移動商務(wù)安全管理高效培訓(xùn)課件

1、移動商務(wù)安全管理高效培訓(xùn)課件10.1 移動電子商務(wù)安全概述移動電子商務(wù)移動電子商務(wù)是指通過手機、個人數(shù)字助理（PDA）和掌上電腦等手持移動終端設(shè)備與無線上網(wǎng)技術(shù)結(jié)合所構(gòu)成的一個電子商務(wù)體系。 1. 移動電子商務(wù)的內(nèi)涵10.1 移動電子商務(wù)安全概述（1）便捷：無論何時何地，終端用戶都可以隨時隨地的進行商業(yè)交易與支付活動；（2）靈活：用戶可以根據(jù)自己的需求選擇靈活的接入與支付方式；（3）高效：移動終端是一種智能化程度非常高的設(shè)備；（4）個性化：移動終端可提供針對不同用戶群的個性化的服務(wù)信息。 2. 移動電子商務(wù)的特點移動電子商務(wù)主要提供的服務(wù)有：PIM（個人信息服務(wù)）、銀行業(yè)務(wù)、交易、購物等其他行

2、業(yè)。10.1 移動電子商務(wù)安全概述 3. 移動電子商務(wù)的應(yīng)用交易娛樂購物銀行業(yè)務(wù)定票移動電子商務(wù)融合了移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)而實現(xiàn)，在終端上與傳統(tǒng)電子商務(wù)也有很大的區(qū)別，因此移動電子商務(wù)的安全既包括了傳統(tǒng)Internet電子商務(wù)系統(tǒng)的安全問題，也包括信息在移動通信網(wǎng)絡(luò)中傳輸?shù)陌踩L(fēng)險和移動終端本身的安全。10.1 移動電子商務(wù)安全概述 4. 移動電子商務(wù)安全特點移動終端（手機、掌上電腦、）安全和無線網(wǎng)絡(luò)安全固定終端（機）安全有線網(wǎng)絡(luò)安全移動電子商務(wù)與傳統(tǒng)電子商務(wù)安全比較10.1 移動電子商務(wù)安全概述 .移動電子商務(wù)安全的基本需求身份標識(Identification)身份認證(Authenti

3、cation)每一個用戶，應(yīng)有一個唯一的用戶ID、識別名稱等對其身份進行標識。接入控制(Access Control)數(shù)據(jù)完整性(Integrity)不可否認性(Non-Repudiation)數(shù)據(jù)保密性(Confidentiality)系統(tǒng)應(yīng)該能夠通過密碼、標識或數(shù)字認證確保用戶身份是合法的用戶。通過授權(quán)等安全機制保證有合適權(quán)限的用戶才能訪問相應(yīng)的系統(tǒng)功能。利用信息分類和校驗等手段保證數(shù)據(jù)在整個交易過程中沒有被修改。通過數(shù)字簽名等手段來保證交易各參與方對整個交易活動不得抵賴。通過加密手段保證數(shù)據(jù)在交易過程中不得被未經(jīng)授權(quán)的人員所正確讀取。思考：傳統(tǒng)電子商務(wù)安全要求是什么？10.1 移動電子商

4、務(wù)安全概述移動電子商務(wù)的安全技術(shù)加解密技術(shù)(1)對稱密碼體制又稱單鑰或私鑰密碼體制，在這種體制中，加密密鑰和解密密鑰是一樣的或彼此之間容易確定。(2)非對稱密碼體制又稱雙鑰或公鑰密碼體制，每個用戶擁有兩種密鑰，即公開密鑰和私有密鑰，公開密鑰可以向所有人公開，而只有用戶自己知道其私有密鑰。明文明文密文加密算法解密算法密鑰密鑰加解密過程發(fā)送方用自己的私有密鑰對要發(fā)送的信息進行加密發(fā)送方將加密后的信息通過網(wǎng)絡(luò)傳送給接收方接收方用發(fā)送方進行加密的那把私有密鑰對接收到的加密信息進行解密，得到信息明文.密文明文發(fā)送方Internet密文密鑰發(fā)送方 (= 密鑰接收方)加密明文接收方密鑰接收方解密10.1 移

