1、移动电子商务项目七 移动电子商务安全管理目录Contents二务任了解移动电子商务面临的安全威胁了解移动电子商务安全管理一务任了解移动电子商务面临的安全威胁一务任无线窃听漫游安全身份冒充完整性侵害物理安全侵害RFID被解密软件病毒SIM卡被复制业务抵赖移动电子商务平台的运营管理漏洞周大铭经过不断深入的学习,对移动电子商务的认识逐渐深入。他敏锐地发现,智能手机已经成为第一大上网终端,移动电子商务也已经进入大部分的消费场景,然而移动互联网及智能终端的安全问题也随之大量暴露出来,严重地制约着移动电子商务的发展。在探讨解决移动电子商务安全问题之前,必须先了解移动电子商务面临哪些安全威胁。周大铭通过统计
2、和浏览最近发生的移动电子商务安全案例对此进行了简单调查。一无线窃听在移动通信网络中,所有的网络通信内容(如移动用户的通话信息、身份信息、位置信息、数据信息,以及移动站与网络控制中心之间的信息等)都是通过无线信道传送的。而无线信道是一个开放性的信道,任何拥有适当无线设备的人均可以通过窃听无线信道而截获上述信息。二漫游安全在无线网络中,当用户漫游到攻击者所在的一定区域内时,在终端用户不知情的情况下,信息可能被攻击者窃取和篡改,网络服务也可能被拒绝。中断交易后,由于缺少重新认证的机制,通过刷新使连接重新建立会给系统带来风险。三身份冒充当攻击者截获一个合法用户的身份信息时,他就可以用这个身份信息来假冒
3、该合法用户入网发送诈骗信息。攻击者还可通过冒充网络控制中心,如在移动通信网络中假冒基站欺骗用户,骗取用户身份信息。四完整性侵害010203可以通过信息的修改阻止用户双方建立连接;可以欺骗接收者相信收到的已被修改的信息是由原发送者传出的未经过修改的信息;还可以通过阻止合法用户的身份信息、控制信息或业务数据传输,从而使合法用户无法享受正常的网络服务。指网络攻击者截取信息,并私自修改、删除、插入、重传合法用户的信息或信息数据的过程。完整性侵害五物理安全侵害物理安全侵害是指在使用移动终端的过程中受到人为或自然因素的危害而使信息丢失、泄露和破坏。受灾防护区域防护设备防盗设备防毁防止线路截获抗电磁干扰电源
4、保护对终端设备采取的安全技术措施六RFID被解密RFID技术目前应用得越来越广泛,例如手机上安装了此技术后便可成为电子钱包,在消费时直接通过手机进行付费等。一旦RFID被解密,将会对用户资金造成极大威胁。七软件病毒软件病毒在这里主要指的是手机病毒。用户被感染软件病毒后,移动终端便会出现这样或那样的问题,进而导致用户信息泄露、资金损失、硬件损毁等严重后果。八SIM卡被复制SIM卡在计算机芯片上存储了移动电话客户的数字信息、加密的密钥,以及用户的电话簿等内容,可供GSM网络客户进行身份鉴别。据报道,全球最少有几亿部手机的SIM卡存在安全漏洞,导致黑客可以从远端复制SIM卡,并盗取SIM绑定的银行账
5、号内的资金。SIM卡也被称为用户身份识别卡和智能卡。九业务抵赖另一方面,卖方收款后否认交易,企图逃避付货。一方面,交易双方的买方收货后否认交易,企图逃避付费;业务抵赖指交易的一方在业务发生后否认业务的发生以逃避责任。十移动电子商务平台的运营管理漏洞服务篡改账号被盗资料泄露任务实施分析移动电子商务安全案例阅读教材中的几个案例,认识移动电子商务安全面临的各类威胁。步骤1【案例一】滴滴后台车辆信息被篡改 “劳斯莱斯”吓跑多名乘客【案例二】大学生研究复制手机信息技术 诈骗团伙借此疯狂盗取500万元【案例三】不法分子用“手机分享网址无法直接查看域名”特征实施诈骗试着以书面形式指出以上3个案例分别属于哪一
