移動電子商務(wù)及應(yīng)用-移動商務(wù)安全

移動商務(wù)安全學(xué)習(xí)目標(biāo)了解移動商務(wù)面對的安全問題以及安全需求掌握移動商務(wù)的主要安全技術(shù)學(xué)習(xí)內(nèi)容移動商務(wù)安全保障移動商務(wù)安全體系學(xué)習(xí)進(jìn)度移動電子商務(wù)的安全問題移動電子商務(wù)的安全技術(shù)移動商務(wù)面臨的安全問題無線竊聽漫游安全假冒攻擊信息篡改重傳攻擊物理安全業(yè)務(wù)抵賴移動商務(wù)的安全問題無線竊聽假冒攻擊移動商務(wù)的安全問題業(yè)務(wù)抵賴信息篡改移動商務(wù)的安全問題SIM卡被復(fù)制此外，移動商務(wù)的安全問題還包括SIM卡被復(fù)制、電子標(biāo)簽（RFID）被解密、手機(jī)病毒、拒絕服務(wù)等多個方面。學(xué)習(xí)進(jìn)度

移動電子商務(wù)的安全問題

移動電子商務(wù)的安全技術(shù)移動商務(wù)的安全技術(shù)移動商務(wù)技術(shù)體系分為移動承載層、加密技術(shù)層、安全認(rèn)證層、安全協(xié)議層和應(yīng)用系統(tǒng)層。加密技術(shù)層對稱密鑰加密體制加密和解密使用相同的密鑰如排列碼算法、RC4、混沌算法、DES、IDEA、RC2等加密技術(shù)層非對稱密鑰加密體系非對稱密鑰加密算法需要兩個密鑰：公開密鑰（PublicKey）和私有密鑰（PrivateKey）。如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能進(jìn)行解密；如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的公開密鑰才能解密。安全認(rèn)證層安全認(rèn)證層提供了實現(xiàn)用戶身份認(rèn)證的相關(guān)安全機(jī)制。消息摘要消息摘要采用單向Hash函數(shù)將需加密的明文"摘要"成一串128bit的密文，稱為數(shù)字指紋。只有輸入相同明文經(jīng)過相同的消息摘要算法才能得到相同的密文，從而可以驗證該消息的完整性。數(shù)字簽名一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算，一個用于簽名，另一個用于驗證。實現(xiàn)數(shù)字簽名的方式是逆用公鑰密碼系統(tǒng)的加密技術(shù)，即由發(fā)送方用自己的私鑰來對消息進(jìn)行簽名，然后接收方用發(fā)送方的公鑰來解密消息。安全認(rèn)證層安全認(rèn)證層數(shù)字證書數(shù)字證書是用來確認(rèn)安全電子商務(wù)交易雙方身份的工具，其數(shù)字簽名是由CA證書管理中心提供。PKIPKI技術(shù)采用證書管理公鑰，通過第三方的權(quán)威、可信任機(jī)構(gòu)認(rèn)證中心CA把用戶的公鑰和用戶的其他標(biāo)識信息（如用戶名、e-Mail、身份證號等）捆綁在一起，從而在Internet上驗證用戶的身份。安全協(xié)議層安全協(xié)議層通過加密技術(shù)和認(rèn)證技術(shù)的綜合運(yùn)用，形成了相關(guān)的安全協(xié)議。安全協(xié)議是以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議。電子商務(wù)中著名的安全協(xié)議有SSL/TLS協(xié)議、WTLS協(xié)議和一些安全交付協(xié)議，如SET協(xié)議和電子支票（NetBill）協(xié)議。小結(jié)介紹了移動商務(wù)在安全性方面所存在的問題、面臨的安全需求和技術(shù)現(xiàn)狀。用于加強(qiáng)安全性的技術(shù)不僅僅包含數(shù)字加密，還有一個數(shù)字簽名技術(shù)，可以用來驗證發(fā)送者身份和數(shù)字消息的完整性。學(xué)習(xí)內(nèi)容移動商務(wù)安全保障移動商務(wù)安全體系學(xué)習(xí)進(jìn)度移動商務(wù)的安全協(xié)議和標(biāo)準(zhǔn)手機(jī)病毒及其防范WAP簡介WAP（WirelessApplicationProtocol，無線應(yīng)用協(xié)議）WAP針對屏幕較小、連接速率較低和內(nèi)存較小設(shè)備的上網(wǎng)需求而設(shè)計適用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)采用WML用戶的界面WAP的體系結(jié)構(gòu)移動終端認(rèn)證移動終端有一個私鑰和一個用戶證書URL。私鑰必須保存在終端，通常保存在WIM（WirelessIdentityModule，無線身份識別模塊）中。WIM要求是防篡改的硬件，一般都做在SIM卡中，稱為S/WIM卡。WAP中規(guī)定WIM中存儲的不是終端的證書，而是證書的URL，證書則集中存儲在證書目錄中。當(dāng)需要驗證移動終端身份的時候，將根據(jù)WIM中的證書URL到相應(yīng)的位置獲取證書。WAP網(wǎng)關(guān)認(rèn)證過程根CA的WTLS證書保存在移動終端的WIM中WTLS格式證書比X.509證書小很多，更適合移動終端的有限存儲資源；WTLS采用橢圓曲線密碼算法ECC代替PKI中的RSA算法，使密鑰長度大大縮短。WPKI安全體系WPKI（無線公鑰基礎(chǔ)設(shè)施）是WAP的安全基礎(chǔ)采用優(yōu)化的ECC橢圓曲線加密和壓縮的X.509數(shù)字證書，通過認(rèn)證中心（CA）來驗證用戶的身份采用非對稱加密來提供移動通信網(wǎng)中的安全服務(wù)，包括身份認(rèn)證、數(shù)據(jù)完整性和加密等服務(wù)案例：無線存取電子郵件當(dāng)用手機(jī)無線上網(wǎng)發(fā)送電子郵件給一位或多位接收人時，發(fā)送者可以先將郵件加密、簽名，若采用WPKI，即使該郵件被其他人截獲，這些人無法閱讀郵件。

