移動(dòng)電子商務(wù) 教案 于強(qiáng) 第8章 移動(dòng)電子商務(wù)安全

第8章移動(dòng)電子商務(wù)安全教學(xué)內(nèi)容1.移動(dòng)電子商務(wù)安全基礎(chǔ)知識(shí)。2.移動(dòng)電子商務(wù)安全技術(shù)。3.移動(dòng)電子商務(wù)安全管理措施。4.手機(jī)病毒及其防治。教學(xué)要求【知識(shí)目標(biāo)】1.了解移動(dòng)電子商務(wù)安全的概念。2.了解移動(dòng)電子商務(wù)的安全問(wèn)題。3.熟悉移動(dòng)電子商務(wù)主要的安全威脅形態(tài)。4.了解生物特征識(shí)別技術(shù)的概念和熱點(diǎn)技術(shù)。5.了解加密技術(shù)的概念。6.熟悉常用的加密技術(shù)。7.了解WPKI技術(shù)的基礎(chǔ)知識(shí)。8.掌握防火墻技術(shù)的相關(guān)知識(shí)。9.了解數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)。10.了解移動(dòng)電子商務(wù)安全管理的技術(shù)措施。11.了解移動(dòng)電子商務(wù)安全管理的管理措施。12.熟悉移動(dòng)電子商務(wù)安全管理的法律措施。13.了解手機(jī)病毒的概念與特點(diǎn)。14.了解手機(jī)病毒的分類(lèi)。15.熟悉手機(jī)病毒的危害。16.掌握手機(jī)病毒的防范?！炯寄苣繕?biāo)】1.能夠描述移動(dòng)電子商務(wù)的安全問(wèn)題。2.能夠說(shuō)出移動(dòng)電子商務(wù)主要的安全威脅形態(tài)。3.能夠利用各種移動(dòng)電子商務(wù)安全技術(shù)維護(hù)移動(dòng)電子商務(wù)安全。4.能夠依據(jù)移動(dòng)電子商務(wù)安全管理措施維護(hù)移動(dòng)電子商務(wù)安全。5.能夠說(shuō)出手機(jī)病毒的危害。6.能夠采取措施防范手機(jī)病毒。教學(xué)重點(diǎn)1.移動(dòng)電子商務(wù)安全基礎(chǔ)知識(shí)。2.移動(dòng)電子商務(wù)安全管理措施。3.手機(jī)病毒及其防治。教學(xué)難點(diǎn)移動(dòng)電子商務(wù)安全技術(shù)。教學(xué)方法講授法、案例法、任務(wù)驅(qū)動(dòng)法、演示法課時(shí)數(shù)6課時(shí)教學(xué)內(nèi)容8.1移動(dòng)電子商務(wù)安全基礎(chǔ)知識(shí)8.1.1移動(dòng)電子商務(wù)安全的概念移動(dòng)電子商務(wù)安全的概念可以從廣義和狹義兩個(gè)方面理解。從廣義上講，移動(dòng)電子商務(wù)安全包括移動(dòng)電子商務(wù)運(yùn)行環(huán)境中的各種安全問(wèn)題，如移動(dòng)電子商務(wù)的軟硬件安全、運(yùn)行和管理安全、支付安全等內(nèi)容。從狹義上講，移動(dòng)電子商務(wù)安全是指移動(dòng)電子商務(wù)信息的安全，即信息的存儲(chǔ)和傳輸安全。8.1.2移動(dòng)電子商務(wù)的安全問(wèn)題1.移動(dòng)電子商務(wù)技術(shù)上的安全問(wèn)題（1）無(wú)線竊聽(tīng)。（2）身份冒充攻擊和交易后抵賴。（3）重傳攻擊。（4）病毒和黑客。（5）插入和修改數(shù)據(jù)。（6）無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)的缺陷。