6、种安全威胁。通过这些案例,总结一些保护移动电子商务安全方面的经验。步骤2任务实施分析移动电子商务安全案例“劳斯莱斯”开滴滴吓跑多名乘客了解移动电子商务安全管理二务任移动电子商务的安全需求移动电子商务的安全技术手机病毒周大铭在了解了移动电子商务安全所面临的主要威胁后,认识到进行移动电子商务安全管理、保护移动终端的安全、防范手机病毒的重要性。特别是最近冒出来的手机勒索病毒,让他意识到威胁已经近在眼前。本任务就通过撰写一份防治手机勒索病毒的计划书,来学习和移动电子商务安全管理相关的知识。一移动电子商务的安全需求(三)完整性需求(一)认证性需求(二)私密性需求(四)不可否认性需求一移动电子商务的安全需
7、求(一)认证性需求认证是指对交易主体进行身份识别,当入侵者篡改信息、重发消息、故意发送错误信息,以及消息不全或网络数据丢失时,不会导致任意一方资金或产品的损失。认证是最重要的安全保证手段之一,是分布式网络系统中主体进行身份识别的过程。发送方与接收方共享一个密钥,通过对拥有此秘钥的验证,交易主体可建立对另一参与方的信任。一移动电子商务的安全需求(二)私密性需求私密性是指保证私有交易重要信息不能被其他人截获并读取,没有人能够通过拦截会话数据获得账户信息,同时还要满足订单和支付信息的保密性。一移动电子商务的安全需求(三)完整性需求数据完整性是指利用信息校验等手段保证数据在整个交易过程中没有被修改,接
8、收方所接收的消息正是发送方发送的消息,即保护信息的完整性,或可以发现信息的变化,防止信息的替换。一移动电子商务的安全需求(四)不可否认性需求不可否认性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。二移动电子商务的安全技术中国移动通信研发中心将移动电子商务安全技术体系分为移动承载层、加密技术层、安全认证层、安全协议层和应用系统层。下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层之间互相关联成为统一整体,以确保移动电子商务系统的安全。二移动电子商务的安全技术(三)抗抵赖技术(一)完整性保护技术(二)认证性和私密性保护技术(四)安全协议二移动电子商务的安全技术(
9、一)完整性保护技术完整性保护技术用于提供消息认证的安全机制,通常通过数字摘要技术来实现的。数字摘要技术就是利用一个带密钥的Hash函数对消息进行计算,产生消息认证码,并将它和消息捆绑在一起传给接收方。接收方在收到消息后首先计算消息认证码,并将重新计算的消息认证码与接收到的消息认证码进行比较。如果相等,则接收方就认为消息没有被篡改;如果不相等,则接收方就知道消息在传输过程中被篡改。信息摘要的原理二移动电子商务的安全技术(二)认证性和私密性保护技术对传输信息进行加密是实现网络信息认证性和私密性的核心手段之一。现在广泛使用的是对位进行变换的密码算法,这些算法按密钥管理的方式可以分为:u对称密钥加密体
10、制u非对称密钥加密体制认证性保护技术用来确认某一实体所声称的身份,以防假冒。私密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。对称秘钥加密体制1二移动电子商务的安全技术(二)认证性和私密性保护技术对称密钥加密体制是文件加密和解密使用相同的密钥,即加密密钥也可以作为解密密钥。优点:使用起来简单快捷,密钥较短且破译困难。缺点:这种算法需要信使或私密信道来传送密钥,密钥的传送和管理比较困难。对称秘钥加密体制1二移动电子商务的安全技术(二)认证性和私密性保护技术对称密匙密码体制流程图非对称秘钥加密体制2二移动电子商务的安全技术(二)认证性和私密性保护技术非对称密钥加密算法需要公开密钥和私有密钥
