第5章 移动商务安全管理
电子商务概论课程期末复习指导及答案
电子商务概论课程期末复习指导第一部分课程考核的有关说明一、考核对象。
本课程考核对象为开放教育专科各专业的学生。
二、考核方式与目标。
通过本课程的教学,使学生熟练掌握电子商务的基本理论知识,掌握基本的电子商务操作,能够对电子商务相关经济现象进行初步的分析,为电子商务专业知识的深入学习奠定基础。
本课程采用形成性考核和终结性考核相结合的方式。
形成性考核包括4次平时作业,平时作业成绩占学期总成绩的30%。
终结性考核即期末考试,期末考试成绩占学期总成绩的70%。
三、考核依据。
本课程的命题依据是辽宁广播电视大学《电子商务概论》教学大纲,由清华大学出版社出版卢金钟、张昭俊、王永生主编的《新编电子商务概论》教材和本考核说明。
四、考试要求。
鉴于本课程是一门专业理论和实务课,主要考核学生对基本理论、基本方法的理解和应用能力。
在能力层次上,从了解、一般掌握和重点掌握三个角度来要求。
了解是要求学生对本课程的基本知识和相关知识有所了解;一般掌握是要求学生对基本理论、基本技能和基本方法,不仅要知道是什么,还要知道为什么;重点掌握是要求学生能综合运用所学的基本理论、基本方法和基本技能,根据所给的条件,灵活自如地处理业务问题.五、命题原则1.本课程的考试命题在《电子商务概论》课程教学大纲、考核说明和文字教材范围之内。
按照重分析理解和理论联系实际原则,既考查对基本知识的理解能力,又考察运用所学知识综合分析问题和解决问题的能力。
2.试卷将尽可能兼顾各个能力层次。
在一份试卷中,各层次题目所占分数比例大致为:了解10%左右,理解或掌握占30%左右,重点理解或应用占60%左右. 3.试卷合理安排题型的比重.题型分为:填空题、判断题、多项选择题、综合分析题(含计算分析、案例分析和论述)等。
在一份试卷中,各题型所占的分数比例为:填空题20%,判断题20%,多项选择题30%,综合分析题30%。
4.试题的能力层次和题型是两个不同的概念.在各题型中,都可以含有不同能力层次的题目。
第5章:移动支付
移动支付产业链构成与运营模式
以第三方支付服务提供商为主导的运营模式(如银联):
这里的第三方支付服务提供商指独立于银行和移动运营商,利用移动通 信网络和银行的支付结算资源进行支付的身份认证和支付确认的机构,具 有整合移动运营商和银行等各方面资源并协调各方面关系的能力,能为手 机用户提供丰富的移动支付业务; 上海捷银信息技术有限公司; 北京泰康亚洲科技有限公司; 广州金中华通讯公司等
消费者
商户
②
计费与认证
移动运营商
以银行为主导的运营模式
优势: 银行的资本实力、营业网点规模和分布、营销宣传等方面比较强,仅把移动 运营商的网络当作一种类似互联网的信息通道, 而且不受其他各方的制约,可 以灵活开展支付业务。 劣势: 在该运营模式下,各银行只能为本行用户提供手机服务,移动支付业务在银 行之间不能互联互通; 各银行都要购置自己的设备,通过与移动运营商搭建专线等通信线路,自建 计费与认证系统,因而会造成较大的资源浪费; 特定的手机终端和STK卡置换造成用户成本上升。
第5章
移动支付
【教学目标与要求】
1.掌握移动支付的相关概念;
2.掌握移动支付类型、价值链及运营模式;
3.掌握移动支付的业务模式、接入方式、支 付流程; 4.了解移动支付现状、存在的问题、安全保 障技术及发展方向。
4
任务引入
通过学习及实践,小张对于电子支付 方式中的电话支付已经比较的熟悉了, 并且顺利地完成了电话订票。(电话支 付概念、与手机银行、电话银行的区别 和联系、电话支付流程、电话支付的风 险和安全问题及如何去保障)。 小张接下来开始通过网络采购出游 的物品,在查询的过程中小张发现现在 很多商品的价格都分为PC端和手机端, 而且手机端价格低于PC端,小张通过和 客服沟通了解到,这是因为现在商家都 致力于培养用户移动消费和支付的习惯 培养,未来会成为主流。小张可不想再 被OUT了,他准备好好来学习探讨下手机 上面的各种支付应用。
