移动商务的安全技术

移动商务的安全技术电商0921严佳女32一、移动商务的安全问题(1)无线通信网络的安全威胁无线通信网络可以实现不受时间地理环境的限制，给无线用户带来通信自由和灵活性的同时也带来了诸多不安全因素。如通信内容容易被窃听威胁、网路漫游的威胁、针对无线通信标准的攻击、窃取用户的合法身份、对数据完整性的威胁。由于移动终端的移动性，移动终端很容易被破坏或者丢失，势必造成安全影响，主要包括如下方面：移动终端设备的物理安全；移动终端被攻击和数据破坏；SIM卡被复制；RFID被解密等。自从世界上第一个针对Symbian操作系统的手机软件病毒出现，移动终端就已经面临了严峻的安全威胁。况且，手机软件病毒眼下呈加速增长的趋势，每个星期至少有一款新的手机病毒产生，这就加重了这种安全威胁。在移动商务中，消费者对于产品的了解只能通过图片和文字的简单说明了解、去判断，这就使消费者对商品的产地、规格、原材料来源、成分等真实情况缺乏全面、深入的了解。交易双方的信息不对称，现实中消费者购买的商品与广告的信息不符，一旦消费者要向商家退货或索赔，商务网站需要提供该经营者的详细信息资料，但商务网站常常以商业秘密为由拒绝提供。随着移动商务的发展，移动商务平台林立。大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营，还普遍缺少经验。移动商务平台设计和建设中做出的一些技术控制和程序控制的安全思考，急需在运营实践中进行修正和完善，更需把技术性安全措施和运营管理中的安全措施，交易中的安全警示和安全思考进行整合，以形成一个整合的、增值的移动商务安全运营和防御战略，确保使用者免受安全威胁。随着移动电子商务的发展，2.5G向3G的移植和提升，大量实测性项目进入试应用或试运营阶段。移动商务的应用更加便捷，应用范围进一步扩大。相当多的移动商务应用主体缺少安全防范意识，缺少安全使用意识：缺少对移动终端的安全性使用、运营和管理意识；缺少进行移动商务运作中的安全性、警示性思考；缺少进行移动商务前的系统性安全教育；缺少前瞻性、安全性防范知识和防范措施；缺少对移动商务数据安全备份、恢复以及对非法入侵者的追踪、取证等法律思考。二、移动商务的安全技术移动商务面临的八大安全威胁移动商务的安全防范移动商务的安全技术及创新移动商务模式中的安全保障技术1移动商务面临的八大安全威胁1.1无线通信网络的安全威胁1、窃听的威胁2、网路漫游的威胁3、针对无线通信标准的攻击4、窃取用户的合法身份5、对数据完整性的威胁.1.2移动终端面临的安全威胁1、移动终端设备的物理安全2、移动终端被攻击和数据破坏3、SIM卡被复制4、RFID被解密5、在线终端容易被攻击.1.3软件病毒造成的安全威胁1、手机病毒的种类针对蓝牙设备的病毒针对移动通讯商的病毒针对手机BUG的病毒针对短信或彩信的病毒2、手机病毒的传播方式（1）用短信或电话攻击手机本身（2）利用蓝牙方式传播（3）利用MMS多媒体信息服务方式传播（4）攻击和控制“网关”进行传播手机会有病毒吗根本没有51%知道2%不知道47%知道不知道根本没有（5）利用手机中BUG(漏洞)进行攻击.1.4商家欺诈行为造成的安全威胁1、交易双方的信息不对称2、虚假广告对消费者的威胁3、售后服务中的缺陷1.5垃圾短信泛滥造成的安全威胁.1.6移动商务资料失窃造成的安全威胁1、用户的个人资料被窃取2、对用户人身权力的侵犯.1.7移动商务平台运营管理漏洞造成的安全威胁.1.8移动商务应用主体缺乏安全思考面临的安全威胁1、缺少对移动终端的安全性使用、运营和管理意识；2、缺少进行移动商务运作中的安全性、警示性思考3、缺少进行移动商务前的系统性安全教育4、缺少前瞻性、安全性防范知识和防范措施5、缺少对移动商务数据安全备份、恢复以及对非法入侵者的追踪、取证等法律思考.2移动商务的安全防范.2.1加强交易主体身份识别管理.2.2加强移动商务安全规范管理.2.3加强诚信体系建设.2.4加强移动商务运营中的安全监管和法制建设：1、加强立法建设2．