电子商务安全第8章电子教案.ppt

《电子商务安全第8章电子教案.ppt》由会员分享，可在线阅读，更多相关《电子商务安全第8章电子教案.ppt（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务安全第8章第第8章章 移动电子商务安全移动电子商务安全8.1 移动电子商务安全概述移动电子商务安全概述8.1.1 移动电子商务概述移动电子商务概述移动电子商务较传统电子商务优势：移动电子商务较传统电子商务优势：具有随时随地的特点用户规模大有较好的身份认证基础8.1.2 移动电子商务移动电子商务的安全威胁的安全威胁(1)移动终端安全威胁移动终端安全威胁安全性相对较好的加密和认证安全措施难以使用移动终端设备中的机密资料容易丢失或被盗用手机SIM卡等身份识别设备可能被复制而造成欺诈企业缺乏移动终端相关的安全制度和安全技术恶意程序的威胁8.1.2 移动电子商务移动电子商务的安全威胁的安全威胁(

2、2)无线链路无线链路安全威胁安全威胁窃听假冒重放。(3)服务网络安全威胁服务网络安全威胁这方面的威胁和有线网络类似，参见本书前面相关章节。8.1.3 移动电子商务的体系结构移动电子商务的体系结构8.2移动电子商务安全协议和标准移动电子商务安全协议和标准WAP第三、四、五代移动通信系统Wi-Fi8.2.1 WAP协议协议 第二代移动电子商务系统采用基于WAP技术的方式，手机主要通过浏览器的方式来访问WAP网页，以实现信息的查询，解决了以短信为基础的第一代移动访问技术的部分问题。WAP是无线终端和Internet之间通信时使用的开放性全球标准。WAP不仅定义了用户访问内容的具体格式，还规定了通信使

3、用的协议。通过WAP技术，不论用户身在何地，都可利用手机获取海量的Internet信息资源。WAP应用系统中主要包含WAP客户端、WAP网关以及WAP服务器。8.2.1 WAP协议协议(1)WAP2.0的安全性的安全性 WAP2.0中规范了针对无线环境进行优化的TCP，并认为可以在连接无线设备上使用TCP协议，因此，传输层的安全性可以通过WTLS（Wireless Transport Layer Security，无线安全传输层）协议得以实现，这为传输层端到端的安全传输提供了解决方案。同时，WAP2.0中还对WPKI和数字证书进行说明，为无线应用客户的证书请求和使用提供了参考标准。8.2.1

4、WAP协议协议(1)WAP2.0的安全性的安全性传输层端到端安全架构8.2.1 WAP协议协议(2)基于基于WAP的移动电子商务安全解决方案的移动电子商务安全解决方案基于WPKI的移动电子商务安全模型8.2.1 WAP协议协议(2)基于基于WAP的移动电子商务安全解决方案的移动电子商务安全解决方案针对终端接入层存在的安全问题，可通过在移动终端的SIM卡中嵌入WIM（WAP Identity Module，WAP身份识别模块）解决。对于通信链路层的安全问题，可利用WTLS协议为通信链路上传输的信息提供机密性、完整性保证，并为通信参与方提供身份认证服务。网关协议层的安全问题可由WPKI体系中的数字

5、证书与密钥管理功能解决应用服务层的安全问题可利用数字签名技术解决8.2.2 3G系统的安全体系系统的安全体系(1)3G系统的安全目标系统的安全目标确保所有用户产生的或与用户相关的信息得到足够的保护，以防滥用或盗用。确保归属网络与服务网络提供的资源与服务得到足够的保护，以防滥用或盗用。确保标准安全特性全球兼容能力。确保安全特性的标准化，保证不同服务网络间的漫游与全球互操作能力。确保提供给用户与运营商的安全保护水平高于已有固定或移动网络。确保3G系统安全特性和机制的实现具有扩展和增强能力，以对付新的威胁和服务。8.2.2 3G系统的安全体系系统的安全体系(2)3G系统的安全要求系统的安全要求保证业

6、务接入的需要保证业务提供的需要满足系统完整性的需要保证个人数据的要求对终端/USIM的要求合法的监听要求8.2.2 3G系统的安全体系系统的安全体系(3)3G系统系统安全结构系统系统安全结构8.2.2 3G系统的安全体系系统的安全体系(3)3G系统系统安全结构系统系统安全结构根据攻击类型分类：网络接入安全。核心网安全。用户安全。应用安全。安全特性可见性及可配置能力。8.2.3 Wi-Fi安全安全(1)WPA技技术术 WPA是一种开放式的全球规范，有WPA和WPA2两个标准，是一种保护Wi-Fi安全的系统。WPA作为IEEE802.11i的一个子集，避开了WEP的众多弱点，可大大增强现有无线局域