2.移動(dòng)電子商務(wù)管理上的安全問(wèn)題（1）手機(jī)短信的安全管理問(wèn)題。（2）服務(wù)提供商的安全管理問(wèn)題。（3）移動(dòng)終端的安全管理問(wèn)題。（4）工作人員的安全管理問(wèn)題。（5）信息安全管理的標(biāo)準(zhǔn)化問(wèn)題。8.1.3移動(dòng)電子商務(wù)主要的安全威脅形態(tài)1．手機(jī)病毒手機(jī)病毒也是一種計(jì)算機(jī)程序，與其他計(jì)算機(jī)病毒一樣具有傳播性、破壞性。手機(jī)病毒可通過(guò)短信、彩信、電子郵件、瀏覽網(wǎng)站等方式傳播，導(dǎo)致用戶手機(jī)死機(jī)、關(guān)機(jī)、資料被刪除，甚至損毀SIM卡、芯片等硬件。國(guó)內(nèi)普遍認(rèn)為，手機(jī)病毒和計(jì)算機(jī)病毒差不多，不同的是，手機(jī)病毒以手機(jī)為感染對(duì)象，以手機(jī)和手機(jī)網(wǎng)絡(luò)為傳播平臺(tái)，通過(guò)短信、電子郵件等方式，對(duì)手機(jī)或手機(jī)網(wǎng)絡(luò)進(jìn)行攻擊，從而造成手機(jī)或手機(jī)網(wǎng)絡(luò)異常。2．手機(jī)木馬木馬（Trojan）這個(gè)名字來(lái)源于《荷馬史詩(shī)》中木馬計(jì)的故事，“Trojan”一詞的本意是“特洛伊的”，代指特洛伊木馬。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它既不自我繁殖，也不“刻意”地感染其他文件。它通過(guò)偽裝自身以吸引用戶下載執(zhí)行，向施種木馬者提供打開(kāi)被種手機(jī)的門(mén)戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種手機(jī)。手機(jī)木馬嚴(yán)重危害現(xiàn)代網(wǎng)絡(luò)的安全運(yùn)行?！疽c(diǎn)梳理】8.2移動(dòng)電子商務(wù)安全技術(shù)8.2.1生物特征識(shí)別技術(shù)1．生物特征識(shí)別技術(shù)的概念生物特征識(shí)別技術(shù)是指通過(guò)個(gè)體生理特征或行為特征對(duì)個(gè)體身份進(jìn)行識(shí)別認(rèn)證的技術(shù)。從應(yīng)用流程看，生物特征識(shí)別通常分為注冊(cè)和識(shí)別兩個(gè)階段。注冊(cè)階段通過(guò)傳感器對(duì)人體的生物表征信息進(jìn)行采集，如利用圖像傳感器對(duì)指紋和人臉等光學(xué)信息、利用麥克風(fēng)對(duì)說(shuō)話聲等聲學(xué)信息進(jìn)行采集，利用數(shù)據(jù)預(yù)處理及特征提取技術(shù)對(duì)采集的數(shù)據(jù)進(jìn)行處理，得到相應(yīng)的特征并存儲(chǔ)。識(shí)別階段采用與注冊(cè)階段一致的信息采集方式對(duì)待識(shí)別人進(jìn)行信息采集、數(shù)據(jù)預(yù)處理和特征提取，然后將提取的特征與存儲(chǔ)的特征進(jìn)行比對(duì)分析，完成識(shí)別。2．生物特征識(shí)別的熱點(diǎn)技術(shù)（1）指紋識(shí)別。（2）人臉識(shí)別。（3）皮膚芯片。（4）步態(tài)識(shí)別。（5）虹膜識(shí)別。（6）靜脈識(shí)別。（7）視網(wǎng)膜識(shí)別。（8）手掌幾何學(xué)識(shí)別。