移动商务技术基础

第2章移动商务技术基础移动通信是指通信双方至少有一方在移动中（或者临时停留在某一非预定的位置上）进行信息交换的通信方式。移动通信有多种方式，可以双向工作，如集群移动通信、无绳电话和蜂窝移动电话通信，但部分移动通信系统的工作是单向的，如无线寻呼系统。移动通信的类型很多，可按不同方法进行分类2.1移动通信技术2.1.2移动通信的特点必须利用无线电波进行信息传输移动通信工作在复杂的干扰环境下利用的频谱资源有限移动性强对移动终端（主要是移动台）的要求高2.1.3移动通信的发展时间历程1897年M.G马可尼在固定站与一艘拖船之间完成了一项无线通信试验20世纪20年代至20世纪40年代中期在短波几个频段上开发出专用移动通信系统20世纪40年代中期至20世纪60年代初期开发出公用移动通信系统20世纪60年代中期至20世纪70年代中期美国推出了改进型移动电话系统20世纪70年代中期至20世纪80年代中期美国贝尔实验室提出了蜂窝小区和频率复用的概念并开发先进的数字移动电话系统20世纪80年代中期至20世纪90年代后期随着业务需求的日益增长，推出了数字移动通信系统，广泛采用了TDMA技术的GSM系统和采用CDMA的IS-95系统20世纪90年代后期芬兰赫尔辛基召开的ITUTG8/1第18次会议上最终确定了3类共5种技术标准作为第三代移动通信的基础，其中WCDMA、CDMA2000和TD-SCDMA是3G的主流标准2009年至今电信设备商诺基亚-西门子表示自己通过下一代打了世界上第一个2.1.4几代移动通信技术第一代移动通信技术（1G）是指最初的模拟、仅限语音的蜂窝电话标准，制定于上世纪80年代，主要采用的是模拟技术和频分多址（FDMA）技术。第二代（2G）使用了数字技术，移动通信具有保密性强、频谱利用率高、能提供丰富的业务、标准化程度高等特点3G一般地讲是指将无线通信与国际因特网等多媒体通信结合的新一代移动通信系统。WCDMA，CDMA2000与TD-SCDMA作为三大主流无线接口标准4G能够提供高速移动网络宽带服务，基于全球移动通信LTE（即LongTermEvolution）标准之上。4G网络结构2.1.5无线通信系统无线通信系统信源发射机接收机信宿基带已调信号无线信道基带2.1.6无线网络整个无线网络可以划分为四个范畴：无线广域网（WWAN）、无线城域网（WMAN）、无线局域网（WLAN）和无线个域网（WPAN）。无线网络的架构InternetADSL接入ADSL路由器以太网交换机有线区电脑PDA电话CF卡无线PC无线USB适配器无线路由器2.1.6无线网络无线局域网结构图2.1.6无线网络Wi-Fi与现有网络的集成2.1.6无线网络蓝牙传输图2.1.6无线网络无线城域网结构图2.1.6无线网络基于Internet的无线广域网Internet出差用户出差用户R1，北京R2，上海R4，南京R3，南昌2.2移动通信终端移动通信终端就是能接受移动通讯服务的机器，是移动通信系统的重要组成部分，移动用户可以通过移动通信终端接触移动通信系统，使用所有移动通信服务业务，由此可见终端的重要性。2.2.1移动通信终端设备手机掌上电脑笔记本电脑GPS定位设备2.2.2移动终端设备的技术特征（1）移动设备的显示屏幕小，而大多数设备使用多义键盘，通过按键来确定具体语义，操作起来比较麻烦，可操作性差。（2）移动设备都是依靠电池来维持的，而电池的使用期限很短。（3）移动设备在内存、磁盘的容量比传统的固定设备要小很多。（4）移动设备的安全性较差。2.2.3移动应用平台目前主要有三种移动应用平台移动消息平台移动网络接入平台互动式语音应答（IVR）平台。2.2.4移动通信操作系统计算机操作系统主要分为两种：一种是Windows类，包括Windows2000、WindowsXP、Vista、Win7，它们的关系都是后者为前者的升级版本；另一种是UNIX类，包括UNIX、Linux等，相互之间兼容性较好。而手机上采用的操作系统有：Symbian、Android、ios、WindowsMobile。其中android和IOS操作系统为现在的主流，另两种已经比较少的终端在用，下面仅介绍Android和IOS操作系统。