电子商务安全技术实用教程 课件第09章 移动电子商务安全

第九章移动电子商务安全9.1移动电子商务安全概述9.2移动电子商务安全技术9.3移动支付与安全9.1移动电子商务安全概述9.1.1移动电子商务安全问题（1）无线网络自身的安全问题：所有通信都是通过无线接口来传输的、无线接口是开放的、各基站与移动服务交换中心之间的通信媒质就不尽相同（2）移动设备的不安全因素：移动设备很容易被破坏或者丢失，用户身份、账户信息和认证密钥丢失；移动设备被攻击和数据破坏；SIM卡被复制；RFID被解密等方面。（3）手机病毒造成的安全威胁：移动设备自身硬件性能不高，不能承载现今成熟的病毒扫描和入侵检测的程序。（4）移动商务平台运营管理漏洞造成的安全威胁：大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营，还普遍缺少经验。（5）移动商务应用相关法律和制度不健全：现有的法律对新的电子商务模式不能有效适应移动商务的迅猛发展。9.1.2移动电子商务安全策略（1）端到端的安全（2）采用无线公共密钥技术（3）加强身份认证和移动设备识别管理（4）使用病毒的防护技术（5）规范移动电子商务行业管理（6）完善移动电子商务相关法律9.2移动电子商务安全技术9.2.15G移动通信系统安全体系1．移动网络通讯技术的发展第一代模拟蜂窝移动通信系统（1G）几乎没有采取安全措施第二代数字蜂窝移动通信系统（2G）主要有基于时分多址（TDMA）的GSM系统、DAMPS（DigitalAdancedMobilePhoneSystem数字高级移动电话系统）及基于码分多址（CDMA）的CDMAone系统。第三代移动通信系统（3G）在2G的基础上进行了改进，定义了更加完善的安全特征与安全服务。第四代移动电话行动通信标准（4G）是集3G与WLAN于一体，并能够快速传输数据、高质量、音频、视频和图像等，4G有着不可比拟的优越性。第五代移动通信系统（5G）相比4G，频谱效率提高5～15倍，能效和成本效率提高百倍以上2.5G的网络架构（1）接入平台（2）控制平台（3）转发平台3.5G网络的安全问题（1）新场景造成新的安全威胁：5G有新的应用场景，有增强移动宽带、低功耗大连接、低时延高可靠三大应用场景。（2）新网络架构的挑战：为了更好地支持5G应用场景，现在5G提出了以IT为中心的网络架构，会引入多功能无线接入、SDN、云计算、NFV等技术（3）总体安全需求：5G必须要提供比4G更高的安全隐私保护和保障。4.5G网络的安全架构与4G相比，5G具有更强的安全能力，主要体现在以下几个方面：（1）服务域安全：5G采用完善的服务注册、发现、授权安全机制及安全协议来保障服务域安全。（2）更强的用户隐私保护：5G网络使用加密方式传送用户身份标识，以防范攻击者利用空中接口明文传送用户身份标识来非法追踪用户的位置和信息。（3）更强的完整性保护：5G网络进一步支持用户面数据的完整性保护，以防范用户面数据被篡改。（4）更强的网间漫游安全：5G网络提供了网络运营商网间信令的端到端保护，以防范攻击者以中间人攻击的方式获取运营商网间的敏感数据。（5）统一认证框架：5G采用统一认证框架，能够融合不同制式的多种接入认证方式。9.2.2无线局域网安全技术1．MAC地址过滤技术：MAC地址过滤技术又称为MAC认证。由于每个无线客户端都有唯一的物理地址标识2．SSID匹配技术：被称为第一代无线安全，它会输入到AP和客户端中，只有客户端的SSID与AP一致时才能接入到AP中。3.WEP安全机制：有线对等保密WEP在链路层采用RC4对称加密技术，用户的密钥只有与AP的密钥相同时才能获准存取网络的资源。4．IEEE802.11i标准：2004年6月，IEEE正式通过了IEEE802.11i标准，规定了两种网络构架：过渡安全网络TSN和强健安全网络RSN。5.WPA安全机制：由WiFi联盟提出的一种新的安全机制。它使用两种验证方式：WPA-EAP、WPA-PSK。6.WAPI安全机制：WAPI是我国自主制定的无线安全标准，它采用椭圆曲线密码算法和对称密码体制，有很多优势。9.2.3蓝牙安全技术1．蓝牙通讯技术蓝牙（Bluetooth）是由东芝、爱立信、IBM、Intel和诺基亚于1998年5月共同提出的近距离无线数据通讯技术标准。