电子商务安全与管理第二版课后习题答案
关键术语第一章电子商务安全导论1)电子商务安全问题:主要涉及信息的安全、信用的安全、安全的管理问题以及安全的法律法规保障问题。
2)完整性:防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。
3)电子商务系统安全:从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分组成。
4)认证性:确保交易信息的真实性和交易双方身份的合法性。
5)电子商务安全保障:电子商务安全需要一个完整的保障体系,应当采用综合防范的思路,从技术、管理、法律等方面去认识、去思考,并根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。
6)可控性:保证系统、数据和服务能由合法人员访问,保证数据的合法使用。
7)保密性:保护机密信息不被非法取存以及信息在传输过程中不被非法窃取8)不可否认性:有效防止通信或交易双方对已进行的业务的否认。
第二章:1.链路——链路加密链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。
接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
2.对称加密称加密又叫秘密密钥加密,其特点是数据的发送方和接收方使用的是同一把密钥,即把明文加密成密文和把密文解密成明文用的是同一把密钥。
3、节点加密节点加密是指每对节点共用一个密钥,对相邻两节点间(包括节点本身)传送的数据进行加密保护。
尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为信息提供安全性;都在中间节点先对信息进行解密,然后进行加密。
4、公开密钥加密不对称加密又叫做公开密钥加密,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。
5、端——端加密端—端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。
采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
移动电子商务第6章移动商务安全管理
协议)
2.移动电子商务的安全 技术
第一节 移动商务安全概述 四、我国移动电子商务安全发展策略
(1)在国家层面,通过不断完善相应法律法规,建立信息安全的法律和政策框架。 通过加大对信息产业的投入,逐步建立自主的技术路线、标准和体制,事实掌握信息 产业发展的话语权。突破以核心芯片为代表的关键技术,推动自主可控移动互联网生 态系统的建设。
移动互联 网典型的 安全威胁
1、无线窃听 2、漫游安全 3、假冒攻击 4、完整性侵害 5、业务抵赖 6、窃取和丢失 7、恶意代码
第一节 移动商务安全概述 二、移动商务的安全需求
1、保密性和身 份认证需求
2、数据信息完 整性
3、不可否认性
4、匿名性
5、容错能力
第一节 移动商务安全概述 三、移动电子商务安全现状
第三节 移动终端安全
当前电子商务信息安全已越来越受到人们的 关注,移动终端作为用户使用移动商务的工 具,作为存储用户个人信息的载体,在信息 安全方面要配合移动网络保证移动业务的安 全,要实现移动网络与移动终端之间通信通 道的安全可靠,同时还要保证用户个人私密 信息的安全。随着移动终端的普及率和使用 率越来越高,各种安全问题也日益突显。
• (1)核心技术的缺乏 • (2)互联网以美国为中心的架构在短
期内无法改变 • (3)企业信息安全在移动互联网环境
下受到极大挑战
1. 移动电子商务安全存 在的主要问题
• (1)完整性保护技术 • (2)真实性保护技术 • (3)机密性保护技术 • (4)抗抵赖技术 • (5)其他安全技术(①密钥交换协议;②