5、動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)對稱加密過程2 Alice產(chǎn)生一對密鑰，用于加密和解密3 Alice將一個密鑰公開，另一個密鑰私有BobAlice1 Bob要發(fā)送消息給Alice4 Bob用Alice的公鑰對消息加密，發(fā)送給Alice。只有Alice能解密10.1 移動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)非對稱加密過程10.1 移動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)認證技術(shù)（之一） 身份認證是防止攻擊者主動攻擊的重要技術(shù)，認證的主要目的，一是驗證消息發(fā)送者和接收者的真?zhèn)?；二是驗證消息的完整性，驗證消息在傳送或存儲過程中是否被篡改或延遲等。（1）數(shù)字簽名在書面文件上簽名是確認

6、文件的一種手段，其作用有兩點：第一，因為自己的簽名難以否認，從而確認了文件已簽署這一事實；第二，因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名也能確認以下兩點：第一，信息是由簽名者發(fā)送的；第二，信息自簽發(fā)后到收到為止未曾作過任何修改。10.1 移動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)認證技術(shù)（之一）數(shù)字簽名過程公開的Hash算法數(shù)字指紋 數(shù)字簽名的作用若數(shù)字簽名可用簽名者的公開密鑰正確地解開，則表示該數(shù)字簽名是由簽名者所產(chǎn)生的；兩者的信息摘要相同表示文件沒有被他人篡改過。10.1 移動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)認證技術(shù)（之一）驗證消息發(fā)送者和接收者的真?zhèn)悟炞C消息的完

7、整性10.1 移動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)認證技術(shù)（之二）（2）數(shù)字證書數(shù)字證書(Digital ID)又叫“網(wǎng)絡(luò)身份證”、“數(shù)字身份證”，其主要內(nèi)容: 由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的； 包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件；可以用來證明數(shù)字證書持有者的真實身份;是PKI體系中最基本的元素；證書是一個機構(gòu)頒發(fā)給個體的證明，所以證書的權(quán)威性取決于該機構(gòu)的權(quán)威性。認證機構(gòu)（CA）注冊機構(gòu)（RA）證書庫 密鑰備份和恢復(fù)系統(tǒng)證書廢除系統(tǒng) 自動密鑰更新 密鑰歷史檔案 應(yīng)用程序接口 最終用戶傳統(tǒng)電子商務(wù)PKI由哪幾個基本部分組成？數(shù)字證書的作用證明在電子商務(wù)或信息交換

8、中參與者的身份；授權(quán)進入保密的信息資源庫；提供網(wǎng)上發(fā)送信息的不可否認性的依據(jù)；驗證網(wǎng)上交換信息的完整性。10.1 移動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)認證技術(shù)（之二） 頒證機關(guān)簽名 證書格式：序列號簽名算法 頒證機構(gòu)有效期限持有人姓名持有人公鑰證書采用格式辨識數(shù)字證書的標識簽名證書采用的算法 頒證機構(gòu)名稱證書有效期限公鑰數(shù)值及演算標示證書采用格式簽名證書采用的算法辨識數(shù)字證書的標識證書采用格式簽名證書采用的算法 頒證機構(gòu)名稱辨識數(shù)字證書的標識證書采用格式簽名證書采用的算法 頒證機構(gòu)名稱辨識數(shù)字證書的標識證書采用格式簽名證書采用的算法 頒證機構(gòu)名稱辨識數(shù)字證書的標識證書采用格式簽名證書采

9、用的算法公鑰數(shù)值及演算標示 頒證機構(gòu)名稱辨識數(shù)字證書的標識證書采用格式簽名證書采用的算法證書有效期限公鑰數(shù)值及演算標示確認證書的擁有者辨識數(shù)字證書的標識證書采用格式簽名證書采用的算法確保證書資料不被篡改在移動電子商務(wù)中最常用到的數(shù)字證書是X.509，證書的機構(gòu)包括：10.1 移動電子商務(wù)安全概述 移動電子商務(wù)的安全技術(shù)認證技術(shù)（之二）10.1 移動電子商務(wù)安全概述7移動電子商務(wù)的安全技術(shù)無線公開密鑰體系(WPKI)1.移動終端通過注冊機構(gòu)向證書中心申請數(shù)字證書2.證書中心經(jīng)過審核用戶身份后簽發(fā)數(shù)字證書給用戶3.用戶將證書、私鑰存放在UIM卡中，移動終端在無線網(wǎng)絡(luò)上進行電子商務(wù)操作時利用數(shù)字證書

