《移动电商基础》 课件 项目七 移动商务的安全知识

项目七移动商务的安全知识移动电商基础素质目标1．坚持诚实守信、绿色发展的经营理念；2．树立勇于担当的责任意识和培养吃苦耐劳的劳动精神；3．努力践行严谨细致、精益求精的工匠精神；4．自觉遵守行业法律法规，恪守职业道德，提高法律素质。知识目标1．了解移动商务的安全问题；2．理解移动商务的安全需求；3．掌握移动商务的安全技术。能力目标1．能够发现移动商务存在的安全隐患；2．能够分析移动商务中的安全问题；3．能够运用专业知识解决移动商务中的实际问题。教学目标目录CONTENTS移动商务的安全需求1

移动商务的安全技术2

任务一移动商务的安全需求1.坚持诚实守信、绿色发展的经营理念；2.树立勇于担当的责任意识；3.践行严谨细致、精益求精的工匠精神。1.了解移动商务的安全问题；2.理解移动商务的安全需求。1.能够发现移动商务中存在的安全隐患；2.能够分析移动商务中的安全问题。教学目标素质目标知识目标技能目标移动商务的安全需求保密性（Confidentiality）需求又称交易的隐私性需求，是指移动商务交易双方的信息在网络传输或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密后，使未经授权者无法了解其内容。一、保密性需求因为互联网是一个开放的公用互联网络，移动商务的交易双方在通过互联网交换信息时，如果不采取适当的保密措施，那么其他人就有可能获知交易双方的通信内容；另外，存储在网络上的文件信息如果不加密的话，也有可能被黑客窃取，造成重要信息的泄密，影响交易的顺利实现。保密性需求的必要性移动商务的安全需求移动商务的保密性需求主要是通过“数据不被窃取、窃取不可破译”的思路来设计的。设计思路具体来说，“数据不被窃取”可以通过设置防火墙、互联网协议安全（InternetProtocolSecurity，IPS）等手段来实现；而“窃取不可破译”则主要通过各种加密手段来实现。具体做法移动商务的保密性需求在交易的保密性需求中还包括交易的不可跟踪性。也就是人们在进行移动商务交易时，其他人无法通过对用户所用支付手段的分析判断用户的身份，也无法获知用户的相关信息，避免交易受到干扰。交易的不可跟踪性（1）网络漏洞（2）软件病毒（3）黑客窃取（4）意外泄密影响商务交易保密性的因素移动商务的保密性需求木马病毒木马病毒主要是指利用计算机程序漏洞侵入后窃取文件的程序。手机病毒是一种具有传染性、破坏性的程序。0102移动商务的保密性需求思考讨论：影响移动商务安全的常见病毒有哪些？移动商务的完整性需求是指在交易中，交易信息未经授权不能进行改变的特性，也就是交易数据在传输或存储过程中不发生恶意删除、意外消失、篡改、伪造、乱序、插入等损坏。二、完整性需求一是保证信息在传输、使用和存储等过程中不被篡改；二是保证信息处理方法正确，不因不当操作造成内容丢失。完整性的两个方面的要求移动商务的安全需求移动商务的不可否认性也叫不可抵赖性，是指移动商务活动的交易双方不能否认自己的行为和参与活动的内容。三、不可否认性需求在传统方式下，人们可以通过用户在交易合同、契约或贸易单据等书面文件上的手写签名或印章来进行鉴别。在移动商务环境下，一般通过数字证书机制的时间签名和时间戳来进行验证。比较传统方式下与移动商务环境下的验证移动商务的安全需求（1）发送信息者事后否认曾经发送过某条信息或内容；（2）接收信息者事后否认曾经收到过某条信息或内容；（3）购买者下单后不承认；（4）商家卖出产品后不承认原有的交易。电子商务中的抵赖行为在移动商务中通过使用数字签名，将具体用户信息与对应的操作和交易信息进行绑定，使用户必须对他们的行为负责，这样既维护了履行交易双方的权益，也为其提供了可信的证据。移动商务中使用数字签名移动商务的不可否认性需求移动商务的匿名性需求主要是为保护交易双方的安全，尤其是保护用户信息，避免信息泄露造成用户被攻击，对用户信息进行合理的隐匿。四、匿名性需求（1）用户身份的隐藏：用户的永久身份不能在无线接入链路上被窃听到。（2）用户位置的隐藏：当用户到达某个位置或某个区域时，不能通过对无线接入网窃听到。（3）用户的不可跟踪性：攻击者不能通过在无线接入网上窃听，推断出是不是对某个用户提供了不同的服务。移动商务的安全需求移动商务的可靠性需求是指在商务活动中，为保障交易双方的权益，应保证计算机、网络硬件和软件工作的可靠性，尽量排除网络故障、操作错误、应用程序错误和病毒等威胁因素对移动商务的影响，从而打造一个安全、可靠的交易环境，保证商务活动的可靠性。五、可靠性需求移动商务的安全需求移动商务的认证性需求是指在独立、公正、客观的原则上，采用科学合理的方法，经过权威机构的认证，保证在移动商务中的个人或电子商务经营主体的真实性和有效性。六、认证性需求移动商务的其他安全需求（1）有效性：有效性指交易信息、数据在约定的交易期限内是有效的。交易信息的有效性是整个交易进行的重要基础。（2）可用性：可用性是指当用户需要使用硬件、软件、数据等方面的资源时，移动商务环境中提供的服务是可用的。移动商务的安全需求知识小结任务二移动商务的安全技术1.培养吃苦耐劳的劳动精神；2.树立勇于担当的责任意识；3.遵守行业法律法规，恪守职业道德，提高法律素质。1.理解移动商务面临的安全威胁；2.掌握移动商务的安全技术。1.能够辨别移动商务面临的安全威胁；2.能够根据实际情况选择合适的安全技术。教学目标素质目标知识目标技能目标移动商务的安全需求无线网络面临的安全威胁移动终端设备面临的安全威胁移动支付面临的安全威胁移动商务平台运营管理漏洞造成的安全威胁移动商务面临的安全威胁无线网络是开展移动商务的必要技术，由于无线网络的开放性、移动性，造成移动商务面临多种安全威胁，主要集中在5个方面：（一）无线网络面临的安全威胁1.无线窃听无线窃听可以造成通信信息和数据的泄露，而移动用户身份和位置信息的泄露可以造成移动用户被无线追踪。这对于移动商务的商家和用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。

