第12章-移动电子商务安全

电子商务安全第12章移动电子商务安全12.1移动商务概述移动商务是指什么？利用手机、掌上电脑、PAD等移动通信设备，通过连接Internet和专用网络，进行电子商务活动，包括经营、管理、交易、娱乐等。移动商务=Internet+无线技术+电子商务移动商务（m-commerce）：建立在移动通信技术基础之上的电子商务活动。无线应用协议标准的不断完善及支撑产品的推出，使得因特网的信息和先进的应用能够延伸到每一个手机或其他无线终端，使人们通过移动设备不仅能够获得传统的语音服务，还能够获得数据服务，在移动中进行电子商务。移动商务的优势移动电子商务具有灵活、简单、方便、低成本等特点。移动商务使电子商务的服务本质得以更充分的体现，用户可随时随地获取所需的服务、应用、信息和娱乐。移动支付移动支付是移动商务应用的重要内容。1.自动支付系统：包括自动售货机、停车场计时器、自动售票机等；2.半自动支付系统：包括商店的收银柜机、出租车计费器等；3.移动互联网接入支付系统：包括商业的WAP站点等；4.手机代替信用卡类支付以及私人之间账务结算。移动商务具体内容包括移动支付、移动股市、移动办公、移动营销和无线CRM等功能。如目前中国移动通信公司就已经推出了手机支付、手机炒股、手机彩票、GPS位置服务、移动办公、统一消息服务（UM）、个人信息管理（PIM）和无线广告等移动电子商务服务。移动商务的特点真正消除了距离和地域的限制，摆脱了有线网络对工作地点的约束移动商务比Internet上的电子商务更具安全性移动商务可以为用户提供方便的个性化服务移动商务的体系结构移动商务的体系结构是对移动商务应用系统的抽象描述，有助于同学们对移动商务整体架构的认识。移动商务应用系统可以分为四层，无线终端应用层，无线数据服务层（一般指企业端服务器），业务管理平台层（一般指企业端业务管理平台和数据仓库，如政府城市管理中心的业务管理平台以及数据库）还包括一个常常被用户忽略的空中的无线通道层。移动商务的实现技术无线应用协议（WAP）通用分组无线业务（GPRS）移动IP技术蓝牙（BIuetooth）技术移动定位系统技术第三代（3G）移动通信系统移动商务的应用一是用于公共信息发布。如时事新闻、天气预报、股票行情、彩票信息、交通路况等。二是信息的个人定制接收。如服务帐单、电话号簿、旅游交通信息、特定产品信息等。三是交易业务。如电子购物、游戏、证券交易、无线支付、在线竟拍、客户管理等。讨论时间问答移动电子商务与有线电子商务的区别?移动电子商务(M-Commerce)是由电子商务(E-Commerce)的概念衍生出来，现在的电子商务以PC机为主要界面，是“有线的电子商务”。移动电子商务，则是通过手机、PDA(个人数字助理)这些可以装在口袋里的移动终端来完成商务活动的。移动电子商务与有线电子商务相比:首先，移动交易不受时间和地点的限制；其次，效率高，大大节省客户交易的时间；第三，移动终端的身份固定，能够向用户提供个性化移动交易服务；第四，可以提供与位置相关的交易服务。移动电子商务将用户和商家紧密联系起来，而且这种联系将不受PC或连接线的限制，使电子商务走向了个人。移动电子商务可以为用户随时随地提供所需的服务、应用、信息和娱乐。他们可以在自己方便的时候，使用移动电话或PDA查找、选择及购买商品和服务。同时，移动电子商务的有关调查数据也显示，到2008年，全球通过手持终端设备上网登录的人数将超过基于PC个人电脑的人数，全球移动商务用户将达到16.7亿人，将产生5540亿美元的收入。12.3移动安全协议与标准1.无线网络的概念与分类2.无线网络标准IEEE802.113.无线应用协议WAPCDMACDMA是码分多址的英文缩写（CodeDivisionMultipleAccess)，它是在数字技术的分支——扩频通信技术上发展起来的一种崭新而成熟的无线通信技术。