第6章-移动电子商务安全-.ppt

第6章 移动电子商务安全 了解并掌握移了解并掌握移动商商务面面临的安全威的安全威胁 了解并掌握移了解并掌握移动商商务安全的技安全的技术现状及状及发展展趋势 了解并掌握移了解并掌握移动安全通信技安全通信技术 了解并掌握移了解并掌握移动终端操作系端操作系统安全技安全技术知识目标 能能够分析移分析移动商商务的安全的安全问题 能能够说明移明移动商商务的安全信任机制的安全信任机制 能能够描述移描述移动终端的安全端的安全问题及及预防技防技术 能能够使用免使用免费的移的移动安全安全软件解决移件解决移动设备的的基本安全基本安全问题技能目标6.1 移动电子商务安全概述6.2 移动电子商务安全通信技术6.3 移动终端安全6.4 手机病毒目 录6.1 移动电子商务安全概述 移移动通信技通信技术从从1G发展到展到4G的的过程，也是移程，也是移动网网络的安全机制的安全机制不断完善的不断完善的过程。第一代移程。第一代移动通信系通信系统几乎没有采取任何安全措施，几乎没有采取任何安全措施，移移动台把其台把其电子序列号（子序列号（ESN）和网）和网络分配的移分配的移动台台识别号号（MIN）以明文方式）以明文方式传送至网送至网络，若二者相符，即可，若二者相符，即可实现用用户的接的接入，但用入，但用户面面临的最大威的最大威胁是自己的手机有可能被克隆。第二代数是自己的手机有可能被克隆。第二代数字蜂字蜂窝移移动通信系通信系统（2G）采用了基于私）采用了基于私钥密密码体制。体制。这种机制在种机制在身份身份认证及加密算法等方面存在及加密算法等方面存在许多安全多安全隐患，同患，同样面面临着克隆、着克隆、数据完整性和拒数据完整性和拒绝服服务攻攻击等安全威等安全威胁。第三代和第四代移。第三代和第四代移动通信通信系系统（3G/4G）在）在2G的基的基础上上进行了改行了改进，继承了承了2G系系统安全的安全的优点，同点，同时针对3G/4G系系统的新特性，定的新特性，定义了更加完善的安全特征与了更加完善的安全特征与认证服服务。6.1 移动电子商务安全概述1移移动电子商子商务面面临的安全威的安全威胁 移移动商商务的迅速的迅速发展得益于移展得益于移动通信的广泛通信的广泛应用，是因用，是因为移移动通信网通信网络的建的建设不像有不像有线网网络那那样受地理受地理环境限制，移境限制，移动用用户也不也不受有受有线通信通信电缆的限制，而是可以在移的限制，而是可以在移动中中进行通信。移行通信。移动通信网通信网络的的这些些优势都是来自于其所采用的无都是来自于其所采用的无线通信信道，而无通信信道，而无线信道是信道是一个开放性信道，它在一个开放性信道，它在赋予移予移动用用户通信自由的同通信自由的同时也也带来了一些来了一些不安全的因素，如通信内容容易被窃听、通信内容可以被更改、通不安全的因素，如通信内容容易被窃听、通信内容可以被更改、通信用信用户身份可能被假冒等。当然，无身份可能被假冒等。当然，无线通信网通信网络也存在着有也存在着有线通信通信网网络所具有的不安全因素。移所具有的不安全因素。移动商商务同同样面面临多种安全威多种安全威胁，主要，主要包括以下几个方面：包括以下几个方面：（1）无）无线窃听（窃听（2）漫游安全（）漫游安全（3）假冒攻）假冒攻击（4）完整性侵害）完整性侵害（5）业务抵抵赖（6）窃取和）窃取和丢失（失（7）恶意代意代码6.1 移动电子商务安全概述2移移动电子商子商务的安全需求的安全需求 通通过分析移分析移动商商务系系统所面所面临的安全威的安全威胁，可以看出安全，可以看出安全性性对于移于移动商商务的重要性。一个完整且安全的移的重要性。