2.2.5传统条形码传统条形码由一组按一定编码规则排列的条、空符号组成，表示一定的字符、数字及符号信息。常见的条形码的码制大概有二十多种，其中广泛使用的码制包括Code39码、交叉25码、EAN码、交叉25码、UPC码、Code128码以及Codabar码等。不同的码制具有不同的特点，适用于一种或若干种应用领域。2.2.6二维码20世纪70年代，在计算机自动识别领域出现了二维条形码（如图2-13）技术，它将条形码的信息空间从一维扩展到二维，具有信息容量大、可靠性高、准确性高、防伪性高、保密性强等诸多优点。2.2.7RFIDRFID是RadioFrequencyIdentification的缩写，即射频识别，俗称电子标签。几种自动识别技术的比较信息容量读写性能保密性环境适应性成本通信速度识别速度多标签识别条码小R无不好最低低低不能语音识别大R无一般较高较低很低不能生物识别大R好一般较高较低很低不能磁卡较小R/W一般一般低快低不能接触IC卡大R/W好一般较高快低不能射频识别大R/W好好较高很快很快能RFID系统2.3移动商务安全2.3.1移动商务面临的安全威胁无线窃听漫游安全假冒攻击完整性侵害业务抵赖2.3.2移动商务的安全需求一个完整并且安全的移动商务系统应该有以下特点保密性和身份认证需求数据信息完整性不可否认性匿名性用户的不可跟踪性2.3.3移动商务安全技术现状（1）完整性保护技术。（2）真实性保护技术。（3）机密性保护技术。（4）抗抵赖技术。（5）其他安全技术。2.3.4移动安全通信技术由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是网络中数据传输采取的主要保密安全措施。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。2.3.4移动安全通信技术加密算法按其对称性可分为对称密钥加密算法和非对称密钥加密算法对称密钥加密的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。2.3.4移动安全通信技术非对称加密算法需要两个密钥：公开密钥（PublicKey）和私有密钥（PrivateKey）。公开密钥系统使用密钥对时，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。2.3.5移动通信加密移动通信网络中，由于移动端比网络端的计算能力低且计算资源差，这就要求移动通信网络中的密码技术应该满足两个条件：（1）尽可能采用计算简单的密码算法（2）使移动端和网络端的计算量具有不对称性2.3.6终端身份认证移动通信中的双向认证和密钥协商协议因为部署于移动通信环境之中，除了具有有线双向认证和密钥协商协议的安全需求之外，由于移动通信的特点，还提出为用户提供匿名服务、计算资源尽量少等特殊需求2.3.6终端身份认证移动终端身份认证2.3.6终端身份认证口令认证技术分为静态口令认证技术和一次性口令（One-TimePassword，简称OTP）认证技术。比较项目静态口令认证技术OTP认证技术动态性静态口令固定不变的，难以抵御重放攻击。OTP口令可以随设定的时间或事件等变量自动变化，无需人工干预。一次性静态口令在传输过程中易被截获，难以抵御窃听攻击。OTP口令一次有效，旧口令不能重复使用，即使口令被窃听，也不会造成很大危险，因此具备良好的抗窃听性。随机性静态口令通常比较简单，难以抵御口令猜测攻击。OTP口令随机生成、无规律，增加了破解的难度。认证机制静态口令认证技术是单向认证机制，即服务器对登录用户的身份认证，而用户无法认证服务器，因此，攻击者可能伪装成认证服务器欺骗用户。OTP认证技术建立在密码学基础之上，通过在认证过程中加入不确定因子，使用户每次进行身份认证的认证口令都不相同，而且每个认证口令只使用一次。OTP认证技术的一次一密的认证方法可以有效保证用户身份的安全性。安全性静态口令认证技术是一种单因子的认证技术，安全性仅依赖于口令，口令一旦泄露，安全性随即丧失。