第11章-移动电子商务安全.ppt

1、移动商务，秦成德发布，第十一章移动电子商务安全问题移动电子商务安全协定和标准移动电子商务系统安全，第一节移动电子商务面临的威胁手机病毒无线电技术的攻击手段，一、移动电子商务面临的威胁，(一)移动商务面临的无线电频道是一个开放的频道，给无线电用户带来通信自由和灵活性，同时也带来许多不安因素。 一、移动电子商务面临的威胁，(1)技术安全威胁，(a )网络本身的威胁。 通信内容容易被窃听，通信双方的身份容易被伪造，通信内容容易被篡改等。 (b )无线自组织应用程序的威胁。 无线设备不仅给互联网上的在线应用带来了威胁，还给移动性和通信媒体带来了新的安全问题。 如果通信从一个小区切换到另一小区，则受侵害

2、域能够通过恶意下载、恶意消息和服务拒绝来侵害无线设备。 一、移动电子商务面临的威胁，(c )互联网漫游的威胁。 由于无线设备没有固定的地理位置，因此很难跟踪它们，因为它们可以在不同的区域之间漫游，并且可以随时在线或离线。 随着这些设备数量的增加，对无线网络的攻击将成为对方攻击的最佳选择。 (d )物理安全。 即由于身体积极小，没有建筑、门锁的管理保证，容易丢失或被盗。 目前，手持移动设备的最大问题是缺乏特定用户的物理身份验证机制。 一、移动电子商务面临的威胁；(2)隐私和法律问题；(a )垃圾信息。 垃圾邮件害怕在网络上使用自己的移动设备进行业务活动，害怕移动业务。 目前，没有规范邮件广告的法

3、律法规，运营商也只能在技术上限制垃圾邮件的群发。 (b )查明新业务的隐私威胁。 定位是移动商务的新应用，所使用的技术有全球定位系统GPS (全球定位系统)。 此技术使执法机构和政府能够截获渠道上的数据并跟踪个人的物理位置。 一、移动电子商务面临的威胁；(二)移动商务的法律保障移动商务是一项系统工程，移动商务的发展不仅受到技术的成熟，还受到法律、社会和管理等诸多因素的制约。 移动业务的另一个应用是娱乐行业。 随着生活水平的提高，越来越多的青少年拥有手机、PDA等移动设备。 游戏对青少年有很大的吸引力，但是关于什么种类的游戏适合青少年等问题，有不同的法律规定。 移动游戏领域也出现了隐私和法律问题

4、。 总之，移动商务必须首先确保安全，其次是降低信息成本再次在技术上成为可能。 现在还没有完全标准化、法律化。 二、手机病毒、手机短信的诞生，引起了通信革命，“拇指经济”拯救了许多危难中的IT企业。 但是，邮件也像电子邮件一样吸引病毒的传播。 手机病毒已成为手机目前面临的最严重的安全问题。 二、手机病毒，(一)手机病毒的种类和症状目前发现的手机病毒大致有亿以下四种。 (1)EPOC病毒，共6种EPOC病毒： (1)EPOC警报病毒； (b)EPOCFAKE-A病毒(c)EPOCGHOST-A病毒(d)EPOCBANDINFO-A病毒(e)EPOCIGHTS-A病毒(f)EPOCALONE-A病毒

5、。 二、手机病毒，(2)Trojan horse病毒这是一种特洛伊木马病毒，是一种恶意病毒，一旦发生病毒就会使用通讯簿给外部打电话或发邮件。 (3)Unavailable病毒在接到电话时，画面上不是显示电话号码，而是显示“unavailable”的文字和奇怪的符号。此时，一接电话就会感染这种病毒，同时机内的所有资料都会丢失。 (4)当4)Hack-mobile.smsdos病毒接收到包含该病毒的信息时，手机会恐慌或自动关机。 二、手机病毒，(二)手机病毒的原理手机病毒是一种计算机程序，以手机网络和计算机网络为平台，以手机为感染对象，以病毒邮件等形式攻击手机，引起手机异常手机病毒必须具备传播和发

