《电子商务安全与管理》第7章

《电子商务安全与管理》2006年8月第七章移动电子商务安全与应用第七章随着移动互联网的快速发展，商家可以通过移动电子商务将市场目标定位到个人。从单纯的网上发布传递信息到建立网上商务信息中心；从借助传统贸易手段的雏形电子商务交易到完成产、供、销整体业务流程的网上电子商务虚拟市场；从封闭的银行电子金融系统到开放移动的网络电子银行；移动商务是21世纪的生存方式。移动电子商务是电子商务的一个新的分支，但是从应用角度来看，它的发展是对有线电子商务的补充与发展，是电子商务发展的新形态。移动电子商务将传统的商务和已经发展起来的、但是分散的电子商务整合起来，将各种业务流程从有线向无线转移和完善，是一种新的突破，是电子商务发展的最高形式。本章共分三节介绍移动电子商务的安全与应用第一节移动电子商务安全概述第二节移动安全协议和标准第三节移动系统安全第七章第一节移动电子商务安全概述在移动通信和电子商务系统平台之上实现安全的移动商务，必须保障移动商务交易、客户数据、客户终端以及移动新业务等的安全。当前主要有阻止未经授权用户访问、保护数据传送、保护移动设备上的数据、保护现有安全投资四项保障移动数据安全的基本措施。一、移动代理安全二、移动数据安全的基本措施三、手机病毒的原理及手机安全防护措施四、移动商务面临的安全威胁与法律问题第七章一.移动代理安全（一）移动代理的概念移动代理(MobileAgent简称MA)不同于远程执行，移动代理能够不断地从一个网络位置移动到另一个位置，能够根据自己的选择进行移动。移动代理的优点：(1)服务请求动态地移动到服务器端执行(2)移动代理不需要统一的调度（二）MA的安全性问题MA系统所受的威胁主要有：MA受到恶意代理或其它恶意MA的攻击；低层传输网络受到攻击。为了保护代理服务器,以防止恶意的代理对它的破坏,通常采用的安全检测技术有：(1)身份认证(Authentication)。(2)代码验证(Verification)。(3)授权认证(Authorization)。第七章二、移动数据安全的基本措施开发和执行移动商业解决方案时，应该考虑如下四个移动安全问题：（一）阻止未经授权的用户访问（二）保护数据传送（三）保护移动设备上的数据（四）保护现有安全投资第七章三、手机病毒的原理及手机安全防护措施（一）手机病毒的种类及症状1）EPOC病毒。2）Trojanhorse病毒3）Unavailable病毒4）Hack-mobile.smsdos病毒（二）手机病毒的原理手机病毒必须具备两个基本的条件才能传播和发作，首先移动服务商要提供数据传输功能，另外，要求手机使用的是动态操作系统，也就是支持Java等高级程序写入功能。第七章（三）手机病毒的攻击模式①直接攻击手机本身，使手机无法提供服务。②攻击WAP服务器使WAP手机无法接收正常信息③攻击和控制“网关”,向手机发送垃圾信息。（四）手机病毒的防护措施①使用手机上网功能时，尽量从正规网站上下载信息；②如果收到含有病毒的短信或邮件时，应立即删除；③如果键盘被锁死，可以取下电池后开机再删除；如果仍无法删除，可以尝试将手机卡换到另一型号的手机上删除；④如果病毒一直占据内存，无法进行清除，可以将手机拿到厂商维修部重写芯片程序。第七章四、移动商务面临的安全威胁与法律问题（一）移动商务面临的安全威胁1．技术方面的安全威胁1）网络本身的威胁。2）无线AdHoc应用的威胁。3)网络漫游的威胁。4）物理安全。2．隐私和法律问题1）垃圾短信息。2）定位新业务的隐私威胁。（二）移动商务的法律保障第七章第二节移动安全协议和标准一、蓝牙标准（一）蓝牙技术定义的标准及其特点1．蓝牙标准1）GenericAccess。2）ServiceDiscoveryApplication。3）CordlessTelephony。4）Intercom。5）SerialPort。6）Headset。7）Dial-upNetworking。第七章8）Fax。9）LANAccess。10）GenericObjectExchange。11）ObjectPush。12）FileTransfer。13）Synchronization。2．蓝牙通讯技术的特点1）蓝牙技术工作在全球开放的2.4GHzISM（即工业、科学、医学）频段。2）使用跳频频谱扩展技术，把频带分成若干个跳频信道（hopchannel），在一次连接中，无线电收发器按一定的码序列不断地从一个信道“跳”到另一个信道。3）一台蓝牙设备可同时与其它七台蓝牙设备建立连接。4）数据传输速率可达1Mbit/s。第七章5）低功耗、通讯安全性好。6）在有效范围内可越过障碍物进行连接，没有特别的通讯视角和方向要求。7）支持语音传输。8）组网简单方便。（二）蓝牙的安全性蓝牙装置可以与经过认证的一方进行双边连接，或者是永久性连接（称为pairing，配对联机），这样一来受信赖的一方就不需要每次都要经过认证流程（比如耳机与电话之间）。应用本身与使用者设置也会影响到安全。第七章二、无线应用协议(WAP)无线应用协议（WirelessApplicationProtocol，WAP）是一个用于在无线通信设备（手机、寻呼机等）之间进行信息传输的无须授权、也不依赖平台的协议，可用于Internet访问、WAP网页访问、收发电子邮件等等。WAP常识第七章（一）WAP的体系结构与工作原理1．WAP的层次结构1)应用层。2)无线会话层。3)传输协议层。4)安全协议层。5)数据报协议层。2．WAP工作原理第七章（二）WAP系统的架构1.因特网三维网架构第七章2.因特网WAP网络架构3．WAP的微浏览器第七章三、无线PKIPKI(PublicKeyInfrastructure)即公开密钥体系，是利用公钥理论和技术建立的提供信息安全服务的基础设施。