加强法制宣传和教育3、加强监督和管理.3移动商务的安全技术及创新.3.1WPKI无线公开密钥体系：WPKI技术，也称即无线公开密钥体系，是由有线网络的公开密钥体系PKI发展而来的一项新技术。是一套遵循既定标准的密钥及证书管理的平台体系，用该体系来管理移动网络环境中使用的公开密钥和数字证书，可以有效地建立安全和值得信赖的无线网络环境。1、什么是WPKI？WPKI即公开密钥体系，简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施，它是国际公认的互联网电子商务的安全认证机制，它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。2、WPKI的框架3、国外WPKI技术研究：目前，国际上很多国家都在研究WPKI技术，美国、日本和欧洲各国都已发展出自己的信息安全技术和产业，WPKI领域的主流体系有如下几种：WAPFORUM制定的WAPPKI日本NTT的I-MODE的安全体系美国PALM公司的安全体系4、WPKI技术在移动商务中的应用由于WPKI技术也发展，它为解决移动环境下的安全认证和支付奠定了基础。因此被广泛地应用在银行、证券、商务、贸易、等各方面。下面简要的说明WPKI技术的应用情况。（1）在电子支付中的应用（2）在公安领域中的应用（3）在销售管理中的应用5、WPKI技术的发展趋势和问题纵观目前国内外的状况，WPKI技术未来的发展趋势如下：（1）标准化（2）国际化（3）整合化WPKI技术虽然有着广泛的应用前景，但在技术实现和应用方面仍面临着一些问题：（1）相对于有线终端，无线终端的资源有限，它处理能力低，存储能力小，需要尽量减少证书的数据长度和处理难度。（2）无线网络和有线网络的通信模式不同，还需要考虑WPKI与标准PKI之间的互通性。（3）无线信道资源短缺，带宽成本高，时延长，连接可靠性较低（4）必须改进移动终端的设计，以满足技术和应用的需要（5）缺乏更多、更广泛、更具吸引力的应用（6）数字签名得不到法律的保护.3.2VPN技术：VPN即虚拟专用网技术。就是在公用的Internet网络上，通过隧道协议建立起安全的私有网络，它像一条能穿过混乱的公用网络安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络上建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。3.3用户鉴权技术在移动商务中，尤其是金融交易，我们要求严格的用户鉴权。为了确保移动环境中的安全性，应使用“双向身份认证”和“密钥协商协议”，主要包括以下实现手段：1、双向身份认证2、密钥协商和双向密钥控制3、双向密钥确认4、用户身份授权技术.3.4病毒防护技术1、关闭乱码电话2、尽量少从网上下载信息3、注意短信息中可能存在的病毒4、慎重使用蓝牙功能5、对手机进行病毒查杀.3.5生物特征识别技术.6、移动商务模式中的安全保障技术4.1基于WAP模式的移动商务保障技术.4.2基于J2ME模式的移动商务保障技术J2ME是为了支持像PDA、手机等小型的嵌入式或移动设备而推出的一系列技术和规范的总称。J2ME为移动商务实现J2ME提供了一种专用于智能应用程序的开发平台。.移动商务的安全问题(1)无线通信网络的安全威胁无线通信网络可以实现不受时间地理环境的限制，给无线用户带来通信自由和灵活性的同时也带来了诸多不安全因素。