電子商務(wù)安全技術(shù)實用教程 課件第09章 移動電子商務(wù)安全

第九章移動電子商務(wù)安全9.1移動電子商務(wù)安全概述9.2移動電子商務(wù)安全技術(shù)9.3移動支付與安全9.1移動電子商務(wù)安全概述9.1.1移動電子商務(wù)安全問題（1）無線網(wǎng)絡(luò)自身的安全問題：所有通信都是通過無線接口來傳輸?shù)?、無線接口是開放的、各基站與移動服務(wù)交換中心之間的通信媒質(zhì)就不盡相同（2）移動設(shè)備的不安全因素：移動設(shè)備很容易被破壞或者丟失，用戶身份、賬戶信息和認(rèn)證密鑰丟失；移動設(shè)備被攻擊和數(shù)據(jù)破壞；SIM卡被復(fù)制；RFID被解密等方面。（3）手機(jī)病毒造成的安全威脅：移動設(shè)備自身硬件性能不高，不能承載現(xiàn)今成熟的病毒掃描和入侵檢測的程序。（4）移動商務(wù)平臺運營管理漏洞造成的安全威脅：大量移動運營平臺如何管理、如何進(jìn)行安全等級劃分、如何確保安全運營，還普遍缺少經(jīng)驗。（5）移動商務(wù)應(yīng)用相關(guān)法律和制度不健全：現(xiàn)有的法律對新的電子商務(wù)模式不能有效適應(yīng)移動商務(wù)的迅猛發(fā)展。9.1.2移動電子商務(wù)安全策略（1）端到端的安全（2）采用無線公共密鑰技術(shù)（3）加強(qiáng)身份認(rèn)證和移動設(shè)備識別管理（4）使用病毒的防護(hù)技術(shù)（5）規(guī)范移動電子商務(wù)行業(yè)管理（6）完善移動電子商務(wù)相關(guān)法律9.2移動電子商務(wù)安全技術(shù)9.2.15G移動通信系統(tǒng)安全體系1．移動網(wǎng)絡(luò)通訊技術(shù)的發(fā)展第一代模擬蜂窩移動通信系統(tǒng)（1G）幾乎沒有采取安全措施第二代數(shù)字蜂窩移動通信系統(tǒng)（2G）主要有基于時分多址（TDMA）的GSM系統(tǒng)、DAMPS（DigitalAdancedMobilePhoneSystem數(shù)字高級移動電話系統(tǒng)）及基于碼分多址（CDMA）的CDMAone系統(tǒng)。第三代移動通信系統(tǒng)（3G）在2G的基礎(chǔ)上進(jìn)行了改進(jìn)，定義了更加完善的安全特征與安全服務(wù)。第四代移動電話行動通信標(biāo)準(zhǔn)（4G）是集3G與WLAN于一體，并能夠快速傳輸數(shù)據(jù)、高質(zhì)量、音頻、視頻和圖像等，4G有著不可比擬的優(yōu)越性。第五代移動通信系統(tǒng)（5G）相比4G，頻譜效率提高5～15倍，能效和成本效率提高百倍以上2.5G的網(wǎng)絡(luò)架構(gòu)（1）接入平臺（2）控制平臺（3）轉(zhuǎn)發(fā)平臺3.5G網(wǎng)絡(luò)的安全問題（1）新場景造成新的安全威脅：5G有新的應(yīng)用場景，有增強(qiáng)移動寬帶、低功耗大連接、低時延高可靠三大應(yīng)用場景。（2）新網(wǎng)絡(luò)架構(gòu)的挑戰(zhàn)：為了更好地支持5G應(yīng)用場景，現(xiàn)在5G提出了以IT為中心的網(wǎng)絡(luò)架構(gòu)，會引入多功能無線接入、SDN、云計算、NFV等技術(shù)（3）總體安全需求：5G必須要提供比4G更高的安全隱私保護(hù)和保障。4.5G網(wǎng)絡(luò)的安全架構(gòu)與4G相比，5G具有更強(qiáng)的安全能力，主要體現(xiàn)在以下幾個方面：（1）服務(wù)域安全：5G采用完善的服務(wù)注冊、發(fā)現(xiàn)、授權(quán)安全機(jī)制及安全協(xié)議來保障服務(wù)域安全。（2）更強(qiáng)的用戶隱私保護(hù)：5G網(wǎng)絡(luò)使用加密方式傳送用戶身份標(biāo)識，以防范攻擊者利用空中接口明文傳送用戶身份標(biāo)識來非法追蹤用戶的位置和信息。