2.漫游安全3.假冒攻击4.完整性侵害5.业务抵赖在移动商务中，这种威胁包括两个方面：一方面是交易双方中的买家收货后否认交易，企图逃避付费；另一方面是卖家收款后否认交易，企图逃避发货或提供服务。移动商务面临的安全威胁移动终端设备面临的安全威胁包括移动终端设备的物理安全、移动终端设备的硬件攻击、移动终端设备的软件攻击和拒绝服务等多个方面。（二）移动终端设备面临的安全威胁1．移动终端设备的物理安全移动终端设备，如手机、平板电脑在携带过程中可能会因为人为或自然因素致使移动终端设备丢失或损坏。

移动商务面临的安全威胁（二）移动终端设备面临的安全威胁2．移动终端设备的硬件攻击两种方式：第一种方式是攻击者在目标终端内安装专

门的窃听装置，不仅能窃听用户的通话内容，还能通过远程控制，使处于待机状态的移动终端设备自动切换为通话状态，从而窃听周围环境的内容；第二种方式是利用移动终端设备不间断与无线通信网络保持信息交换的特性，通过相应的技术手段，达到对目标终端进行识别、监视、跟踪和定位的目的。3．移动终端设备的软件攻击移动终端设备软件攻击主要是指手机病毒造成的安全威胁。对移动终端设备而言，手机病毒带来的危害非常大。

移动商务面临的安全威胁移动支付是移动商务活动交易过程中的重要环节，一旦移动支付环节出现安全问题，不仅影响移动商务活动的正常开展，还容易造成用户和商家的资金损失。（三）移动支付面临的安全威胁移动支付面临的安全威胁：1.信息泄露的威胁。2.简易支付功能安全威胁。3.用户防范意识不足造成的威胁。

