《電子商務(wù)安全與管理》第7章

1、電子商務(wù)安全與管理 2006年8月第七章移動電子商務(wù)安全與應(yīng)用第七章隨著移動動互聯(lián)網(wǎng)網(wǎng)的快速速發(fā)展，商家可可以通過過移動電電子商務(wù)務(wù)將市場場目標(biāo)定定位到個個人。從從單純的的網(wǎng)上發(fā)發(fā)布傳遞遞信息到到建立網(wǎng)網(wǎng)上商務(wù)務(wù)信息中中心；從從借助傳傳統(tǒng)貿(mào)易易手段的的雛形電電子商務(wù)務(wù)交易到到完成產(chǎn)產(chǎn)、供、銷整體體業(yè)務(wù)流流程的網(wǎng)網(wǎng)上電子子商務(wù)虛虛擬市場場；從封封閉的銀銀行電子子金融系系統(tǒng)到開開放移動動的網(wǎng)絡(luò)絡(luò)電子銀銀行；移移動商務(wù)務(wù)是21世紀(jì)的生生存方式式。移動電子子商務(wù)是是電子商商務(wù)的一一個新的的分支，但是從從應(yīng)用角角度來看看，它的的發(fā)展是是對有線線電子商商務(wù)的補(bǔ)補(bǔ)充與發(fā)發(fā)展，是是電子商商務(wù)發(fā)展展的新形形態(tài)。

2、移動電子子商務(wù)將將傳統(tǒng)的的商務(wù)和和已經(jīng)發(fā)發(fā)展起來來的、但但是分散散的電子子商務(wù)整整合起來來，將各各種業(yè)務(wù)務(wù)流程從從有線向向無線轉(zhuǎn)轉(zhuǎn)移和完完善，是是一種新新的突破破，是電電子商務(wù)務(wù)發(fā)展的的最高形形式。本章共分分三節(jié)介介紹移動動電子商商務(wù)的安安全與應(yīng)應(yīng)用第一節(jié)移移動電電子商務(wù)務(wù)安全概概述第二節(jié)移移動安安全協(xié)議議和標(biāo)準(zhǔn)準(zhǔn)第三節(jié)移移動系系統(tǒng)安全全第七章第一節(jié)移移動電電子商務(wù)務(wù)安全概概述在移動通通信和電電子商務(wù)務(wù)系統(tǒng)平平臺之上上實現(xiàn)安安全的移移動商務(wù)務(wù)，必須須保障移移動商務(wù)務(wù)交易、客戶數(shù)數(shù)據(jù)、客客戶終端端以及移移動新業(yè)業(yè)務(wù)等的的安全。當(dāng)前主主要有阻阻止未經(jīng)經(jīng)授權(quán)用用戶訪問問、保護(hù)護(hù)數(shù)據(jù)傳傳送、保保護(hù)移動

3、動設(shè)備上上的數(shù)據(jù)據(jù)、保護(hù)護(hù)現(xiàn)有安安全投資資四項保保障移動動數(shù)據(jù)安安全的基基本措施施。一、移動動代理安安全二、移動動數(shù)據(jù)安安全的基基本措施施三、手機(jī)機(jī)病毒的的原理及及手機(jī)安安全防護(hù)護(hù)措施四、移動動商務(wù)面面臨的安安全威脅脅與法律律問題第七章一.移動代理理安全（一）移移動代理理的概念念移動代理理(Mobile Agent簡稱MA)不同于遠(yuǎn)遠(yuǎn)程執(zhí)行行，移動代理理能夠不不斷地從從一個網(wǎng)網(wǎng)絡(luò)位置置移動到到另一個個位置，能夠根根據(jù)自己己的選擇擇進(jìn)行移移動。移動代理理的優(yōu)點點：(1)服務(wù)請求求動態(tài)地地移動到到服務(wù)器器端執(zhí)行行(2)移動代理理不需要要統(tǒng)一的的調(diào)度（二）MA的安全性性問題MA系統(tǒng)所受受的威脅脅主要