一个完整且安全的移动商商务系系统应该有以下特点：有以下特点：（1）保密性和身份）保密性和身份认证需求需求（2）数据信息完整性）数据信息完整性（3）不可否）不可否认性性（4）匿名性）匿名性（5）容）容错能力能力6.1 移动电子商务安全概述3移移动电子商子商务安全安全问题 囊括超囊括超过80%上网人群的移上网人群的移动互互联网，已网，已经成成为网网络空空间中最重要的一个中最重要的一个组成部分，而网成部分，而网络空空间安全更是与国安全更是与国家安全息息相关、不可或缺的家安全息息相关、不可或缺的组成部分。成部分。现阶段，国家段，国家层面的移面的移动互互联网信息安全的主要网信息安全的主要问题有以下几个方面：有以下几个方面：（1）核心技）核心技术的缺乏。的缺乏。（2）互）互联网以美国网以美国为中心的架构在短期内无法改中心的架构在短期内无法改变。（3）企）企业信息安全在移信息安全在移动互互联网网环境下受到极大挑境下受到极大挑战。6.1 移动电子商务安全概述4移移动电子商子商务安全的安全的发展展趋势（1）企）企业应用将成用将成为移移动电子商子商务领域的域的热点。点。（2）移）移动信息将成信息将成为移移动电子商子商务的主要的主要应用。用。（3）安全性）安全性问题仍将是移仍将是移动电子商子商务中的巨大机会。中的巨大机会。（4）移）移动终端的机会。端的机会。（5）移）移动支付将成支付将成为最有潜力的支付手段。最有潜力的支付手段。6.2 移动电子商务安全通信技术1移移动电子商子商务的安全技的安全技术解决方案解决方案现有的移有的移动电子商子商务的安全技的安全技术解决方案主要有以下几种：解决方案主要有以下几种：（1）完整性保）完整性保护技技术完整性保完整性保护技技术用于提供消息用于提供消息认证的的安全机制。安全机制。（2）真）真实性保性保护技技术真真实性保性保护技技术用来确用来确认某一某一实体所体所声称的身份，以防假冒攻声称的身份，以防假冒攻击。（3）机密性保）机密性保护技技术机密性保机密性保护技技术是是为了防止敏感数据了防止敏感数据泄漏泄漏给那些未那些未经授授权的的实体。体。（4）抗抵）抗抵赖技技术抗抵抗抵赖技技术是是为了防止了防止恶意主体事后否意主体事后否认所所发生的事生的事实或行或行为，要解决此，要解决此问题，必，必须在每一事件在每一事件发生生时，留下关于，留下关于该事件的不可否事件的不可否认的的证据。据。（5）其他安全技）其他安全技术安全安全协议是以密是以密码学学为基基础的消息交的消息交换协议，目的是在网，目的是在网络环境中提供各种安全服境中提供各种安全服务，其安全目，其安全目标是多种多是多种多样的。的。6.2 移动电子商务安全通信技术2信息加密原理信息加密原理 由于数据在由于数据在传输过程中有可能遭到侵犯者的窃听而程中有可能遭到侵犯者的窃听而失去保密信息，加密技失去保密信息，加密技术是网是网络中数据中数据传输采取的主要采取的主要保密安全措施。加密技保密安全措施。加密技术也就是利用技也就是利用技术手段把重要的手段把重要的数据数据变为乱乱码(加密加密)传送，到达目的地后再用相同或不送，到达目的地后再用相同或不同的手段同的手段还原原(解密解密)。加密算法按其加密算法按其对称性可分称性可分为：（1）对称密称密钥加密算法。加密算法。（2）非）非对称密称密钥加密算法。加密算法。