6、作的两个基本条件：首先移动运营商必须提供数据传输功能，其次，手机要求使用动态操作系统。 现在手机病毒还处于比较初期的阶段，现在的手机病毒大多只能攻击某些品牌和某种型号的手机，很难出现全面流行的手机病毒。 另外，手机的内存很小，操作系统的运算能力有限，病毒无法拥有完美强大的功能。 二、手机病毒，(三)手机病毒的攻击模式直接攻击手机本身，手机无法提供服务。 攻击WAP服务器后，WAP手机将无法接收正常的信息。 攻击控制“网关”，向手机发送垃圾邮件。 第一种攻击是病毒对手机本身的直接攻击，后者是手机病毒对网络的攻击。 二、手机病毒，(四)手机病毒防护措施目前对普通手机用户还无法防病毒，我们应养成良好

7、的手机使用习惯，加强手机使用安全防护意识。 手机病毒总是热衷于脆弱性和缺陷多的手机模型，购买时必须避免购买这样的手机。 同时，使用带防火墙功能的手机的新产品也是好的选择。 (一)监听无线技术的一个最为众所周知的问题是，无线信号容易被监听和解码，并且网络上监听的设备像网络接入设备一样简单。 即使通信以加密形式充分进行，窃听者也能够获得并解密加密形式的通信内容，并且多个加密强度低的加密算法可能容易地被解密。 (2)通信干扰和通信干扰是指通信链路的正常传输和接收受到其它单元的干扰而不能使用，并且干扰方案主要有以下三种： a .客户干扰b .基站干扰c .拒绝服务干扰、三、无线电技术攻击手段、(三)插

8、入数据修正攻击者劫持正常通信连接后，插入攻击对原始数据进行修正或恶意插入数据和指令MITM攻击通常伪装成网络资源，并且一旦客户端启动连接，则攻击者截获该连接，伪装成客户端和真实的网络资源并完成该连接，然后代理通信。 此时，攻击者可在客户端和网络资源之间任意地插入数据、修改通信、或者窃听会话。 三、无线技术攻击手段，(四)欺诈客户研究使用中的客户后，攻击者可以模仿或克隆客户的身份来获得网络和业务访问。 同时也可以模仿网络接入点来伪造网络资源。 客户不知不觉地连接到伪装接入点，接入泄露机密信息的网络后，就可以对其他网络进行恶意攻击，如果网络运营商不采取慎重措施，就可以通过他们的网络对其他网络进行攻

9、击第二节移动电子商务安全协议和标准、蓝牙标准无线应用协议(WAP )无线PKI IEEE 802.11b，一、蓝牙标准、蓝牙技术(Bluetooth technology )是短距离无线通信技术， 蓝牙技术可以用于成功简化这些设备与因特网之间的通信，并且可以更快并且有效地在这些现代通信设备和因特网之间的数据传输以及为无线通信拓宽道路。 1、蓝牙标准，(1)蓝牙技术定义的标准和特征(1)蓝牙标准蓝牙技术定义的标准由十三部分组成。 其中许多标准要求是以最终用户服务的形式，通过定义相应服务模块中不同设备之间的互操作性特征和过程提出的。 定义的标准为： (a )通用接入(b )服务发现应用程序协议(c

10、 )代码电话，(d )。 (e )使用传真(f )局域网接入(g )通用对象扩频(h )对象推送(I )文件传输(j )同步b )跳频扩频技术来建立多个频带在一个链路中，无线收发机以恒定的码序列不断地从一个信道“跳跃”到另一个信道。 c )一台蓝牙设备可以与其他7台蓝牙设备同时建立链路的d )数据传输速度最高为1Mbit/s。 e )低功耗、通信安全性好。 f )可在有效范围内跨障碍物进行连接，无特殊通信视角或方向要求。 g )支持语音传输。 h )网络简单方便。1、蓝牙标准、(2)蓝牙安全蓝牙有三种不同的安全模式，每种蓝牙设备在特定的时间仅以一种安全模式运行(1)安全模式(2)服务层增强安全

