電子商務(wù)安全技術(shù)實(shí)用教程 課件第09章 移動(dòng)電子商務(wù)安全

第九章移動(dòng)電子商務(wù)安全9.1移動(dòng)電子商務(wù)安全概述9.2移動(dòng)電子商務(wù)安全技術(shù)9.3移動(dòng)支付與安全9.1移動(dòng)電子商務(wù)安全概述9.1.1移動(dòng)電子商務(wù)安全問題（1）無線網(wǎng)絡(luò)自身的安全問題：所有通信都是通過無線接口來傳輸?shù)摹o線接口是開放的、各基站與移動(dòng)服務(wù)交換中心之間的通信媒質(zhì)就不盡相同（2）移動(dòng)設(shè)備的不安全因素：移動(dòng)設(shè)備很容易被破壞或者丟失，用戶身份、賬戶信息和認(rèn)證密鑰丟失；移動(dòng)設(shè)備被攻擊和數(shù)據(jù)破壞；SIM卡被復(fù)制；RFID被解密等方面。（3）手機(jī)病毒造成的安全威脅：移動(dòng)設(shè)備自身硬件性能不高，不能承載現(xiàn)今成熟的病毒掃描和入侵檢測(cè)的程序。（4）移動(dòng)商務(wù)平臺(tái)運(yùn)營(yíng)管理漏洞造成的安全威脅：大量移動(dòng)運(yùn)營(yíng)平臺(tái)如何管理、如何進(jìn)行安全等級(jí)劃分、如何確保安全運(yùn)營(yíng)，還普遍缺少經(jīng)驗(yàn)。（5）移動(dòng)商務(wù)應(yīng)用相關(guān)法律和制度不健全：現(xiàn)有的法律對(duì)新的電子商務(wù)模式不能有效適應(yīng)移動(dòng)商務(wù)的迅猛發(fā)展。9.1.2移動(dòng)電子商務(wù)安全策略（1）端到端的安全（2）采用無線公共密鑰技術(shù)（3）加強(qiáng)身份認(rèn)證和移動(dòng)設(shè)備識(shí)別管理（4）使用病毒的防護(hù)技術(shù)（5）規(guī)范移動(dòng)電子商務(wù)行業(yè)管理（6）完善移動(dòng)電子商務(wù)相關(guān)法律9.2移動(dòng)電子商務(wù)安全技術(shù)9.2.15G移動(dòng)通信系統(tǒng)安全體系1．移動(dòng)網(wǎng)絡(luò)通訊技術(shù)的發(fā)展第一代模擬蜂窩移動(dòng)通信系統(tǒng)（1G）幾乎沒有采取安全措施第二代數(shù)字蜂窩移動(dòng)通信系統(tǒng)（2G）主要有基于時(shí)分多址（TDMA）的GSM系統(tǒng)、DAMPS（DigitalAdancedMobilePhoneSystem數(shù)字高級(jí)移動(dòng)電話系統(tǒng)）及基于碼分多址（CDMA）的CDMAone系統(tǒng)。第三代移動(dòng)通信系統(tǒng)（3G）在2G的基礎(chǔ)上進(jìn)行了改進(jìn)，定義了更加完善的安全特征與安全服務(wù)。第四代移動(dòng)電話行動(dòng)通信標(biāo)準(zhǔn)（4G）是集3G與WLAN于一體，并能夠快速傳輸數(shù)據(jù)、高質(zhì)量、音頻、視頻和圖像等，4G有著不可比擬的優(yōu)越性。第五代移動(dòng)通信系統(tǒng)（5G）相比4G，頻譜效率提高5～15倍，能效和成本效率提高百倍以上2.5G的網(wǎng)絡(luò)架構(gòu)（1）接入平臺(tái)（2）控制平臺(tái)（3）轉(zhuǎn)發(fā)平臺(tái)3.5G網(wǎng)絡(luò)的安全問題（1）新場(chǎng)景造成新的安全威脅：5G有新的應(yīng)用場(chǎng)景，有增強(qiáng)移動(dòng)寬帶、低功耗大連接、低時(shí)延高可靠三大應(yīng)用場(chǎng)景。（2）新網(wǎng)絡(luò)架構(gòu)的挑戰(zhàn)：為了更好地支持5G應(yīng)用場(chǎng)景，現(xiàn)在5G提出了以IT為中心的網(wǎng)絡(luò)架構(gòu)，會(huì)引入多功能無線接入、SDN、云計(jì)算、NFV等技術(shù)（3）總體安全需求：5G必須要提供比4G更高的安全隱私保護(hù)和保障。4.5G網(wǎng)絡(luò)的安全架構(gòu)與4G相比，5G具有更強(qiáng)的安全能力，主要體現(xiàn)在以下幾個(gè)方面：（1）服務(wù)域安全：5G采用完善的服務(wù)注冊(cè)、發(fā)現(xiàn)、授權(quán)安全機(jī)制及安全協(xié)議來保障服務(wù)域安全。（2）更強(qiáng)的用戶隱私保護(hù)：5G網(wǎng)絡(luò)使用加密方式傳送用戶身份標(biāo)識(shí)，以防范攻擊者利用空中接口明文傳送用戶身份標(biāo)識(shí)來非法追蹤用戶的位置和信息。