4、有有：MA受到惡意意代理或或其它惡惡意MA的攻擊；低層傳輸輸網(wǎng)絡(luò)受受到攻擊擊。為了保護(hù)護(hù)代理服服務(wù)器,以防止惡惡意的代代理對它它的破壞壞,通常采用用的安全全檢測技技術(shù)有：(1)身份認(rèn)證證(Authentication)。(2)代碼驗證證(Verification)。(3)授權(quán)認(rèn)證證(Authorization)。第七章二、移動動數(shù)據(jù)安安全的基基本措施施開發(fā)和執(zhí)執(zhí)行移動動商業(yè)解解決方案案時，應(yīng)應(yīng)該考慮慮如下四四個移動動安全問問題：（一）阻阻止未未經(jīng)授權(quán)權(quán)的用戶戶訪問（二）保保護(hù)數(shù)數(shù)據(jù)傳送送（三）保保護(hù)移移動設(shè)備備上的數(shù)數(shù)據(jù)（四）保保護(hù)現(xiàn)現(xiàn)有安全全投資第七章三、手機(jī)機(jī)病毒的的原理及及手機(jī)安安全防護(hù)

5、護(hù)措施（一）手手機(jī)病毒毒的種類類及癥狀狀1）EPOC病毒。2）Trojanhorse病毒3）Unavailable病毒4）Hack-mobile.smsdos病毒（二）手手機(jī)病毒毒的原理理手機(jī)病毒毒必須具具備兩個個基本的的條件才才能傳播播和發(fā)作作，首先先移動服務(wù)務(wù)商要提提供數(shù)據(jù)據(jù)傳輸功功能，另外，要求手機(jī)機(jī)使用的的是動態(tài)態(tài)操作系系統(tǒng)，也也就是支支持Java等高級程程序?qū)懭肴牍δ?。第七章（三）手手機(jī)病毒毒的攻擊擊模式 直接接攻擊手手機(jī)本身身，使手手機(jī)無法法提供服服務(wù)。 攻擊擊WAP服務(wù)器使使WAP手機(jī)無法法接收正正常信息息 攻擊擊和控制制“網(wǎng)關(guān)關(guān)”,向手機(jī)發(fā)發(fā)送垃圾圾信息。（四）手手機(jī)病毒毒的防

6、護(hù)護(hù)措施 使用用手機(jī)上上網(wǎng)功能能時，盡盡量從正正規(guī)網(wǎng)站站上下載載信息； 如果果收到含含有病毒毒的短信信或郵件件時，應(yīng)應(yīng)立即刪刪除； 如果果鍵盤被被鎖死，可以取取下電池池后開機(jī)機(jī)再刪除除；如果果仍無法法刪除，可以嘗嘗試將手手機(jī)卡換換到另一一型號的的手機(jī)上上刪除； 如果果病毒一一直占據(jù)據(jù)內(nèi)存，無法進(jìn)進(jìn)行清除除，可以以將手機(jī)機(jī)拿到廠廠商維修修部重寫寫芯片程程序。第七章四、移動動商務(wù)面面臨的安安全威脅脅與法律律問題（一）移移動商務(wù)務(wù)面臨的的安全威威脅1技術(shù)方方面的安安全威脅脅1）網(wǎng)絡(luò)本本身的威威脅。2）無線AdHoc應(yīng)用的威威脅。3)網(wǎng)絡(luò)漫游游的威脅脅。4）物理安安全。2隱私和和法律問問題1）垃圾短短

7、信息。2）定位新新業(yè)務(wù)的的隱私威威脅。（二）移移動商務(wù)務(wù)的法律律保障第七章第二節(jié)移移動安安全協(xié)議議和標(biāo)準(zhǔn)準(zhǔn)一、藍(lán)牙牙標(biāo)準(zhǔn)（一）藍(lán)藍(lán)牙技術(shù)術(shù)定義的的標(biāo)準(zhǔn)及及其特點點1藍(lán)牙標(biāo)標(biāo)準(zhǔn)1）Generic Access。2）Service DiscoveryApplication。3）CordlessTelephony。4）Intercom。5）SerialPort。6）Headset。7）Dial-up Networking。 第七章8）Fax。9）LANAccess。10）Generic ObjectExchange。11）ObjectPush。12）File Transfer。13）Synchron

