《移動(dòng)電商基礎(chǔ)》 課件 項(xiàng)目七 移動(dòng)商務(wù)的安全知識(shí)

項(xiàng)目七移動(dòng)商務(wù)的安全知識(shí)移動(dòng)電商基礎(chǔ)素質(zhì)目標(biāo)1．堅(jiān)持誠(chéng)實(shí)守信、綠色發(fā)展的經(jīng)營(yíng)理念；2．樹(shù)立勇于擔(dān)當(dāng)?shù)呢?zé)任意識(shí)和培養(yǎng)吃苦耐勞的勞動(dòng)精神；3．努力踐行嚴(yán)謹(jǐn)細(xì)致、精益求精的工匠精神；4．自覺(jué)遵守行業(yè)法律法規(guī)，恪守職業(yè)道德，提高法律素質(zhì)。知識(shí)目標(biāo)1．了解移動(dòng)商務(wù)的安全問(wèn)題；2．理解移動(dòng)商務(wù)的安全需求；3．掌握移動(dòng)商務(wù)的安全技術(shù)。能力目標(biāo)1．能夠發(fā)現(xiàn)移動(dòng)商務(wù)存在的安全隱患；2．能夠分析移動(dòng)商務(wù)中的安全問(wèn)題；3．能夠運(yùn)用專業(yè)知識(shí)解決移動(dòng)商務(wù)中的實(shí)際問(wèn)題。教學(xué)目標(biāo)目錄CONTENTS移動(dòng)商務(wù)的安全需求1

