電子商務(wù)安全 第8章 移動電子商務(wù)安全

第8章移動電子商務(wù)安全8.1移動電子商務(wù)安全概述8.1.1移動電子商務(wù)概述移動電子商務(wù)較傳統(tǒng)電子商務(wù)優(yōu)勢：具有隨時(shí)隨地的特點(diǎn)用戶規(guī)模大有較好的身份認(rèn)證基礎(chǔ)8.1.2移動電子商務(wù)的安全威脅(1)移動終端安全威脅①安全性相對較好的加密和認(rèn)證安全措施難以使用②移動終端設(shè)備中的機(jī)密資料容易丟失或被盜用③手機(jī)SIM卡等身份識別設(shè)備可能被復(fù)制而造成欺詐④企業(yè)缺乏移動終端相關(guān)的安全制度和安全技術(shù)⑤惡意程序的威脅8.1.2移動電子商務(wù)的安全威脅(2)無線鏈路安全威脅①竊聽②假冒③重放。(3)服務(wù)網(wǎng)絡(luò)安全威脅這方面的威脅和有線網(wǎng)絡(luò)類似，參見本書前面相關(guān)章節(jié)。8.1.3移動電子商務(wù)的體系結(jié)構(gòu)8.2移動電子商務(wù)安全協(xié)議和標(biāo)準(zhǔn)①WAP②第三、四、五代移動通信系統(tǒng)③Wi-Fi8.2.1WAP協(xié)議

第二代移動電子商務(wù)系統(tǒng)采用基于WAP技術(shù)的方式，手機(jī)主要通過瀏覽器的方式來訪問WAP網(wǎng)頁，以實(shí)現(xiàn)信息的查詢，解決了以短信為基礎(chǔ)的第一代移動訪問技術(shù)的部分問題。WAP是無線終端和Internet之間通信時(shí)使用的開放性全球標(biāo)準(zhǔn)。WAP不僅定義了用戶訪問內(nèi)容的具體格式，還規(guī)定了通信使用的協(xié)議。通過WAP技術(shù)，不論用戶身在何地，都可利用手機(jī)獲取海量的Internet信息資源。WAP應(yīng)用系統(tǒng)中主要包含WAP客戶端、WAP網(wǎng)關(guān)以及WAP服務(wù)器。8.2.1WAP協(xié)議WAP2.0的安全性WAP2.0中規(guī)范了針對無線環(huán)境進(jìn)行優(yōu)化的TCP，并認(rèn)為可以在連接無線設(shè)備上使用TCP協(xié)議，因此，傳輸層的安全性可以通過WTLS（WirelessTransportLayerSecurity，無線安全傳輸層）協(xié)議得以實(shí)現(xiàn)，這為傳輸層端到端的安全傳輸提供了解決方案。同時(shí)，WAP2.0中還對WPKI和數(shù)字證書進(jìn)行說明，為無線應(yīng)用客戶的證書請求和使用提供了參考標(biāo)準(zhǔn)。8.2.1WAP協(xié)議(1)WAP2.0的安全性傳輸層端到端安全架構(gòu)8.2.1WAP協(xié)議(2)基于WAP的移動電子商務(wù)安全解決方案基于WPKI的移動電子商務(wù)安全模型8.2.1WAP協(xié)議(2)基于WAP的移動電子商務(wù)安全解決方案針對終端接入層存在的安全問題，可通過在移動終端的SIM卡中嵌入WIM（WAPIdentityModule，WAP身份識別模塊）解決。對于通信鏈路層的安全問題，可利用WTLS協(xié)議為通信鏈路上傳輸?shù)男畔⑻峁C(jī)密性、完整性保證，并為通信參與方提供身份認(rèn)證服務(wù)。網(wǎng)關(guān)協(xié)議層的安全問題可由WPKI體系中的數(shù)字證書與密鑰管理功能解決應(yīng)用服務(wù)層的安全問題可利用數(shù)字簽名技術(shù)解決8.2.23G系統(tǒng)的安全體系(1)

