电子商务安全考前辅导ppt课件.ppt

移动电子商务安全性分析 （1）端到端安全。提供手机用户和服务提供商间的端到端短消息安全机制，从而在最大程度上避免交易消息遭到窃听，同时该安全协议对于用户而言是透明的。 （2）机密性与完整性。采用MAC码检测数据的完整性，并通过对称密钥加密算法避免交易数据和用户隐私泄漏。 （3）一次性双向身份认证。采用一次性口令，每次提交的认证信息都不相同，同时业务数据与认证信息一起发送从而避免了传统的“挑战—应答”式身份认证中的客户与服务器的多次交互，大大节约了通信成本并降低了短消息信道的通信压力。 （4）有线网安全和无线网安全的有效结合。充分考虑无线网通信带宽的有限性，以及移动设备计算能力的局限性，采用基于对称密钥的安全协议来保证移动设备和移动网络通信的安全性，同时采用PKI及安全强度高的支付协议来保证系统的整体安全。 （5）协议的可靠性。 WAP2.0 安全机制 WAP2.0 在 手 机 终 端、WAP 网关和应用服务器间均与WAP1.x 有很大区别。WAP 网关仅对 TCP、IP 层进行协议实现，对 TLS（ 安 全 连 接 ）、HTTP 及之上的 WAE 实现透明传输。手机终端和应用服务器都采用基于 TCP 之上的 TLS 加密。从技术实现上，在 WAP 网关不存在解密和加密的过程，所以说，在WAP2.0 中，从手机终端到应用服务器间能够实现移动数据端到端的加密。 目前在中国移动和中国联通，从网络基础设施上（比如WAP 网关、WAP 管理和业务平台）看，已经完全具备大规模支持 WAP2.0 应用的能力。由于WAP2.0 能够提供端到端的安全机制，随着市场上 WAP2.0 手机的不断推出和增多，开展基于WAP2.0 之上的移动电子商务的条件将越来越成熟。移动商务、移动证券、移动银行将成为移动互联网应用的主要服务之一。 WPKI 可应用于移动电子商务环境的加密体系是由有线网络的公开密钥体系 PKI ( Public Key Infrastructure)发 展 而 来 的 WPKI ( Wireless Public Key Infrastructure) 技术。它是一套遵循既定标准的密钥及证书管理平台体系， 用此体系来管理移动网络环境中使用的公开密钥和数字证书， 有效建立安全和值得信赖的无线网络环境。与 PKI 系统相似， 一个完整的 WPKI系统必须具有以下五个部分: 客户端;注册机构( RA) ; 认证机构( CA) ; 证书库以及应用接口等， 其构建也围绕着这五大系统进行。 3G对移动电子商务的保障 (1)网络接入的安全性。只有有权用户得到认证以后才能接人网络，避免恶意用户攻击网络窃取其他移动电子商务用户的商务信息流。这个安全机制的实现是通过3G网络极其严密地认证机制来实现的。 (2)网络域的安全机制。通过对于商务用户的信息流进行加密和对信令的一致性检验来确保用户的信息流安全传输和网络控制机制的正常运转。 (3)用户域的安全机制。保证用户的手机丢失或者被盗以后，其他非法用户无法访间存储在手机终端中私密的个人信息。 (4)应用领域的安全机制。通过应用层加密机制来实现从信息流端到端传输的角度来保证电子商务的信息安全传送。 移动电子商务存在的问题与对策 （1）安全性是影响移动电子商务发展的关键问题：相对于传统的电子商务模式，移动电子商务的安全性更加薄弱。如何保护用户的合法信息（账户、密码等）不受侵犯，是一项迫切需要解决的问题。除此之外，目前我国还应解决好电子支付系统、商品配送系统等安全问题。可以采取的方法是吸收传统电子商务的安全防范措施，并根据移动电子商务的特点，开发轻便高效的安全协议，如面向应用层的加密（如电子签名）和简化的IPSEC协议等。 （2）无线信道资源短缺、质量较差：与有线相比，对无线频谱和功率的限制使其带宽较小，带宽成本较高，同时分组交换的发展使得信道变为共享；时延较大；连接可靠性较低，超出覆盖区域时，服务则拒绝接入。所以服务提供商应优化网络带宽的使用，同时增加网络容量，以提供更加可靠的服务。 移动电子商务存在的问题与对策 （3）面向用户的业务还需改善和加强：就目前的应用情况来看，移动电子商务的应用更多的集中于获取信息、订票、炒股等个人应用，缺乏更多、更具吸引力的应用，这无疑将制约移动电子商务的发展。 （4）改进移动终端的设计：为了能够吸引更多的人从事移动电子商务活动，必须提供方便可靠和具备多种功能的移动设备。例如，基于WAP的应用必须比PC易于操作（如电话那样）；无线设备采用WAP后，仅允许提高较小的成本。 11 风险评估 对于风险评估来说，其三个关键要素是信息资产、弱点/脆弱性以及威胁。每个要素有其各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影