（9）DNA識(shí)別。（10）聲音和簽字識(shí)別。8.2.2加密技術(shù)1.加密技術(shù)的概念加密技術(shù)是指利用技術(shù)手段將原始信息變?yōu)殡y以識(shí)別的亂碼字符（加密后的信息）進(jìn)行傳送，到達(dá)目的地后再使用相同或不同的手段還原信息（解密）。加密技術(shù)包括兩個(gè)基本元素，即算法和密鑰。（1）算法是指將明文與一串字符（密鑰）結(jié)合起來(lái)進(jìn)行加密運(yùn)算后形成密文。（2）密鑰是在明文轉(zhuǎn)換為密文或密文轉(zhuǎn)換為明文的算法中輸入的一串字符，它可以是數(shù)字、字母、詞匯或語(yǔ)句。2.常用的加密技術(shù)常用的加密技術(shù)有兩種，即非對(duì)稱加密技術(shù)和對(duì)稱加密技術(shù)。（1）非對(duì)稱加密技術(shù)。非對(duì)稱加密技術(shù)的基本思想如下。①一對(duì)公開(kāi)密鑰和私有密鑰中的任何一個(gè)都可以用于加密，而另一個(gè)可以用于解密。②已知私有密鑰，要計(jì)算公開(kāi)密鑰較容易；已知公開(kāi)密鑰，要計(jì)算私有密鑰則相對(duì)較難。③已知公開(kāi)密鑰和使用公開(kāi)密鑰加密的密文，在不知道私有密鑰的情況下，要想從密文中計(jì)算得出明文是困難的。（2）對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)在加密和解密的過(guò)程中采用同一密鑰，雙方通信時(shí)，首先分發(fā)要采用的密鑰，然后信息發(fā)送方使用該密鑰和加密算法將明文轉(zhuǎn)換為密文，接收方收到密文后使用對(duì)稱密鑰和解密算法將密文轉(zhuǎn)換為明文。對(duì)稱加密的特點(diǎn)是加解密速度快，而且如果密鑰長(zhǎng)度合適，則具有較高的保密性。8.2.3WPKI技術(shù)1.WPKI技術(shù)的概念無(wú)線公開(kāi)密鑰體系（WirelessPublicKeyInfrastructure，WPKI）技術(shù)是根據(jù)無(wú)線網(wǎng)絡(luò)連接的特點(diǎn)設(shè)計(jì)的一種算法。它是將互聯(lián)網(wǎng)電子商務(wù)中PKI安全機(jī)制引入無(wú)線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書(shū)管理平臺(tái)體系，用它管理在移動(dòng)網(wǎng)絡(luò)環(huán)境中使用的公開(kāi)密鑰和數(shù)字證書(shū)，可以有效地建立安全和值得信賴的無(wú)線網(wǎng)絡(luò)環(huán)境。WPKI并不是一個(gè)全新的PKI標(biāo)準(zhǔn)，而是傳統(tǒng)的PKI技術(shù)應(yīng)用于無(wú)線網(wǎng)絡(luò)環(huán)境的優(yōu)化擴(kuò)展。它采用了優(yōu)化的橢圓曲線加密和壓縮的X.509數(shù)字證書(shū)。它同樣采用證書(shū)管理公開(kāi)密鑰，通過(guò)第三方的可信任機(jī)構(gòu)—CA驗(yàn)證用戶的身份，從而實(shí)現(xiàn)信息的安全傳輸。2.WPKI的組成部分WPKI的構(gòu)建也圍繞這5個(gè)部分進(jìn)行。（1）WPKI客戶端。WPKI客戶端是指WPKI的用戶終端操作平臺(tái)，運(yùn)行于終端。（2）CA。CA是WPKI的信任基礎(chǔ)，負(fù)責(zé)分發(fā)和驗(yàn)證數(shù)字證書(shū)、規(guī)定證書(shū)的有效期、發(fā)布證書(shū)廢除列表。