第一节 移动商务安全概述
一、移动互联网安全概述
移动商务的迅速发展得益于移动通信之 所以得到广泛应用,是因为移动通信网络的 建设不像有线网络那样受地理环境限制,移 动用户也不像有线通信电缆的限制,而是可 以在移动中进行通信。移动通信网络的这些 优势都是来自于它们所采用的无线通信信道, 而无线信道是一个开放性信道,它在赋予移 动用户通信自由的同时也带来一些不安全性 因素,如通信内容容易被窃听,通信内容可 以被更改、通信用户身份可能被假冒等。
电子商务概论期末简答题 宋文官版
第五章电子商务交易安全1.卖方面临的电子商务安全有哪些?(1)中央系统安全性被破坏。
(2)竞争对手检索商品递送状况。
(3)被他人假冒而损害公司的信誉。
(4)买方提交订单后不付款。
(5)获取他人的机密数据。
2.买方面临的电子商务安全有哪些?(1)付款后不能收到货品。
(2)机密性丧失。
(3)拒绝服务。
3.信息传输过程中面临的安全有哪些?(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息4. 电子商务安全体系包括哪些?(1)电子商务硬件安全(2)电子商务系统软件安全(3)电子商务系统运行安全(4)电子商务安全立法。
5. 简述电子商务安全控制要求,并能举例证实。
(1)信息传输的保密性(2)交易文件的完整性(3)信息的不可否认性(4)交易者身份的真实性。
6. 简述电子商务安全的应急措施。
目前运用的数据恢复技术主要是瞬时复制技术、远程磁盘镜像技术和数据库恢复技术。
7. 什么是通用密钥?加密密钥Ke和解密密钥Kd是通用的,即发送方和接收方使用同样密钥。
8. 什么是公开密钥?解密密钥是保密的,而加密密钥完全公开。
9. 什么是数字摘要?有什么作用?数字摘要也称安全Hash编码法或MD5。
数字摘要的应用使交易文件的完整性得以保证。
10. 什么是数字签名?有什么作用?信息是由签名者发送的;信息自签发后到收到为止未曾做过任何修改。
数字签名可用来防止电子信息因易被修改而有人伪造。
或冒用他人名义发送信息,或发出(收到)信件后又加以否认等情况发生。
11. 什么是数字证书?有什么作用?数字证书又称数字凭证、数字标识。
是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
作用:证实一个用户的身份和对网络资源访问的权限。
是各实体在网上进行信息交流及商务活动的电子身份证。
12. SSL协议有什么作用?、保证信息的真实性、完整性和保密性。
13. SET协议有什么作用?提供对买方、商户和收单行的认证,确保交易数据的安全性、完整性和交易的不可否认性,特别保证了不会将持卡人的信用卡号泄漏给商户。
习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085
答案第1章电子商务安全概述一、填空题1.计算机网络安全、商务交易安全2.商务交易安全隐患,人员、管理、法律的安全隐患3.鉴别、确认4.网络实体5.被他人假冒6.网络操作系统、网络协议二、选择题1.A2.C3.C4.D5.D三、判断题1.X2.√3. X4.√5.X四、简答题1.答:Internet是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据、或盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2.答:为真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、认证性、有效性和不可否认性,只有满足了这些条件的电子商务才能称的上是安全的电子商务。
3.答:这个安全体系至少应包括三类措施,并且三者缺一不可。
一是技术方面的措施,技术又可以分为网络安全技术,如防火墙技术、网络防黑、防毒、虚拟专用网等,以及交易安全技术,如信息加密、安全认证和安全应用协议等。
