第9章 移动电子商务安全（定稿）.ppt

第9章 移动电子商务安全 蔡志文 主编 9.1 移动电子商务安全概述 9.1.1 移动电子商务安全的内涵 广义的移动电子商务(M-Commerce)是指利用手机、PDA、掌上电脑等无线移动终端设备，通过移动互联网进行B2B、B2C或C2C的电子商务活动；狭义的移动电子商务是指以手机为终端设备，通过移动通信网络接入互联网而进行的各种电子商务活动。 移动电子商务提供的服务主要包括个人信息服务(PIM)、银行业务、移动支付、移动购物、基于位置的服务(LBS)、移动娱乐等。 9.1 移动电子商务安全概述 9.1.1 移动电子商务安全的内涵 9.1 移动电子商务安全概述 9.1.1 移动电子商务安全的内涵 移动电子商务作为移动信息服务和电子商务相融合的一种新产物，具有以下几个方面的特点： （1）商务应用的广泛性 （2）商务服务的个性化 （3）位置服务的精准性 （4）营销模式的创新性 （5）电子支付的安全性 9.1 移动电子商务安全概述 9.1.1 移动电子商务安全的内涵 移动电子商务安全与传统电子商务安全既有区别又有一定的联系，移动电子商务由于其网络环境的无线性和终端设备的便携性，具有比传统电子商务更复杂的安全问题。 9.1 移动电子商务安全概述 9.1.2 移动电子商务安全问题 移动电子商务面临的安全问题主要体现在以下几个方面 ： （1）信息的无线窃听 （2）用户身份的冒充 （3）信用体系的缺失 （4）信息的非法篡改 （5）病毒与黑客攻击 （6）无线网络技术标准的缺陷 （7）移动互联网自身不安全 9.1 移动电子商务安全概述 移动电子商务面临的安全问题主要体现在以下几个方面 ： （8）无线网络漫游的不安全性 （9）垃圾短信的安全管理 （10）移动服务提供商的安全管理 （11）移动终端设备的安全管理 （12）与移动电子商务相配套的物流配送体系不完善 （13）消费者对移动电子商务安全缺乏信任 9.1 移动电子商务安全概述 9.1.3 移动电子商务安全需求 为了保证移动电子商务的正常运作，移动电子商务系统必须满足以下安全需求： （1）用户身份的可标识性 （2）用户身份的可认证性 （3）用户访问控制 （4）数据完整性 （5）交易的不可否认性 （6）数据信息的保密性 （7）保证移动终端设备本身的安全性 9.2　移动电子商务安全技术与协议 9.2.1　无线公开密钥体系 无线公钥密钥体系(Wireless Public Key Infrastructure，WPKI)用来管理在移动网络环境中使用的公开密钥和数字证书，能够有效解决身份认证问题，提供安全和值得信赖的移动电子商务环境的服务 。 无线公钥密钥体系采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书，大大提高了其运算效率，并在相同的安全强度下减少了密钥的长度。 WPKI采用证书管理公钥，通过第三方的可信任机构——认证机构CA验证用户的身份，从而实现移动电子商务信息的安全传输。 9.2　移动电子商务安全技术与协议 9.2.1　无线公开密钥体系 （1）WPKI的体系结构 9.2　移动电子商务安全技术与协议 9.2.1　无线公开密钥体系 （2）WPKI的原理与工作流程 9.2　移动电子商务安全技术与协议 9.2.1　无线公开密钥体系 （3）WPKI与PKI的区别 9.2　移动电子商务安全技术与协议 9.2.2　STK技术 用户识别模块(Subscriber Identity Module，SIM)卡是一种用于GSM数字移动通信网的、带有微处理器的智能卡，由CPU、工作存储器(RAM)、程序存储器(ROM)、数据存储器(EPROM或EEPROM)、串行通信单元、卡片操作系统(Card Operating System，COS)等部分组成。 9.2　移动电子商务安全技术与协议 9.2.3　二维码加密技术 一维条形码仅可存储几十个字符，容量较小、抗污损能力弱，大多都用于存储数字索引。 二维码是用某种特定的几何形体按一定规律在平面上分布(黑白相间)的图形来记录信息的技术，能够把图片、声音、文字、指纹等可以数字化的信息进行编码，并可通过图像输入设备或光电扫描设备自动识读存储的信息。 9.2　移动电子商务安全技术与协议 9.2.3　二维码加密技术 9.2　移动电子商务安全技术与协议 9.2.4 3-D安全协议 3-D Secure安全协议是Visa于2002年推出的新一代信用卡网上交易规则和网上交易支付安全协议，它将参加VISA网上交易的持卡人、商家、发卡机构、收单机构和VISA五方从逻辑上划分为3个域。 3-D安全协议具有多种灵活的认证方式，允许发卡方选择适合自己实际情况的认证方式。 3-D安全协议将发卡方认证引入交易流程中，由发卡方确保在线交