10、保證端對端的安全。4.服務(wù)提供商則通過驗證用戶證書確定用戶身份并提供給用戶相應(yīng)的服務(wù)，從而實現(xiàn)電子商務(wù)在無線網(wǎng)絡(luò)上的安全運行。密鑰備份恢復(fù)證書簽發(fā)機關(guān)數(shù)字證書庫應(yīng)用接口證書作廢系統(tǒng)10.1 移動電子商務(wù)安全概述7移動電子商務(wù)的安全技術(shù)無線公開密鑰體系(WPKI)無線公開密鑰體系(WPKI)是移動電子商務(wù)中應(yīng)用較多的一種安全體系；它是將互聯(lián)網(wǎng)電子商務(wù)中PKI安全機制引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標準的密鑰及證書管理平臺體系；用它來管理在移動網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書，有效建立安全的無線網(wǎng)絡(luò)環(huán)境。無線公開密鑰體系(WPKI)作用：10.2 移動電子商務(wù)安全問題 移動電子商務(wù)存在的安全問

11、題分析移動電子商務(wù)由于利用了很多新興的設(shè)備和技術(shù)，因此帶來了很多新的安全問題。在傳統(tǒng)電子商務(wù)中，很多顧客和企業(yè)由于擔心因安全問題蒙受損失而一直對這種高效便捷的商務(wù)方式持觀望態(tài)度。而移動電子商務(wù)除包含大部分傳統(tǒng)電子商務(wù)所面臨的各種安全問題外，由于自身的移動性所帶來的一些相關(guān)特性又產(chǎn)生了大量全新的安全問題?？偟膩碚f，移動電子商務(wù)的安全面臨著技術(shù)、管理和法律幾個方面的挑戰(zhàn)，與傳統(tǒng)電子商務(wù)相比，其安全問題更加復(fù)雜，解決起來難度更大。10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨的主要問題移動電子商務(wù)由于采用了移動網(wǎng)絡(luò)通信技術(shù)，其無線通信信道是一個開放性信道，因此移動電子商務(wù)的通信過程中存在著比傳統(tǒng)有線

12、電子商務(wù)更多的不安全因素：(1) 無線竊聽偽造的網(wǎng)上銀行服務(wù)器網(wǎng)上銀行服務(wù)器銀行錯誤的DNS或輸錯網(wǎng)址竊聽網(wǎng)上銀行用戶無線竊聽可以導(dǎo)致信息泄露，移動用戶的身份信息和位置信息的泄露可以導(dǎo)致移動用戶被無線跟蹤。無線竊聽可以導(dǎo)致其他一些攻擊，如傳輸流分析，即攻擊者可能并不知道消息的真正內(nèi)容，但他知道這個消息的存在，并知道消息的發(fā)送方和接收方地址，從而可以根據(jù)消息傳輸流的信息分析通信目的，并可以猜測通信內(nèi)容。無線竊聽主要威脅10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨的主要問題（2）冒充和抵賴10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨的主要問題在無線通信網(wǎng)絡(luò)中，移動站與網(wǎng)絡(luò)控制中心以及其它移動站

13、之間不存在固定的物理連接，當攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個信息來冒充該合法用戶的身份入網(wǎng)，這就是所謂的身份冒充攻擊。 移動站無線通信網(wǎng)絡(luò)網(wǎng)絡(luò)控制中心合法用戶1合法用戶i合法用戶n截獲非法用戶冒充所交易后抵賴是指交易雙方中的一方在交易完成后否認其參與了此交易。這種威脅在傳統(tǒng)電子商務(wù)中也很常見，假設(shè)客戶通過網(wǎng)上商店選購了一些商品，然后通過移動支付系統(tǒng)向網(wǎng)絡(luò)商店付費。這個應(yīng)用系統(tǒng)中就存在著兩種服務(wù)后抵賴的威脅：（1）客戶在選購了商品后否認其選擇了某些或全部商品而拒絕付費；（2）商店收到了客戶的付款卻否認已經(jīng)受到付款而拒絕交付商品。10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨

14、的主要問題10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨的主要問題(3) 重傳攻擊所謂重傳攻擊是指攻擊者將竊聽得到的有效信息經(jīng)過一段時間后再傳給信息接收者，目的是企圖利用曾經(jīng)有效的信息在改變了的情形下達到同樣的目的。例如，攻擊者利用截獲到的合法用戶口令來獲得網(wǎng)絡(luò)控制中心的授權(quán)，從而訪問網(wǎng)絡(luò)資源。10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨的主要問題（4）病毒和黑客回答是肯定的。與有線互聯(lián)網(wǎng)絡(luò)一樣，移動通信網(wǎng)絡(luò)和移動終端也面臨著病毒和黑客的威脅。隨著移動電子商務(wù)的發(fā)展，越來越多的黑客和病毒編寫者將無線網(wǎng)絡(luò)和移動終端作為攻擊的對象。無線通信網(wǎng)絡(luò)是否存在病毒？首先，攜帶病毒的移動終端不僅可以感染無

15、線網(wǎng)絡(luò)，還可以感染固定網(wǎng)絡(luò)，由于無線用戶之間交互的頻率很高，病毒可以通過無線網(wǎng)絡(luò)迅速傳播，再加上有些跨平臺的病毒可以通過固定網(wǎng)絡(luò)傳播，這樣傳播的速度就會進一步加快。其次，移動終端的運算能力有限，PC機上的殺毒軟件很難使用，而且很多無線網(wǎng)絡(luò)都沒有相應(yīng)的防毒措施。另外，移動設(shè)備的多樣化以及使用軟件平臺的多種多樣，使其病毒感染的方式也隨之多樣化，這給采取防范措施帶來很大的困難。10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨的主要問題（5）插入和修改數(shù)據(jù)攻擊者劫持了正常的通信連接后，可能在原來的數(shù)據(jù)上進行修改或者惡意地插入一些數(shù)據(jù)和命令 。攻擊者可以利用虛假的連接信息使得接入點或基站誤以為已達到連接上

16、限，從而拒絕對合法用戶的正常訪問請求。合法用戶拒絕服務(wù)10.2 移動電子商務(wù)安全問題 1.技術(shù)上面臨的主要問題(6) 無線網(wǎng)絡(luò)標準的缺陷移動電子商務(wù)涉及到很多無線網(wǎng)絡(luò)標準，其中使用比較廣泛的是實現(xiàn)無線手機訪問因特網(wǎng)的WAP（Wireless Application Protocol ）標準和構(gòu)建無線局域網(wǎng)(WLAN)的802.11標準。802.11無線局域網(wǎng)的安全問題主要包括： 802.11標準使用的WEP（有線等效加密,保護網(wǎng)絡(luò)通訊數(shù)據(jù)包避免被監(jiān)聽者破譯 ）安全機制存在缺陷，公用密鑰容易泄露且難以管理，容易造成數(shù)據(jù)被攔截和竊取；WLAN的設(shè)備容易為黑客所控制和盜用來向網(wǎng)絡(luò)傳送有害的數(shù)據(jù);網(wǎng)絡(luò)

17、操作容易受到堵塞傳輸通道的拒絕服務(wù)攻擊；許多WLAN在跨越不同子網(wǎng)的時候往往不需要第二次的登陸檢查。10.2 移動電子商務(wù)安全問題2.管理上面臨的主要問題(1)手機短信的安全管理問題 目前通信公司對垃圾短信只是采取事后管理的辦法，即限制手機短信的容量，比如每天一個手機號碼最多只能發(fā)送100條短信，發(fā)現(xiàn)有號碼發(fā)送短信異常，數(shù)量特別多而且集中，會采取7天內(nèi)禁止該號碼再發(fā)送信息的處罰。 但是那些垃圾短信的制造者會輪流使用多張卡發(fā)送短信，每張卡的使用壽命也很短，這使得治理垃圾短信收效甚微。而且作為通信公司來講，不敢貿(mào)然替客戶屏蔽掉這些信息，同時運營商也要顧及到客戶的隱私權(quán)。利用“短信貓”在短時間內(nèi)向移