但只有技术措施并不能保证百分之百的安全。
二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。
三是社会的法律政策与法律保障。
电子商务安全性首先依托于法律、法规和相关的管理制度这个大环境,在这个大环境中,运用安全交易技术和网络安全技术建立起完善的安全管理体制,对电子商务实行实时监控,并加强安全教育等,从而保证电子商务的安全性。
4.答:(1)网上预订飞机票、火车票(2)网上客房预订(3)网上购物、购书(4)网上拍卖(5)网上旅游交易会、农副产品交易(6)网上销售娱乐、游戏、电子书籍、软件等知识产品(7)提供 ISP、ICP、IDP 等网络技术服务五、案例分析题略第2章计算机与网络系统安全技术一、填空题1.正常运行篡改泄露2.程序3.非法入侵者4.端口、漏洞5.拒绝服务攻击(DDoS)6.缓冲区溢出攻击、欺骗攻击7.安全策略8.日志记录9.代理型、状态监测10.网络,主机11.外存储器12.备份13.资源共享、互联服务14.网络隧道二、选择题1.B2.D3.A4.B5.B6.A7.D8.C9.C 10.D 11.A 12.B 13.B三、判断题1.√2. X3.√4.X5.√6.X7.√8.√9.√ 10.√ 11.X四、简答题1.答:破坏性、寄生性、传染性、潜伏性、针对性。
第5章移动交易服务
5.3 移动电子商务交易相关服务
(2)移动支付的实现 实现移动虚拟支付的方式有三种: ①通过移动运营商的话费进行代收。 ②小额支付,即由移动运营商帮助客户建立一 个小额的账户,用户利用该账户进行交易。 ③银行卡的支付,移动用户的手机号码与银行 卡号码捆绑,再通过中国移动的网络,利用银 行的后台系统进行交易处理的一种方式。
(2) 移动电子商务合同与电子商务合同的异同 移动电子商务合同在本质上也是当事人之 间达成的合意。它除了具备存在双方或多方订 约当事人、订约各方当事人对主要条款达成一 致、具备要约和承诺阶段等要件外,还须具备 全部或部分采用电子记录形式要件。移动电子 商务合同只是在实现的网络环境和缔约的设备 上与电子商务合同有所不同。
5.1 移动电子商务合同
5.1.1 移动电子商务合同的概念与特点 (1) 合同的概念 ①合同是指当事人之间设定、变更、终止 债权债务关系的合意,因此可以称为“合意 说”。 ②合同是当事人之间产生、变更、终止民 事权利义务关系的意思表示一致的法律行为; 因此可以称为“法律行为说”。
5.1 移动电子商务合同
5.3 移动电子商务交易相关服务
②iCITIC移动支付服务 由中信网络科技股份有限公司开发的新型 移动支付系统,支持普通手机和SIM卡,手机 用户无需增加任何硬件或软件,即可享受安全、 方便、快捷的移动支付服务。 该系统通过移动通信运营商,将商家、普 通客户与银行的业务关系连接起来;使用普通 手机替代传统的银行POS系统;实现钱包的电 子化、移动化。
5.3 移动电子商务交易相关服务
案例一:天津移动推出“移动定位”业务为物流企业 服务 天津移动推出的“移动定位”新业务,正是为满 足各物流企业对车辆监控管理的需求而专门设置的。 “移动定位”不仅很好地解决了物流工作中车辆的安 全生产和工作效率等问题,对降低运营成本提升服务 质量也起到了积极的作用。移动定位系统主要采用 GPS定位技术,并以LBS基站定位技术为补充,为车辆 提供24小时不间断、高精度的定位服务。 该系统是由车载定位终端接收全球定位卫星发出 的定位信息,计算出移动目标的经度、纬度、速度、 方向,并利用GPRS网络来实现定位信息的传输,对物 流企业管理、调度物流运输车辆起到了十分重要的作 用:
电子商务员培训教材
电子商务员培训教材第一章:电子商务概述1.1 什么是电子商务?电子商务是利用电子技术和互联网平台进行商业活动的一种形式。
它包括电子商务的基本概念、特点和发展趋势等内容。
1.2 电子商务的发展历程这一部分将介绍电子商务的起源和发展历程,从早期的电子数据交换到现代的电子商务平台,帮助学员了解电子商务的发展过程和变革。