6.2 移动电子商务安全通信技术2信息加密原理信息加密原理图62 非对称密钥加/解密示意图6.2 移动电子商务安全通信技术3移移动通信加密通信加密图63 BTS和MS之间的信息加密和解密过程6.2 移动电子商务安全通信技术4终端身份端身份认证比比较项目目静静态口令口令认证技技术OTP认证技技术动态性性静态口令是固定不变的，难以抵御重放攻击OTP口令可以随设定的时间或事件等变量自动变化，无需人工干预一次性一次性静态口令在传输过程中已被拦截，难以抵御窃听攻击OTP口令一次有效，旧口令不能重复使用，即使口令被窃听，也不会造成很大危险，因此具备良好的抗窃听性随机性随机性静态口令通常比较简单，难以抵御猜测攻击OTP口令随机生成，无规律，增加了破解的难度认证机制机制静态口令认证技术是单向认证机制，即服务器对登录用户的身份认证，而用户无法认证服务器，因此，攻击者可能伪装成认证服务器欺骗用户OTP认证技术建立在密码学基础之上，通过在认证过程中加入不确定因子，使用户每次进行身份认证的认证口令都不相同，而且每个认证口令只使用一次，这种一次一密的认证方法可以有效保证用户身份的安全性安全性安全性静态口令认证技术是一种单因子的认证技术，安全性仅依赖与口令，口令一旦泄露，安全性随即丧失OTP认证技术具有多重安全性，与静态口令的单一认证方式不同，OTP认证技术将一次性口令与用户、静态口令等多重因素结合实现认证表6-1 静态口令认证与OTP认证对比分析6.2 移动电子商务安全通信技术5移移动交易信任机制交易信任机制 移移动动商商务务交交易易中中的的信信任任是是指指网网上上消消费费者者对对在在线线交交易易的的总总体体信信任任，它它分分为为广广义义和和狭狭义义两两种种。狭狭义义的的信信任任机机制制局局限限于于网网络络平平台台的的技技术术手手段段的的研研究究，一一般般分分为为基基于于身身份份的的信信任任模模型型、基基于于角角色色的的信信任任模模型型、自自动动信信任任协协商商模模型型、基基于于名名誉誉的的信信任任模模型型。广广义义的的信信任任机机制制是是指指电电子子商商务务交交易易系系统统中中构构成成、影影响响相相互互信信任任关关系系的的各各部部分分及及它它们们之之间间的的作作用用方方式式，以以及及为为促促进进和和维维持持信信任任关关系系所所发发生生的的相相关关作作用用方方式式和和所所有有手手段段、方方法法等等。在在这这一一机机制制中中主主要要涉涉及及交交易易主主体体(网网上上企企业业和和消消费费者者)及及在在交交易易过程中起保护和支持作用的第三方机构过程中起保护和支持作用的第三方机构(如银行、政府等如银行、政府等)。6.3 移动终端安全1移移动终端操作系端操作系统安全技安全技术（1）移）移动终端操作系端操作系统。移。移动终端操作系端操作系统作作为连接接软硬件、硬件、承承载应用的关用的关键平台，在智能平台，在智能终端中扮演着端中扮演着举足足轻重的角色。重的角色。目前主流的移目前主流的移动终端操作系端操作系统有：有：Symbian、Windows Mobile、Windows Phone、Palm OS 等。等。（2）移）移动终端操作系端操作系统的安全威的安全威胁与与对策。嵌入式操作系策。嵌入式操作系统的广泛的广泛应用，使移用，使移动终端的功能日益端的功能日益强大，可以支持大，可以支持蓝牙、牙、电子子邮件、无件、无线上网等服上网等服务，同，同时移移动终端上存端上存储的数据、运行的数据、运行的的软件也越来越多，而件也越来越多，而针对移移动终端的病毒、木端的病毒、木马等也逐等也逐渐出出现，威，威胁着移着移动终端的操作系端的操作系统安全。安全。6.3 移动终端安全2移移动终端下端下载软件的件的认证图64 认证平台流程6.3 移动终端安全3移移动终端存端存储信息的信息的备份与恢复份与恢复（1）信息）信息备份。信息份。信息备份是指当移份是指当移动终端存端存储的信息的信息由于某种原因遭到破坏由于某种原因遭到破坏时，将保存的数据副本恢复，重，将保存的数据副本恢复，重新加以利用的新加以利用的过程。程。（2）信息恢复。信息恢复是指）信息恢复。