张滨，男，硕士，高级工程师，毕业于清华大学无线电系，具有二十余年移动通信领域工作经验，目前担任中国移动通信集团信息安全管理与运行中心总经理。

本书是探索和研究移动互联网环境下移动电子商务安全的基础指南。作者由浅入深，循序渐进地从终端、传输、平台以及支付等多个方面阐述了当前移动电子商务所面临的安全问题，并对移动电子商务所涉及的基本安全技术进行介绍。在此基础之上，从电子支付安全、电子交易支付安全、手机支付安全、第三方支付安全、网上金融安全以及移动电子商务平台安全等多个方面详细介绍了不同方式电子商务的基本特点、交易流程以及安全防护措施等内容。

　　《移动电子商务安全技术与应用实践》：
　　3.8.3动态口令
　　目前最为安全的身份认证方式之一也利用了What You Have方法，是一种动态口令。
　　动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60 s变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。
　　但是基于时间同步方式的动态口令牌存在60 s的时间窗口，导致该密码在这60 s内存在风险，现在已有基于事件同步的、双向认证的动态口令牌。基于事件同步的动态口令是以用户动作触发的同步为原则，真正做到了一次一密，并且由于是双向认证，即服务器验证客户端，客户端也需要验证服务器，从而达到了彻底杜绝木马网站的侵袭。
　　由于它使用起来非常便捷，85%以上的世界500强企业运用它保护登录安全，广泛应用在VPN、网上银行、电子政务、电子商务等领域。
　　3.8.4证书认证
　　USB Key与文件证书是两种重要的证书认证方式。多出现在网银的数字认证中。其中，USB Key是一种由智能芯片进行数据加密的数字签名工具，USB Key中存储用户仅有的、不可复制的证书，从外部无法被读出；文件证书是以文件形式保存的用户证书。相较而言，USB Key更安全。
　　随着电子商务的迅速发展，需要证书认证的应用越来越多。由于USB Key在证书存储方面的优越性，越来越多的CA和用户选择了USB Key作为他们的证书存储介质。因此，随着USB Key市场的扩大，越来越多的厂家特别是原来的智能卡厂家进入USB Key的市场，从而带动了USB Key相关产业的发展和应用。
　　……

第1章  绪　论 1
1．1  移动电子商务安全的背景 1
1．2  移动电子商务的定义 2
1．3  移动电子商务的特征和种类 2
1．3．1  移动电子商务的基本特征 2
1．3．2  移动电子商务的种类 3
1．4  移动电子商务的发展概况 5
参考文献 6

第2章  移动电子商务安全问题分析 7
2．1  移动电子商务的终端安全问题 7
2．2  移动电子商务的传输安全问题 9
2．2．1  移动电子商务的传输技术 10
2．2．2  移动电子商务的传输安全 11
2．3  移动电子商务平台的安全问题 16
2．3．1  基于WAP平台的移动商务安全问题 16
2．3．2  基于短消息的移动商务安全问题 17
2．4  移动支付的安全问题 20
参考文献 21

第3章  移动电子商务安全技术 22
3．1  移动电子商务安全技术框架 22
3．2  加密技术 23
3．2．1  对称密码体系 23
3．2．2  非对称密码体系 25
3．3  散列函数 28
3．4  数字签名技术 29
3．4．1  数字签名概述 29
3．4．2  数字签名具体实现 29
3．4．3  盲签名技术与应用 30
3．5  公钥基础设施 31
3．5．1  PKI提供的安全服务 31
3．5．2  PKI的主要组件 33
3．5．3  PKI的主要技术组件和功能 33
3．5．4  公钥证书 35
3．6  移动签名技术 36
3．6．1  移动签名技术的原理 36
3．6．2  移动签名技术的特点 38
3．7  无线公钥基础设施 39
3．7．1  WPKI的体系结构和操作流程 39
3．7．2  WPKI的主要组件 40
3．7．3  WPKI安全体系中的证书分级体系结构 40
3．7．4  WPKI优化 40
3．8  身份认证技术 42
3．8．1  静态密码 43
3．8．2  短信验证码 43
3．8．3  动态口令 44
3．8．4  证书认证 44
3．8．5  生物识别 44
3．8．6  组合认证 45
3．8．7  基于挑战/应答的认证机制 45
参考文献 46

第4章  电子支付安全 48
4．1  电子支付基础 48
4．1．1  电子支付方式的分类 48
4．1．2  电子支付的特点 52
4．1．3  电子支付的过程 52
4．1．4  电子支付系统的组成 53
4．1．5  电子支付系统的优势 54
4．1．6  电子支付的典型代表——微支付 55
4．2  电子货币 57
4．2．1  电子货币的分类 58
4．2．2  电子货币的特点 59
4．2．3  电子货币典型代表——比特币 60
4．2．4  使用电子货币的安全机制 61
4．3  电子支付协议概述 62
4．3．1  SSL安全协议 63
4．3．2  TLS协议 66
4．3．3  SET协议 67
4．3．4  WTLS协议 75
参考文献 81