11、模式：在建立了逻辑链路控制和自适应协议信道之后，初始化安全过程。 (3)链路层强化安全模式：在信道建立前，链路层强化安全模式被初始化。 1、蓝牙标准，(3)蓝牙安全问题蓝牙的安全是相对的，并且许多弱点可以用于蓝牙安全架构。 (1)单元密钥重用问题；(2)PIN码；(3)认证问题；(4)其他安全性问题，二)无线应用协议(WAP )，以及无线应用协议(wireless application protocol )互联网接入WAP由一组协议组成，它引用了许多互联网协议，为基于HTTP和TLS的互联网标准协议留出了空间。 以WAP为中心的层叠式WAP协议体系为无线设备的应用开发提供了可扩展、可扩展的环

12、境。 二、无线应用协议(WAP )，WAP体系结构和操作原理(一) WAP分层结构(a )作为应用层的无线应用环境(WAE )，WAE具有解释并运行使用WML语言编辑的WAP页的功能； 包含WML脚本(WML Script )，提供具有解释和执行以WML语言编辑的WAP页面的功能的微浏览器。 明确的更新，包括支持无线通信技术应用的图像、电话簿记录、日期信息等数据格式，包括无线通信技术服务WTA及其编程接口WTAI，可以解释和执行用该脚本语言编写的网页(2)无线应用协议(WAP )，以及(b )无线会话层无线会话层协议(WSP )，其中WSP当前由与阅览中的应用符合的服务组成，通常是WSP/支持

13、长会话状态、会话暂停和重启(简称b )支持与支持可靠或不可靠数据的通用设备的链接和访问协议特性的分发。 由于WSP系统协议要求较长的响应时间，因此，它优化了低带宽承运商网络的应用，并且允许WAE代理通过WSPB设置纠正将WSP/B客户端连接到HTTP服务器。 二、无线电应用协议(WAP )和(c )传输协议层无线传输协议层(WTP )操作在分组服务的顶层，以及， 例如，PDU串行延迟异步传输服务，用于减少用户对接收信息的确认超时带宽中的数据的确认传输消息数量，所述接收信息提供适合在作为“瘦客户端”的移动网络站上执行的一般事务。 二、无线应用协议(WAP )，(d )安全协议层无线传输安全层协议

14、(WTLS )是基于工业标准传输层安全协议的协议， 主要提供数据传输的功能和服务如下：保证终端和应用服务器之间数据传输的机密性，避免数据传输中的监听和窃听保证终端应用服务器的完整性检查未能顺利通过审计的数据，并根据需要驳回数据二、无线应用协议(WAP )、(e )数据报协议层无线数据报协议(WDP )，用于传输数据并发送和接收消息。 为WAP的更高级协议提供服务支持，使您能够独立运行更低级别的无线网络，同时保持通信透明度。 WDP采用中间网关实现全局行为互操作性，同时使传输接口与基本特性保持一致。 另一方面，无线应用协议(WAP )、(2)在因特网上，一般协议主要需要发送大量基于文本的数据，标准Web内容难以显示在移动电话或寻呼机等移动通信设备的小画面上。 为了解决这样的问题，WAP进行了很多优化处理。 例如，以二进制方式传输高度压缩的数据，以优化长延迟和中低带宽。 另外，WAP通过增强网络功能来补充便携式移动设备自身的缺点，并且在操作中尽可能减少移动通信设备的资源。 二、无线应用协议(WAP )、(二) WAP系统的架构无线通信协议WAP是规定WEB服务器与客户端浏览器交互的方式和规范的标准，如HTTP协议。 1 )因特网三维网络架构2 )因特网WAP网络架构3)WAP的微浏览器、三端无线PKI、公共密钥基础结构(PKI