（3）更強(qiáng)的完整性保護(hù)：5G網(wǎng)絡(luò)進(jìn)一步支持用戶面數(shù)據(jù)的完整性保護(hù)，以防范用戶面數(shù)據(jù)被篡改。（4）更強(qiáng)的網(wǎng)間漫游安全：5G網(wǎng)絡(luò)提供了網(wǎng)絡(luò)運營商網(wǎng)間信令的端到端保護(hù)，以防范攻擊者以中間人攻擊的方式獲取運營商網(wǎng)間的敏感數(shù)據(jù)。（5）統(tǒng)一認(rèn)證框架：5G采用統(tǒng)一認(rèn)證框架，能夠融合不同制式的多種接入認(rèn)證方式。9.2.2無線局域網(wǎng)安全技術(shù)1．MAC地址過濾技術(shù)：MAC地址過濾技術(shù)又稱為MAC認(rèn)證。由于每個無線客戶端都有唯一的物理地址標(biāo)識2．SSID匹配技術(shù)：被稱為第一代無線安全，它會輸入到AP和客戶端中，只有客戶端的SSID與AP一致時才能接入到AP中。3.WEP安全機(jī)制：有線對等保密WEP在鏈路層采用RC4對稱加密技術(shù)，用戶的密鑰只有與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。4．IEEE802.11i標(biāo)準(zhǔn)：2004年6月，IEEE正式通過了IEEE802.11i標(biāo)準(zhǔn)，規(guī)定了兩種網(wǎng)絡(luò)構(gòu)架：過渡安全網(wǎng)絡(luò)TSN和強(qiáng)健安全網(wǎng)絡(luò)RSN。5.WPA安全機(jī)制：由WiFi聯(lián)盟提出的一種新的安全機(jī)制。它使用兩種驗證方式：WPA-EAP、WPA-PSK。6.WAPI安全機(jī)制：WAPI是我國自主制定的無線安全標(biāo)準(zhǔn)，它采用橢圓曲線密碼算法和對稱密碼體制，有很多優(yōu)勢。9.2.3藍(lán)牙安全技術(shù)1．藍(lán)牙通訊技術(shù)藍(lán)牙（Bluetooth）是由東芝、愛立信、IBM、Intel和諾基亞于1998年5月共同提出的近距離無線數(shù)據(jù)通訊技術(shù)標(biāo)準(zhǔn)。它能夠在10米的半徑范圍內(nèi)實現(xiàn)單點對多點的無線數(shù)據(jù)和聲音傳輸，其數(shù)據(jù)傳輸帶寬可達(dá)1Mbps。通訊介質(zhì)為頻率在2.402GHz到2.480GHz之間的電磁波。2．藍(lán)牙安全問題藍(lán)牙裝置應(yīng)該設(shè)為只在進(jìn)行通訊時才能夠檢測得到，并且授權(quán)給對方的權(quán)限也應(yīng)該有限制。有些程序可以借助測試地址序號來檢測裝置的存在，但這樣軟件也就有機(jī)會暴露裝置地址。使用者如果要加快文件傳輸速度而允許非經(jīng)允許的聯(lián)機(jī)權(quán)利，那么安全問題值得擔(dān)心。3．藍(lán)牙的安全模式無安全模式、服務(wù)層加強(qiáng)安全模式、鏈路層加強(qiáng)安全模式9.2.4無線應(yīng)用通信協(xié)議（WAP)的安全1.WAP概念無線應(yīng)用協(xié)議WAP（WirelessApplicationProtocol）。它由一系列協(xié)議組成，用來標(biāo)準(zhǔn)化無線通信設(shè)備它負(fù)責(zé)將Internet和移動通信網(wǎng)連接到一起，客觀上已成為移動終端上網(wǎng)的標(biāo)準(zhǔn)1998年5月WAPl.0版正式推出，WAP.1版也在1999年5月正式發(fā)行，2001年8月WAP2.0正式發(fā)布。