的不同分为根据传输方式的不同分为空中交易空中交易和和WAN(WAN(广域网广域网)交易交易 （二）移动支付运营策略（二）移动支付运营策略 1 1）安全问题。）安全问题。2 2）可用性和互操作问题。）可用性和互操作问题。3 3）市场认知度与理解。）市场认知度与理解。4 4）选择合适的合作者。）选择合适的合作者。第七章第七章二、二、GSMGSM安全安全 GSMGSM较较之之它它以以前前的的标标准准，最最大大的的不不同同是是它它的的信信

23、令令和和语语音音信信道道都是数字式的，因此都是数字式的，因此GSMGSM被看作是第二代被看作是第二代(2G)(2G)移动电话系统。移动电话系统。GSMGSM网络运行在多个不同的无线电频率上。网络运行在多个不同的无线电频率上。GSMGSM是是一一个个蜂蜂窝窝网网络络,也也就就是是说说移移动动电电话话要要连连接接到到它它能能搜搜索索到到的的最最近近的的蜂蜂窝窝单单元元区区域域。GSMGSM网网络络一一共共有有4 4种种不不同同的的蜂蜂窝窝单单元元尺尺寸：寸：宏蜂窝宏蜂窝，微蜂窝微蜂窝，微微蜂窝微微蜂窝和和伞蜂窝伞蜂窝。GSMGSM还还支支持持室室内内覆覆盖盖，通通过过功功率率分分配配器器可可以以把

24、把室室外外天天线线的的功功率分配到室内天线分布系统上。率分配到室内天线分布系统上。在在使使用用方方面面，GSMGSM的的一一个个关关键键特特征征就就是是用用户户身身份份模模块块(SIM),(SIM),也叫也叫SIMSIM卡。卡。在安全方面，在安全方面，GSMGSM被设计具有中等安全水平。被设计具有中等安全水平。GSM GSM使用了多种加密算法。使用了多种加密算法。第七章第七章三、三、3G3G系统的安全体系系统的安全体系 第第三三代代移移动动通通信信系系统统(3G)(3G)中中的的安安全全技技术术是是在在GSMGSM的的安安全全基基础础上上建建立立起起来来的的，它它克克服服了了一一些些GSMGS

25、M中中的的安安全全问问题题，也也增增加加了了新新的的安全功能。安全功能。（一）（一）3G3G安全体系的系统定义安全体系的系统定义 1 1）安全目标。）安全目标。2 2）任务模型。）任务模型。3 3）功能实体。）功能实体。4 4）攻击模型分析。）攻击模型分析。第七章第七章（二）（二）3G3G安全技术分析安全技术分析1 1安全技术分析安全技术分析1 1）入网安全。）入网安全。2 2）核心网安全技术。）核心网安全技术。3 3）传输层安全。）传输层安全。4 4）应用层安全。）应用层安全。5 5）代码安全。）代码安全。6 6）个人无线网络安全。）个人无线网络安全。第七章第七章2 23G3G安全体系特点安

26、全体系特点 1 1）完整性完整性。3G3G中定义了完整的安全目标和攻击模型，并确中定义了完整的安全目标和攻击模型，并确保没有遗漏。但当系统各部分相对孤立的时候，要实现这样的保没有遗漏。但当系统各部分相对孤立的时候，要实现这样的目标是比较困难的。目标是比较困难的。2 2）有效性有效性。减少各安全功能的重复性，提高效率。同样，。减少各安全功能的重复性，提高效率。同样，当系统各部分相对孤立时，要实现这样的目标是比较困难的。当系统各部分相对孤立时，要实现这样的目标是比较困难的。3 3）可实施性可实施性。3G3G中的安全特性应能够达到预期的目标。但中的安全特性应能够达到预期的目标。但是，在某一领域加强了

27、安全措施，其实也为新的攻击提供了可是，在某一领域加强了安全措施，其实也为新的攻击提供了可趁之机。趁之机。4 4）可扩展性可扩展性。在系统的生存期，应能够不断升级安全措施。在系统的生存期，应能够不断升级安全措施以应对各种各样的攻击。以应对各种各样的攻击。5 5）用户界面友好性用户界面友好性。安全方案的提供应尽量避免太多用户。安全方案的提供应尽量避免太多用户的参与，安全措施对用户而言应是透明的。的参与，安全措施对用户而言应是透明的。第七章第七章四、四、SIMSIM应用工具包应用工具包 SIMSIM卡卡（Subscriber Subscriber Identity Identity ModuleMo

28、dule）即即用用户户识识别别卡卡，它它是一张符合是一张符合GSMGSM规范的规范的ICIC卡。卡。SIMSIM应应用用工工具具包包是是一一组组指指令令，已已经经作作为为GSMGSM标标准准的的一一部部分分集集成成在在GSMGSM标标准准中中。它它对对SIMSIM卡卡如如何何与与外外界界进进行行交交互互做做了了详详细细的的规规定，并且扩展了定，并且扩展了SIMSIM卡与手机之间的通信协议。卡与手机之间的通信协议。SIMSIM应应用用工工具具包包具具有有很很强强的的灵灵活活性性，允允许许随随时时对对SIMSIM信信息息进进行更新，并且可通过无线方式下载新的服务。行更新，并且可通过无线方式下载新的

29、服务。SIM SIM应用工具包可用于设计客户机应用工具包可用于设计客户机/服务器应用环境。服务器应用环境。第七章第七章本章小结本章小结 移动电子商务将传统的商务和已经发展起来的、但是分散的电子商务整合起来，将各种业务流程从有线向无线转移和完善，是一种新的突破，是电子商务发展的最高形式。在移动通信和电子商务系统平台之上实现安全的移动商务，必须保障移动商务交易、客户数据、客户终端以及移动新业务等的安全。当前主要有阻止未经授权用户访问、保护数据传送、保护移动设备上的数据、保护现有安全投资四项保障移动数据安全的基本措施。本章特别介绍了最流行的移动终端手机的安全隐患及其防护措施。手机病毒是以手机为感染对

30、象，以手机网络和计算机网络为平台，通过病毒短信等形式对手机进行攻击，从而造成手机异常的一种新型病毒。当前手机病毒的种类主要有：EPOC病毒、Trojan horse病毒、Unavailable病毒和Hack-mobile.smsdos病毒等等。移动商务的安全协议和标准主要有：蓝牙标准、无线应用协议(WAP)、无线PKI、无线网络标准IEEE802.11b。移动系统安全方面，本章主要介绍了移动支付系统安全方案、GSM安全、3G系统的安全体系和SIM应用工具包等内容，重点分析了第三代移动系统（3G系统）的安全目标、面临的安全威胁及主要攻击，并对3G系统的安全体系设计进行了较为详细的分析。思考与练习思考与练习 下课了，再见！下课了，再见！