第5章  手机支付安全 82
5．1  手机支付对终端的安全需求 82
5．2  基于RFID的手机支付 86
5．2．1  RFID的应用系统组成 87
5．2．2  RFID的工作原理 87
5．2．3  RFID技术在移动电子商务支付中的应用 88
5．2．4  基于RFID手机支付的安全性分析 93
5．3  基于NFC的手机支付 96
5．3．1  NFC技术概述 96
5．3．2  NFC技术在移动电子商务支付中的应用 98
5．3．3  基于NFC的手机支付安全性 101
5．4  手机钱包 103
5．4．1  手机钱包概述 103
5．4．2  手机钱包的支付流程 105
5．4．3  手机钱包的密钥管理机制 105
5．4．4  手机钱包的安全问题 106
参考文献 107

第6章  基于WAP和App的移动电子商务安全 109
6．1  基于WAP的移动电子商务现状 109
6．2  基于WAP的移动电子商务安全方案 110
6．2．1  WAP 1．x与WAP 2．0的安全性 111
6．2．2  基于WAP的移动电子商务模型及安全问题 113
6．2．3  基于WAP的移动电子商务安全解决方案 114
6．3  WIM的安全应用 115
6．3．1  WIM概述 115
6．3．2  WIM的结构 116
6．3．3  WIM的安全应用 116
6．4  基于App的移动电子商务应用 118
6．4．1  基于App的手机银行应用 118
6．4．2  基于App的手机支付应用 120
6．4．3  基于App的移动电子商务社交应用 120
6．5  基于App的移动电子商务安全威胁 121
6．5．1  手机恶意软件威胁 121
6．5．2  App非法访问威胁 123
6．5．3  App篡改或仿冒威胁 123
6．6  基于App的移动电子商务安全方案 124
6．6．1  App可信来源保障 124
6．6．2  强认证机制保障 124
6．6．3  App完整性保护 126
6．6．4  终端环境安全 127
6．6．5  个人敏感信息安全保护 128
6．6．6  基于SIM的移动统一认证 129
6．6．7  云端联动机制 131
参考文献 131

第7章  第三方支付安全 133
7．1  第三方支付简介 133
7．1．1  第三方支付平台 133
7．1．2  第三方支付流程 136
7．1．3  第三方支付运营模式 137
7．2  第三方支付的安全风险 139
7．2．1  典型风险 139
7．2．2  防护建议 141
7．3  典型产品及其安全机制 142
7．3．1  一般安全机制 142
7．3．2  支付宝 143
7．3．3  财付通与微信支付 147
7．3．4  贝宝 147
7．3．5  和包 148
参考文献 150

第8章  网上金融安全 151
8．1  网上银行安全 152
8．1．1  网上银行概述 152
8．1．2  网上银行面临的安全问题 153
8．1．3  网上银行采取的安全措施 154
8．2  网上证券安全 155
8．2．1  网上证券概述 155
8．2．2  网上证券面临的安全问题 156
8．2．3  网上证券的安全防护策略 157
8．2．4  网上证券的发展前景 159
8．3  网上保险安全 160
8．3．1  网上保险概述 160
8．3．2  基于PKI的网上保险安全 161
8．4  互联网金融安全 162
参考文献 164

第9章  移动电子商务平台安全 165
9．1  移动电子商务平台 165
9．1．1  移动电子商务平台的概念 165
9．1．2  移动电子商务平台的特征 166
9．1．3  移动电子商务平台提供的服务 166
9．1．4  移动电子商务平台的技术架构 166
9．2  移动电子商务平台的威胁模型 168
9．2．1  安全假设 169
9．2．2  安全威胁类型 170
9．3  移动电子商务平台的安全防护 174
9．3．1  移动电子商务平台的安全需求 174
9．3．2  移动电子商务平台的安全目标 174
9．3．3  移动电子商务平台的安全架构 175
9．3．4  移动电子商务平台的安全防护技术 178
9．3．5  移动电子商务平台的网络安全域边界防护 188
参考文献 196

第10章  电子商务反诈骗 197
10．1  电子商务诈骗的形成原因 197
10．2  电子商务诈骗案例 198
10．2．1  钓鱼网站及山寨应用的诈骗案例 198
10．2．2  盗取账户案例 202
10．2．3  二维码支付暗藏病毒案例 202
10．2．4  虚拟改号诈骗 205
10．3  电子商务反诈骗措施 207
10．3．1  反钓鱼网站措施 207
10．3．2  反盗取账户措施 208
10．3．3  反二维码支付病毒措施 209
10．3．4  反虚拟改号诈骗措施 209
参考文献 211

第11章  移动电子商务前景展望 212
11．1  移动电子商务在中国的应用和发展 212
11．2  移动电子商务的发展因素 213
11．3  移动电子商务的发展模式 214
11．4  移动电子商务的未来发展趋势 216
11．5  生机勃勃的移动应用市场 217
参考文献 222