請思考其他人無法閱讀郵件的原因是什么？案例：網(wǎng)上銀行如果網(wǎng)上銀行系統(tǒng)中采用了WPKI和數(shù)字證書認(rèn)證技術(shù)，不法分子即使竊取了卡號和密碼，也無法在網(wǎng)上銀行交易中實施詐騙，為什么？WLAN安全體系無線局域網(wǎng)絡(luò)（WLAN）采用IEEE802.11系列標(biāo)準(zhǔn)，其安全機(jī)制包括：采用SSID。服務(wù)區(qū)別號SSID相當(dāng)于一個簡單的口令，只有與無線訪問點AP（AccessPoint）的SSID相同的移動終端才可以接入該網(wǎng)絡(luò)。使用MAC地址訪問控制列表。在AP中設(shè)置，隨后進(jìn)行物理地址過濾。使用有線等價保密WEP（WiredEquivalentPrivacy），保證信道上傳送數(shù)據(jù)的安全。使用Wi-Fi訪問保護(hù)WPA/WPA2。其中WPA2使用AES算法并引入CCMP（計數(shù)器模式密碼塊鏈消息完整碼協(xié)議），是目前使用最廣泛的無線加密方式。學(xué)習(xí)進(jìn)度

移動商務(wù)的安全協(xié)議和標(biāo)準(zhǔn)