1.3 电子商务的分类电子商务可以根据参与主体、交易对象和交易方式等多个角度划分。
本节将详细介绍各种电子商务的分类和特点,让学员对电子商务有更全面的认识。
第二章:电子商务平台2.1 电子商务平台的定义和作用电子商务平台是电子商务的基础设施,它提供了交易、支付、客户管理等功能,支持电子商务的整个过程。
本章将介绍电子商务平台的定义和作用,以及常见的电子商务平台类型。
2.2 电子商务平台的选择与建设如何选择适合企业的电子商务平台?如何进行电子商务平台的建设和维护?本节将提供一些实用的建议和方法,帮助学员进行电子商务平台的选择和建设。
3.1 电子商务的法律框架电子商务的法律框架包括电子合同、电子支付和数据隐私等方面的法律法规。
本章将介绍常见的电子商务法律问题和对应的法律规定,让学员了解电子商务的法律环境。
3.2 电子商务的安全性电子商务的安全性是企业和消费者关注的重点。
本节将介绍常见的电子商务安全问题和应对措施,帮助学员了解如何确保电子商务的安全。
4.1 电子商务的市场定位与策略电子商务的市场定位和策略对于企业的发展至关重要。
本章将介绍电子商务的市场定位和策略制定的基本原则和方法,帮助学员掌握电子商务的营销技巧。
4.2 电子商务的推广和促销如何将电子商务推广给更多的消费者?本节将介绍电子商务的推广和促销方法,包括社交媒体营销、搜索引擎优化和电子邮件营销等,帮助学员提高电子商务的曝光度和销售额。
第五章:电子商务的客户服务5.1 电子商务的客户体验电子商务的客户体验是决定消费者是否满意的关键。
本章将介绍电子商务的客户体验的要点和方法,帮助学员提升客户满意度和忠诚度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.1.2 移动商务的法律保障
• 移动商务是一个系统工程,移动商务的发展不仅依赖于技术 的成熟,也受法律、社会和管理等诸多因素的制约。电子商 务的迅猛发展推动了相关的立法工作。目前,已经有60多个 国家就电子商务和数字签名发布了相关的法规。美国于1995 年犹他州颁布的电子签名法则是全球最早的电子商务领域的 立法。 • 2005年4月1日,中国首部真正意义上的信息化法律《电子签 名法》正式实施,电子签名与传统的手写签名和盖章将具有 同等的法律效力,标志着我国电子商务向诚信发展迈出了第 一步。《电子签名法》立法的重要目的是为了促进电子商务 和电子政务的发展,增强交易的安全性。
第5章 移动商务安全管理
5.1 移动电子商务面临的威胁 5.2 无线技术攻击手段 5.3 移动商务与手机病毒 5.4 移动商务安全框架 5.5 移动商务安全解决方案
5.1 移动电子商务面临的威胁
5.1.1移动商务面临的安全威胁 5.1.2移动商务的法律保障
5.1.1移动商务面临的安全威胁
• 随着移动网络从2.5G到3G的演进和移动数据速率的提高,面 向移动商务的业务领域快速发展。无线通信网络不像有线网 络,它不受地理环境和通信电缆的限制就可以实现开放性的 通信。无线信道是一个开放性的信道,它给无线用户带来通 信自由和灵活性的同时,也带来了诸多不安全因素。
5.3 移动商务与手机病毒
5.3.1手机病毒的种类及症状 5.3.2手机病毒的原理 5.3.3手机病毒的攻击模式 5.3.4手机病毒的防护措施
5.3 移动商务与手机病毒
• 在电子商务领域,移动终端主要有手机、笔记本计算机等。 笔记本计算机面临的安全与普通计算机系统面临的安全威胁 相同。在此,我们重点分析用于电子商务的手机终端新出现 的一些安全隐患及相应的防护措施。 • 手机短信的诞生,掀起了一场通信革命,“拇指经济”拯救了 不少危难之中的IT企业。然而,短信也如电子邮件一样吸引 了病毒的传播。第一个造成危害的病毒Timdomea于2001年6 月诞生于西班牙,这个病毒实际上是通过电子邮件散发的, 它具有双重危害,不但可以象普通的邮件病毒那样,给地址 溥中的邮件发送带病毒邮件,还具有利用短信服务器传送短 信的功能发送大量垃圾短信。手机病毒已成目前手机面临的 最严重的安全问题。本节将讨论手机病毒及其防护的一些基 础知识。
