电子商务安全技术实用教程第10章ppt课件

第十章移动电子商务安全,10.1移动电子商务相关技术10.2移动电子商务安全问题10.3移动电子商务安全技术10.4移动支付与安全,1,.,10.1移动电子商务安全概述,10.1.1移动电子商务安全问题（1）无线网络自身的安全问题：所有通信都是通过无线接口来传输的、无线接口是开放的、各基站与移动服务交换中心之间的通信媒质就不尽相同（2）移动设备的不安全因素：移动设备很容易被破坏或者丢失，用户身份、账户信息和认证密钥丢失；移动设备被攻击和数据破坏；SIM卡被复制；RFID被解密等方面。（3）手机病毒造成的安全威胁：移动设备自身硬件性能不高，不能承载现今成熟的病毒扫描和入侵检测的程序。（4）移动商务平台运营管理漏洞造成的安全威胁：大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营，还普遍缺少经验。（5）移动商务应用相关法律和制度不健全：现有的法律对新的电子商务模式不能有效适应移动商务的迅猛发展。,2,.,10.1.2移动电子商务安全策略,（1）端到端的安全（2）采用无线公共密钥技术（3）加强身份认证和移动设备识别管理（4）使用病毒的防护技术（5）规范移动电子商务行业管理（6）完善移动电子商务相关法律,3,.,10.2移动电子商务安全技术,10.2.14G移动通信系统安全体系14G网络通讯技术的发展第一代模拟蜂窝移动通信系统（1G）几乎没有采取安全措施第二代数字蜂窝移动通信系统（2G）主要有基于时分多址（TDMA）的GSM系统、DAMPS（DigitalAdancedMobilePhoneSystem数字高级移动电话系统）及基于码分多址（CDMA）的CDMAone系统。都是基于私钥密码体制，采用共享秘密数据（私钥）的安全协议，实现对接入用户的认证和数据信息的保密第三代移动通信系统（3G）在2G的基础上进行了改进，定义了更加完善的安全特征与安全服务。第四代移动电话行动通信标准（4G）是集3G与WLAN于一体，并能够快速传输数据、高质量、音频、视频和图像等，4G有着不可比拟的优越性。,4,.,图10-14G的网络结构图,主要接入方式有：PSTN/ISDN、Internet、广播电视系统、平流层通信系统、卫星系统、2G/2.5G网络、3G/B3G网络、无线局域网、AdHoc网络、固定接入系统和短距离无线接入系统（如蓝牙技术）等。,5,.,2.4G网络的安全问题,（1）统一安全标准化问题：目前我国的4G网络技术正处于起步阶段，尚未建立有效的统一化管理。（2）4G网络安全技术水平难以达到相关要求：4G与3G两个覆盖的区域不能相互的兼容，同时难以保证4G网络技术的覆盖区域的安全性能。（3）4G网络安全容量上受到限制：手机用户不断的增加网络的下载速度将会逐渐的降低，同时下载的文件是否都具备安全的性能这些都不能保证。（4）4G网络在设备上难以达到更新：目前落后的无线基础设施已经严重的阻碍着4G网络技术的发展。,6,.,3.4G网络的安全措施,（1）建立适应4G通信系统的安全体系（2）改变传统的数据加密模式（3）安装研发更高级别的防火墙（4）加大用户保密方式的选择多样化,7,.,8,.,10.2.2无线局域网安全技术,1MAC地址过滤技术：MAC地址过滤技术又称为MAC认证。由于每个无线客户端都有唯一的物理地址标识2SSID匹配技术：被称为第一代无线安全，它会输入到AP和客户端中，只有客户端的SSID与AP一致时才能接入到AP中。3.WEP安全机制：有线对等保密WEP在链路层采用RC4对称加密技术，用户的密钥只有与AP的密钥相同时才能获准存取网络的资源。