移动商务面临的安全威胁思考讨论：日常网购中，简易支付面临哪些威胁？1.动商务平台是买卖双方实现交易的必备条件，如果该平台存在运营管理漏洞，就会对移动商务的开展造成较大的安全威胁。2.移动商务平台运营管理漏洞，造成的安全威胁主要体现在两个方面：（1）技术原因导致平台容易受到人为攻击，造成平台运营管理的相关内容遭到篡改，移动商务的某些业务无法开展或错误开展；（2）平台工作人员的疏忽或管理不善致使平台和用户的信息被泄露，从而带来不利后果。3.移动商务平台需要规范管理，完善技术更新，提高人员素质，防范漏洞的产生，保证交易的顺利完成。（四）移动商务平台运营管理漏洞造成的安全威胁移动商务面临的安全威胁无线公开密钥技术生物特征识别技术设置防火墙和安全规则虚拟专用网络技术移动商务的安全技术SUBTITLE无线公开密钥体系（WirelessPublicKeyInfrastructure，WPKI）是将移动商务中公开密钥体系的安全机制改进后引入无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和可靠的无线网络环境。（一）无线公开密钥技术SUBTITLE1.公钥密码学（1）公钥密码学也被称为非对称密码学，基本的意思就是在加密和解密的时候使用不同的密钥，也就是key，其中一个是公钥，是可以公开出去的，另外一个是私钥，要严格保密。（2）公钥密码学有两个应用，一个是加密通信，另外一个是数字签名。（一）无线公开密钥技术SUBTITLE2.公开密钥系统的组成（1）WPKI是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.S09数字证书。它同样采用证书管理公钥，通过第三方的可信任机构——认证中心（CA）验证用户的身份，从而实现信息的安全传输。（2）基本的WPKI组件包括端实体应用（EE）、注册中心（RA）、认证中心（CA）和PKI目录。（一）无线公开密钥技术SUBTITLE（一）无线公开密钥技术3.数字签名

数字签名是基于公钥加密技术来实现的，又被称为公钥数字签名。它可以帮助数据单元的接收者判断数据的来源，保证数据的完整性并防止数据被篡改。

数字签名的工作过程：（1）报文发送者采用哈希（Hash）编码加密并产生一个128位的数字摘要；（2）发送者用自己的私钥对报文摘要进行加密，形成发送者的数字签名；（3）将数字签名作为报文的附件和报文同时传输给接收者；（4）接收者使用发送者的公钥对摘要进行解密，同时从接收到的原始报文中使用同样的哈希编码加密得到一个报文摘要；（5）将解密后的摘要和接收者重新加密产生的摘要进行对比，若两者相同，则确定消息在传送过程中没有被破坏或篡改。用户根据自身需要进行安全设置。防火墙具备防止外部攻击、防止内部信息外泄、对网络存取和访问进行监控审计等功能。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测、潜在破坏性行为的发生。防火墙是保护本地系统或网络，抵制网络攻击的最常用的网络安全技术。（二）设置防火墙和安全规则VPN虚拟专用网络（VirtualPrivateNetwork，VPN）技术指的是在公用网络上建立专用网络的技术。1.含义：2.优势：（1）安全：在远端用户、合作伙伴、供应商、驻外机构与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通信网络的融合特别重要。（2）成本低：利用公共网络进行信息通信，企业投资小、花费少，可以用更低的成本连接移动商务各方。（3）与移动商务高度契合：支持VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动商务需求。通过身份认证、数据加密、数据验证可以有效地保证VPN网络和数据的安全性。（三）虚拟专用网络技术生物特征识别技术是指利用人体生物特征进行身份认证的一种技术。生物特征识别技术可以通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性（指纹、虹膜、面相、DNA等）和行为特征（步态、动作习惯等）来进行个人身份的鉴定。1.含义：2.任务：生物识别技术中的两个最基本任务是识别任务和验证任务，验证任务所进行的是1∶1的比对，而识别任务则进行的是1∶N的比对。识别任务类似于检索任务，但与检索任务不同，生物识别往往要求精确匹配而不是模糊匹配。从难度上来讲，识别任务具有更大的挑战性，两种任务尽管具有相近的漏检率，但识别任务的错检率是验证任务的N倍。（四）生物特征识别技术指纹识别主要根据人体指纹的纹路、细节特征等信息对操作者进行身份鉴定。指纹识