（3）RA。RA提供用戶和CA之間的一個(gè)接口，作為CA的校驗(yàn)者，在數(shù)字證書(shū)分發(fā)給請(qǐng)求者之前需要對(duì)證書(shū)進(jìn)行驗(yàn)證。（4）數(shù)字證書(shū)庫(kù)。數(shù)字證書(shū)庫(kù)用于存儲(chǔ)已簽發(fā)的數(shù)字證書(shū)及公開(kāi)密鑰，用戶可由此獲得所需的其他用戶的證書(shū)及公開(kāi)密鑰。（5）應(yīng)用接口。一個(gè)完整的WPKI必須提供良好的應(yīng)用接口系統(tǒng)，使各種各樣的應(yīng)用能夠以安全、一致、可信的方式與WPKI交互，確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。8.2.4防火墻技術(shù)1.網(wǎng)絡(luò)防火墻的基本概念網(wǎng)絡(luò)防火墻是一個(gè)硬件和軟件的結(jié)合體，它將一個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和整個(gè)互聯(lián)網(wǎng)隔離，允許一些數(shù)據(jù)分組通過(guò)，而阻止另外一些數(shù)據(jù)分組通過(guò)。網(wǎng)絡(luò)防火墻允許網(wǎng)絡(luò)管理員控制外部世界和被管理網(wǎng)絡(luò)內(nèi)部資源之間的訪問(wèn)，這種控制是通過(guò)管理流入和流出這些資源的流量實(shí)現(xiàn)的。網(wǎng)絡(luò)防火墻具有以下3個(gè)目標(biāo)。（1）從外部到內(nèi)部和從內(nèi)部到外部的所有流量都通過(guò)網(wǎng)絡(luò)防火墻。（2）僅允許被批準(zhǔn)的流量通過(guò)。（3）網(wǎng)絡(luò)防火墻自身免于滲透。2.防火墻的分類(lèi)（1）按照組成結(jié)構(gòu)分類(lèi)。按照組成結(jié)構(gòu)，防火墻可分為以下3類(lèi)。①軟件防火墻。②硬件防火墻。③芯片級(jí)防火墻。（2）按照體系結(jié)構(gòu)分類(lèi)。按照體系結(jié)構(gòu)，防火墻可分為以下兩類(lèi)。①分組過(guò)濾型防火墻。②應(yīng)用程序網(wǎng)關(guān)防火墻。8.2.5數(shù)字簽名技術(shù)數(shù)字簽名是密碼學(xué)中的重要問(wèn)題之一，手寫(xiě)簽名的每項(xiàng)業(yè)務(wù)都是數(shù)字簽名的潛在應(yīng)用。數(shù)字簽名可以提供以下基本的密碼服務(wù)：數(shù)據(jù)完整性（確保數(shù)據(jù)沒(méi)有未授權(quán)的更改）、真實(shí)性（數(shù)據(jù)來(lái)源于其聲明的地方）及不可抵賴性。因而，當(dāng)需要對(duì)某一實(shí)體認(rèn)證、傳輸具有有效性的密鑰及進(jìn)行密鑰分配時(shí)，便可以借助數(shù)字簽名來(lái)完成這些任務(wù)。文件的制造者可以在電子文件上簽一個(gè)可信、不可偽造、不可改變、不可抵賴的數(shù)字簽名，數(shù)字簽名具有法律效力，簽名者一旦簽名便需要對(duì)自己的簽名負(fù)責(zé)。接收者通過(guò)驗(yàn)證簽名來(lái)確認(rèn)信息來(lái)源正確、內(nèi)容完整并可靠。數(shù)字簽名技術(shù)是非對(duì)稱加密技術(shù)的應(yīng)用。