（3）更強(qiáng)的完整性保護(hù)：5G網(wǎng)絡(luò)進(jìn)一步支持用戶面數(shù)據(jù)的完整性保護(hù)，以防范用戶面數(shù)據(jù)被篡改。（4）更強(qiáng)的網(wǎng)間漫游安全：5G網(wǎng)絡(luò)提供了網(wǎng)絡(luò)運(yùn)營(yíng)商網(wǎng)間信令的端到端保護(hù)，以防范攻擊者以中間人攻擊的方式獲取運(yùn)營(yíng)商網(wǎng)間的敏感數(shù)據(jù)。（5）統(tǒng)一認(rèn)證框架：5G采用統(tǒng)一認(rèn)證框架，能夠融合不同制式的多種接入認(rèn)證方式。9.2.2無線局域網(wǎng)安全技術(shù)1．MAC地址過濾技術(shù)：MAC地址過濾技術(shù)又稱為MAC認(rèn)證。由于每個(gè)無線客戶端都有唯一的物理地址標(biāo)識(shí)2．SSID匹配技術(shù)：被稱為第一代無線安全，它會(huì)輸入到AP和客戶端中，只有客戶端的SSID與AP一致時(shí)才能接入到AP中。3.WEP安全機(jī)制：有線對(duì)等保密WEP在鏈路層采用RC4對(duì)稱加密技術(shù)，用戶的密鑰只有與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。4．IEEE802.11i標(biāo)準(zhǔn)：2004年6月，IEEE正式通過了IEEE802.11i標(biāo)準(zhǔn)，規(guī)定了兩種網(wǎng)絡(luò)構(gòu)架：過渡安全網(wǎng)絡(luò)TSN和強(qiáng)健安全網(wǎng)絡(luò)RSN。5.WPA安全機(jī)制：由WiFi聯(lián)盟提出的一種新的安全機(jī)制。它使用兩種驗(yàn)證方式：WPA-EAP、WPA-PSK。6.WAPI安全機(jī)制：WAPI是我國(guó)自主制定的無線安全標(biāo)準(zhǔn)，它采用橢圓曲線密碼算法和對(duì)稱密碼體制，有很多優(yōu)勢(shì)。9.2.3藍(lán)牙安全技術(shù)1．藍(lán)牙通訊技術(shù)藍(lán)牙（Bluetooth）是由東芝、愛立信、IBM、Intel和諾基亞于1998年5月共同提出的近距離無線數(shù)據(jù)通訊技術(shù)標(biāo)準(zhǔn)。它能夠在10米的半徑范圍內(nèi)實(shí)現(xiàn)單點(diǎn)對(duì)多點(diǎn)的無線數(shù)據(jù)和聲音傳輸，其數(shù)據(jù)傳輸帶寬可達(dá)1Mbps。通訊介質(zhì)為頻率在2.402GHz到2.480GHz之間的電磁波。2．藍(lán)牙安全問題藍(lán)牙裝置應(yīng)該設(shè)為只在進(jìn)行通訊時(shí)才能夠檢測(cè)得到，并且授權(quán)給對(duì)方的權(quán)限也應(yīng)該有限制。有些程序可以借助測(cè)試地址序號(hào)來檢測(cè)裝置的存在，但這樣軟件也就有機(jī)會(huì)暴露裝置地址。使用者如果要加快文件傳輸速度而允許非經(jīng)允許的聯(lián)機(jī)權(quán)利，那么安全問題值得擔(dān)心。3．藍(lán)牙的安全模式無安全模式、服務(wù)層加強(qiáng)安全模式、鏈路層加強(qiáng)安全模式9.2.4無線應(yīng)用通信協(xié)議（WAP)的安全1.WAP概念無線應(yīng)用協(xié)議WAP（WirelessApplicationProtocol）。它由一系列協(xié)議組成，用來標(biāo)準(zhǔn)化無線通信設(shè)備它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起，客觀上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)1998年5月WAPl.0版正式推出，WAP.1版也在1999年5月正式發(fā)行，2001年8月WAP2.0正式發(fā)布。