8、ization。2藍(lán)牙通通訊技術(shù)術(shù)的特點點1）藍(lán)牙技技術(shù)工作作在全球球開放的的2.4GHzISM（即工業(yè)業(yè)、科學(xué)學(xué)、醫(yī)學(xué)學(xué)）頻段段。2）使用跳跳頻頻譜譜擴(kuò)展技技術(shù)，把把頻帶分分成若干干個跳頻頻信道（hopchannel），在一一次連接接中，無無線電收收發(fā)器按按一定的的碼序列列不斷地地從一個個信道“跳”到到另一個個信道。3）一臺藍(lán)藍(lán)牙設(shè)備備可同時時與其它它七臺藍(lán)藍(lán)牙設(shè)備備建立連連接。4）數(shù)據(jù)傳傳輸速率率可達(dá)1Mbit/s。第七章5）低功耗耗、通訊訊安全性性好。6）在有效效范圍內(nèi)內(nèi)可越過過障礙物物進(jìn)行連連接，沒沒有特別別的通訊訊視角和和方向要要求。7）支持語語音傳輸輸。8）組網(wǎng)簡簡單方便便。（二）

9、藍(lán)藍(lán)牙的安安全性藍(lán)牙裝置置可以與與經(jīng)過認(rèn)認(rèn)證的一一方進(jìn)行行雙邊連連接，或或者是永永久性連連接（稱稱為pairing，配對聯(lián)聯(lián)機(jī)），這樣一一來受信信賴的一一方就不不需要每每次都要要經(jīng)過認(rèn)認(rèn)證流程程（比如如耳機(jī)與與電話之之間）。應(yīng)用本身身與使用用者設(shè)置置也會影影響到安安全。第七章二、無線線應(yīng)用協(xié)協(xié)議(WAP)無線應(yīng)用用協(xié)議（WirelessApplicationProtocol，WAP）是一個個用于在無無線通信信設(shè)備（手機(jī)、尋呼機(jī)機(jī)等）之之間進(jìn)行行信息傳傳輸?shù)臒o無須授權(quán)權(quán)、也不不依賴平平臺的協(xié)協(xié)議，可可用于Internet訪問、WAP網(wǎng)頁訪問問、收發(fā)發(fā)電子郵郵件等等等。WAP常識第七章（一）WAP

10、的體系結(jié)結(jié)構(gòu)與工工作原理理1WAP的層次結(jié)結(jié)構(gòu)1)應(yīng)用層。2)無線會話話層。3)傳輸協(xié)議議層。4)安全協(xié)議議層。5)數(shù)據(jù)報協(xié)協(xié)議層。2WAP工作原理理第七章（二）WAP系統(tǒng)的架架構(gòu)1.因特網(wǎng)三三維網(wǎng)架架構(gòu)第七章2.因特網(wǎng)WAP網(wǎng)絡(luò)架構(gòu)構(gòu)3WAP的微瀏覽覽器第七章三、無線線PKIPKI(PublicKeyInfrastructure)即公開密密鑰體系系，是利利用公鑰鑰理論和和技術(shù)建建立的提提供信息息安全服服務(wù)的基基礎(chǔ)設(shè)施施。（一）無無線公開開密鑰體體系的概概念WPKI即“無線線公開密密鑰體系系”，它它是將互互聯(lián)網(wǎng)電電子商務(wù)務(wù)中PKI安全機(jī)制制引入到到無線網(wǎng)網(wǎng)絡(luò)環(huán)境境中的一一套遵循循既定標(biāo)標(biāo)準(zhǔn)的密

11、密鑰及證證書管理理平臺體體系，它它可以用用來管理理在移動動網(wǎng)絡(luò)環(huán)環(huán)境中使使用的公公開密鑰鑰和數(shù)字字證書，有效建建立安全全和值得得信賴的的無線網(wǎng)網(wǎng)絡(luò)環(huán)境境。一個完整整的WPKI系統(tǒng)必須須具有以以下部分分：PKI客戶端、注冊機(jī)構(gòu)構(gòu)(RA)、認(rèn)證機(jī)構(gòu)構(gòu)(CA)和證書庫以及應(yīng)用接口口等基本本構(gòu)成部部分，其構(gòu)建建也將圍圍繞著這這五大系系統(tǒng)進(jìn)行行。第七章（二）保保密信息息和資料料的傳輸輸WPKI技術(shù)可以以解決保保密信息息傳輸?shù)牡膯栴}。當(dāng)發(fā)送信信息給一一位或多多位接收收人時，發(fā)送者者可以先先將信息息加密、簽名。這樣，只有指指定的接接收人才才可以在在CA中心的服服務(wù)器上上取得公公鑰并開開啟郵件件，即使使該信息