如通信内容容易被窃听威胁、网路漫游的威胁、针对无线通信标准的攻击、窃取用户的合法身份、对数据完整性的威胁。由于移动终端的移动性，移动终端很容易被破坏或者丢失，势必造成安全影响，主要包括如下方面：移动终端设备的物理安全；移动终端被攻击和数据破坏；SIM卡被复制；RFID被解密等。自从世界上第一个针对Symbian操作系统的手机软件病毒出现，移动终端就已经面临了严峻的安全威胁。况且，手机软件病毒眼下呈加速增长的趋势，每个星期至少有一款新的手机病毒产生，这就加重了这种安全威胁。在移动商务中，消费者对于产品的了解只能通过图片和文字的简单说明了解、去判断，这就使消费者对商品的产地、规格、原材料来源、成分等真实情况缺乏全面、深入的了解。交易双方的信息不对称，现实中消费者购买的商品与广告的信息不符，一旦消费者要向商家退货或索赔，商务网站需要提供该经营者的详细信息资料，但商务网站常常以商业秘密为由拒绝提供。随着移动商务的发展，移动商务平台林立。大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营，还普遍缺少经验。移动商务平台设计和建设中做出的一些技术控制和程序控制的安全思考，急需在运营实践中进行修正和完善，更需把技术性安全措施和运营管理中的安全措施，交易中的安全警示和安全思考进行整合，以形成一个整合的、增值的移动商务安全运营和防御战略，确保使用者免受安全威胁。随着移动电子商务的发展，2.5G向3G的移植和提升，大量实测性项目进入试应用或试运营阶段。移动商务的应用更加便捷，应用范围进一步扩大。相当多的移动商务应用主体缺少安全防范意识，缺少安全使用意识：缺少对移动终端的安全性使用、运营和管理意识；缺少进行移动商务运作中的安全性、警示性思考；缺少进行移动商务前的系统性安全教育；缺少前瞻性、安全性防范知识和防范措施；缺少对移动商务数据安全备份、恢复以及对非法入侵者的追踪、取证等法律思考。三、移动商务安全和隐私保护的相关法律.1中国的相关法律1、我国信息安全法律体系的主要特点1）信息安全法律法规体系初步形成2）与信息安全相关的司法和行政管理体系迅速完善3）目前法律规定中法律少而规章等偏多，缺乏信息安全的基本法4）相关法律规定篇幅小，行为规范较简单5）与信息安全相关的其他法律有待完善2、我国第一部真正意义的电子商务法——《电子签名法》1）制定《电子签名法》的必要性2）《电子签名法》里如何解决电子商务的有关法律问题3）电子签名法的主要特点技术问题复杂，但法律问题却相对简单具有很强的国际统一趋势实行“技术中立的”立法原则3、我国对于网络个人隐私的保护.2国外的相关法律1、关于个人隐私权的保护1）美国的电子商务隐私保护法律2）欧洲的电子商务隐私保护法律3）欧美数据保护“安全港”2、关于电子商务信息安全的保护1）美国的部分电子商务安全法律2）美国的部分电子商务安全法律移动商务安全和隐私保护的未来发展趋势.1持续的无线网络连接将带来更多的安全和隐私问题2移动设备将从使用WTLS逐步过渡到TLS.3智能卡的广泛使用.4生物特征识别技术的广泛使用小结移动商务由于使用了无线通信技术和定位技术，这就不可避免地带来了比电子商务更多的安全和隐私问题。通过本章的介绍，我们对移动商务面临主要安全挑战以及所带来的隐私问题有了一个基本的了解。针对这些安全和隐私问题，相应的机构和企业制定了一系列的安全隐私保护原则和解决方案。然而，目前在无线领域的安全和隐私问题依然十分突出，而随着移动设备的计算性能迅速增加，网络带宽逐渐加大，以及新兴的安全和隐私解决方案不断出现，困扰移动商务发展的安全和隐私问题将逐渐得到解决。