它能够在10米的半径范围内实现单点对多点的无线数据和声音传输，其数据传输带宽可达1Mbps。通讯介质为频率在2.402GHz到2.480GHz之间的电磁波。2．蓝牙安全问题蓝牙装置应该设为只在进行通讯时才能够检测得到，并且授权给对方的权限也应该有限制。有些程序可以借助测试地址序号来检测装置的存在，但这样软件也就有机会暴露装置地址。使用者如果要加快文件传输速度而允许非经允许的联机权利，那么安全问题值得担心。3．蓝牙的安全模式无安全模式、服务层加强安全模式、链路层加强安全模式9.2.4无线应用通信协议（WAP)的安全1.WAP概念无线应用协议WAP（WirelessApplicationProtocol）。它由一系列协议组成，用来标准化无线通信设备它负责将Internet和移动通信网连接到一起，客观上已成为移动终端上网的标准1998年5月WAPl.0版正式推出，WAP.1版也在1999年5月正式发行，2001年8月WAP2.0正式发布。图9-3WAP安全架构图9-4WPKI的工作过程表9-1WPKI与PKI的技术对比WPKIPKI应用环境无线网络有线网络证书WTLS证书/X.509证书X.509证书密码算法ECC椭圆曲线密码算法RSA安全连接协议WTLSSSL/TLS证书撤销短时证书CRL、OCSP等协议本地证书保存证书URL证书CA交叉认证不支持支持弹性CA不支持支持表9-2WTLS和SSL的比较特征SSLWTLS支持数字证书类型X.509格式证书X.509格式证书、证书URL、WTLS格式证书、X.968(draft)格式证书是否必须进行身份认证是，至少单向身份认证否，支持匿名模式握手协议DH-DSS、DH-RSA、RSADHanon、RSAanon、ECDHanon、RSA、ECDH-ECDSA证书是否包含序列号要求包含不要求包含对称加密算法RC4、DES、3DES、IDEARC5、DES、3DES、IDEA报警信息校验和无有是否支持UDP服务不支持支持9.3移动支付与安全10.3.1移动支付的概述1.移动支付概念移动支付是在商务处理流程中，基于移动网络平台，随时随地利用现代的移动智能设备如手机、PDA、笔记本电脑等，为服务于商务交易而进行的有目的资金流流动。2.移动支付的交易流程3.移动支付业务模式（1）手机话费模式：主要适用于图铃下载、游戏等移动增值业务费用的缴纳。（2）虚拟卡模式：要求移动用户将银行卡与手机号码事先绑定，即手机号码成为虚拟银行卡。（3）手机银行模式：要求用户在银行网点开通手机银行业务或换STK卡，申请手机银行关联帐户的支付密码。（4）虚拟帐户模式：要求用户预先将资金转帐或充值到后台服务器的虚拟帐户内，或者将该虚拟帐户与银行卡账户关联，支付宝、贝宝等（5）物理卡的关联支付模式：将银行卡帐户、储值卡和电子钱包，经过特殊工艺加工或异型，贴在手机后盖上，或者改造手机后形成双卡手机或双模手机。表9-3移动安全解决方案解决方案原理说明缺点优点智能SD卡将智能卡嵌在SD内，重新定义SD卡的扩展脚用与外接天线现场解决方案有待成熟简单易行，业务扩展方式灵活SIMPASS利用SIM卡作为支付信息的安全载体，通过SIM的C4C8脚引出外接天线，放在电池后面机械接触点不稳定，天线容易断裂，C4C8脚的利用不是国际通用标准简单易行iSIM支付信息放在一张很薄的智能卡内，该卡贴在SIM卡上，作为桥接器，过滤分析SIM卡和手机的通讯并进行处理，外接天线连接在这张薄卡上SIMPASS的缺点都具备的同时，还可能存在法律方面的问题简单易行，业务扩展方式灵活RF-SIM利用SIM卡作为支付信息的载体，同时在SIM卡上添加无线调制解调器，实现现场支付，采用2.4GHZ频率，无需外接天线用户界面采用STK菜单方式，友好型不足，同时由于采用2.4GHZ的频率，无法和现有非接触式终端（13.56MHZ）兼容不用调换或改造手机就可实现现场及远程交易贴片将非接触式智能卡贴在手机的后盖上无法实现远程支付简单易行NFC按照手机支付的需求重新设计手机终端支持现场和远程支付目前支持的手机终端少符合国际标准，是手机支付的终极解决方案9.3.2移动支付安全问题与对策1.移动支付安全问题移动支付设备的安全移动支付用户信息保护移动支付方式的安全移动支付业务风险2.移动支付的安全对策服务对象层（用户、商户）服务运营层（受理机构、转接清算机构、账户管理机构、渠道运营商）技术支撑层