18、動用戶密集發(fā)送垃圾短信利用誘惑性的文字可能會間接騙取用戶的金融資料或誘騙機主撥打高額的信息臺電話垃圾短信眾多，使得對移動電子商務(wù)產(chǎn)生恐懼10.2 移動電子商務(wù)安全問題2.管理上面臨的主要問題(2)SP提供商的安全管理問題 SP提供商通過移動運營商提供的增值接口，可以通過短信、彩信、無線應(yīng)用協(xié)議WAP等方式為手機用戶發(fā)送產(chǎn)品廣告、提供各種移動增值服務(wù)。 由于SP與移動運營商之間是合作關(guān)系，因此移動運營商很難充當監(jiān)督管理的角色，部分不法SP以利益為重，利用手機的GPRS上網(wǎng)功能，向用戶發(fā)送虛假信息和廣告，哄騙他們用手機登陸該網(wǎng)站，實際上卻自動訂購了某種包月服務(wù)，網(wǎng)站以此騙取信息費。很多用戶容易將比

19、較機密的個人資料或商業(yè)信息存儲在移動設(shè)備當中，如PIN碼、銀行帳號甚至密碼等，原因是這些移動設(shè)備可以隨身攜帶，數(shù)據(jù)和信息便于查找。但是由于移動設(shè)備體積較小，而且沒有建筑、門鎖和看管保證的物理邊界安全，因此很容易丟失和被竊。很多用戶對他們的移動設(shè)備沒有設(shè)置密碼保護，對存儲信息沒有備份，在這種情況下丟失數(shù)據(jù)或被他人惡意盜用，都將會造成很大的損失。10.2 移動電子商務(wù)安全問題2.管理上面臨的主要問題（3）移動終端的安全管理問題另外，用戶在使用移動設(shè)備時大多數(shù)是在公共場合，周圍行人較多，彼此之間的距離很近，尤其是在地鐵這樣比較擁擠的交通工具上，設(shè)備顯示信息和通話信息比較容易泄露給他人，用戶在信息安全

20、防范意識方面有所欠缺。10.2 移動電子商務(wù)安全問題2.管理上面臨的主要問題(4)工作人員的安全管理問題人員管理常常是移動電子商務(wù)安全管理中比較薄弱的環(huán)節(jié)。未經(jīng)有效的訓(xùn)練和不具備良好職業(yè)道德的員工本身，對系統(tǒng)的安全是一種威脅。工作人員素質(zhì)和保密觀念是一個不容忽視的問題，無論系統(tǒng)本身有多么完備的防護措施，也難以抵抗其帶來的影響。對于外來攻擊者，他們可能通過各種方式及渠道，獲取用戶的個人信息和商業(yè)信息等，如果員工在各方面都加緊防范，應(yīng)該可以杜絕不少漏洞。我國很多企業(yè)對職工安全教育做的不夠，又缺乏有效的管理和監(jiān)督機制，有些企業(yè)買通對手的管理人員，竊取對手的商業(yè)機密，甚至破壞對方的系統(tǒng)，這給企業(yè)帶來極

21、大的安全隱患。10.2 移動電子商務(wù)安全問題2.管理上面臨的主要問題（5）信息安全管理的標準化問題目前移動電子商務(wù)產(chǎn)業(yè)剛剛起步，這個領(lǐng)域還沒有國際標準，我國也沒有自己的國家標準和統(tǒng)一管理機構(gòu)。設(shè)備廠商在無線局域網(wǎng)設(shè)備安全性能的實現(xiàn)方式上各行其道，使得移動用戶既不能獲得真正等效于有線互聯(lián)網(wǎng)的安全保證，也難以在保證通訊安全的基礎(chǔ)上實現(xiàn)互通互聯(lián)和信息共享。由于沒有安全標準的評測依據(jù)，又缺乏有關(guān)信息安全的管理法規(guī)，主管部門很難對信息安全標準做出規(guī)范要求，這也為移動電子商務(wù)信息安全的審查和管理工作帶來了很大困難。10.3 移動電子商務(wù)安全解決方案1.基于WAP的安全解決方案（1）方案的實現(xiàn)目標具有身份認

