移动商务的安全技术

移动商务的安全技术

电商0921 严佳女 32

一、移动商务的安全问题

(1)无线通信网络的安全威胁

无线通信网络可以实现不受时间地理环境的限制，给无线用户带来通信自由和灵活性的同时也带来了诸多不安全因素。如通信内容容易被窃听威胁、网路漫游的威胁、针对无线通信标准的攻击、窃取用户的合法身份、对数据完整性的威胁。

⏹由于移动终端的移动性，移动终端很容易被破坏或者丢失，势必造成安全影响，主要包括如下方面：移动终端设备的物理安全；移动终端被攻击和数据破坏；SIM卡被复制；RFID 被解密等。

⏹自从世界上第一个针对Symbian操作系统的手机软件病毒出现，移动终端就已经面临了严峻的安全威胁。况且，手机软件病毒眼下呈加速增长的趋势，每个星期至少有一款新的手机病毒产生，这就加重了这种安全威胁。

⏹在移动商务中，消费者对于产品的了解只能通过图片和文字的简单说明了解、去判断，这就使消费者对商品的产地、规格、原材料来源、成分等真实情况缺乏全面、深入的了解。

⏹交易双方的信息不对称，现实中消费者购买的商品与广告的信息不符，一旦消费者要向商家退货或索赔，商务网站需要提供该经营者的详细信息资料，但商务网站常常以商业秘密为由拒绝提供。

⏹随着移动商务的发展，移动商务平台林立。大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营，还普遍缺少经验。

⏹移动商务平台设计和建设中做出的一些技术控制和程序控制的安全思考，急需在运营实践中进行修正和完善，更需把技术性安全措施和运营管理中的安全措施，交易中的安全警示和安全思考进行整合，以形成一个整合的、增值的移动商务安全运营和防御战略，确保使用者免受安全威胁。

⏹随着移动电子商务的发展，2.5G向3G的移植和提升，大量实测性项目进入试应用或试运营阶段。移动商务的应用更加便捷，应用范围进一步扩大。

⏹相当多的移动商务应用主体缺少安全防范意识，缺少安全使用意识：缺少对移动终端的安全性使用、运营和管理意识；缺少进行移动商务运作中的安全性、警示性思考；缺少进行移动商务前的系统性安全教育；缺少前瞻性、安全性防范知识和防范措施；缺少对移动商务数据安全备份、恢复以及对非法入侵者的追踪、取证等法律思考。

二、移动商务的安全技术

移动商务面临的八大安全威胁

移动商务的安全防范

移动商务的安全技术及创新

移动商务模式中的安全保障技术

1移动商务面临的八大安全威胁

1.1无线通信网络的安全威胁

1、窃听的威胁

2、网路漫游的威胁

3、针对无线通信标准的攻击

4、窃取用户的合法身份

5、对数据完整性的威胁

.1.2移动终端面临的安全威胁

1、移动终端设备的物理安全

2、移动终端被攻击和数据破坏

3、SIM卡被复制

4、RFID被解密

5、在线终端容易被攻击

.1.3软件

病毒造成的安全威胁

1、手机病毒的种类

◆针对蓝牙设备的病毒

◆针对移动通讯商的病毒

◆针对手机BUG的病毒

◆针对短信或彩信的病毒

2、手机病毒的传播方式

（1）用短信或电话攻击手机本身

（2）利用蓝牙方式传播

（3）利用MMS多媒体信息服务方式传播（4）攻击和控制“网关”进行传播

（5）利用手机中BUG(漏洞)进行攻击

.1.4商家欺诈行为造成的安全威胁

1、交易双方的信息不对称

2、虚假广告对消费者的威胁

3、售后服务中的缺陷

1.5垃圾短信泛滥造成的安全威胁

.1.6移动商务资料失窃造成的安全威胁

1、用户的个人资料被窃取

2、对用户人身权力的侵犯

.1.7移动商务平台运营管理漏洞造成的安全威胁

.1.8移动商务应用主体缺乏安全思考面临的安全威胁

1、缺少对移动终端的安全性使用、运营和管理意识；

2、缺少进行移动商务运作中的安全性、警示性思考

3、缺少进行移动商务前的系统性安全教育

4、缺少前瞻性、安全性防范知识和防范措施

5、缺少对移动商务数据安全备份、恢复以及对非法入侵者的追踪、取证等法律思考

.2 移动商务的安全防范

.2.1加强交易主体身份识别管理

.2.2加强移动商务安全规范管理

.2.3加强诚信体系建设

.2.4加强移动商务运营中的安全监管和法制建设：

1、加强立法建设

2．加强法制宣传和教育

3、加强监督和管理

.3移动商务的安全技术及创新

.3.1WPKI无线公开密钥体系：

WPKI技术，也称即无线公开密钥体系，是由有线网络的公开密钥体系PKI发展而来的一项新技术。是一套遵循既定标准的密钥及证书管理的平台体系，用该体系来管理移动网络环境中使用的公开密钥和数字证书，可以有效地建立安全和值得信赖的无线网络环境。

1、什么是WPKI？

WPKI即公开密钥体系，简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施，它是国际公认的互联网电子商务的安全认证机制，它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。

2、WPKI的框架

3、国外WPKI技术研究：

目前，国际上很多国家都在研究WPKI技术，美国、日本和欧洲各国都已发展出自己的信息安全技术和产业，WPKI领域的主流体系有如下几种：

◆ WAP FORUM制定的WAP PKI

◆日本NTT的I-MODE的安全体系

◆美国PALM公司的安全体系

4、WPKI技术在移动商务中的应用

由于WPKI技术也发展，它为解决移动环境下的安全认证和支付奠定了基础。因此被广泛地应用在银行、证券、商务、贸易、等各方面。下面简要的说明WPKI技术的应用情况。

（1）在电子支付中的应用

（2）在公安领域中的应用

（3）在销售管理中的应用

5、WPKI技术的发展趋势和问题

纵观目前国内外的状况， WPKI技术未来的发展趋势如下：（1）标准化

（2）国际化

（3）整合化

WPKI技术虽然有着广泛的应用前景，但在技术实现和应用方面仍面临着一些问题：（1）相对于有线终端，无线终端的资源有限，它处理能力低，存储能力小，需要尽量减少证书的数据长度和处理难度。

（2）无线网络和有线网络的通信模式不同，还需要考虑WPKI与标准PKI之间的互通性。（3）无线信道资源短缺，带宽成本高，时延长，连接可靠性较低

（4）必须改进移动终端的设计，以满足技术和应用的需要

（5）缺乏更多、更广泛、更具吸引力的应用

（6）数字签名得不到法律的保护

.3.2VPN技术：

VPN即虚拟专用网技术。就是在公用的Internet网络上，通过隧道协议建立起安全的私有网络，它像一条能穿过混乱的公用网络安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络上建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。

3.3用户鉴权技术

在移动商务中，尤其是金融交易，我们要求严格的用户鉴权。为了确保移动环境中的安全性，应使用“双向身份认证”和“密钥协商协议”，主要包括以下实现手段：

1、双向身份认证

2、密钥协商和双向密钥控制

3、双向密钥确认

4、用户身份授权技术

.3.4 病毒防护技术

1、关闭乱码电话