4IEEE802.11i标准：2004年6月，IEEE正式通过了IEEE802.11i标准，规定了两种网络构架：过渡安全网络TSN和强健安全网络RSN。5.WPA安全机制：由WiFi联盟提出的一种新的安全机制。它使用两种验证方式：WPA-EAP、WPA-PSK。6.WAPI安全机制：WAPI是我国自主制定的无线安全标准，它采用椭圆曲线密码算法和对称密码体制，有很多优势。,9,.,10.2.3蓝牙安全技术,1蓝牙通讯技术蓝牙（Bluetooth）是由东芝、爱立信、IBM、Intel和诺基亚于1998年5月共同提出的近距离无线数据通讯技术标准。它能够在10米的半径范围内实现单点对多点的无线数据和声音传输，其数据传输带宽可达1Mbps。通讯介质为频率在2.402GHz到2.480GHz之间的电磁波。2蓝牙安全问题蓝牙装置应该设为只在进行通讯时才能够检测得到，并且授权给对方的权限也应该有限制。有些程序可以借助测试地址序号来检测装置的存在，但这样软件也就有机会暴露装置地址。使用者如果要加快文件传输速度而允许非经允许的联机权利，那么安全问题值得担心。3蓝牙的安全模式无安全模式、服务层加强安全模式、链路层加强安全模式,10,.,10.2.4无线应用通信协议（WAP)的安全,1.WAP概念无线应用协议WAP（WirelessApplicationProtocol）。它由一系列协议组成，用来标准化无线通信设备它负责将Internet和移动通信网连接到一起，客观上已成为移动终端上网的标准1998年5月WAPl.0版正式推出，WAP.1版也在1999年5月正式发行，2001年8月WAP2.0正式发布。,11,.,图10-3WAP安全架构,12,.,图10-4WPKI的工作过程,13,.,表10-1WPKI与PKI的技术对比,14,.,表10-2WTLS和SSL的比较,15,.,图10-5WTLS的握手过程,16,.,10.3移动支付与安全,10.3.1移动支付的概述1.移动支付概念移动支付是在商务处理流程中，基于移动网络平台，随时随地利用现代的移动智能设备如手机、PDA、笔记本电脑等，为服务于商务交易而进行的有目的资金流流动。,17,.,3.移动支付业务模式,（1）手机话费模式：主要适用于图铃下载、游戏等移动增值业务费用的缴纳。（2）虚拟卡模式：要求移动用户将银行卡与手机号码事先绑定，即手机号码成为虚拟银行卡。（3）手机银行模式：要求用户在银行网点开通手机银行业务或换STK卡，申请手机银行关联帐户的支付密码。（4）虚拟帐户模式：要求用户预先将资金转帐或充值到后台服务器的虚拟帐户内，或者将该虚拟帐户与银行卡账户关联，支付宝、贝宝等（5）物理卡的关联支付模式：将银行卡帐户、储值卡和电子钱包，经过特殊工艺加工或异型，贴在手机后盖上，或者改造手机后形成双卡手机或双模手机。,18,.,表10-3移动安全解决方案,19,.,10.3.2移动支付安全性风险,（1）政策风险：移动支付作为新兴业务，缺乏行业规范，包括准入政策和监管政策，资源共享、服务质量保证、服务规范等都需要有明确的规定。（2）技术风险：丢失手机、密码被攻破、病毒木马等问题都会造成重大损失。（3）法律风险：由于移动支付还处于起步阶段，有关法律法规不健全。（4）信誉风险：手机话费透支恶意拖欠并不少见、可靠的服务平台至关重要。,20,.,10.3.3移动支付安全问题与对策,1.移动支付安全问题互联网上充斥着各种不安全因素手机的丢失也会对用户移动支付安全构成威胁各式各样的诈骗信息让用户防不胜防身份识别的缺乏也是移动支付的一个重要问题,2.移动支付的安全对策养成一个良好的手机使用习惯加大对各种诈骗信息，钓鱼网站的管理力度使用数字证书、支付盾、手机动态口令等安全产品用户需要在任何场合都谨慎保管各种个人信息,21,.,本章小结,在无线