22、證功能，確保Web服務(wù)器能夠確認消息的來源，使移動終端與Web服務(wù)器之間能夠互相確認對方的真實身份，防止不法入侵者偽裝成他人進行欺騙。 確保數(shù)據(jù)的保密性，用安全會話密鑰進行數(shù)據(jù)的加解密操作，確保只有信息的發(fā)送者和預(yù)定的接收者能看到信息，保證用戶的帳號、密碼以及其他的個人機密信息不會被泄露。 能識別數(shù)據(jù)的完整性，保證接收方能夠判斷數(shù)據(jù)在傳輸過程中是否被修改，防止不法入侵者利用虛假信息替代合法信息或者肆意篡改信息。(2) WAP的安全結(jié)構(gòu)體系10.3 移動電子商務(wù)安全解決方案1.基于WAP的安全解決方案基于WAP的安全架構(gòu)模型主要安全參與實體網(wǎng)絡(luò)安全協(xié)議平臺安全基礎(chǔ)設(shè)施平臺（3） WAP應(yīng)用模型的

23、安全風(fēng)險分析10.3 移動電子商務(wù)安全解決方案1.基于WAP的安全解決方案WAP的安全會話模式第一階段：確保了保密性、完整性和服務(wù)器認證第二階段：WAP網(wǎng)關(guān)與移動用戶之間的安全通信使用WTLS協(xié)議(4) 現(xiàn)有的端到端安全模型10.3 移動電子商務(wù)安全解決方案1.基于WAP的安全解決方案端到端安全模型WAP服務(wù)器模型該模型將WAP網(wǎng)關(guān)安置在Web服務(wù)器端，使WAP網(wǎng)關(guān)作為最終服務(wù)器的一部分，而不是整個過程中的一個環(huán)節(jié)，這樣做使數(shù)據(jù)在移動終端到服務(wù)器端的傳輸過程中一直處于WTLS加密狀態(tài)。當數(shù)據(jù)被安全傳送至服務(wù)器端之后，WAP網(wǎng)關(guān)將數(shù)據(jù)解密出來直接提交給服務(wù)器操作，從而在數(shù)據(jù)通道上避免了協(xié)議轉(zhuǎn)換的

24、過程，實現(xiàn)了端到端的安全。10.3 移動電子商務(wù)安全解決方案1.基于WAP的安全解決方案端到端安全模型透明網(wǎng)關(guān)模型(4) 現(xiàn)有的端到端安全模型該模型中，WAP網(wǎng)關(guān)接收加密的WTLS數(shù)據(jù)流后，讓其直接到達瀏覽器一方如圖所示。在這種情況下，當網(wǎng)關(guān)檢測到WTLS數(shù)據(jù)流時，WAP網(wǎng)關(guān)只完成數(shù)據(jù)的格式轉(zhuǎn)換，而不對數(shù)據(jù)進行解密處理，只有當數(shù)據(jù)到達應(yīng)用提供商一方才進行解密、驗證簽名等工作。在整個處理過程中，攻擊者所能得到的只是密文和數(shù)字簽名，因而保證了移動電子商務(wù)的安全性。10.3 移動電子商務(wù)安全解決方案1.基于WAP的安全解決方案(4) 現(xiàn)有的端到端安全模型端到端安全模型WTLS隧道（Tunneling

25、）模型在該模型中，移動終端對要發(fā)送的數(shù)據(jù)應(yīng)用WTLS加密，網(wǎng)關(guān)收到加密消息后，不進行解密而用直接TLS對WTLS加密消息進行再次加密，然后發(fā)送給Web服務(wù)器。服務(wù)器收到消息后，先進行對應(yīng)網(wǎng)關(guān)的TLS的解密，然后進行對應(yīng)移動終端的WTLS解密。反之，當數(shù)據(jù)從服務(wù)器端發(fā)送到移動終端時，也需要兩次加密，先進行WTLS加密，再進行TLS加密。這樣在網(wǎng)關(guān)出，進行TLS解密，然后傳送給移動終端。移動終端接收到的數(shù)據(jù)是WTLS加密的，這樣數(shù)據(jù)在WAP網(wǎng)關(guān)處不再以明文出現(xiàn)，實現(xiàn)了端到端的安全。10.4 移動電子商務(wù)安全管理策略1.加強移動通信服務(wù)市場的安全監(jiān)管加快開展手機實名制的落實工作加強相應(yīng)的政府責(zé)任加強短信息服務(wù)的配套管理我國絕大多數(shù)手機尚未進行實名登記，垃圾短信、詐騙短信層出不窮，利用手機進行的