3G系統(tǒng)的安全目標(biāo)①確保所有用戶產(chǎn)生的或與用戶相關(guān)的信息得到足夠的保護(hù)，以防濫用或盜用。②確保歸屬網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)提供的資源與服務(wù)得到足夠的保護(hù)，以防濫用或盜用。③確保標(biāo)準(zhǔn)安全特性全球兼容能力。④確保安全特性的標(biāo)準(zhǔn)化，保證不同服務(wù)網(wǎng)絡(luò)間的漫游與全球互操作能力。⑤確保提供給用戶與運(yùn)營商的安全保護(hù)水平高于已有固定或移動網(wǎng)絡(luò)。⑥確保3G系統(tǒng)安全特性和機(jī)制的實(shí)現(xiàn)具有擴(kuò)展和增強(qiáng)能力，以對付新的威脅和服務(wù)。8.2.23G系統(tǒng)的安全體系(2)

3G系統(tǒng)的安全要求①保證業(yè)務(wù)接入的需要②保證業(yè)務(wù)提供的需要③滿足系統(tǒng)完整性的需要④保證個(gè)人數(shù)據(jù)的要求⑤對終端/USIM的要求⑥合法的監(jiān)聽要求8.2.23G系統(tǒng)的安全體系(3)

3G系統(tǒng)系統(tǒng)安全結(jié)構(gòu)8.2.23G系統(tǒng)的安全體系(3)

3G系統(tǒng)系統(tǒng)安全結(jié)構(gòu)根據(jù)攻擊類型分類：①網(wǎng)絡(luò)接入安全。②核心網(wǎng)安全。③用戶安全。④應(yīng)用安全。⑤安全特性可見性及可配置能力。8.2.3Wi-Fi安全(1)WPA技術(shù)WPA是一種開放式的全球規(guī)范，有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)，是一種保護(hù)Wi-Fi安全的系統(tǒng)。

WPA作為IEEE802.11i的一個(gè)子集，避開了WEP的眾多弱點(diǎn)，可大大增強(qiáng)現(xiàn)有無線局域網(wǎng)系統(tǒng)數(shù)據(jù)保護(hù)的訪問控制水平。

WPA可保證WLAN用戶的數(shù)據(jù)受到保護(hù)，并且只有授權(quán)用戶才可訪問WLAN網(wǎng)絡(luò)。

8.2.3Wi-Fi安全(2)Wi-Fi網(wǎng)絡(luò)安全策略1）加密方式①TKIP加密模式

②AES加密模式2）認(rèn)證方式①使用802.1X協(xié)議進(jìn)行認(rèn)證②預(yù)先共享密鑰PSK模式8.3基于WPKI體系的安全實(shí)現(xiàn)技術(shù)WPKI是傳統(tǒng)的PKI技術(shù)應(yīng)用于無線環(huán)境的優(yōu)化擴(kuò)展。

它采用優(yōu)化的ECC和壓縮的X.509數(shù)字證書。

它同樣采用數(shù)字證書管理公開密鑰，通過第三方的可信任機(jī)構(gòu)一一CA驗(yàn)證用戶的身份，從而實(shí)現(xiàn)信息的安全傳輸。8.3.1WPKI的主要組件WPKI與傳統(tǒng)的PKI所需的組件相同，包括終端實(shí)體應(yīng)用程序（EE）、注冊機(jī)構(gòu)（RA）、證書機(jī)構(gòu)（CA）和PKI目錄。

在WPKI中，終端實(shí)體與注冊機(jī)構(gòu)的操作差別不大，只引入一個(gè)新的組件，叫PKI入口。

終端實(shí)體是運(yùn)行于WAP設(shè)備中的軟件，它以WMLSCryptAPI提供的密鑰服務(wù)與加密操作為基礎(chǔ)，和傳統(tǒng)PKI的終端實(shí)體所具備的功能相同8.3.2WPKI的體系結(jié)構(gòu)和操作流程WPKI的主要組件和操作流程8.3.3WPKI優(yōu)化①采用微型數(shù)字證書代替SSL服務(wù)器數(shù)字證書。②采用短期數(shù)字證書來簡化對WAP服務(wù)器和網(wǎng)關(guān)的認(rèn)證。③移動客戶身份認(rèn)證。④交易的不可抵賴性。⑤無線環(huán)境中的加密算法。8.3.4WPKI與PKI的對比8.4基于App的移動支付系統(tǒng)安全8.4.1基于App的移動電子商務(wù)應(yīng)用(1)基于App的手機(jī)銀行應(yīng)用