CDMA技术的原理是基于扩频技术，即将需传送的具有一定信号带宽信息数据用一个带宽远大于信号带宽的高速伪随机码进行调制，使原数据信号的带宽被扩展，再经载波调制并发送出去。接收端使用完全相同的伪随机码，与接收的带宽信号作相关处理把宽带信号换成原信息数据的窄带信号即解扩，以实现信息通信。12.3.1无线网络的概念与分类无线网络是指采用无线传输介质，例如微波、红外线等的计算机网络。无线网络的优势：–无线介质无法比拟的灵活性–组网成本低–可移动性–极强的可扩容性–使用户真正享受到简单、方便、快捷的连接。无线网络尤其在电子商务中具有巨大的应用潜力。无线网络分类无线局域网（WirelessLocalNetwork，WLAN）无线广域网络（WirelessWideAreaNetwork，WWAN）无线城域网络（WirelessMetropolitanAreaNetwork，WMAN）无线个人网（WirelessPersonalAreaNetwork，WPAN）12.3.2无线应用协议无线应用协议（WirelessApplicationProtocol，WAP）。WAP是一种新的移动通信技术，其功能类似于因特网上的HTTP协议，区别就是使用在无线通信设备（包括手机、便携计算机、掌上上电脑PDA等）。它定义了一系列将互联网内容过滤和转化为适用移动通信的标准，使内容可以更容易地在移动终端上显示，使得利用手机就可以接入因特网并使用因特网上的各种应用。WAP移动终端上的浏览器所识别的描述语言不再是HTML或JavaScript，而是无线标记语言（WirelessMarkupLanguage，WML）和无线标记语言脚本WMLScript。WML是一种符合XML标准的描述语言。而WAP所采用的通信协议则是无线数据报协议（WirelessDatagramProtocol，WDP）。WDP是属于无线网络传输层的协议，其作用是为了使WAP能使用TCP/IP访问因特网。WAP网关用标准的HTTP1.1协议从服务器上获取信息，然后将其转换为WML格式的文档，并提供给移动终端。12.3.3蓝牙技术蓝牙技术以无线局域网的IEEE802.11标准技术为基础。从理论上来讲，以2.4G赫兹波段运行的技术能够使相距30米以内的设备互相连接，传输速度可达到每秒2M。Bluetooth应用了“即连即用”（PlonkandPlay）的概念蓝牙技术主要是提供数字设备之间的无线传输功能。不仅可以使得PC、鼠标、键盘、打印机告别电缆连线，而且可以实现将家中的各种电器设备如空调、电视、冰箱、微波炉、安全设备及移动电话等无线连网，从而通过手机实现遥控。12.3.4无线保真技术Wi-Fi无线保真技术（WirelessFidelity，Wi-Fi），也称为无线相容性认证，其正式名称是“IEEE802.11b”。与蓝牙一样，同属于在办公室和家庭中使用的短距离无线技术。Wi-Fi传输速度非常高，最高可达11Mbps。“热点”（Ad-hoc）场所的国际网络。12.3.5无线网络的连接1.无线网连接设备2.无线局域网典型应用3.无线网络应用一、无线网络设备无线网桥无线网卡无线路由器天线二、无线局域网应用无线局域网拓扑结构三、无线网应用1.移动办公系统2.移动金融服务3.餐饮服务4.交通服务5.库存控制和物流服务6.移动短信服务12.4网上银行与移动支付网上银行：以银行的计算机为主体，以银行专用的通信网络或公共互联网络为传输媒介，以单位或个人计算机为入网终端的“三位一体”的新型银行。网上银行的优势1.一个支付网接口就可以在网上向几乎全国的客户提供银行业务服务，使银行业的运营成本大大降低，业务量大大提高。2.使资金流随物流的速度加快，减少在途资金损失。3.以客户为导向，以高科技、高安全性，更方便快捷，不受时间地域限制，最大限度的满足客户日益多样化的量身订做的个人金融服务需要。4.使竞争更加多元化、复杂化。网络银行的发展国际我国电子支付技术的发展手机银行中国移动“移动证券”中国移动目前正式推出了面向全球通用户的“移动证券”业务。