移動(dòng)商務(wù)的安全技術(shù)2

任務(wù)一移動(dòng)商務(wù)的安全需求1.堅(jiān)持誠(chéng)實(shí)守信、綠色發(fā)展的經(jīng)營(yíng)理念；2.樹(shù)立勇于擔(dān)當(dāng)?shù)呢?zé)任意識(shí)；3.踐行嚴(yán)謹(jǐn)細(xì)致、精益求精的工匠精神。1.了解移動(dòng)商務(wù)的安全問(wèn)題；2.理解移動(dòng)商務(wù)的安全需求。1.能夠發(fā)現(xiàn)移動(dòng)商務(wù)中存在的安全隱患；2.能夠分析移動(dòng)商務(wù)中的安全問(wèn)題。教學(xué)目標(biāo)素質(zhì)目標(biāo)知識(shí)目標(biāo)技能目標(biāo)移動(dòng)商務(wù)的安全需求保密性（Confidentiality）需求又稱交易的隱私性需求，是指移動(dòng)商務(wù)交易雙方的信息在網(wǎng)絡(luò)傳輸或存儲(chǔ)的過(guò)程中不被他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過(guò)加密后，使未經(jīng)授權(quán)者無(wú)法了解其內(nèi)容。一、保密性需求因?yàn)榛ヂ?lián)網(wǎng)是一個(gè)開(kāi)放的公用互聯(lián)網(wǎng)絡(luò)，移動(dòng)商務(wù)的交易雙方在通過(guò)互聯(lián)網(wǎng)交換信息時(shí)，如果不采取適當(dāng)?shù)谋Ｃ艽胧敲雌渌司陀锌赡塬@知交易雙方的通信內(nèi)容；另外，存儲(chǔ)在網(wǎng)絡(luò)上的文件信息如果不加密的話，也有可能被黑客竊取，造成重要信息的泄密，影響交易的順利實(shí)現(xiàn)。保密性需求的必要性移動(dòng)商務(wù)的安全需求移動(dòng)商務(wù)的保密性需求主要是通過(guò)“數(shù)據(jù)不被竊取、竊取不可破譯”的思路來(lái)設(shè)計(jì)的。設(shè)計(jì)思路具體來(lái)說(shuō)，“數(shù)據(jù)不被竊取”可以通過(guò)設(shè)置防火墻、互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity，IPS）等手段來(lái)實(shí)現(xiàn)；而“竊取不可破譯”則主要通過(guò)各種加密手段來(lái)實(shí)現(xiàn)。具體做法移動(dòng)商務(wù)的保密性需求在交易的保密性需求中還包括交易的不可跟蹤性。也就是人們?cè)谶M(jìn)行移動(dòng)商務(wù)交易時(shí)，其他人無(wú)法通過(guò)對(duì)用戶所用支付手段的分析判斷用戶的身份，也無(wú)法獲知用戶的相關(guān)信息，避免交易受到干擾。交易的不可跟蹤性（1）網(wǎng)絡(luò)漏洞（2）軟件病毒（3）黑客竊?。?）意外泄密影響商務(wù)交易保密性的因素移動(dòng)商務(wù)的保密性需求木馬病毒木馬病毒主要是指利用計(jì)算機(jī)程序漏洞侵入后竊取文件的程序。手機(jī)病毒是一種具有傳染性、破壞性的程序。0102移動(dòng)商務(wù)的保密性需求思考討論：影響移動(dòng)商務(wù)安全的常見(jiàn)病毒有哪些？移動(dòng)商務(wù)的完整性需求是指在交易中，交易信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，也就是交易數(shù)據(jù)在傳輸或存儲(chǔ)過(guò)程中不發(fā)生惡意刪除、意外消失、篡改、偽造、亂序、插入等損壞。二、完整性需求一是保證信息在傳輸、使用和存儲(chǔ)等過(guò)程中不被篡改；二是保證信息處理方法正確，不因不當(dāng)操作造成內(nèi)容丟失。完整性的兩個(gè)方面的要求移動(dòng)商務(wù)的安全需求移動(dòng)商務(wù)的不可否認(rèn)性也叫不可抵賴性，是指移動(dòng)商務(wù)活動(dòng)的交易雙方不能否認(rèn)自己的行為和參與活動(dòng)的內(nèi)容。三、不可否認(rèn)性需求在傳統(tǒng)方式下，人們可以通過(guò)用戶在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上的手寫(xiě)簽名或印章來(lái)進(jìn)行鑒別。在移動(dòng)商務(wù)環(huán)境下，一般通過(guò)數(shù)字證書(shū)機(jī)制的時(shí)間簽名和時(shí)間戳來(lái)進(jìn)行驗(yàn)證。比較傳統(tǒng)方式下與移動(dòng)商務(wù)環(huán)境下的驗(yàn)證移動(dòng)商務(wù)的安全需求（1）發(fā)送信息者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容；（2）接收信息者事后否認(rèn)曾經(jīng)收到過(guò)某條信息或內(nèi)容；（3）購(gòu)買(mǎi)者下單后不承認(rèn)；（4）商家賣(mài)出產(chǎn)品后不承認(rèn)原有的交易。電子商務(wù)中的抵賴行為在移動(dòng)商務(wù)中通過(guò)使用數(shù)字簽名，將具體用戶信息與對(duì)應(yīng)的操作和交易信息進(jìn)行綁定，使用戶必須對(duì)他們的行為負(fù)責(zé)，這樣既維護(hù)了履行交易雙方的權(quán)益，也為其提供了可信的證據(jù)。移動(dòng)商務(wù)中使用數(shù)字簽名移動(dòng)商務(wù)的不可否認(rèn)性需求移動(dòng)商務(wù)的匿名性需求主要是為保護(hù)交易雙方的安全，尤其是保護(hù)用戶信息，避免信息泄露造成用戶被攻擊，對(duì)用戶信息進(jìn)行合理的隱匿。四、匿名性需求（1）用戶身份的隱藏：用戶的永久身份不能在無(wú)線接入鏈路上被竊聽(tīng)到。（2）用戶位置的隱藏：當(dāng)用戶到達(dá)某個(gè)位置或某個(gè)區(qū)域時(shí)，不能通過(guò)對(duì)無(wú)線接入網(wǎng)竊聽(tīng)到。（3）用戶的不可跟蹤性：攻擊者不能通過(guò)在無(wú)線接入網(wǎng)上竊聽(tīng)，推斷出是不是對(duì)某個(gè)用戶提供了不同的服務(wù)。移動(dòng)商務(wù)的安全需求移動(dòng)商務(wù)的可靠性需求是指在商務(wù)活動(dòng)中，為保障交易雙方的權(quán)益，應(yīng)保證計(jì)算機(jī)、網(wǎng)絡(luò)硬件和軟件工作的可靠性，盡量排除網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤和病毒等威脅因素對(duì)移動(dòng)商務(wù)的影響，從而打造一個(gè)安全、可靠的交易環(huán)境，保證商務(wù)活動(dòng)的可靠性。五、可靠性需求移動(dòng)商務(wù)的安全需求移動(dòng)商務(wù)的認(rèn)證性需求是指在獨(dú)立、公正、客觀的原則上，采用科學(xué)合理的方法，經(jīng)過(guò)權(quán)威機(jī)構(gòu)的認(rèn)證，保證在移動(dòng)商務(wù)中的個(gè)人或電子商務(wù)經(jīng)營(yíng)主體的真實(shí)性和有效性。六、認(rèn)證性需求移動(dòng)商務(wù)的其他安全需求（1）有效性：有效性指交易信息、數(shù)據(jù)在約定的交易期限內(nèi)是有效的。交易信息的有效性是整個(gè)交易進(jìn)行的重要基礎(chǔ)。（2）可用性：可用性是指當(dāng)用戶需要使用硬件、軟件、數(shù)據(jù)等方面的資源時(shí)，移動(dòng)商務(wù)環(huán)境中提供的服務(wù)是可用的。移動(dòng)商務(wù)的安全需求知識(shí)小結(jié)任務(wù)二移動(dòng)商務(wù)的安全技術(shù)1.培養(yǎng)吃苦耐勞的勞動(dòng)精神；2.樹(shù)立勇于擔(dān)當(dāng)?shù)呢?zé)任意識(shí)；3.遵守行業(yè)法律法規(guī)，恪守職業(yè)道德，提高法律素質(zhì)。1.理解移動(dòng)商務(wù)面臨的安全威脅；2.掌握移動(dòng)商務(wù)的安全技術(shù)。1.能夠辨別移動(dòng)商務(wù)面臨的安全威脅；2.能夠根據(jù)實(shí)際情況選擇合適的安全技術(shù)。教學(xué)目標(biāo)素質(zhì)目標(biāo)知識(shí)目標(biāo)技能目標(biāo)移動(dòng)商務(wù)的安全需求無(wú)線網(wǎng)絡(luò)面臨的安全威脅移動(dòng)終端設(shè)備面臨的安全威脅移動(dòng)支付面臨的安全威脅移動(dòng)商務(wù)平臺(tái)運(yùn)營(yíng)管理漏洞造成的安全威脅移動(dòng)商務(wù)面臨的安全威脅無(wú)線網(wǎng)絡(luò)是開(kāi)展移動(dòng)商務(wù)的必要技術(shù)，由于無(wú)線網(wǎng)絡(luò)的開(kāi)放性、移動(dòng)性，造成移動(dòng)商務(wù)面臨多種安全威脅，主要集中在5個(gè)方面：（一）無(wú)線網(wǎng)絡(luò)面臨的安全威脅1.無(wú)線竊聽(tīng)無(wú)線竊聽(tīng)可以造成通信信息和數(shù)據(jù)的泄露，而移動(dòng)用戶身份和位置信息的泄露可以造成移動(dòng)用戶被無(wú)線追蹤。這對(duì)于移動(dòng)商務(wù)的商家和用戶的信息安全、個(gè)人安全和個(gè)人隱私都構(gòu)成了潛在的威脅。