OTP认证多技术具有多重安全性，与静态口令的单一认证方式不同，OTP认证技术将一次性口令与用户名、静态口令等多重因素结合实现认证。2.3.7移动交易信任机制狭义的信任机制局限于网络平台的技术手段的研究，一般分为基于身份的信任模型、基于角色的信任模型、自动信任协商模型、基于名誉的信任模型。广义的信任机制是指电子商务交易系统中构成、影响相互信任关系的各部分及它们之间的作用方式，以及为促进和维持信任关系所发生的相关作用方式和所有手段、方法等。在这一机制中主要涉及交易主体（网上企业和消费者）及在交易过程中其保护和支持作用的第三方机构（如银行、政府等）。2.3.8移动终端操作系统安全技术移动终端操作系统作为连接软硬件、承载应用的关键平台，在智能终端中扮演着举足轻重的角色。目前主流的移动终端操作系统有：Symbian、WindowsMobile、WindowsPhonePalmOS等。移动终端操作系统的安全威胁病毒蠕虫木马拒绝服务攻击针对上述攻击的一般对策主要包括：（1）定时更新操作系统，安装升级补丁，备份系统。（2）安装杀毒软件和防火墙，不接收未知的信息，不随便开启蓝牙等通信功能。（3）设置程序行为监控机制，记录分析程序的操作是否安全合法等。（4）根据移动终端操作系统的组成部分：文件系统、指令系统、系统管理及安全服务等，可以将移动终端操作系统的安全技术进行划分。2.3.9移动终端下载软件的认证认证平台流程2.3.10移动终端存储信息的备份与恢复由于信息的内容、备份时间及备份方式不同，采用的备份策略也不同，通常采用的备份策略有以下三种：完全备份增量备份差分备份2.3.11手机病毒手机病毒也是一种计算机程序，和其它计算机病毒（程序）一样具有传染性、破坏性。蠕虫型病毒木马型病毒感染型病毒恶意程序型病毒2.3.11.2手机病毒的特征（1）传染性（2）隐蔽性（3）潜伏性（4）可触发性（5）针对性（6）破坏性（7）表现性（8）寄生性（9）不可预见性2.3.12移动商务安全的发展趋势1.互联网电子商务的安全交易机制广泛用于移动商务。2.生物特征识别技术的广泛使用。3.重视移动商务隐私问题。2.4.1移动支付的涵义移动支付可以定义为借助移动终端设备（如移动电话、PDA、移动POS机等），对所消费的商品或服务进行账务支付的一种服务方式。2.4.2移动支付流程2.4.3移动支付类型移动支付按业务模式可以分为电话账单交费、手机银行、手机钱包、手机信用平台四类2.4.3.1电话账单交费2.4.3.2手机银行2.4.3.3手机钱包手机银行和手机钱包的主要区别（1）手机钱包由移动运营商与银行合资推出，以规避金融政策风险；手机银行由银行联合移动运营商推出，移动运营商为银行提供信息通道，他们之间一般不存在合资关系。（2）申请手机银行需要更换具有特定银行接口信息的STK卡，这就容易受到银行的限制，难以进行异地划拨；而手机钱包则不需要更换STK卡，受银行的限制也较小。（3）手机钱包需要建立一个额外的移动支付账户，而手机银行只需要原有的银行卡账号。（4）手机钱包主要用于支付，特别是小额支付；而手机银行可以看作是银行服务方式的升级，利用手机银行，用户除了可以支付，还可查询账户余额和股票、外汇信息、完成转账、股票交易、外汇交易和其他银行业务。2.4.4移动支付系统从移动通信体系结构来看，支撑移动支付的技术分为平台层、支撑层、交互层、传输层四个层面移动支付的技术支持2.4.4.2现有移动支付系统1.基于SMS移动电子支付系统。SMS（ShortMessageService）是第一代GSM的一部分，一条短消息发送70~160个字符。GSM和SMS服务主要用于欧洲。2.4.4.2现有移动支付系统2.基于WAP的移动电子支付系统。WAP（WirelessApplicationProtocol）为无线应用协议，是一项全球性的网络通信协议。3.基于USSD的移动支付系统。USSD（UnstructuredSupplementaryServiceData）即非结构化补充数据业务。4.基于J2ME的移动支付系统。5.基于NFC的移动支付系统6.基于RFID技术的移动支付系统。2.4.5移动支付