电子商务安全技术 知识第10章 移动电子商务安全.pptxVIP

第十章 移动电子商务安全10.1 移动电子商务相关技术10.2 移动电子商务安全问题10.3 移动电子商务安全技术10.4 移动支付与安全10.1 移动电子商务安全概述10.1.1 移动电子商务安全问题（1）无线网络自身的安全问题：所有通信都是通过无线接口来传输的、无线接口是开放的、各基站与移动服务交换中心之间的通信媒质就不尽相同（2）移动设备的不安全因素：移动设备很容易被破坏或者丢失，用户身份、账户信息和认证密钥丢失；移动设备被攻击和数据破坏；SIM卡被复制；RFID被解密等方面。（3）手机病毒造成的安全威胁：移动设备自身硬件性能不高，不能承载现今成熟的病毒扫描和入侵检测的程序。（4）移动商务平台运营管理漏洞造成的安全威胁：大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营，还普遍缺少经验。（5）移动商务应用相关法律和制度不健全：现有的法律对新的电子商务模式不能有效适应移动商务的迅猛发展。10.1.2 移动电子商务安全策略（1）端到端的安全（2）采用无线公共密钥技术（3）加强身份认证和移动设备识别管理（4）使用病毒的防护技术（5）规范移动电子商务行业管理（6）完善移动电子商务相关法律10.2 移动电子商务安全技术10.2.1 4G移动通信系统安全体系1．4G网络通讯技术的发展第一代模拟蜂窝移动通信系统（1G）几乎没有采取安全措施第二代数字蜂窝移动通信系统（2G）主要有基于时分多址（TDMA）的GSM系统、DAMPS（Digital Adanced Mobile Phone System 数字高级移动电话系统）及基于码分多址（CDMA）的CDMA one系统。都是基于私钥密码体制，采用共享秘密数据（私钥）的安全协议，实现对接入用户的认证和数据信息的保密第三代移动通信系统（3G）在2G的基础上进行了改进，定义了更加完善的安全特征与安全服务。第四代移动电话行动通信标准（4G）是集3G与WLAN于一体，并能够快速传输数据、高质量、音频、视频和图像等，4G有着不可比拟的优越性。图10-1 4G的网络结构图主要接入方式有：PSTN/ISDN、Internet、广播电视系统、平流层通信系统、卫星系统、2G/2.5G网络、3G/B3G网络、无线局域网、AdHoc网络、固定接入系统和短距离无线接入系统（如蓝牙技术）等。10.2.2无线局域网安全技术1． MAC地址过滤技术：MAC地址过滤技术又称为MAC认证。由于每个无线客户端都有唯一的物理地址标识2． SSID匹配技术：被称为第一代无线安全，它会输入到AP和客户端中，只有客户端的SSID与AP一致时才能接入到AP中。3. WEP安全机制：有线对等保密WEP在链路层采用RC4对称加密技术，用户的密钥只有与AP的密钥相同时才能获准存取网络的资源。4．IEEE 802.11i标准：2004年6月，IEEE正式通过了IEEE 802.11i标准，规定了两种网络构架：过渡安全网络TSN和强健安全网络RSN。5. WPA安全机制：由WiFi联盟提出的一种新的安全机制。它使用两种验证方式：WPA-EAP、WPA-PSK。6. WAPI安全机制：WAPI是我国自主制定的无线安全标准，它采用椭圆曲线密码算法和对称密码体制，有很多优势。10.2.3蓝牙安全技术1．蓝牙通讯技术蓝牙（Bluetooth）是由东芝、爱立信、IBM、Intel和诺基亚于1998年5月共同提出的近距离无线数据通讯技术标准。它能够在10米的半径范围内实现单点对多点的无线数据和声音传输，其数据传输带宽可达1Mbps。通讯介质为频率在2.402GHz到2.480GHz之间的电磁波。2．蓝牙安全问题蓝牙装置应该设为只在进行通讯时才能够检测得到，并且授权给对方的权限也应该有限制。有些程序可以借助测试地址序号来检测装置的存在，但这样软件也就有机会暴露装置地址。使用者如果要加快文件传输速度而允许非经允许的联机权利，那么安全问题值得担心。3．蓝牙的安全模式无安全模式、服务层加强安全模式、链路层加强安全模式10.2.4无线应用通信协议（WAP)的安全1. WAP概念无线应用协议WAP（Wireless Application Protocol）。它由一系列协议组成，用来标准化无线通信设备它负责将Internet和移动通信网连接到一起，客观上已成为移动终端上网的标准1998年5月WAPl.0版正式推出，WAP.1版也在1999年5月正式发行，2001年8月WAP2.0正式发布。图10-3 WAP安全架构图10-4 WPKI的工作过程表10-1 WPKI与PKI的技术对比WPKIPKI应用环境无线网络有线网络证书WTLS证书/X.509证书X.509证书密码算法ECC椭圆曲线密码算法RSA安全连接协议WTLSSSL/TLS证书撤销短时证