（一）无线公开密钥体系的概念WPKI即“无线公开密钥体系”，它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，它可以用来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。一个完整的WPKI系统必须具有以下部分：PKI客户端、注册机构(RA)、认证机构(CA)和证书库以及应用接口等基本构成部分，其构建也将围绕着这五大系统进行。第七章（二）保密信息和资料的传输WPKI技术可以解决保密信息传输的问题。当发送信息给一位或多位接收人时，发送者可以先将信息加密、签名。这样，只有指定的接收人才可以在CA中心的服务器上取得公钥并开启邮件，即使该信息被其他人截获，这些人也会因为得不到公钥而无法阅读信息。第七章四、无线网络标准IEEE802.11b（一）IEEE802.11b标准简介IEEE802.11b无线局域网的带宽最高可达11Mbps，比原IEEE802.11标准快5倍，扩大了无线局域网的应用领域。（二）IEEE802.11b的基本运作模式IEEE802.11b运作模式基本分为两种：点对点模式和基本模式。(1)点对点模式是指无线网卡之间的通信方式，只要PC插上无线网卡即可与另一装有无线网卡的PC连接，(2)而基本模式是指无线网络规模扩充或无线和有线网络并存时的通信方式，这是IEEE802.11b最常用的方式。（三）IEEE802.11b的应用前景(1)企业可以应用无线局域网作为他们有限局域网的延伸。(2)小企业和家庭用户也将使用无线局域网代替有线网络，从而获得无线局域网提供的诸多“无线”服务。第七章第三节移动系统安全一、移动支付系统安全方案移动支付是指交易双方通过移动设备进行商业交易。(一)移动支付的分类移动支付分为微支付和宏支付两大类根据传输方式的不同分为空中交易和WAN(广域网)交易（二）移动支付运营策略1）安全问题。2）可用性和互操作问题。3）市场认知度与理解。4）选择合适的合作者。第七章二、GSM安全GSM较之它以前的标准，最大的不同是它的信令和语音信道都是数字式的，因此GSM被看作是第二代(2G)移动电话系统。GSM网络运行在多个不同的无线电频率上。GSM是一个蜂窝网络,也就是说移动电话要连接到它能搜索到的最近的蜂窝单元区域。GSM网络一共有4种不同的蜂窝单元尺寸：宏蜂窝，微蜂窝，微微蜂窝和伞蜂窝。GSM还支持室内覆盖，通过功率分配器可以把室外天线的功率分配到室内天线分布系统上。在使用方面，GSM的一个关键特征就是用户身份模块(SIM),也叫SIM卡。在安全方面，GSM被设计具有中等安全水平。GSM使用了多种加密算法。第七章三、3G系统的安全体系第三代移动通信系统(3G)中的安全技术是在GSM的安全基础上建立起来的，它克服了一些GSM中的安全问题，也增加了新的安全功能。（一）3G安全体系的系统定义1）安全目标。2）任务模型。3）功能实体。4）攻击模型分析。第七章（二）3G安全技术分析1．安全技术分析1）入网安全。2）核心网安全技术。3）传输层安全。4）应用层安全。5）代码安全。6）个人无线网络安全。第七章2．3G安全体系特点1）完整性。3G中定义了完整的安全目标和攻击模型，并确保没有遗漏。但当系统各部分相对孤立的时候，要实现这样的目标是比较困难的。2）有效性。减少各安全功能的重复性，提高效率。同样，当系统各部分相对孤立时，要实现这样的目标是比较困难的。3）可实施性。3G中的安全特性应能够达到预期的目标。但是，在某一领域加强了安全措施，其实也为新的攻击提供了可趁之机。4）可扩展性。在系统的生存期，应能够不断升级安全措施以应对各种各样的攻击。5）用户界面友好性。安全方案的提供应尽量避免太多用户的参与，安全措施对用户而言应是透明的。第七章四、SIM应用工具包SIM卡（SubscriberIdentityModule）即用户识别卡，它是一张符合GSM规范的IC卡。SIM应用工具包是一组指令，已经作为GSM标准的一部分集成在GSM标准中。它对SIM卡如何与外界进行交互做了详细的规定，并且扩展了SIM卡与手机之间的通信协议。SIM应用工具包具有很强的灵活性，允许随时对SIM信息进行更新，并且可通过无线方式下载新的服务。SIM应用工具包可用于设计客户机/服务器应用环境。第七章本章小结移动电子商务将传统的商务和已经发展起来的、但是分散的电子商务整合起来，将各种业务流程从有线向无线转移和完善，是一种新的突破，是电子商务发展的最高形式。在移动通信和电子商务系统平台之上实现安全的移动商务，必须保障移动商务交易、客户数据、客户终端以及移动新业务等的安全。当前主要有阻止未经授权用户访问、保护数据传送、保护移动设备上的数据、保护现有安全投资四项保障移动数据安全的基本措施。本章特别介绍了最流行的移动终端——手机的安全隐患及其防护措施。手机病毒是以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式对手机进行攻击，从而造成手机异常的一种新型病毒。当前手机病毒的种类主要有：EPOC病毒、Trojanhorse病毒、Unavailable病毒和Hack-mobile.smsdos病毒等等。移动商务的安全协议和标准主要有：蓝牙标准、无线应用协议(WAP)、无线PKI、无线网络标准IEEE802.11b。移动系统安全方面，本章主要介绍了移动支付系统安全方案、GSM安全、3G系统的安全体系和SIM应用工具包等内容，重点分析了第三代移动系统（3G系统）的安全目标、面临的安全威胁及主要攻击，并对3G系统的安全体系设计进行了较为详细的分析。思考与练习下课了，再见！