第6章-移动电子商务安全-.ppt

,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Logo,*,第,6,章 移动,电子,商务,安全,了解并掌握移动商务面临的安全威胁,了解并掌握移动商务安全的技术现状及发展趋势,了解并掌握移动安全通信技术,了解并掌握移动终端操作系统安全技术,知识目标,能够分析移动商务的安全问题,能够说明移动商务的安全信任机制,能够描述移动终端的安全问题及预防技术,能够使用免费的移动安全软件解决移动设备的基本安全问题,技能目标,6.1,移动,电子,商务,安全概述,6.2,移动,电子商务安全通信技术,6.3,移动,终端安全,6.4,手机病毒,目 录,6.1,移动,电子商务安全概述,移动通信技术从,1G,发展到,4G,的过程，也是移动网络的安全机制不断完善的过程。第一代移动通信系统几乎没有采取任何安全措施，移动台把其电子序列号（,ESN,）和网络分配的移动台识别号（,MIN,）以明文方式传送至网络，若二者相符，即可实现用户的接入，但用户面临的最大威胁是自己的手机有可能被克隆。第二代数字蜂窝移动通信系统（,2G,）采用了基于私钥密码体制。这种机制在身份认证及加密算法等方面存在许多安全隐患，同样面临着克隆、数据完整性和拒绝服务攻击等安全威胁。第三代和第四代移动通信系统（,3G/4G,）在,2G,的基础上进行了改进，继承了,2G,系统安全的优点，同时针对,3G/4G,系统的新特性，定义了更加完善的安全特征与认证服务。,6.1,移动,电子商务安全概述,1,移动电子商务面临的安全威胁,移动商务的迅速发展得益于移动通信的广泛应用，是因为移动通信网络的建设不像有线网络那样受地理环境限制，移动用户也不受有线通信电缆的限制，而是可以在移动中进行通信。移动通信网络的这些优势都是来自于其所采用的无线通信信道，而无线信道是一个开放性信道，它在赋予移动用户通信自由的同时也带来了一些不安全的因素，如通信内容容易被窃听、通信内容可以被更改、通信用户身份可能被假冒等。当然，无线通信网络也存在着有线通信网络所具有的不安全因素。移动商务同样面临多种安全威胁，主要包括以下几个方面：,（1）无线窃听（2）漫游安全（3）假冒攻击（4）完整性侵害,（5）业务抵赖（6）窃取和丢失（7）恶意代码,6.1,移动,电子商务安全概述,2,移动电子商务的安全需求,通过分析移动商务系统所面临的安全威胁，可以看出安全性对于移动商务的重要性。一个完整且安全的移动商务系统应该有以下特点：,（,1,）保密性和身份认证需求,（,2,）数据信息完整性,（,3,）不可否认性,（,4,）匿名性,（,5,）容错能力,6.1,移动,电子商务安全概述,3,移动电子商务安全问题,囊括超过,80%,上网人群的移动互联网，已经成为网络空间中最重要的一个组成部分，而网络空间安全更是与国家安全息息相关、不可或缺的组成部分。现阶段，国家层面的移动互联网信息安全的主要问题有以下几个方面：,（,1,）核心技术的缺乏。,（,2,）互联网以美国为中心的架构在短期内无法改变。,（,3,）企业信息安全在移动互联网环境下受到极大挑战。,6.1,移动,电子商务安全概述,4,移动电子商务安全的发展趋势,（,1,）企业应用将成为移动电子商务领域的热点。,（,2,）移动信息将成为移动电子商务的主要应用。,（,3,）安全性问题仍将是移动电子商务中的巨大机会。,（,4,）移动终端的机会。,（,5,）移动支付将成为最有潜力的支付手段。,6.2,移动,电子商务安全通信技术,1,移动电子商务的安全技术解决方案,现有的移动电子商务的安全技术解决方案主要有以下几种：,（,1,）完整性保护技术完整性保护技术用于提供消息认证的安全机制。,（,2,）真实性保护技术真实性保护技术用来确认某一实体所声称的身份，以防假冒攻击。,（,3,）机密性保护技术机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。,（,4,）抗抵赖技术抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为，要解决此问题，必须在每一事件发生时，留下关于该事件的不可否认的证据。,（,5,）其他安全技术安全协议是以密码学为基础的消息交换协议，目的是在网络环境中提供各种安全服务，其安全目标是多种多样的。,6.2,移动,电子商务安全通信技术,2,信息加密原理,由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是网络中数据传输采取的主要保密安全措施。加密技术也就是利用技术手段把重要的数据变为乱码,(,加密,),传送，到达目的地后再用相同或不同的手段还原,(,解密,),。,加密算法按其对称性可分为,：,（,1,）对称密钥加密算法。,（,2,）非对称密钥加密算法。