第6章 移动电子商务安全

6.1 移动电子商务安全概述
2．移动电子商务的安全需求
通过分析移动商务系统所面临的安全威胁，可以看出安全 性对于移动商务的重要性。一个完整且安全的移动商务系统应 该有以下特点： （1）保密性和身份认证需求 （2）数据信息完整性 （3）不可否认性 （4）匿名性 （5）容错能力
6.1 移动电子商务安全概述
6.1 移动电子商务安全概述
4．移动电子商务安全的发展趋势
（1）企业应用将成为移动电子商务领域的热点。 （2）移动信息将成为移动电子商务的主要应用。 （3）安全性问题仍将是移动电子商务中的巨大机会。 （4）移动终端的机会。 （5）移动支付将成为最有潜力的支付手段。
6.2 移动电子商务安全通信技术
第6章 移动电子商务安全
知识目标
● 了解并掌握移动商务面临的安全威胁 ● 了解并掌握移动商务安全的技术现状及发展趋势 ● 了解并掌握移动安全通信技术 ● 了解并掌握移动终端操作系统安全技术
技能目标
● 能够分析移动商务的安全问题 ● 能够说明移动商务的安全信任机制 ● 能够描述移动终端的安全问题及预防技术 ● 能够使用免费的移动安全软件解决移动设备 的基本安全问题
1．移动电子商务的安全技术解决方案
现有的移动电子商务的安全技术解决方案主要有以下几种： （1）完整性保护技术完整性保护技术用于提供消息认证的 安全机制。 （2）真实性保护技术真实性保护技术用来确认某一实体所 声称的身份，以防假冒攻击。 （3）机密性保护技术机密性保护技术是为了防止敏感数据 泄漏给那些未经授权的实体。 （4）抗抵赖技术抗抵赖技术是为了防止恶意主体事后否认 所发生的事实或行为，要解决此问题，必须在每一事件发生 时，留下关于该事件的不可否认的证据。 （5）其他安全技术安全协议是以密码学为基础的消息交换 协议，目的是在网络环境中提供各种安全服务，其安全目标 是多种多样的。
目录
6.1 移动电子商务安全概述 6.2 移动电子商务安全通信技术 6.3 移动终端安全 6.4 手机病毒
6.1 移动电子商务安全概述
移动通信技术从1G发展到4G的过程，也是移动网络的安全机制 不断完善的过程。第一代移动通信系统几乎没有采取任何安全措施 ，移动台把其电子序列号（ESN）和网络分配的移动台识别号（ MIN）以明文方式传送至网络，若二者相符，即可实现用户的接入 ，但用户面临的最大威胁是自己的手机有可能被克隆。第二代数字 蜂窝移动通信系统（2G）采用了基于私钥密码体制。这种机制在身 份认证及加密算法等方面存在许多安全隐患，同样面临着克隆、数 据完整性和拒绝服务攻击等安全威胁。第三代和第四代移动通信系 统（3G/4G）在2G的基础上进行了改进，继承了2G系统安全的优点 ，同时针对3G/4G系统的新特性，定义了更加完善的安全特征与认 证服务。
6.1 移动电子商务安全概述
1．移动电子商务面临的安全威胁
移动商务的迅速发展得益于移动通信的广泛应用，是因为移动 通信网络的建设不像有线网络那样受地理环境限制，移动用户也不 受有线通信电缆的限制，而是可以在移动中进行通信。移动通信网 络的这些优势都是来自于其所采用的无线通信信道，而无线信道是 一个开放性信道，它在赋予移动用户通信自由的同时也带来了一些 不安全的因素，如通信内容容易被窃听、通信内容可以被更改、通 信用户身份可能被假冒等。当然，无线通信网络也存在着有线通信 网络所具有的不安全因素。移动商务同样面临多种安全威胁，主要 包括以下几个方面： （1）无线窃听（2）漫游安全（3）假冒攻击（4）完整性侵害 （5）业务抵赖（6）窃取和丢失（7）恶意代码
OTP口令随机生成，无规律，增加了破解的难度
静态口令认证技术是单向认证机制，即服务器对登
录用户的身份认证，而用户无法认证服务器，因此，
攻击者可能伪装成认证服务器欺骗用户
OTP认证技术建立在密码学基础之上，通过在认证过程中加入不确定因
子，使用户每次进行身份认证的认证口令都不相同，而且每个认证口令
只使用一次，这种一次一密的认证方法可以有效保证用户身份的安全性
（2）非对称密钥加密算法。
6.2 移动电子商务安全通信技术
2．信息加密原理
图6—2 非对称密钥加/解密示意图
Hale Waihona Puke Baidu
6.2 移动电子商务安全通信技术
3．移动通信加密
图6—3 BTS和MS之间的信息加密和解密过程
6.2 移动电子商务安全通信技术
4．终端身份认证
比较项目 动态性 一次性 随机性
认证机制
表6-1 静态口令认证与OTP认证对比分析
安全性
静态口令认证技术是一种单因子的认证技术，安全 性仅依赖与口令，口令一旦泄露，安全性随即丧失
OTP认证技术具有多重安全性，与静态口令的单一认证方式不同，OTP 认证技术将一次性口令与用户、静态口令等多重因素结合实现认证
6.2 移动电子商务安全通信技术
5．移动交易信任机制
移动商务交易中的信任是指网上消费者对在线交易的总 体信任，它分为广义和狭义两种。狭义的信任机制局限于网 络平台的技术手段的研究，一般分为基于身份的信任模型、 基于角色的信任模型、自动信任协商模型、基于名誉的信任 模型。广义的信任机制是指电子商务交易系统中构成、影响 相互信任关系的各部分及它们之间的作用方式，以及为促进 和维持信任关系所发生的相关作用方式和所有手段、方法等 。在这一机制中主要涉及交易主体(网上企业和消费者)及在交 易过程中起保护和支持作用的第三方机构(如银行、政府等)。
3．移动电子商务安全问题
囊括超过80%上网人群的移动互联网，已经成为网络 空间中最重要的一个组成部分，而网络空间安全更是与国 家安全息息相关、不可或缺的组成部分。现阶段，国家层 面的移动互联网信息安全的主要问题有以下几个方面：
（1）核心技术的缺乏。
（2）互联网以美国为中心的架构在短期内无法改变。
（3）企业信息安全在移动互联网环境下受到极大挑战。
静态口令认证技术 静态口令是固定不变的，难以抵御重放攻击
OTP认证技术 OTP口令可以随设定的时间或事件等变量自动变化，无需人工干预
静态口令在传输过程中已被拦截，难以抵御窃听攻 击
OTP口令一次有效，旧口令不能重复使用，即使口令被窃听，也不会造 成很大危险，因此具备良好的抗窃听性
静态口令通常比较简单，难以抵御猜测攻击
6.2 移动电子商务安全通信技术
2．信息加密原理
由于数据在传输过程中有可能遭到侵犯者的窃听而 失去保密信息，加密技术是网络中数据传输采取的主要 保密安全措施。加密技术也就是利用技术手段把重要的 数据变为乱码(加密)传送，到达目的地后再用相同或不 同的手段还原(解密)。
加密算法按其对称性可分为：
（1）对称密钥加密算法。