信息恢复是指对由于操作失由于操作失误或移或移动终端系端系统故障造成数据故障造成数据丢失的那些信息失的那些信息进行恢复。行恢复。实现信息恢复主要靠信息恢复主要靠软件技件技术、硬件技、硬件技术及二者的及二者的结合。合。6.4 手机病毒1手机病毒概述手机病毒概述 手机病毒也是一种手机病毒也是一种计算机程序，和其他算机程序，和其他计算机算机病毒病毒(程序程序)一一样具有具有传染性、破坏性。染性、破坏性。手机病毒的分手机病毒的分类。根据手机病毒的来源和。根据手机病毒的来源和传播播机理的不同，当前的手机病毒可以划分机理的不同，当前的手机病毒可以划分为以下几大以下几大类：（1）蠕虫型病毒蠕虫型病毒；（2）木木马型病毒型病毒；（3）感染型病毒感染型病毒；（4）恶意程序型病毒。意程序型病毒。6.4 手机病毒2手机病毒的特征手机病毒的特征 手机病毒属于手机病毒属于计算机病毒的一种，几乎具算机病毒的一种，几乎具备了了计算算机病毒的所有特性。手机病毒主要有以下几个特点机病毒的所有特性。手机病毒主要有以下几个特点：（1）传染性染性（2）隐蔽性蔽性（3）潜伏性）潜伏性（4）可触）可触发性性（5）针对性性（6）破坏性）破坏性（7）表）表现性性（8）寄生性）寄生性（9）不可）不可预见性性6.4 手机病毒3手机病毒的危害手机病毒的危害（1）对手机手机终端的危害。随着移端的危害。随着移动宽带网的网的发展，手机展，手机涉及的功能和范涉及的功能和范围也越来越广，包括各种付也越来越广，包括各种付费业务及手及手机机银行等安全性要求比行等安全性要求比较高的高的业务，因此，手机病毒一，因此，手机病毒一旦爆旦爆发，会，会对入入们造成很大的影响和造成很大的影响和损失失。（2）对移移动网网络的危害。手机病毒可以利用网关漏洞的危害。手机病毒可以利用网关漏洞对手机网手机网络进行攻行攻击，使手机不能正常工作，甚至向其他，使手机不能正常工作，甚至向其他手机用手机用户批量批量发送垃圾短信。其次就是利用送垃圾短信。其次就是利用协议中的漏中的漏洞攻洞攻击网网络，通，通过发送大量的垃圾数据，消耗无送大量的垃圾数据，消耗无线资源，源，使得正常使得正常业务将会被拒将会被拒绝。6.4 手机病毒4手机病毒的防治手机病毒的防治 为了防范手机病毒了防范手机病毒带来的危害，需要手机用来的危害，需要手机用户、移、移动通信运通信运营商、手机制造商和安全商、手机制造商和安全软件生件生产商多方的共同努力。商多方的共同努力。清除手机病毒最好的方法就是清除手机病毒最好的方法就是删除除带有病毒的短信。如果有病毒的短信。如果发现手机已手机已经感染病毒，感染病毒，应立即关机，若死机，立即关机，若死机，则可取下可取下电池，然池，然后将后将SIM卡取出并插入另一型号的手机中（手机品牌最好不一卡取出并插入另一型号的手机中（手机品牌最好不一样），将存于，将存于SIM卡中的可疑短信卡中的可疑短信删除后，重新将卡插回原手机。如除后，重新将卡插回原手机。如果仍然无法使用，果仍然无法使用，则可以与手机服可以与手机服务商商联系，通系，通过无无线网站网站对手手机机进行行杀毒，或通毒，或通过手机的手机的IC接口或接口或红外外传输接口接口进行行杀毒。毒。对手机病毒手机病毒应坚持持预防、防、查杀相相结合的原合的原则。不随意。不随意查看乱看乱码短信，不随意短信，不随意浏览危危险网站，不随意接受陌生人的网站，不随意接受陌生人的红外和外和蓝牙牙请求等。一旦手机感染病毒，求等。一旦手机感染病毒，应尽快尽快选择专业权威的威的杀毒毒软件件进行行查杀。行。行业内受到普遍公内受到普遍公认的的杀毒毒软件有件有360手机手机卫士、百度手士、百度手机机卫士、士、腾讯手机管家和手机管家和LBE安全大安全大师等。等。The end