12、息被其他他人截獲獲，這些些人也會會因為得得不到公公鑰而無無法閱讀讀信息。第七章四、無線線網(wǎng)絡(luò)標(biāo)標(biāo)準(zhǔn)IEEE802.11b（一）IEEE 802.11b標(biāo)準(zhǔn)簡介介IEEE802.11b無線局域域網(wǎng)的帶帶寬最高高可達(dá)11Mbps，比原IEEE802.11標(biāo)準(zhǔn)快5倍，擴(kuò)大大了無線線局域網(wǎng)網(wǎng)的應(yīng)用用領(lǐng)域。（二）IEEE 802.11b的基本運運作模式式IEEE 802.11b運作模式式基本分分為兩種種：點對點模模式和基本模式式。(1)點對點模模式是指指無線網(wǎng)網(wǎng)卡之間間的通信信方式，只要PC插上無線線網(wǎng)卡即即可與另另一裝有有無線網(wǎng)網(wǎng)卡的PC連接，(2)而基本模模式是指指無線網(wǎng)網(wǎng)絡(luò)規(guī)模模擴(kuò)充或或無線和和有

13、線網(wǎng)網(wǎng)絡(luò)并存存時的通通信方式式，這是是IEEE 802.11b最常用的的方式。（三）IEEE 802.11b的應(yīng)用前前景(1)企業(yè)可以以應(yīng)用無無線局域域網(wǎng)作為為他們有有限局域域網(wǎng)的延延伸。(2)小企業(yè)和和家庭用用戶也將將使用無無線局域域網(wǎng)代替替有線網(wǎng)網(wǎng)絡(luò)，從從而獲得得無線局局域網(wǎng)提提供的諸諸多“無無線”服服務(wù)。第七章第三節(jié)移移動系系統(tǒng)安全全一、移動支支付系統(tǒng)統(tǒng)安全方方案移動支付付是指交交易雙方方通過移移動設(shè)備備進(jìn)行商商業(yè)交易易。(一)移動支付付的分類類移動支付付分為微支付和宏支付兩大類根據(jù)傳輸輸方式的的不同分分為空中交易易和WAN(廣域網(wǎng))交易（二）移移動支付付運營策策略1）安全問問題。2）可

14、用性性和互操操作問題題。3）市場認(rèn)認(rèn)知度與與理解。4）選擇合合適的合合作者。第七章二、GSM安全GSM較之它以以前的標(biāo)標(biāo)準(zhǔn)，最最大的不不同是它它的信令令和語音音信道都都是數(shù)字字式的，因此GSM被看作是是第二代代(2G)移動電話話系統(tǒng)。GSM網(wǎng)絡(luò)運行行在多個個不同的的無線電電頻率上上。GSM是一個蜂蜂窩網(wǎng)絡(luò)絡(luò),也就是說說移動電電話要連連接到它它能搜索索到的最最近的蜂蜂窩單元元區(qū)域。GSM網(wǎng)絡(luò)一共共有4種不同的的蜂窩單單元尺寸寸：宏蜂窩，微蜂窩，微微蜂窩窩和傘蜂窩。GSM還支持室室內(nèi)覆蓋蓋，通過過功率分配器可以以把室外外天線的的功率分分配到室室內(nèi)天線線分布系系統(tǒng)上。在使用方方面，GSM的一個關(guān)關(guān)鍵

15、特征征就是用用戶身份份模塊(SIM),也叫SIM卡。在安全方方面，GSM被設(shè)計具具有中等等安全水平。GSM使用了多多種加密密算法。第七章三、3G系統(tǒng)的安安全體系系第三代移移動通信信系統(tǒng)(3G)中的安全全技術(shù)是是在GSM的安全基基礎(chǔ)上建建立起來來的，它它克服了了一些GSM中的安全全問題，也增加加了新的的安全功功能。（一）3G安全體系系的系統(tǒng)統(tǒng)定義1）安全目目標(biāo)。2）任務(wù)模模型。3）功能實實體。4）攻擊模模型分析析。第七章（二）3G安全技術(shù)術(shù)分析1安全技技術(shù)分析析1）入網(wǎng)安安全。2）核心網(wǎng)網(wǎng)安全技技術(shù)。3）傳輸層層安全。4）應(yīng)用層層安全。5）代碼安安全。6）個人無無線網(wǎng)絡(luò)絡(luò)安全。第七章23G安全體