2.漫游安全3.假冒攻擊4.完整性侵害5.業(yè)務(wù)抵賴在移動(dòng)商務(wù)中，這種威脅包括兩個(gè)方面：一方面是交易雙方中的買(mǎi)家收貨后否認(rèn)交易，企圖逃避付費(fèi)；另一方面是賣(mài)家收款后否認(rèn)交易，企圖逃避發(fā)貨或提供服務(wù)。移動(dòng)商務(wù)面臨的安全威脅移動(dòng)終端設(shè)備面臨的安全威脅包括移動(dòng)終端設(shè)備的物理安全、移動(dòng)終端設(shè)備的硬件攻擊、移動(dòng)終端設(shè)備的軟件攻擊和拒絕服務(wù)等多個(gè)方面。（二）移動(dòng)終端設(shè)備面臨的安全威脅1．移動(dòng)終端設(shè)備的物理安全移動(dòng)終端設(shè)備，如手機(jī)、平板電腦在攜帶過(guò)程中可能會(huì)因?yàn)槿藶榛蜃匀灰蛩刂率挂苿?dòng)終端設(shè)備丟失或損壞。

移動(dòng)商務(wù)面臨的安全威脅（二）移動(dòng)終端設(shè)備面臨的安全威脅2．移動(dòng)終端設(shè)備的硬件攻擊兩種方式：第一種方式是攻擊者在目標(biāo)終端內(nèi)安裝專

門(mén)的竊聽(tīng)裝置，不僅能竊聽(tīng)用戶的通話內(nèi)容，還能通過(guò)遠(yuǎn)程控制，使處于待機(jī)狀態(tài)的移動(dòng)終端設(shè)備自動(dòng)切換為通話狀態(tài)，從而竊聽(tīng)周?chē)h(huán)境的內(nèi)容；第二種方式是利用移動(dòng)終端設(shè)備不間斷與無(wú)線通信網(wǎng)絡(luò)保持信息交換的特性，通過(guò)相應(yīng)的技術(shù)手段，達(dá)到對(duì)目標(biāo)終端進(jìn)行識(shí)別、監(jiān)視、跟蹤和定位的目的。3．移動(dòng)終端設(shè)備的軟件攻擊移動(dòng)終端設(shè)備軟件攻擊主要是指手機(jī)病毒造成的安全威脅。對(duì)移動(dòng)終端設(shè)備而言，手機(jī)病毒帶來(lái)的危害非常大。