,6.2,移动,电子商务安全通信技术,2,信息加密原理,图,6,2,非对称密钥加,/,解密示意图,6.2,移动,电子商务安全通信技术,3,移动通信加密,图,6,3,BTS,和,MS,之间的信息加密和解密过程,6.2,移动,电子商务安全通信技术,4,终端身份认证,比较项目,静态口令认证技术,OTP,认证技术,动态性,静态口令是固定不变的，难以抵御重放攻击,OTP,口令可以随设定的时间或事件等变量自动变化，无需人工干预,一次性,静态口令在传输过程中已被拦截，难以抵御窃听攻击,OTP,口令一次有效，旧口令不能重复使用，即使口令被窃听，也不会造成很大危险，因此具备良好的抗窃听性,随机性,静态口令通常比较简单，难以抵御猜测攻击,OTP,口令随机生成，无规律，增加了破解的难度,认证机制,静态口令认证技术是单向认证机制，即服务器对登录用户的身份认证，而用户无法认证服务器，因此，攻击者可能伪装成认证服务器欺骗用户,OTP,认证技术建立在密码学基础之上，通过在认证过程中加入不确定因子，使用户每次进行身份认证的认证口令都不相同，而且每个认证口令只使用一次，这种一次一密的认证方法可以有效保证用户身份的安全性,安全性,静态口令认证技术是一种单因子的认证技术，安全性仅依赖与口令，口令一旦泄露，安全性随即丧失,OTP,认证技术具有多重安全性，与静态口令的单一认证方式不同，,OTP,认证技术将一次性口令与用户、静态口令等多重因素结合实现认证,表,6-1,静态口令认证与,OTP,认证对比分析,6.2,移动,电子商务安全通信技术,5,移动交易信任机制,移动商务交易中的信任是指网上消费者对在线交易的总体信任，它分为广义和狭义两种。狭义的信任机制局限于网络平台的技术手段的研究，一般分为基于身份的信任模型、基于角色的信任模型、自动信任协商模型、基于名誉的信任模型。广义的信任机制是指电子商务交易系统中构成、影响相互信任关系的各部分及它们之间的作用方式，以及为促进和维持信任关系所发生的相关作用方式和所有手段、方法等。在这一机制中主要涉及交易主体,(,网上企业和消费者,),及在交易过程中起保护和支持作用的第三方机构,(,如银行、政府等,),。,6.3,移动,终端安全,1,移动终端操作系统安全技术,（,1,）移动终端操作系统。移动终端操作系统作为连接软硬件、承载应用的关键平台，在智能终端中扮演着举足轻重的角色。目前主流的移动终端操作系统有：,Symbian,、,Windows Mobile,、,Windows Phone,、,Palm OS,等。,（,2,）移动终端操作系统的安全威胁与对策。嵌入式操作系统的广泛应用，使移动终端的功能日益强大，可以支持蓝牙、电子邮件、无线上网等服务，同时移动终端上存储的数据、运行的软件也越来越多，而针对移动终端的病毒、木马等也逐渐出现，威胁着移动终端的操作系统安全。,6.3,移动,终端安全,2,移动终端下载软件的认证,图,6,4,认证平台流程,6.3,移动,终端安全,3,移动终端存储信息的备份与恢复,（,1,）信息备份。信息备份是指当移动终端存储的信息由于某种原因遭到破坏时，将保存的数据副本恢复，重新加以利用的过程。,（,2,）信息恢复。信息恢复是指对由于操作失误或移动终端系统故障造成数据丢失的那些信息进行恢复。实现信息恢复主要靠软件技术、硬件技术及二者的结合。,6.4,手机病毒,1,手机病毒概述,手机病毒也是一种计算机程序，和其他计算机病毒,(,程序,),一样具有传染性、破坏性。,手机病毒的分类。根据手机病毒的来源和传播机理的不同，当前的手机病毒可以划分为以下几大类：,（,1,）,蠕虫型病毒,；,（,2,）,木马型病毒,；,（,3,）,感染型病毒,；,（,4,）,恶意程序型病毒。,6.4,手机病毒,2,手机病毒的特征,手机病毒属于计算机病毒的一种，几乎具备了计算机病毒的所有特性。手机病毒主要有以下几个特点,：,（,1,）传染性,（,2,）隐蔽性,（,3,）潜伏性,（,4,）可触发性,（,5,）针对性,（,6,）破坏性,（,7,）表现性,（,8,）寄生性,（,9,）不可预见性,6.4,手机病毒,3,手机病毒的危害,（,1,）对手机终端的危害。随着移动宽带网的发展，手机涉及的功能和范围也越来越广，包括各种付费业务及手机银行等安全性要求比较高的业务，因此，手机病毒一旦爆发，会对入们造成很大的影响和损失,。,（,2,）对移动网络的危害。手机病毒可以利用网关漏洞对手机网络进行攻击，使手机不能正常工作，甚至向其他手机用户批量发送垃圾短信。其次就是利用协议中的漏洞攻击网络，通过发送大量的垃圾数据，消耗无线资源，使得正常业务将会被拒绝。,6.4,手机病毒,4,手机病毒的防治,为了防范手机病毒带来的危害，需要手机用户、移动通信运营商、手机制造商和安全软件生产商多方的共同努力。,清除手机病毒最好的方法就是删除带有病毒的短信。如果发现手机已经感染病毒，应立即关机，若死机，则可取下电池，然后将,SIM,卡取出并插入另一型号的手机中（手机品牌最好不一样），将存于,SIM,卡中的可疑短信删除后，重新将卡插回原手机。如果仍然无法使用，则可以与手机服务商联系，通过无线网站对手机进行杀毒，或通过手机的,IC,接口或红外传输接口进行杀毒。,对手机病毒应坚持预防、查杀相结合的原则。不随意查看乱码短信，不随意浏览危险网站，不随意接受陌生人的红外和蓝牙请求等。一旦手机感染病毒，应尽快选择专业权威的杀毒软件进行查杀。行业内受到普遍公认的杀毒软件有,360,手机卫士、百度手机卫士、腾讯手机管家和,LBE,安全大师等。,The end,