圖9-3WAP安全架構(gòu)圖9-4WPKI的工作過程表9-1WPKI與PKI的技術(shù)對(duì)比WPKIPKI應(yīng)用環(huán)境無線網(wǎng)絡(luò)有線網(wǎng)絡(luò)證書WTLS證書/X.509證書X.509證書密碼算法ECC橢圓曲線密碼算法RSA安全連接協(xié)議WTLSSSL/TLS證書撤銷短時(shí)證書CRL、OCSP等協(xié)議本地證書保存證書URL證書CA交叉認(rèn)證不支持支持彈性CA不支持支持表9-2WTLS和SSL的比較特征SSLWTLS支持?jǐn)?shù)字證書類型X.509格式證書X.509格式證書、證書URL、WTLS格式證書、X.968(draft)格式證書是否必須進(jìn)行身份認(rèn)證是，至少單向身份認(rèn)證否，支持匿名模式握手協(xié)議DH-DSS、DH-RSA、RSADHanon、RSAanon、ECDHanon、RSA、ECDH-ECDSA證書是否包含序列號(hào)要求包含不要求包含對(duì)稱加密算法RC4、DES、3DES、IDEARC5、DES、3DES、IDEA報(bào)警信息校驗(yàn)和無有是否支持UDP服務(wù)不支持支持9.3移動(dòng)支付與安全10.3.1移動(dòng)支付的概述1.移動(dòng)支付概念移動(dòng)支付是在商務(wù)處理流程中，基于移動(dòng)網(wǎng)絡(luò)平臺(tái)，隨時(shí)隨地利用現(xiàn)代的移動(dòng)智能設(shè)備如手機(jī)、PDA、筆記本電腦等，為服務(wù)于商務(wù)交易而進(jìn)行的有目的資金流流動(dòng)。2.移動(dòng)支付的交易流程3.移動(dòng)支付業(yè)務(wù)模式（1）手機(jī)話費(fèi)模式：主要適用于圖鈴下載、游戲等移動(dòng)增值業(yè)務(wù)費(fèi)用的繳納。（2）虛擬卡模式：要求移動(dòng)用戶將銀行卡與手機(jī)號(hào)碼事先綁定，即手機(jī)號(hào)碼成為虛擬銀行卡。（3）手機(jī)銀行模式：要求用戶在銀行網(wǎng)點(diǎn)開通手機(jī)銀行業(yè)務(wù)或換STK卡，申請(qǐng)手機(jī)銀行關(guān)聯(lián)帳戶的支付密碼。（4）虛擬帳戶模式：要求用戶預(yù)先將資金轉(zhuǎn)帳或充值到后臺(tái)服務(wù)器的虛擬帳戶內(nèi)，或者將該虛擬帳戶與銀行卡賬戶關(guān)聯(lián)，支付寶、貝寶等（5）物理卡的關(guān)聯(lián)支付模式：將銀行卡帳戶、儲(chǔ)值卡和電子錢包，經(jīng)過特殊工藝加工或異型，貼在手機(jī)后蓋上，或者改造手機(jī)后形成雙卡手機(jī)或雙模手機(jī)。表9-3移動(dòng)安全解決方案解決方案原理說明缺點(diǎn)優(yōu)點(diǎn)智能SD卡將智能卡嵌在SD內(nèi)，重新定義SD卡的擴(kuò)展腳用與外接天線現(xiàn)場(chǎng)解決方案有待成熟簡(jiǎn)單易行，業(yè)務(wù)擴(kuò)展方式靈活SIMPASS利用SIM卡作為支付信息的安全載體，通過SIM的C4C8腳引出外接天線，放在電池后面機(jī)械接觸點(diǎn)不穩(wěn)定，天線容易斷裂，C4C8腳的利用不是國(guó)際通用標(biāo)準(zhǔn)簡(jiǎn)單易行iSIM支付信息放在一張很薄的智能卡內(nèi)，該卡貼在SIM卡上，作為橋接器，過濾分析SIM卡和手機(jī)的通訊并進(jìn)行處理，外接天線連接在這張薄卡上SIMPASS的缺點(diǎn)都具備的同時(shí)，還可能存在法律方面的問題簡(jiǎn)單易行，業(yè)務(wù)擴(kuò)展方式靈活RF-SIM利用SIM卡作為支付信息的載體，同時(shí)在SIM卡上添加無線調(diào)制解調(diào)器，實(shí)現(xiàn)現(xiàn)場(chǎng)支付，采用2.4GHZ頻率，無需外接天線用戶界面采用STK菜單方式，友好型不足，同時(shí)由于采用2.4GHZ的頻率，無法和現(xiàn)有非接觸式終端（13.56MHZ）兼容不用調(diào)換或改造手機(jī)就可實(shí)現(xiàn)現(xiàn)場(chǎng)及遠(yuǎn)程交易貼片將非接觸式智能卡貼在手機(jī)的后蓋上無法實(shí)現(xiàn)遠(yuǎn)程支付簡(jiǎn)單易行NFC按照手機(jī)支付的需求重新設(shè)計(jì)手機(jī)終端支持現(xiàn)場(chǎng)和遠(yuǎn)程支付目前支持的手機(jī)終端少符合國(guó)際標(biāo)準(zhǔn)，是手機(jī)支付的終極解決方案9.3.2移動(dòng)支付安全問題與對(duì)策1.移動(dòng)支付安全問題移動(dòng)支付設(shè)備的安全移動(dòng)支付用戶信息保護(hù)移動(dòng)支付方式的安全移動(dòng)支付業(yè)務(wù)風(fēng)險(xiǎn)2.移動(dòng)支付的安全對(duì)策服務(wù)對(duì)象層（用戶、商戶）服務(wù)運(yùn)營(yíng)層（受理機(jī)構(gòu)、轉(zhuǎn)接清算機(jī)構(gòu)、賬戶管理機(jī)構(gòu)、渠道運(yùn)營(yíng)商）技術(shù)支撐層