移动商务安全解决方案.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.终端发起认证请求 2.服务器处理请求
终端机
服务器
3.终端处理响应 4.认证服务器处理响应
动态口令与挑战响应机制相结合的安全实现机制
• 核心:生成动态口令 • 优点:充分利用了挑战/响应方式的优点,还利
用了动态口令对挑战的结果进行加密,避免了网 络侦听、重放攻击、口令猜测、字典攻击等攻击 方法,安全性优于前两种机制。
• 实现:需要服务器保存有共享秘密,同时服务器
和终端上配置有相关的软件(动态口令卡),对终 端处理能力要求不高。
• 应用:使用范围和与前述业务一样。
SP
移动终端 移动运营 商网络 移动终端 运营商移动 电子商务平 台 (认证服务器) Internet SP
移动终端
SP
Hash链安全实现机制 • 特点:实现相对简单,用户使用需按一定的业务
VPN安全实现机制
• 特点:实现简单,用户使用方便,速度快,具有
较高的安全性。具有完备的认证、加密和密钥协 商协议标准,能够实现端到端的数据安全传输, 为用户提供安全可靠的通信。
• 实现:根据选择的安全机制在服务器和终端配置
相应的软件。
• 应用:集团用户、特殊人群。(安全商务数据传
输、企业内部办公、企业间公文传递、手机证劵 、手机银行等)
1.申请证书
8.签名和加密 11.进行业务操作
银行/商家
9.查询用户证书 10.验证证书
证书/黑 名单库
6.用户确定交易时,查询黑名单库 7.用户终端根据黑名单检查对方证书是否作废
基于WPKI体系的安全实现技术 • 特点:实现相对复杂,用户使用相对复杂 ,速度慢,安全性最高。 • 安全性:提供服务器和用户之间的双向认 证、机密性、完整性和不可否认性服务。 • 实现:需要引入独立的第三方,负责为商 务活动中的各个对象颁发数字证书,进行 数字证书的相关维护和管理操作。 • 应用:主要用于移动电子商务中对安全级 别要求高、每笔业务资金额较大的业务。
布置作业
作业类型:简答题 具体要求:请简述两种安全机制的异同点
两种安全技术的比较
非PKI
WPKI
共同点
使用目的相同
适用范围相同
实现的难 易程度
安全性
速度 运营费用 可操作性 应用对象
对终端的 要求
异同 点
学生实训
具体要求:打开艾媒网 http://www.iimedia.cn/12895.html, 找到 “中国移动电子商务中的WPKI技术原 理与流程分析”这篇文章,深入学习WKPI 技术,加深对课本知识的了解。
规则,速度快,具有较高的安全性。提供商家对 用户的身份认证,不提供用户对商家的认证。提 供商务活动中很重要的不可否认性服务。
• 实现:引入独立的第三方经济人,它负责为终端
用户提供证书以及相应的认证承诺,同时为商家 兑现支付承诺。
• 应用:主要用于微支付业务。
经纪人
银行和信用卡公司
a.获得授权
c.兑现支 付
• 实现:在服务器端保存用户的账号信息,
对终端处理能力要求不高。
• 应用:用于移动电子商务中对安全级别要
求最低、每笔业务资金额较小的业务。(收 费电子邮箱、收费游戏、下载铃声、图片 、信息查询等)
基于挑战响应机制的安全实现机制 • 原理:每次认证时,认证服务器给客户端发送一
个不同的“挑战”文本,客户端程序收到这个文 本后,进行相应的“响应”。
移动电子商务安全解决方案
《移动商务基础与实务》
作业讲解
人肉搜索 主动攻击,窃取隐私
非法利用个人信息
非法使用移动终端
隐 私 侵 权 的 行 为
隐私保护对策
伦理 道德
设备 改良
隐私 认证
技术 引进
管理 策略
新课
PKI(Public Key Infrastructure ) 即“公钥基础设施”,是一种遵循 既定标准的密钥管理平台,它能够为所有 网络应用提供加密和数字签名等密码服 务及所必需的密钥和证书管理体系 。
基于WPKI体系的安全实现技术
WPKI体系的构 建也围绕PKI的 五个系统进行
WPKI对PKI的优化扩展:
• PKI协议 • 数字证书 • 加密算法和密钥
WPKI的工作模式
审核系统RA
PKI Portal
5 回 送 证 书 .
2.向CA申请证书
4.回送证书
签发系统CA
3 签 发 证 书
.
短信 WAP 网关
• 优点:实现简单,用户使用方便,安全性优于口
Leabharlann Baidu令机制。
• 缺点:速度相对于口令模式要慢。
• 实现:需要服务器保存有共享秘密,同时服务器
和终端上配置有相关的软件,对终端处理能力要 求不高。
• 应用:应用于移动电子商务中对安全级别要求较
低,每笔业务资金额较小的业务。(收费视频点播 、收费电子图书、收费音乐、自动售货机、彩票 投注等)
用户 b.从商家获得购买信息, 进行支付
商家
第三方
SP 移动终端 移动运营 商网络 移动终端 运营商移动 电子商务平 台 (认证服务器) Internet SP
移动终端
SP
VPN安全实现机制
• Virtual Private Network,虚拟专用网。是 利用开放的公共网络建立私有数据的传输 通道,从而将远程的分支办公室、商业伙 伴、移动办公人员等连接起来,并且提供 安全的端到端的数据通信的一种WAN技 术。
基于口令的安全实现机制 • 采取的方法:身份认证 • 原理:系统为每一合法用户建立一个用户名/口
令对,当用户登录系统时,提示用户输入自己的 用户名/口令,系统通过核对用户输入的用户名/ 口令与系统系统内已有的合法用户的用户名/口令 是否匹配来验证用户的身份。
• 优点:实现简单、应用广泛、速度快 • 缺点:安全性弱,容易被猜测和监听