5.3.1手机病毒的种类及症状
• • • • •
目前发现的手机病毒大致有以下四类。 (1)EPOC病毒 (2)Trojan horse病毒 (3)Unavailable病毒 (4)Hack-mobile.smsdos病毒
5.3.2 手机病毒的原理
• 手机病毒和计算机病毒一样是一种计算机程序,只不过它以 手机网络和计算机网络为平台,以手机为感染对象,通过病 毒短信等形式对手机进行攻击,从而造成手机异常。不过, 手机病毒必须具备两个基本的条件才能传播和发作:首先移 动服务商要提供数据传输功能;其次,要求手机使用的是动 态操作系统,也就是支持Java等高级程序写入功能。现在凡 是具有上网及下载等功能的手机都满足上面的条件,这些智 能型手机就相当于一部小型计算机,因此,会有受到病毒攻 击的可能,而普通手机(非上网)则少有感染的机会。
信连接后,在原来的数据上进行修 改或者恶意地插入一些数据和命令,这种攻击称之为插入攻 击。插入攻击同样可以造成拒绝服务,攻击者可以利用虚假 的连接信息使得接入点或基站误以为已达到连接上限,从而 拒绝对合法用户的正常访问请求。 • 和插入攻击很类似的是中间人攻击(Man-In-The-Middle Attack,简称为MITM攻击)。MITM攻击通常会伪装为网络资 源,当客户端发起连接时,攻击者将拦截这个连接,然后冒 充客户端与真正的网络资源完成这个连接并代理通信。此时 ,攻击者能够在客户端和网络资源中间任意地插入数据、修 改通信或者窃听会话。
5.4 移动商务安全框架
5.4.1蓝牙标准 5.4.2蓝牙技术定义的标准及特点
5.4.1蓝牙标准
• 蓝牙技术(Bluetooth technology),是一种短距离无线通信 技术,利用蓝牙技术,能够有效地简化掌上电脑、笔记本电 脑和移动电话等移动通信终端设备之间的通信,也能够成功 地简化以上这些设备与Internet之间的通信,从而使这些现代 通信设备与因特网之间的数据传输变得更加迅速高效,为无 线通信拓宽道路。
5.1.1.1 技术方面的安全威胁
• (1)网络本身的威胁
• 如通信内容容易被窃听,通信双方的身份容易被假冒,以及 通信内容容易被篡改等。在无线通信过程中,所有通信内容( 如通话信息,身份信息,数据信息等)都是通过无线信道开放 传送的。任何拥有一定频率接收设备的人均可以获取无线信 道上传输的内容。对于无线局域网和个人用户,其通信内容 更容易被窃听。因为这些网络通信工作是在全球统一开放的 工业、科学和医疗频带上(2.5GHz和5GHz频带)。任何团体 和个人都不需要申请就可以免费使用该频段进行通信。
5.3.4 手机病毒的防护措施
• 就目前而言,对于普通手机用户来说尚无法进行杀毒,所以 ,我们要养成良好的手机使用习惯,并加强手机使用的安全 防范意识。在手机病毒的防护方面努力做到:①使用手机上 网功能时,尽量从正规网站上下载信息;②如果收到含有病 毒的短信或邮件时,应立即删除;③如果键盘被锁死,可以 取下电池后开机再删除;如果仍无法删除,可以尝试将手机 卡换到另一型号的手机上删除;④如果病毒一直占据内存, 无法进行清除,可以将手机拿到厂商维修部重写芯片程序。 另外,手机病毒总是热中于一些有较多漏洞或缺陷的手机型 号,购买时应避免购买这样的手机。 • /news/android-6485.html
5.1.1.1 技术方面的安全威胁
• (2)无线AdHoc应用的威胁
• 除了互联网在线应用带来的威胁外,无线装置给其移动性和 通信媒体带来了新的安全问题。考虑无线装置可以组成 AdHoc网络。AdHoc网络和传统的移动网络有着许多不同,其 中一个主要的区别是:AdHoc网络不依赖于任何固定的网络 设施,而是通过移动节点间的相互协作来进行网络互联的。 AdHoc网络也正在逐步应用于商业环境中,比如:传感器网 络、虚拟会议和家庭网络。