11、两个密钥作为密钥对。u如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;u如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。非对称加密算法的保密性不依赖于加密体制和算法,而是依赖于密钥。非对称秘钥加密体制2二移动电子商务的安全技术(二)认证性和私密性保护技术公开密钥对数据进行加密可实现保密通信非对称秘钥加密体制2二移动电子商务的安全技术(二)认证性和私密性保护技术用私有密钥对数据进行加密可实现数字签名二移动电子商务的安全技术(三)抗抵赖技术抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为,要解决此问题,必须在每一事件发生时,留下关于该事件不可否认的证据。通常,不可
12、否认证据是由发送者使用数字证书技术产生的。二移动电子商务的安全技术(四)安全协议01020304密钥交换协议用于完成会话密钥的建立,一般情况下是在参与协议的两个或多个实体之间建立共享的秘密,如用于一次通信的会话密钥。认证协议包括身份认证协议、消息认证协议、数据源认证协议等,用来防止假冒、篡改和否认等攻击。认证密钥交换协议将认证协议和密钥交换协议结合在一起,先对通信实体的身份进行认证,在认证成功的基础上,为下一步安全通信分配所使用的会话密钥。电子商务协议主体是交易双方,其利益目标是矛盾的。电子商务协议最为关注的就是公平性。三手机病毒(三)手机病毒的防治(一)手机病毒的定义(二)手机病毒的危害三手
13、机病毒(一)手机病毒的定义 手机病毒是以手机为感染对 象,以手机网络和计算机网络为平台,通过发送病毒短信、彩信、电子邮件、浏览网站、下载铃声等形式攻击手机,破坏手机功能或者破坏数据,造成手 机状态异常,影响手机正常使用的一种 新型病毒。对手机终端的危害1三手机病毒(二)手机病毒的危害(1)(2)(3)攻击硬件消耗手机内存或修改手机系统设置,导致手机无法正常工作。窃取信息窃取手机上保存的机密数据,或修改、删除和插入移动终端中的数据,破坏数据的真实性和完整性。恶意利用中毒后的手机登录QQ号、微信号、游戏号等,会自动散播一些不良的信息和图片,甚至会乱发病毒给QQ好友。黑客盗取QQ等社交账号后还会群发
14、诈骗信息和虚假广告给好友。对移动网络的危害2三手机病毒(二)手机病毒的危害手机通信网中的“网关”是有线网络与无线网络间的联系纽带。手机病毒可以利用网关漏洞对手机网络进行攻击,使手机不能正常工作。攻击和控制通信“网关”通过发送大量的垃圾数据和消耗无线资源,使正常业务被拒绝。攻击WAP服务器手机用户1三手机病毒(三)手机病毒的防治(1)(2)(3)留意一些乱码电话、未知短信和彩信等手机异常情况。不要从未知来源下载应用和信息等。安装手机杀毒软件或手机卫士。及时更新病毒库和诈骗号码数据库,通过手机卫士等App防范手机病毒或诈骗来电。手机交换数据的主要方式包括数据线、存储卡、红外线、蓝牙和Wi-Fi等。
15、用户使用时需要注意保障数据来源的安全性。移动通信运营商2三手机病毒(三)手机病毒的防治由于手机病毒的传播必须依靠网络,因此手机的杀毒重点应放在网络层面,最直接有效的办法就是让网络运营商进行网络杀毒。手机制造商3三手机病毒(三)手机病毒的防治为用户提供手机固件或操作系统的升级服务,通过对漏洞的修补来提高防范病毒的能力。手机在出厂前,在内部捆绑反病毒软件,为用户提供最基本的安全服务。通过系统对第三方软件进行认证的方式来提高安全性。(1)(2)(3)安全软件生产商4三手机病毒(三)手机病毒的防治(1)(2)(3)结合手机的特点,推出更有效的手机反病毒软件,能针对手机进行全面快速的病毒扫描和准确的实时监控,保护用户的智能手机及所存储数据的安全。将存储卡或手机直接与个人计算机相连,利用个人计算机上的杀毒软件进行查杀操作。优点是可以彻底、完全地清除系统内的病毒;缺点是不能实时查杀。提供无线网络在线杀毒,能够较好地做到杀毒能力和实时查杀的兼顾。移动电子商务项目七 移动电子商务安全管理谢谢观看
