收藏
下载资源

移动互联网和移动支付的安全

上传人:艾力 文档编号:36569923 上传时间:2018-03-30 格式:PDF 页数:29 大小:1.74MB
返回 下载 相关 举报
移动互联网和移动支付的安全_第1页
第1页 / 共29页
移动互联网和移动支付的安全_第2页
第2页 / 共29页
移动互联网和移动支付的安全_第3页
第3页 / 共29页
移动互联网和移动支付的安全_第4页
第4页 / 共29页
移动互联网和移动支付的安全_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《移动互联网和移动支付的安全》由会员分享,可在线阅读,更多相关《移动互联网和移动支付的安全(29页珍藏版)》请在金锄头文库上搜索。

1、 2011 绿盟科技 移动互联网和移动支付的安全 密级:内部使用 闫绍华 系统架构部 1 移动支付的总体概况 目录 2 移动支付的安全威胁和目标 3 移动支付的体系结构和安全 移动支付的总体概况 方便(Convenient) 便携(Portability) 高效(Efficiency) 易用(Usability) 安全(Security) 移动支付的总体概况 1.移动支付(Mobile Payment) 是用户通过手机等移动终端 对消费的商品或服务进行支 付的一种方式。 2.移动支付技术将移动终端设 备,互联网,应用提供商以 及金融机构相融合,为用户 提供货币支付、缴费等金融 业务。

2、3.与传统支付方式相比,移动 支付具有“随时,随地,随 身”,产业链长,行业跨度大, 社会影响面广等特点。 4.随着我国移动支付业务的飞 速发展,支付安全问题也成 为全产业关注的最基本、最 重要的问题之一。 移动支付的总体概况 移动支付的总体概况 远程支付Remote Payment: 1.使用SMS(Short Message Service)短消息业务 2.WAP(Wireless Application Protocol)无线应用 3.IVR(Interactive Voice Response)互动式语音应答 4.USSD(Unstructured Supplementary Serv

3、ice Data)非结构化补充业务数据 近距离支付Local Payment: 1.双界面SIM卡技术(SIM-Pass) 2.RFID-SIM卡技术(基于2.4G Hz) 3.NFC(Near Field Communication)技术(基于13.56M Hz) 移动支付的实现方式 双向识别和连接 功耗低 成本低 安全性好 RFID的一种 距离10 CM 非接触 速率几百Kbit/s 远程支付流程 远程支付流程 SMS和USSD的移动支付流程 WAP的移动支付流程 USSD 基于GSM的SMS 面向连接,独立通道 适合交易型业务 SMS 基于GSM的SMS 非连接,非独立通道 交互性差,适

4、合小额支持福 WAP 基于GSM的GPRS 面向连接,安全通道 适合交易型业务 近场支付流程 基于APP的支付 第三方支付类 电商类 团购类 理财类 银行类 移动支付的类型 基于OS的支付 Apple Pay技术 Apple Pay NFC Touch ID SE/Enclave Passbook Token 近距离通信模块,和SIM卡分离 不支持读卡器和点对点模式 Only Apply Pay NFC 指纹识别,替代密码输入 存储安全 Touch ID 电子钱包 管理银行卡 Passbook 安全元件 存储Token和密钥 SE 银行卡号的别名,避免敏感信息外泄 动态安全码 Token Ap

5、ple Pay技术 绑定 支付 移动支付的安全威胁和目标 被动攻击: 1. 嗅探: Sniff 2. 信息收集:Collection 3. 无线截获:Interception 主动攻击: 1. 假冒:Masquerading 2. 重放攻击:Replay Attacks 3. 修改:Modification 4. 拒绝服务:Denial of Service 5. 伪造:Fabrication 6. 否认:Repudiation 移动支付的安全威胁 移动支付的安全威胁 威胁源 扫描二维码 恶意链接 木马 电商APP染毒 钓鱼 恶意插件 窃取短信 OS 系统漏洞 DNS劫持 恶意Wi- Fi 伪

6、基站 移动支付的安全威胁 移动支付的安全威胁 手机APP的安全威胁统计 漏洞类型漏洞类型 漏洞危害漏洞危害 后台消息后台消息 恶意程序可在用户不知情的情况下在后台向指定号码发送消息 签名漏洞签名漏洞 恶意程序可在不改变正常程序签名的情况下篡改这些程序 短信欺诈短信欺诈 恶意程序可向机主手机发送欺诈短信 后台电话后台电话 恶意程序可在用户不知情的情况下在后台向指定号码拨打电话 清除数据清除数据 恶意程序可以恶意删除手机中的文件或信息 静默安装静默安装 恶意程序可以在后台静默安装,用户不知情。 静默联网静默联网 恶恶意程序在后台静默联网 移动支付的安全目标 Integrity None- Repu

7、diation Confidentiality Authentication 身份可认证 数据机密性 数据完整性 数据抗抵赖性 移动支付的体系结构和安全 移动支付的体系结构 移动支付的安全 防止支付类APP病毒,挂马 反编译后钓鱼 APP账号自身安全 防止二次打包 支付平台接口SDK的安全性 防止键盘和输入法攻击 防止界面截取 银行监管第三方支付平台,支付宝,微信微信支付,财付通 用户和银行卡绑定安全 用户和第三方支付帐号 用户体验和安全的取舍 日志审计 保险制度 高可靠性 高性能 数据传输加密(HTTPS/SSL) 数据存储加密和访问控制 防火墙和入侵检测 VPN USIM卡多业务安全域划分

8、,电子钱包,电子信用卡,电子票据 加密算法,椭圆曲线算法ECC 加密密钥CK和完整性密钥IK 双向鉴权 用户访问权限控制 支持NFC的SIM卡 Android系统安全 IOS系统安全 移动终端 移动互联网 APP提供商 金融机构 移动支付的安全 用户认证和授权 用户名/密码 手机号 安全问题 身份ID Token 指纹 声音识别 人脸识别 CA数字证书 PKI/WPKI 动态密码 第三方认证 分布式密钥 静态口令 动态口令 软件加密 硬件加密 单因子认证 多因子认证 加密密钥 生物特征识别 移动支付的安全 银行 移动支付的安全 移动APP端 服务器端 证书验证 输入验证 组件安全 身份认证 数据保护 授权管理 代码保护 会话管理 键盘保护 异常处理 反编译保护 日志管理 进程保护 数据保护 谢谢!

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号