電子商務(wù)安全技術(shù)第10章移動(dòng)電子商務(wù)安全

第十章移動(dòng)電子商務(wù)平安10.1移動(dòng)電子商務(wù)平安概述10.1.1移動(dòng)電子商務(wù)平安問(wèn)題〔1〕無(wú)線(xiàn)網(wǎng)絡(luò)自身的平安問(wèn)題：所有通信都是通過(guò)無(wú)線(xiàn)接口來(lái)傳輸?shù)?、無(wú)線(xiàn)接口是開(kāi)放的、各基站與移動(dòng)效勞交換中心之間的通信媒質(zhì)就不盡相同〔2〕移動(dòng)設(shè)備的不平安因素：移動(dòng)設(shè)備很容易被破壞或者喪失，用戶(hù)身份、賬戶(hù)信息和認(rèn)證密鑰喪失；移動(dòng)設(shè)備被攻擊和數(shù)據(jù)破壞；SIM卡被復(fù)制；RFID被解密等方面?！?〕病毒造成的平安威脅：移動(dòng)設(shè)備自身硬件性能不高，不能承載現(xiàn)今成熟的病毒掃描和入侵檢測(cè)的程序?！?〕移動(dòng)商務(wù)平臺(tái)運(yùn)營(yíng)管理漏洞造成的平安威脅：大量移動(dòng)運(yùn)營(yíng)平臺(tái)如何管理、如何進(jìn)行平安等級(jí)劃分、如何確保平安運(yùn)營(yíng)，還普遍缺少經(jīng)驗(yàn)?！?〕移動(dòng)商務(wù)應(yīng)用相關(guān)法律和制度不健全：現(xiàn)有的法律對(duì)新的電子商務(wù)模式不能有效適應(yīng)移動(dòng)商務(wù)的迅猛開(kāi)展。10.1.2移動(dòng)電子商務(wù)平安策略圖10-14G的網(wǎng)絡(luò)結(jié)構(gòu)圖2.4G網(wǎng)絡(luò)的平安問(wèn)題3.4G網(wǎng)絡(luò)的平安措施無(wú)線(xiàn)應(yīng)用通信協(xié)議〔WAP)的平安1.WAP概念無(wú)線(xiàn)應(yīng)用協(xié)議WAP〔WirelessApplicationProtocol〕。它由一系列協(xié)議組成，用來(lái)標(biāo)準(zhǔn)化無(wú)線(xiàn)通信設(shè)備它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起，客觀(guān)上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)1998年5月WAPl.0版正式推出，WAP.1版也在1999年5月正式發(fā)行，2001年8月WAP2.0正式發(fā)布。圖10-3WAP平安架構(gòu)圖10-4WPKI的工作過(guò)程WPKIPKI應(yīng)用環(huán)境無(wú)線(xiàn)網(wǎng)絡(luò)有線(xiàn)網(wǎng)絡(luò)證書(shū)WTLS證書(shū)/X.509證書(shū)X.509證書(shū)密碼算法ECC橢圓曲線(xiàn)密碼算法RSA安全連接協(xié)議WTLSSSL/TLS證書(shū)撤銷(xiāo)短時(shí)證書(shū)CRL、OCSP等協(xié)議本地證書(shū)保存證書(shū)URL證書(shū)CA交叉認(rèn)證不支持支持彈性CA不支持支持表10-2WTLS和SSL的比較特征SSLWTLS支持?jǐn)?shù)字證書(shū)類(lèi)型X.509格式證書(shū)X.509格式證書(shū)、證書(shū)URL、WTLS格式證書(shū)、X.968(draft)格式證書(shū)是否必須進(jìn)行身份認(rèn)證是，至少單向身份認(rèn)證否，支持匿名模式握手協(xié)議DH-DSS、DH-RSA、RSADHanon、RSAanon、ECDHanon、RSA、ECDH-ECDSA證書(shū)是否包含序列號(hào)要求包含不要求包含對(duì)稱(chēng)加密算法RC4、DES、3DES、IDEARC5、DES、3DES、IDEA報(bào)警信息校驗(yàn)和無(wú)有是否支持UDP服務(wù)不支持支持圖10-5WTLS的握手過(guò)程10.3移動(dòng)支付與平安10.3.1移動(dòng)支付的概述1.