移動(dòng)商務(wù)面臨的安全威脅移動(dòng)支付是移動(dòng)商務(wù)活動(dòng)交易過(guò)程中的重要環(huán)節(jié)，一旦移動(dòng)支付環(huán)節(jié)出現(xiàn)安全問(wèn)題，不僅影響移動(dòng)商務(wù)活動(dòng)的正常開(kāi)展，還容易造成用戶和商家的資金損失。（三）移動(dòng)支付面臨的安全威脅移動(dòng)支付面臨的安全威脅：1.信息泄露的威脅。2.簡(jiǎn)易支付功能安全威脅。3.用戶防范意識(shí)不足造成的威脅。

移動(dòng)商務(wù)面臨的安全威脅思考討論：日常網(wǎng)購(gòu)中，簡(jiǎn)易支付面臨哪些威脅？1.動(dòng)商務(wù)平臺(tái)是買(mǎi)賣(mài)雙方實(shí)現(xiàn)交易的必備條件，如果該平臺(tái)存在運(yùn)營(yíng)管理漏洞，就會(huì)對(duì)移動(dòng)商務(wù)的開(kāi)展造成較大的安全威脅。2.移動(dòng)商務(wù)平臺(tái)運(yùn)營(yíng)管理漏洞，造成的安全威脅主要體現(xiàn)在兩個(gè)方面：（1）技術(shù)原因?qū)е缕脚_(tái)容易受到人為攻擊，造成平臺(tái)運(yùn)營(yíng)管理的相關(guān)內(nèi)容遭到篡改，移動(dòng)商務(wù)的某些業(yè)務(wù)無(wú)法開(kāi)展或錯(cuò)誤開(kāi)展；（2）平臺(tái)工作人員的疏忽或管理不善致使平臺(tái)和用戶的信息被泄露，從而帶來(lái)不利后果。3.移動(dòng)商務(wù)平臺(tái)需要規(guī)范管理，完善技術(shù)更新，提高人員素質(zhì)，防范漏洞的產(chǎn)生，保證交易的順利完成。（四）移動(dòng)商務(wù)平臺(tái)運(yùn)營(yíng)管理漏洞造成的安全威脅移動(dòng)商務(wù)面臨的安全威脅無(wú)線公開(kāi)密鑰技術(shù)生物特征識(shí)別技術(shù)設(shè)置防火墻和安全規(guī)則虛擬專用網(wǎng)絡(luò)技術(shù)移動(dòng)商務(wù)的安全技術(shù)SUBTITLE無(wú)線公開(kāi)密鑰體系（WirelessPublicKeyInfrastructure，WPKI）是將移動(dòng)商務(wù)中公開(kāi)密鑰體系的安全機(jī)制改進(jìn)后引入無(wú)線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書(shū)管理平臺(tái)體系，用它來(lái)管理在移動(dòng)網(wǎng)絡(luò)環(huán)境中使用的公開(kāi)密鑰和數(shù)字證書(shū)，有效建立安全和可靠的無(wú)線網(wǎng)絡(luò)環(huán)境。（一）無(wú)線公開(kāi)密鑰技術(shù)SUBTITLE1.公鑰密碼學(xué)（1）公鑰密碼學(xué)也被稱為非對(duì)稱密碼學(xué)，基本的意思就是在加密和解密的時(shí)候使用不同的密鑰，也就是key，其中一個(gè)是公鑰，是可以公開(kāi)出去的，另外一個(gè)是私鑰，要嚴(yán)格保密。（2）公鑰密碼學(xué)有兩個(gè)應(yīng)用，一個(gè)是加密通信，另外一個(gè)是數(shù)字簽名。（一）無(wú)線公開(kāi)密鑰技術(shù)SUBTITLE2.公開(kāi)密鑰系統(tǒng)的組成（1）WPKI是傳統(tǒng)的PKI技術(shù)應(yīng)用于無(wú)線環(huán)境的優(yōu)化擴(kuò)展。它采用了優(yōu)化的ECC橢圓曲線加密和壓縮的X.S09數(shù)字證書(shū)。它同樣采用證書(shū)管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)——認(rèn)證中心（CA）驗(yàn)證用戶的身份，從而實(shí)現(xiàn)信息的安全傳輸。（2）基本的WPKI組件包括端實(shí)體應(yīng)用（EE）、注冊(cè)中心（RA）、認(rèn)證中心（CA）和PKI目錄。（一）無(wú)線公開(kāi)密鑰技術(shù)SUBTITLE（一）無(wú)線公開(kāi)密鑰技術(shù)3.數(shù)字簽名