7、网系统数据保护的访问控制水平。WPA可保证WLAN用户的数据受到保护，并且只有授权用户才可访问WLAN网络。8.2.3 Wi-Fi安全安全(2)Wi-Fi网络安全策略网络安全策略1）加密方式 TKIP加密模式 AES加密模式 2）认证方式 使用802.1X协议进行认证 预先共享密钥PSK模式8.3 基于基于WPKI体系的安全实现技术体系的安全实现技术 WPKI是传统的PKI技术应用于无线环境的优化扩展。它采用优化的ECC和压缩的X.509数字证书。它同样采用数字证书管理公开密钥，通过第三方的可信任机构一一CA验证用户的身份，从而实现信息的安全传输。8.3.1 WPKI的主要组件的主要组件 WP

8、KI与传统的PKI所需的组件相同，包括终端实体应用程序（EE）、注册机构（RA）、证书机构（CA）和PKI目录。在WPKI中，终端实体与注册机构的操作差别不大，只引入一个新的组件，叫PKI入口。终端实体是运行于WAP设备中的软件，它以WML SCrypt API提供的密钥服务与加密操作为基础，和传统PKI的终端实体所具备的功能相同8.3.2 WPKI的体系结构和操作流程的体系结构和操作流程WPKI的主要组件和操作流程8.3.3 WPKI优化优化采用微型数字证书代替SSL服务器数字证书。采用短期数字证书来简化对WAP服务器和网关的认证。移动客户身份认证。交易的不可抵赖性。无线环境中的加密算法。8

9、.3.4 WPKI与与PKI的对比的对比8.4基于基于App的移动支付系统安全的移动支付系统安全8.4.1基于基于App的移动电子商务应用的移动电子商务应用(1)基于App的手机银行应用 手机银行App是银行业金融机构针对智能手机开发的移动应用程序提供金融服务的业务模式，这类应用程序目前主要以Android系统和IOS系统为平台。一般来说，手机银行App可通过移动通信网络办理银行业务，为用户提供安全、便捷、即时的移动在线金融服务，除了手机银行App之外，微信银行也不断升温。用户在使用手机银行时对资金安全问题的关注程度极高，手机银行用户希望有更多的安全措施，对资金安全的担忧也导致移动支付进一步推

10、广的阻力较大。8.4.1基于基于App的移动电子商务应用的移动电子商务应用(2)基于App的手机支付应用 手机App支付极大地便利了人们的生活，App可以同时在多个与不同的产业合作，通过O2O等多个应用场景，可以对涉及生活方方面面的事情进行支付，其发展前景广阔。手机App支付的发展速度将越来越快。手机App支付目前之所以发展潜力巨大，是因为其可以掌握用户特性的优势。手机App支付的主要代表是支付宝和微信支付，已经形成了较为完善的线上线下支付链条。8.4.2 基于基于App的移动电子商务安全威胁的移动电子商务安全威胁(1)手机恶意软件威胁手机恶意软件威胁1）手机病毒2）木马程序 网游木马 网银木

11、马 社交软件类8.4.2 基于基于App的移动电子商务安全威胁的移动电子商务安全威胁(1)手机恶意软件威胁手机恶意软件威胁3）流氓软件强制安装难以卸载浏览器劫持广告弹出私自下载8.4.2 基于基于App的移动电子商务安全威胁的移动电子商务安全威胁(2)App非法访问威胁非法访问威胁 机银行App由于技术条件的限制，目前大多依靠单纯的密码验证授权，部分手机银行在资金划转和支付结算时附加了短信动态密码二次验证，授权验证手段较为单一。(3)App篡篡改或仿冒威改或仿冒威胁胁 2012年中国互联网产业年会的报告指出：60%的App是被篡改过的，存在着不同程度的风险，当一款App被恶意篡改时，轻则导致用

12、户手机被植入垃圾信息、广告，重则会导致隐私信息泄露、被恶意扣费、账号被窃取等后果。8.4.3 移动支付系统安全解决方案移动支付系统安全解决方案(1)App可信来源保障可信来源保障(2)强认证机制保障强认证机制保障1）强密码机制2）多种验证机制3）行为模式分析策略4）执行用户身份合法性认证5）密码控件(3)App完整性保护完整性保护1）代码混淆2）加固加壳处理8.4.3 移动支付系统安全解决方案移动支付系统安全解决方案(4)终端环境安全终端环境安全主要方法：不对手机进行系统操作保证下载的安全性安装防火墙和杀毒软件不轻易连接Wi-Fi建立良好的手机使用习惯1、移动电子商务与传统电子商务相比有何特点?2、简要分析移动商务面临的安全威胁。3、什么是WPKI?它有什么作用?4、典型的移动支付系统有些参与者?并简述其工作流程。5、结合自己的经历，谈谈你是如何防范和解决移动电子商务安全威胁的。习题习题8