【学习目标】1.了解移动商务面临的安全威胁以及安全需求2.掌握WAP的安全体系和相关技术3.掌握基于WPKI的移动商务安全的相关知识4.了解移动支付的安全标准及应用协议移动商务(M-Commerce)是由电子商务(E-Commerce)的概念衍生出来的。传统意义的电子商务以PC机为主要界面,是“有线的电子商务”;而移动商务则是通过手机、PDA等移动通信终端设备与互联网有机结合进行的电子商务活动。互联网技术、移动通信技术和其他技术的完善组合创造了移动商务。移动商务与互联网电子商务主要区别区别如下:(1)承载的网络不同(4)操作系统不同(3)终端不同(2)所使用的网络协议不同二、移动商务面临的安全威胁1.无线窃听2.假冒攻击3.信息篡改4.服务后抵赖三、移动商务的安全需求解决移动商务的安全问题与解决互联网电子商务的安全问题类似,就是要解决认证、鉴别、授权、完整性、机密性、不可否认性等问题。1.移动接入2.加密和身份识别移动终端的SIM/STK卡具有加密和身份识别能力。3.移动支付4.信息安全四、移动商务隐私问题五、移动商务安全现状一、WAP概述1.WAP的概念WAP(WirelessApplicationProtocol,无线应用协议)是一个用于向无线终端进行智能化信息传递的无需授权、不依赖平台的协议。WAP针对屏幕较小、连接速率较低和内存较小设备的上网需求而设计,提供一种以安全迅速、灵活、在线和交互的方式连接服务、信息和其他用户的媒介。2.WAP的特点(1)WAP是公开的全球无线协议标准,并且是基于现有的互联网标准制定的。(2)WAP提供了一套开放、统一的技术平台。(3)WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。(4)为了保持现有的巨大的移动市场,WML用户的界面直接映射到现有的手机界面上。二、WAP的体系结构1.WAE(WirelessApplicationEnvironment,无线应用环境)2.WSP(WirelessSessionProtocol,无线会话协议)3.WTP(WirelessTransactionProtocol,无线事务协议)4.WTLS(WirelessTransportLayerSecurity,无线传输层安全)5.WDP(WirelessDatagramProtocol,无线数据报协议)三、WAP移动商务安全架构体系移动终端软件安全平台(WTLS协议、WMLScriptsign)硬件安全设备(WIM卡)WAP网关其他代理服务器无线认证中心InternetWeb服务器TCP/UDP/IP/PPPWTLS/TLS/SSLWPKI网络安全协议平台主要安全参与实体安全基础设施平台1.无线标记语言脚本加密应用程序接口MLSCryptWMLScript(WirelessMakeupLanguageScript,无线标记语言脚本)作为JavaScript的扩展子集,WMLScript针对窄带宽进行了优化。MLSCrypt(WMLScriptCryptoAPI)是一个应用编程接口,使用该接口可访问WMLScript加密库中的安全函数(如密钥对的生成、数字签名及处理PK中常用的一些数据对象的函数)。2.无线个人身份模块WIMWIM是安装在WAP终端设备中的一种无法被篡改的计算机芯片,包含了WTLS客户端和服务器端采用X.509格式证书相互进行鉴别的功能,并嵌入了对公开密钥加密技术的支持。3.无线传输层安全协议WTLSWTLS是以TLS标准为基础发展而来的,并针对无线网络环境中的连接方式、计算能力、带宽限制等特点进行了必要的改造,支持数据报服务、支持优化的分组大小以及握手、动态密钥更新,提供了实体鉴别、数据加密和保护数据完整性的功能,可以确保在WAP终端和WAP网关之间的安全通信。4.无线公钥基础设施WPKI是对传统ITIF基于X..509公钥基础设施PKI(PublicKeyInfrastructure)的优化和扩展,它将互联网电子商务中PKI的安全机制引入到移动电子商务中,采用公钥基础设施、证书管理策略、软件和硬件等技术,有效建立安全和值得信赖的无线网络通信环境。四、WAP移动商务实体安全策略1.WAP手机的安全2.WAP网关的安全3.WEB内容服务器的安全(1)安全的WAP程序代码(2)安全防护技术WPKI(WirelessPublicKeyInfrastructure)即“无线公开密钥基础设施”,它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥,通过第三方的可信任机构——认证中心(CA)验证用户的身份,从而实现信息的安全传输。类型WPKIPKI应用环境无线网络有线网络证书WTLS证书/X.509证书X.509证书加密算法ECCRSA安全连接协议WTLSSSL/TLS证书撤销方式短时间证书RCL/OCSP证书保存方式证书URL证书CA交叉认证不支持支持弹性CA不支持支持表6-1PKI和WPKI对比(6)无线有线(2)(3)(9)(8)(4)TLS/SSL(1)TLS/SSL(7)WTLS/TLS(5)WTLS/TLSPKIProtal(RA)CAPKIDictionaryWAPGateWayServerClient安全传输证书颁发WPKI系统包括以下六个部分(1)移动终端(2)CA(3)证书数据库(4)PKIPortal(5)WAP网关(6)源服务器三、WPKI的证书格式X.509WTLS版本(Version)版本(Version)序列号(Serialnumber)算法标识(Algorithmidentifier)算法标识(Algorithmidentifier)发行者名称(Nameofissuer)发行者名称(Nameofissuer)有效时期(Periodofvadility)有效时期(Periodofvadility)证书所有者(属主)(subject)属主(Subject)属主公钥(Subject'spublickey)属主公钥(Subject'spublickey)发行者ID(IssuerID)属主ID(SubjectID)发行者签名(Issuer'ssignature)发行者签名(Issuer'ssignature)表6-2WTLS证书和X.509证书的格式对比⑻⑼⒀⑶⑺⑷⑵⑾⒁⑹⑸移动终端WAP网关PKIProtal签发系统CA验证服务器VA商家/银行证书/黑名单库⑴⑽⑿四、引入VA的WPKI移动商务安全框架一、移动支付概述1.移动支付的分类按照移动支付基础进行划分,现有的移动支付系统可以分为基于帐户的支付和基于代币券(Token)的支付。根据支付时间不同,移动支付可以分为实时支付、预支付和后期支付。按照采用媒介的不同,移动支付可以分为采用银行账户或信用卡进行的移动支付和由电话帐单进行的移动支付。2.移动支付优点(1)支付灵活便捷(2)交易时间成本低(3)有利于调整价值链,优化产业资源布局3.移动支付解决方案(1)基于WAP的无线电子商务安全解决方案(2)基于端对端的SMS无线电子商务安全解决方案二、移动支付标准*1.远程移动钱包标准(1)(6)(2)(5)(4)(3)移动终端WAP网关远程钱包服务器用户信息数据库安全协议2.MET系统参考模型①安全元素接口③服务执行接口服务注册接口商家定义的接口用户服务证书发行者个人信任设备个人信任设备个人计算设备安全元素②商家定义的接口处理付款的机构商家定义的接口内容服务器④④