5.1.1.2 隐私和法律问题
• 除了技术上的安全威胁,移动商务还面临着隐私和法律问题 。 • (1)垃圾短信息 • 在移动通信给人们带来便利和效率的同时,也带来了很多烦 恼,遍地而宋的垃圾短信广告干扰着我们的生活。在移动用 户进行商业交易时,会把手机号码留给对方。有的用户甚至 把手机号码公布在网上。这些都是他人获取手机号码的渠道 。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上 使用自己的移动设备从事商务活动。目前,还没有相关的法 律法规来规范短信广告,运营商也只是在技术层面上来限制 垃圾短信的群发。
5.1.1.1 技术方面的安全威胁
• (3)网络漫游的威胁
• 无线网络中的攻击者不需要寻找攻击目标,攻击目标会漫游 到攻击者所在的小区。在终端用户不知情的情况下,信息可 能被窃取和篡改:服务可被经意或不经意地拒绝;交易会中 途打断而没有重新认证的机制。由刷新引起连接的重新建立 会给系统引入风险,没有再认证机制的交易和链接的重新建 立是危险的。链接一旦建立,使用SSL和WTLS的多数站点不需 要进行重新认证和重新检查证书。
5.1.1.1 技术方面的安全威胁
• (4)物理安全
• 无线设备另一个特有的威胁就是因为体积极小以及没有建筑 、门锁的看管保证而容易丢失和被窃。对个人来说,移动设 备的丢失意味着别人将会看到电话上的数字证书,以及其他 一些重要数据。利用存储的数据,拿到无线设备的人可以访 问企业内部网络,包括:Email服务器和文件系统等。目前, 手持移动设备最大的问题就是缺少对特定用户的实体认证机 制。
5.2 无线技术攻击手段
5.2.1 窃听 5.2.2通信干扰 5.2.3插入和修改数据 5.2.4欺诈客户
5.2 无线技术攻击手段
• 安全问题是无线网络的核心问题,也是由它的固有的属性决 定的。其中一些安全威胁和有线网络相同,另一些则是无线 网络特有的。最重要的安全威胁来自于底层的通讯媒介—— 电磁波,因为无线传输中的信号是没有明确的边界的,因此 对于入侵者来说,它是开放的,从而为入侵者嗅探信号带来 方便。无线网络典型的安全威胁包括泄密、破坏数据的完整 性和拒绝服务攻击等。非授权的用户若获得了对系统的访问 ,可能会破坏系统数据,消耗网络带宽,降低网络的性能, 发起阻止授权用户访问网络的攻击,或利用代理去攻击别的 网络。
5.2.1 窃听
• 传统的有线网络是利用光缆或电缆作为传播介质,这些介质 大部分处于地下等一些比较安全的场所,所以中间的传输区 域相对是受控制的。而无线网络是利用无线电波进行传播, 当前的无线网络技术几乎没有提供控制覆盖区域的手段和方 法,尤其是在于机网络这样的大区域蜂窝网络内,根本无法 对无线介质进行控制。所以无线技术一个最广为人知的问题 是其无线信号很容易受到拦截并被解码,在网络上进行窃听 的设备往往和网络接入设备一样简单。如最近有媒体报道各 地有手机窃听设备在公开出售,结构和一般手机几乎一样, 只是在其中加装了一些芯片,价格比一般手机稍微贵一些。 利用无线网卡可以在无线LAN附近接收数据,而使用天线和 放大器可以让攻击者在远在几十千米外接收802.11网络的信 号,从而窃听无线网络通信。
5.2.2 通信干扰
• 通信干扰是指通信链路的正常发送和接收受到了其他因素的 干扰而无法使用,干扰方式主要有以下三种。 • (1)客户端干扰 • 干扰者利用干扰设备对客户端进行干扰,中断其对正常网络 接入点的连接,从而为自己冒充客房端提供机会。更高级的 攻击可能会将客户端重新连接到欺诈站点。 • (2)基站干扰 • 干扰者利用干扰设备对基站进行干扰,从而为自己冒充合 法基站提供机会。 • (3)拒绝服务(Deny of Service)干扰 • 干扰者利用大功率的干扰设备使得整个区域(包括客户端和基 站)都被干扰淹没,以至于没有基站可以相互通信,这种攻击 关闭了特定区域的所有通信,从而使得通信服务无法实现。