手機(jī)銀行App是銀行業(yè)金融機(jī)構(gòu)針對智能手機(jī)開發(fā)的移動應(yīng)用程序提供金融服務(wù)的業(yè)務(wù)模式，這類應(yīng)用程序目前主要以Android系統(tǒng)和IOS系統(tǒng)為平臺。

一般來說，手機(jī)銀行App可通過移動通信網(wǎng)絡(luò)辦理銀行業(yè)務(wù)，為用戶提供安全、便捷、即時(shí)的移動在線金融服務(wù)，除了手機(jī)銀行App之外，微信銀行也不斷升溫。

用戶在使用手機(jī)銀行時(shí)對資金安全問題的關(guān)注程度極高，手機(jī)銀行用戶希望有更多的安全措施，對資金安全的擔(dān)憂也導(dǎo)致移動支付進(jìn)一步推廣的阻力較大。8.4.1基于App的移動電子商務(wù)應(yīng)用(2)基于App的手機(jī)支付應(yīng)用

手機(jī)App支付極大地便利了人們的生活，App可以同時(shí)在多個(gè)與不同的產(chǎn)業(yè)合作，通過O2O等多個(gè)應(yīng)用場景，可以對涉及生活方方面面的事情進(jìn)行支付，其發(fā)展前景廣闊。

手機(jī)App支付的發(fā)展速度將越來越快。手機(jī)App支付目前之所以發(fā)展?jié)摿薮?，是因?yàn)槠淇梢哉莆沼脩籼匦缘膬?yōu)勢。

手機(jī)App支付的主要代表是支付寶和微信支付，已經(jīng)形成了較為完善的線上線下支付鏈條。

8.4.2基于App的移動電子商務(wù)安全威脅(1)手機(jī)惡意軟件威脅1）手機(jī)病毒2）木馬程序①網(wǎng)游木馬②網(wǎng)銀木馬③社交軟件類8.4.2基于App的移動電子商務(wù)安全威脅(1)手機(jī)惡意軟件威脅3）流氓軟件①強(qiáng)制安裝②難以卸載③瀏覽器劫持④廣告彈出⑤私自下載8.4.2基于App的移動電子商務(wù)安全威脅(2)

App非法訪問威脅

機(jī)銀行App由于技術(shù)條件的限制，目前大多依靠單純的密碼驗(yàn)證授權(quán)，部分手機(jī)銀行在資金劃轉(zhuǎn)和支付結(jié)算時(shí)附加了短信動態(tài)密碼二次驗(yàn)證，授權(quán)驗(yàn)證手段較為單一。(3)App篡改或仿冒威脅2012年中國互聯(lián)網(wǎng)產(chǎn)業(yè)年會的報(bào)告指出：60%的App是被篡改過的，存在著不同程度的風(fēng)險(xiǎn)，當(dāng)一款A(yù)pp被惡意篡改時(shí)，輕則導(dǎo)致用戶手機(jī)被植入垃圾信息、廣告，重則會導(dǎo)致隱私信息泄露、被惡意扣費(fèi)、賬號被竊取等后果。8.4.3移動支付系統(tǒng)安全解決方案(1)App可信來源保障(2)強(qiáng)認(rèn)證機(jī)制保障1）強(qiáng)密碼機(jī)制2）多種驗(yàn)證機(jī)制3）行為模式分析策略4）執(zhí)行用戶身份合法性認(rèn)證5）密碼控件(3)App完整性保護(hù)1）代碼混淆2）加固加殼處理8.4.3移動支付系統(tǒng)安全解決方案(4)終端環(huán)境安全主要方法：①