使用時(shí)，報(bào)文發(fā)送方在報(bào)文中生成128位的單項(xiàng)Hash值，即報(bào)文摘要；報(bào)文發(fā)送方用私有密鑰對(duì)此摘要進(jìn)行加密，形成數(shù)字簽名；報(bào)文發(fā)送方將數(shù)字簽名和原始報(bào)文一起發(fā)送給報(bào)文接收方；報(bào)文接收方從接收到的原始報(bào)文中計(jì)算出128位的Hash值，用報(bào)文發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名解密。若計(jì)算出的兩個(gè)Hash值相同，則報(bào)文接收方就能確認(rèn)此報(bào)文是簽名者發(fā)送的，并且報(bào)文在傳輸中保持了完整。8.2.6身份認(rèn)證技術(shù)1．身份認(rèn)證技術(shù)的概念身份認(rèn)證技術(shù)是指網(wǎng)絡(luò)設(shè)備系統(tǒng)及計(jì)算機(jī)系統(tǒng)通過(guò)有效利用各種技術(shù)手段來(lái)識(shí)別用戶的身份信息，包括數(shù)字證書(shū)身份認(rèn)證、隨機(jī)口令身份認(rèn)證及生物特征身份認(rèn)證等技術(shù)。隨機(jī)口令身份認(rèn)證主要包括靜態(tài)口令認(rèn)證、USBKEY（USB接口的硬件設(shè)備）認(rèn)證及動(dòng)態(tài)口令認(rèn)證等幾種認(rèn)證方式；由證書(shū)發(fā)行機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)可以對(duì)各個(gè)用戶的身份信息進(jìn)行標(biāo)記；生物特征身份認(rèn)證指的是通過(guò)人臉、掌紋、指紋、視網(wǎng)膜、虹膜等進(jìn)行用戶身份信息的識(shí)別。2．身份認(rèn)證方案根據(jù)被認(rèn)證對(duì)象的屬性不同，移動(dòng)電子商務(wù)中的身份認(rèn)證方案可以分為以下3類(lèi)。（1）口令認(rèn)證。（2）智能卡認(rèn)證。（3）生物特征認(rèn)證。【要點(diǎn)梳理】8.3移動(dòng)電子商務(wù)安全管理措施8.3.1技術(shù)措施在維護(hù)移動(dòng)電子商務(wù)企業(yè)內(nèi)部安全的技術(shù)方面，可以更新和改進(jìn)傳統(tǒng)的用戶權(quán)限管理技術(shù)，積極引進(jìn)新的身份識(shí)別技術(shù)，如生物特征方面的指紋鎖、聲音鎖和面部特征識(shí)別等，以此提升安全性。在基于云計(jì)算的互聯(lián)網(wǎng)時(shí)代，企業(yè)在維護(hù)交易數(shù)據(jù)安全傳輸?shù)募夹g(shù)方面，可以充分利用虛擬服務(wù)器中的實(shí)用計(jì)算架構(gòu)和管理服務(wù)提供商（ManagedServiceProvider，MSP）架構(gòu)優(yōu)化改良傳統(tǒng)企業(yè)安全防范模式。另外，為了保障移動(dòng)電子商務(wù)交易活動(dòng)中最關(guān)鍵的資金流動(dòng)，特別是移動(dòng)支付的安全，可以通過(guò)透明安裝和智能監(jiān)控機(jī)制保證App支付接口安全。