16、系系特點1）完整性。3G中定義了了完整的的安全目目標(biāo)和攻攻擊模型型，并確確保沒有有遺漏。但當(dāng)系系統(tǒng)各部部分相對對孤立的的時候，要實現(xiàn)現(xiàn)這樣的的目標(biāo)是是比較困困難的。2）有效性。減少各各安全功功能的重重復(fù)性，提高效效率。同同樣，當(dāng)當(dāng)系統(tǒng)各各部分相相對孤立立時，要要實現(xiàn)這這樣的目目標(biāo)是比比較困難難的。3）可實施性性。3G中的安全全特性應(yīng)應(yīng)能夠達(dá)達(dá)到預(yù)期期的目標(biāo)標(biāo)。但是是，在某某一領(lǐng)域域加強(qiáng)了了安全措措施，其其實也為為新的攻攻擊提供供了可趁趁之機(jī)。4）可擴(kuò)展性性。在系統(tǒng)統(tǒng)的生存存期，應(yīng)應(yīng)能夠不不斷升級級安全措措施以應(yīng)應(yīng)對各種種各樣的的攻擊。5）用戶界面面友好性性。安全方方案的提提供應(yīng)盡盡量避免免太多

17、用用戶的參參與，安安全措施施對用戶戶而言應(yīng)應(yīng)是透明明的。第七章四、SIM應(yīng)用工具具包SIM卡（Subscriber Identity Module）即用戶戶識別卡卡，它是是一張符符合GSM規(guī)范的IC卡。SIM應(yīng)用工具具包是一一組指令令，已經(jīng)作作為GSM標(biāo)準(zhǔn)的一一部分集集成在GSM標(biāo)準(zhǔn)中。它對SIM卡如何與與外界進(jìn)進(jìn)行交互互做了詳詳細(xì)的規(guī)規(guī)定，并并且擴(kuò)展展了SIM卡與手機(jī)機(jī)之間的的通信協(xié)協(xié)議。SIM應(yīng)用工具具包具有有很強(qiáng)的的靈活性性，允許許隨時對對SIM信息進(jìn)行行更新，并且可可通過無無線方式式下載新新的服務(wù)務(wù)。SIM應(yīng)用工具具包可用用于設(shè)計計客戶機(jī)機(jī)/服務(wù)器應(yīng)應(yīng)用環(huán)境境。第七章本章小結(jié)結(jié)移動電子

18、子商務(wù)將將傳統(tǒng)的的商務(wù)和和已經(jīng)發(fā)發(fā)展起來來的、但但是分散散的電子子商務(wù)整整合起來來，將各各種業(yè)務(wù)務(wù)流程從從有線向向無線轉(zhuǎn)轉(zhuǎn)移和完完善，是是一種新新的突破破，是電電子商務(wù)務(wù)發(fā)展的的最高形形式。在在移動通通信和電電子商務(wù)務(wù)系統(tǒng)平平臺之上上實現(xiàn)安安全的移移動商務(wù)務(wù)，必須須保障移移動商務(wù)務(wù)交易、客戶數(shù)數(shù)據(jù)、客客戶終端端以及移移動新業(yè)業(yè)務(wù)等的的安全。當(dāng)前主主要有阻阻止未經(jīng)經(jīng)授權(quán)用用戶訪問問、保護(hù)護(hù)數(shù)據(jù)傳傳送、保保護(hù)移動動設(shè)備上上的數(shù)據(jù)據(jù)、保護(hù)護(hù)現(xiàn)有安安全投資資四項保保障移動動數(shù)據(jù)安安全的基基本措施施。本章章特別介介紹了最最流行的的移動終終端手機(jī)的安安全隱患患及其防防護(hù)措施施。手機(jī)機(jī)病毒是是以手機(jī)機(jī)為感染染對象，以手機(jī)機(jī)網(wǎng)絡(luò)和和計算機(jī)機(jī)網(wǎng)絡(luò)為為平臺，通過病病毒短信信等形式式對手機(jī)機(jī)進(jìn)行攻攻擊，從從而造成成手機(jī)異異常的一一種新型型病毒。當(dāng)前手手機(jī)病毒毒的種類類