數(shù)字簽名是基于公鑰加密技術(shù)來(lái)實(shí)現(xiàn)的，又被稱為公鑰數(shù)字簽名。它可以幫助數(shù)據(jù)單元的接收者判斷數(shù)據(jù)的來(lái)源，保證數(shù)據(jù)的完整性并防止數(shù)據(jù)被篡改。

數(shù)字簽名的工作過(guò)程：（1）報(bào)文發(fā)送者采用哈希（Hash）編碼加密并產(chǎn)生一個(gè)128位的數(shù)字摘要；（2）發(fā)送者用自己的私鑰對(duì)報(bào)文摘要進(jìn)行加密，形成發(fā)送者的數(shù)字簽名；（3）將數(shù)字簽名作為報(bào)文的附件和報(bào)文同時(shí)傳輸給接收者；（4）接收者使用發(fā)送者的公鑰對(duì)摘要進(jìn)行解密，同時(shí)從接收到的原始報(bào)文中使用同樣的哈希編碼加密得到一個(gè)報(bào)文摘要；（5）將解密后的摘要和接收者重新加密產(chǎn)生的摘要進(jìn)行對(duì)比，若兩者相同，則確定消息在傳送過(guò)程中沒(méi)有被破壞或篡改。用戶根據(jù)自身需要進(jìn)行安全設(shè)置。防火墻具備防止外部攻擊、防止內(nèi)部信息外泄、對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)等功能。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測(cè)、潛在破壞性行為的發(fā)生。防火墻是保護(hù)本地系統(tǒng)或網(wǎng)絡(luò)，抵制網(wǎng)絡(luò)攻擊的最常用的網(wǎng)絡(luò)安全技術(shù)。（二）設(shè)置防火墻和安全規(guī)則VPN虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）技術(shù)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。1.含義：2.優(yōu)勢(shì)：（1）安全：在遠(yuǎn)端用戶、合作伙伴、供應(yīng)商、駐外機(jī)構(gòu)與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩浴＿@對(duì)于實(shí)現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通信網(wǎng)絡(luò)的融合特別重要。（2）成本低：利用公共網(wǎng)絡(luò)進(jìn)行信息通信，企業(yè)投資小、花費(fèi)少，可以用更低的成本連接移動(dòng)商務(wù)各方。（3）與移動(dòng)商務(wù)高度契合：支持VPN用戶在任何時(shí)間、任何地點(diǎn)的移動(dòng)接入，能夠滿足不斷增長(zhǎng)的移動(dòng)商務(wù)需求。通過(guò)身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)驗(yàn)證可以有效地保證VPN網(wǎng)絡(luò)和數(shù)據(jù)的安全性。（三）虛擬專用網(wǎng)絡(luò)技術(shù)生物特征識(shí)別技術(shù)是指利用人體生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征識(shí)別技術(shù)可以通過(guò)計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特性（指紋、虹膜、面相、DNA等）和行為特征（步態(tài)、動(dòng)作習(xí)慣等）來(lái)進(jìn)行個(gè)人身份的鑒定。1.含義：2.任務(wù)：生物識(shí)別技術(shù)中的兩個(gè)最基本任務(wù)是識(shí)別任務(wù)和驗(yàn)證任務(wù)，驗(yàn)證任務(wù)所進(jìn)行的是1∶1的比對(duì)，而識(shí)別任務(wù)則進(jìn)行的是1∶N的比對(duì)。識(shí)別任務(wù)類似于檢索任務(wù)，但與檢索任務(wù)不同，生物識(shí)別往往要求精確匹配而不是模糊匹配。從難度上來(lái)講，識(shí)別任務(wù)具有更大的挑戰(zhàn)性，兩種任務(wù)盡管具有相近的漏檢率，但識(shí)別任務(wù)的錯(cuò)檢率是驗(yàn)證任務(wù)的N倍。（四）生物特征識(shí)別技術(shù)指紋識(shí)別主要根據(jù)人體指紋的紋路、細(xì)節(jié)特征等信息對(duì)操作者進(jìn)行身份鑒定。指紋識(shí)