移動(dòng)支付概念移動(dòng)支付是在商務(wù)處理流程中，基于移動(dòng)網(wǎng)絡(luò)平臺(tái)，隨時(shí)隨地利用現(xiàn)代的移動(dòng)智能設(shè)備如、PDA、筆記本電腦等，為效勞于商務(wù)交易而進(jìn)行的有目的資金流流動(dòng)。3.移動(dòng)支付業(yè)務(wù)模式〔1〕話(huà)費(fèi)模式：主要適用于圖鈴下載、游戲等移動(dòng)增值業(yè)務(wù)費(fèi)用的繳納?！?〕虛擬卡模式：要求移動(dòng)用戶(hù)將銀行卡與號(hào)碼事先綁定，即號(hào)碼成為虛擬銀行卡?！?〕銀行模式：要求用戶(hù)在銀行網(wǎng)點(diǎn)開(kāi)通銀行業(yè)務(wù)或換STK卡，申請(qǐng)銀行關(guān)聯(lián)帳戶(hù)的支付密碼?！?〕虛擬帳戶(hù)模式：要求用戶(hù)預(yù)先將資金轉(zhuǎn)帳或充值到后臺(tái)效勞器的虛擬帳戶(hù)內(nèi)，或者將該虛擬帳戶(hù)與銀行卡賬戶(hù)關(guān)聯(lián)，支付寶、貝寶等〔5〕物理卡的關(guān)聯(lián)支付模式：將銀行卡帳戶(hù)、儲(chǔ)值卡和電子錢(qián)包，經(jīng)過(guò)特殊工藝加工或異型，貼在后蓋上，或者改造后形成雙卡或雙模。表10-3移動(dòng)平安解決方案解決方案原理說(shuō)明缺點(diǎn)優(yōu)點(diǎn)智能SD卡將智能卡嵌在SD內(nèi)，重新定義SD卡的擴(kuò)展腳用與外接天線(xiàn)現(xiàn)場(chǎng)解決方案有待成熟簡(jiǎn)單易行，業(yè)務(wù)擴(kuò)展方式靈活SIMPASS利用SIM卡作為支付信息的安全載體，通過(guò)SIM的C4C8腳引出外接天線(xiàn)，放在電池后面機(jī)械接觸點(diǎn)不穩(wěn)定，天線(xiàn)容易斷裂，C4C8腳的利用不是國(guó)際通用標(biāo)準(zhǔn)簡(jiǎn)單易行iSIM支付信息放在一張很薄的智能卡內(nèi)，該卡貼在SIM卡上，作為橋接器，過(guò)濾分析SIM卡和手機(jī)的通訊并進(jìn)行處理，外接天線(xiàn)連接在這張薄卡上SIMPASS的缺點(diǎn)都具備的同時(shí)，還可能存在法律方面的問(wèn)題簡(jiǎn)單易行，業(yè)務(wù)擴(kuò)展方式靈活RF-SIM利用SIM卡作為支付信息的載體，同時(shí)在SIM卡上添加無(wú)線(xiàn)調(diào)制解調(diào)器，實(shí)現(xiàn)現(xiàn)場(chǎng)支付，采用2.4GHZ頻率，無(wú)需外接天線(xiàn)用戶(hù)界面采用STK菜單方式，友好型不足，同時(shí)由于采用2.4GHZ的頻率，無(wú)法和現(xiàn)有非接觸式終端（13.56MHZ）兼容不用調(diào)換或改造手機(jī)就可實(shí)現(xiàn)現(xiàn)場(chǎng)及遠(yuǎn)程交易貼片將非接觸式智能卡貼在手機(jī)的后蓋上無(wú)法實(shí)現(xiàn)遠(yuǎn)程支付簡(jiǎn)單易行NFC按照手機(jī)支付的需求重新設(shè)計(jì)手機(jī)終端支持現(xiàn)場(chǎng)和遠(yuǎn)程支付目前支持的手機(jī)終端少符合國(guó)際標(biāo)準(zhǔn)，是手機(jī)支付的終極解決方案10.3.2移動(dòng)支付平安性風(fēng)險(xiǎn)