圖9-3WAP安全架構(gòu)圖9-4WPKI的工作過程表9-1WPKI與PKI的技術(shù)對比WPKIPKI應(yīng)用環(huán)境無線網(wǎng)絡(luò)有線網(wǎng)絡(luò)證書WTLS證書/X.509證書X.509證書密碼算法ECC橢圓曲線密碼算法RSA安全連接協(xié)議WTLSSSL/TLS證書撤銷短時證書CRL、OCSP等協(xié)議本地證書保存證書URL證書CA交叉認(rèn)證不支持支持彈性CA不支持支持表9-2WTLS和SSL的比較特征SSLWTLS支持?jǐn)?shù)字證書類型X.509格式證書X.509格式證書、證書URL、WTLS格式證書、X.968(draft)格式證書是否必須進(jìn)行身份認(rèn)證是，至少單向身份認(rèn)證否，支持匿名模式握手協(xié)議DH-DSS、DH-RSA、RSADHanon、RSAanon、ECDHanon、RSA、ECDH-ECDSA證書是否包含序列號要求包含不要求包含對稱加密算法RC4、DES、3DES、IDEARC5、DES、3DES、IDEA報警信息校驗和無有是否支持UDP服務(wù)不支持支持9.3移動支付與安全10.3.1移動支付的概述1.移動支付概念移動支付是在商務(wù)處理流程中，基于移動網(wǎng)絡(luò)平臺，隨時隨地利用現(xiàn)代的移動智能設(shè)備如手機(jī)、PDA、筆記本電腦等，為服務(wù)于商務(wù)交易而進(jìn)行的有目的資金流流動。2.移動支付的交易流程3.移動支付業(yè)務(wù)模式（1）手機(jī)話費模式：主要適用于圖鈴下載、游戲等移動增值業(yè)務(wù)費用的繳納。（2）虛擬卡模式：要求移動用戶將銀行卡與手機(jī)號碼事先綁定，即手機(jī)號碼成為虛擬銀行卡。（3）手機(jī)銀行模式：要求用戶在銀行網(wǎng)點開通手機(jī)銀行業(yè)務(wù)或換STK卡，申請手機(jī)銀行關(guān)聯(lián)帳戶的支付密碼。（4）虛擬帳戶模式：要求用戶預(yù)先將資金轉(zhuǎn)帳或充值到后臺服務(wù)器的虛擬帳戶內(nèi)，或者將該虛擬帳戶與銀行卡賬戶關(guān)聯(lián)，支付寶、貝寶等（5）物理卡的關(guān)聯(lián)支付模式：將銀行卡帳戶、儲值卡和電子錢包，經(jīng)過特殊工藝加工或異型，貼在手機(jī)后蓋上，或者改造手機(jī)后形成雙卡手機(jī)或雙模手機(jī)。表9-3移動安全解決方案解決方案原理說明缺點優(yōu)點智能SD卡將智能卡嵌在SD內(nèi)，重新定義SD卡的擴(kuò)展腳用與外接天線現(xiàn)場解決方案有待成熟簡單易行，業(yè)務(wù)擴(kuò)展方式靈活SIMPASS利用SIM卡作為支付信息的安全載體，通過SIM的C4C8腳引出外接天線，放在電池后面機(jī)械接觸點不穩(wěn)定，天線容易斷裂，C4C8腳的利用不是國際通用標(biāo)準(zhǔn)簡單易行iSIM支付信息放在一張很薄的智能卡內(nèi)，該卡貼在SIM卡上，作為橋接器，過濾分析SIM卡和手機(jī)的通訊并進(jìn)行處理，外接天線連接在這張薄卡上SIMPASS的缺點都具備的同時，還可能存在法律方面的問題簡單易行，業(yè)務(wù)擴(kuò)展方式靈活RF-SIM利用SIM卡作為支付信息的載體，同時在SIM卡上添加無線調(diào)制解調(diào)器，實現(xiàn)現(xiàn)場支付，采用2.4GHZ頻率，無需外接天線用戶界面采用STK菜單方式，友好型不足，同時由于采用2.4GHZ的頻率，無法和現(xiàn)有非接觸式終端（13.56MHZ）兼容不用調(diào)換或改造手機(jī)就可實現(xiàn)現(xiàn)場及遠(yuǎn)程交易貼片將非接觸式智能卡貼在手機(jī)的后蓋上無法實現(xiàn)遠(yuǎn)程支付簡單易行NFC按照手機(jī)支付的需求重新設(shè)計手機(jī)終端支持現(xiàn)場和遠(yuǎn)程支付目前支持的手機(jī)終端少符合國際標(biāo)準(zhǔn)，是手機(jī)支付的終極解決方案9.3.2移動支付安全問題與對策1.移動支付安全問題移動支付設(shè)備的安全移動支付用戶信息保護(hù)移動支付方式的安全移動支付業(yè)務(wù)風(fēng)險2.移動支付的安全對策服務(wù)對象層（用戶、商戶）服務(wù)運營層（受理機(jī)構(gòu)、轉(zhuǎn)接清算機(jī)構(gòu)、賬戶管理機(jī)構(gòu)、渠道運營商）技術(shù)支撐層