手機(jī)病毒及其防范措施手機(jī)病毒的定義計算機(jī)病毒(ComputerVirus)是編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù)的代碼，能影響計算機(jī)使用，能自我復(fù)制的一組計算機(jī)指令或者程序代碼。手機(jī)病毒一般通過發(fā)送病毒短信、彩信、電子郵件、瀏覽網(wǎng)站、下載鈴聲等形式攻擊手機(jī)，破壞手機(jī)功能或者破壞數(shù)據(jù)，造成手機(jī)狀態(tài)異常。世界首例手機(jī)病毒是2000年6月在西班牙爆發(fā)的Timofonica，它通過運(yùn)營商的移動系統(tǒng)向系統(tǒng)內(nèi)的用戶發(fā)送辱罵短信。手機(jī)病毒的分類蠕蟲型病毒蠕蟲型病毒利用操作系統(tǒng)和應(yīng)用程序所提供的功能或漏洞主動進(jìn)行攻擊，如“卡比爾”和Lasco.A病毒等都是蠕蟲病毒。蠕蟲病毒可以在短時間內(nèi)通過藍(lán)牙或短信的方式蔓延至整個網(wǎng)絡(luò)，造成用戶財產(chǎn)損失和手機(jī)系統(tǒng)資源的消耗。木馬型病毒木馬型病毒也叫后門病毒，其特點是運(yùn)行隱蔽、自動運(yùn)行和自動恢復(fù)，能自動打開特別的端口傳輸數(shù)據(jù)。目前較為常見的手機(jī)木馬程序有Pbstealer（如通訊錄盜竊犯）、Commwarrior病毒（彩信病毒）等。感染型病毒感染型病毒的特征是將其病毒程序本身植入其它程序或數(shù)據(jù)文件中，傳播手段一般使用網(wǎng)絡(luò)下載，資源拷貝。惡意程序型病毒惡意程序型病毒專指對手機(jī)系統(tǒng)軟件進(jìn)行軟件硬件破壞的程序，造成用戶數(shù)據(jù)丟失或系統(tǒng)不能正常運(yùn)行啟動。典型的例子有導(dǎo)致手機(jī)自動關(guān)閉的移動黑客（Hack.mobile.smsdos），導(dǎo)致手機(jī)工作不正常的Mobile.SMSDOS病毒。手機(jī)病毒的分類蠕蟲型病毒利用操作系統(tǒng)和應(yīng)用程序所提供的功能或漏洞主動進(jìn)行攻擊木馬型病毒運(yùn)行隱蔽、自動運(yùn)行和自動恢復(fù)，能自動打開端口傳輸數(shù)據(jù)感染型病毒將其病毒程序本身植入其它程序或數(shù)據(jù)文件中惡意程序型病毒對手機(jī)系統(tǒng)軟件進(jìn)行軟件硬件破壞的程序案例分析：六一兒童節(jié)禮物病毒屬于哪種類型（）？蠕蟲型病毒木馬型病毒感染型病毒惡意程序型病毒手機(jī)病毒的特點傳染性隱蔽性潛伏性可觸發(fā)性針對性破壞性表現(xiàn)性寄生性不可預(yù)見性手機(jī)病毒的攻擊方式及危害攻擊手機(jī)本身攻擊WAP網(wǎng)關(guān)攻擊WAP服務(wù)器（即源數(shù)據(jù)服務(wù)器）手機(jī)病毒的防治謹(jǐn)慎接聽電話、接收短信息，謹(jǐn)慎網(wǎng)絡(luò)下載信息。謹(jǐn)慎傳輸數(shù)據(jù)信息，包括數(shù)據(jù)線、存儲卡、紅外線、藍(lán)牙、WiFi等。關(guān)注手機(jī)系統(tǒng)補(bǔ)丁，安裝殺毒軟件和防火墻，及時更新病毒庫查殺病毒，做好審記日志工作。小結(jié)學(xué)習(xí)了移動商務(wù)的安全協(xié)議和標(biāo)準(zhǔn)（WAP、WPKI、WLAN和藍(lán)牙）。了解了手機(jī)病毒的特點和防治方法。案例無線存取電子郵件答案：只有指定的接收人才可以