这一基于Java的财经资讯平台分为实时行情、股市资讯和在线交易三大板块。与以往的数据业务相比，“移动证券”业务的最大特点是实时性。目前，市场上所有支持Java的手机都支持这个业务，用户可选择的手机品牌很丰富。而加盟“移动证券”在线交易服务的券商也由试商用期间的1家扩展到了5家。一、移动支付的定义与分类1.定义：移动支付是在商务处理中，基于移动网络平台特别是日益广泛的Internet，随时随地利用现代的移动智能设备如手机、PDA、笔记机电脑等工具，为服务于商务交易而进行的有目的资金流动。2.分类微支付宏支付根据移动支付论坛的定义，微支付是指交易额少于10美元，通常是指购买移动内容业务，例如游戏、视频下载等。宏支付是指交易金额较大的支付行为，例如在线购物或者近距离支付（微支付方式同样也包括近距离支付，例如交停车费等）Q:从严格的意义上讲，移动银行是否等于手机银行？Ａ:否，不仅只有手机银行，还可以通过PDA等移动设备。课堂讨论二、移动支付的类别－短信支付1.短信(SMS)支付ShortMessageService(SMS)(2)基于(STK)短信支付(1)普通短信支付(3)基于WPKI短信支付Over－the－Air空中下载：手机用户只要进行简单操作，就可以按照个人喜好把网络所提供的各种业务菜单利用OTA机制下载到手机中，并且还可以根据自己的意愿定制具体业务。STK是“SIMCardToolKit,“SIM卡开发工具包”是新一代的数字智能卡。它允许基于智能卡的用户身份识别模块(SIM卡)运行自己的应用软件。WPKI即“无线公开密钥体系”，WirelessPublicKeyInfrastrcture)基于移动GSM网络系统自身的安全性再加上需要用户输入个人密码回复确认保证安全，对用户的移动终端设备也没有特殊要求，用户使用的手机只要能够收发普通短信即可使用。但是此方案的安全性只是基于用户的手机号码和用户的个人密码，没有传输层的安全机制，而且明文传输易于泄漏密码，很难实现较复杂和多交互的交易应用，由于短信的实时性和可靠性不是很高，因此普通短信的数据容量对该服务的限制也较大。只适用于微支付。(1)普通短信支付手机用户短信中心微支付平台服务提供商短信明文明文明文确认基于普通SMS支付特点：△技术基础成熟，几乎现有的所有手机均支持这种方式，对用户来说不需要任何设备更新；△成本不确定，不论交易者在何地，每次交互约需0.1元/次；△面向非连接的存储－转发方式，只能实现请求－响应的非实时业务△无法实现交互流程，不同业务需要使用不同的代码完成△信息量少此类方案已被许多无线交易系统所采用，特别是用于手机银行，手机证券等应用。优点：a.安全性高，较完整的传输安全机制，采用了3-DES加密和MAC值校验，b.具有较友好的用户界面，应用程序的菜单等都是写入STK卡中的易于使用、同时还能实现较复杂的和有限交互的交易。(2)基于STK的支付缺点：a.要将原有的SIM卡换成STK卡b.开发困难。无OTA功能，所以菜单只能由卡商来完成，因此此类通过STK卡来实现的移动小额支付的解决方案始终没有能够推广开来。基于STK支付特点：△内置银行密钥，可实现端到端的安全。△基于STK卡（解决菜单、密钥和个人信息存放），有较少支持WAP；△有特定的运营商限制（中国移动或中国联通）；△有手机型号限定（主要是为了支持STK卡操作）；△业务扩展较难，新增服务或客户信息变更时需要重新写卡，业务交互流程限制在卡内，无法方便实现银行对用户调整定制的服务。△推广成本高（STK卡和配套设备），用户需要更换STK卡，或更换支持STK卡手机。△技术标准不统一；它受处理器技术发展限制，技术发展空间小。△32KSTK卡的容量决定了在一张卡上只能使用一家银行的服务优点：a.安全性高，3DES加密和RSA签名算法b.具有较友好的用户界面，应用程序的菜单等都是写入STK卡中的易于使用、同时还