8.3.2管理措施高層管理人員要提高對(duì)移動(dòng)互聯(lián)網(wǎng)安全的重視程度，改變過(guò)去重技術(shù)、輕管理的局面，然后與技術(shù)開(kāi)發(fā)人員一起商定企業(yè)安全防御方案，制定企業(yè)安全標(biāo)準(zhǔn)和條例；技術(shù)開(kāi)發(fā)人員要培訓(xùn)或深造，學(xué)習(xí)掌握更多、更全面的安全技術(shù)，從而應(yīng)對(duì)新的病毒程序和惡意攻擊；普通員工的企業(yè)信息安全意識(shí)培訓(xùn)也不能忽視，培養(yǎng)員工安全意識(shí)不僅有利于平時(shí)防范企業(yè)機(jī)密泄露，而且有利于企業(yè)危機(jī)突發(fā)時(shí)快速、有效地進(jìn)行處理。此外，要特別注意企業(yè)安全防御方案執(zhí)行保障，只有企業(yè)從管理人員到普通員工都樹(shù)立了危機(jī)與安全意識(shí)，整個(gè)企業(yè)的安全水平才能有效提升。8.3.3法律措施移動(dòng)電子商務(wù)的安全不是技術(shù)創(chuàng)新和增強(qiáng)管理就能解決的，更需要技術(shù)、管理、法律等方面多管齊下，共同解決。移動(dòng)電子商務(wù)安全涉及的主要法律要素如表8-1所示?！疽c(diǎn)梳理】8.4手機(jī)病毒及其防治8.4.1手機(jī)病毒的概念與特點(diǎn)1.手機(jī)病毒的概念手機(jī)病毒是指可以破壞手機(jī)軟硬件功能的惡意程序。手機(jī)病毒是以手機(jī)為感染對(duì)象，以手機(jī)和手機(jī)網(wǎng)絡(luò)為傳播平臺(tái)，通過(guò)短信、電子郵件、程序等多種方式，對(duì)手機(jī)或手機(jī)網(wǎng)絡(luò)進(jìn)行攻擊，從而造成手機(jī)或手機(jī)網(wǎng)絡(luò)異常的程序。手機(jī)病毒往往抓住手機(jī)的安全漏洞實(shí)施攻擊，或者通過(guò)假冒騙取手機(jī)用戶執(zhí)行相應(yīng)病毒程序，并且利用手機(jī)網(wǎng)絡(luò)進(jìn)行快速傳播。2.手機(jī)病毒的特點(diǎn)手機(jī)病毒的特點(diǎn)如圖8-7所示。圖8-7手機(jī)病毒的特點(diǎn)8.4.2手機(jī)病毒的分類(lèi)1.根據(jù)手機(jī)病毒工作原理劃分根據(jù)手機(jī)病毒工作原理劃分，手機(jī)病毒可以分為以下5類(lèi)。（1）引導(dǎo)型病毒。（2）宏病毒。（3）文件型病毒。（4）蠕蟲(chóng)病毒。（5）木馬病毒。2.根據(jù)手機(jī)病毒傳播方式劃分根據(jù)手機(jī)病毒傳播方式劃分，手機(jī)病毒可以分為以下3類(lèi)：通過(guò)手機(jī)外部接口（如藍(lán)牙、Wi-Fi、USB接口等）傳播的病毒、通過(guò)互聯(lián)網(wǎng)接入（如網(wǎng)站瀏覽、電子郵件、網(wǎng)絡(luò)游戲、下載程序等）傳播的病毒、通過(guò)手機(jī)業(yè)務(wù)應(yīng)用（如SMS、MMS等）傳播的病毒。8.4.3手機(jī)病毒的危害與防范1.手機(jī)病毒的危害（1）手機(jī)病毒攻擊的方面。①信道攻擊。②軟件攻擊。③硬件攻擊。（2）手機(jī)病毒危害的主要表現(xiàn)。①惡意傳播。②惡意扣費(fèi)。③遠(yuǎn)程控制。④消耗資費(fèi)。⑤竊取隱私。⑥破壞系統(tǒng)。⑦運(yùn)行流氓軟件。⑧誘騙欺詐。⑨破壞數(shù)據(jù)。2.手機(jī)病毒的防范（1）使用正版軟件。（2）收到亂碼短信、彩信，立即刪除。（3）謹(jǐn)防病毒誘騙用戶下載運(yùn)行。（4）不要接受陌生請(qǐng)求。（5）提高安全意識(shí)，養(yǎng)成良好習(xí)慣。（6）安裝手機(jī)殺毒軟件?！疽c(diǎn)梳理】課后實(shí)訓(xùn)【實(shí)訓(xùn)目的】（1）理解移動(dòng)電子商務(wù)安