《2022年移动电子商务系统的安全问题 .pdf》由会员分享,可在线阅读,更多相关《2022年移动电子商务系统的安全问题 .pdf(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、单位电商 091 班学号09502128 电子商务安全管理期末论文(移动电子商务的安全问题)姓名李彬专业电子商务指导教师周 强 强江西农业大学南昌商学院2012 年 6 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 11 页 - - - - - - - - - 目录摘要 . 1一、移动电子商务安全现状. 1(一)移动客户群庞大. 1(二)国家政策支持. 2(三)无线基础设施建设迅速. 2二、移动电子商务安全存在的主要问题. 2(一)终端窃取与假冒. 2(二)无线网的窃
2、听. 3(三)重传交易信息. 3(四)假冒攻击. 3(五)拒绝服务. 3(六)交易抵赖. 3三、移动电子商务安全的技术保障. 4(一)网络安全技术. 41、防火墙技术. 42、虚拟专用网VPN技术 . 43、网络安全服务的层配置. 4(二)密码技术. 51、信息加密技术. 52、数字签名技术. 53、安全认证CA. 5四、解决电子商务安全问题的对策. 6(一)端到端策略. 6(二)技术防护方案. 61、严格的用户鉴权. 62、单一登录 . 73、无线 PKI 技术 . 74、授权 . 7(三)在管理上健全管理制度. 71、人员管理制度. 72、保密制度 . 73、数据备份和应急措施. 8五、结
3、语 . 8【参考文献】 . 8名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 11 页 - - - - - - - - - 1 摘要随着近年来全球无线与电信网络技术的发展,无线通信提供了一个有别于因特网的数据传输环境。 这种移动技术的无地域性、 便利性和即时性加速了移动电子商务的诞生。 移动电子商务是通过手机、 PDA (个人数字助理 )等移动通信终端设备与因特网有机结合进行的电子商务活动。因特网技术、 移动通信技术和其他技术的完善组合创造了移动电子商务。随着技术的迅速发
4、展, 越来越多的移动终端的加入极大地促进了移动电子商务的发展。基于移动通信的电子商务, 由于其具有便捷、灵活的特点 , 受到越来越多人的欢迎。然而,无线网络的开放性使移动电子商务面临着一些不安全因素, 如通信内容易被窃听、更改 , 通信双方身份可能被假冒等。这些问题的存在主要是由法律规范不完善、 信用意识淡薄和移动设备本身存在局限性造成的。提高移动电子商务安全性的对策 , 一是开发端到端移动电子商务解决方案, 二是以流程、技术和组织模式的方案来降低移动电子商务的风险与易受攻击性。【关键词】移动电子商务,无线网络,安全一、移动电子商务安全现状迄今为止,我国移动电子商务技术的发展经历了三个阶段。第
5、一个阶段是以短讯为基础的技术; 第二个阶段的移动电子商务采用基于WAP 技术的方式; 第三个阶段是以 2009 年发放牌照为标志、能够实现无缝漫游和移动宽带的3G时代。3G背景下,无线通信产品能够为人们提供速度高达2Mb/s 的宽带多媒体业务,支持高质量的语音分组交换数据多媒体业务和多用户速率通信。(一)移动客户群庞大根据工业和信息化部的数据显示,2009 年中国手机终端的数量已经达到名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 11 页 - - - - - - - -
6、 - 2 7.74 亿,接近上网用户数量的3 倍,而来自 CNNIC的数据显示, 2009 年底中国手机网民的数量已突破2.33 亿,手机网民规模呈现迅速增长的势头。这表明我国移动电子商务业务的发展具有巨大的潜力。艾瑞咨询预计,2011 年移动电子商务营收规模将达到1.7 亿元。(二)国家政策支持包括移动电子商务在内的电子商务被列入了2006 年 3 月颁布的国民经济和社会发展信息化“十一五”规划 。2007 年 6 月,发改委与原国务院信息办又专门出台了电子商务发展“十一五”规划,其中移动电子商务试点工程作为六大重点引导工程之一。 规划中明确指出“鼓励基础电信运营商、电信增值业务服务商、内容
7、服务提供商和金融服务机构相互协作,建设移动电子商务服务平台”、“发展小额支付服务、 便民服务和商务信息服务, 探索面向不同层次消费者的新型服务模式”, 并确定了转变经济发展方式、 方便百姓生活和带动战略产业发展的三大目标, 三大目标正在逐步实现, 初步显现了移动电子商务巨大的效益和潜力。(三)无线基础设施建设迅速近年来,政府加大了对电信基础建设的投资力度,中国移动、 中国电信和中国联通三大电信运营商在2009 年 8 月前完成了其 3G网络的第一阶段部署工作。基于 CDMA 的 3G服务,即中国电信的CDMA2000 和中国联通的 WCDMA,发展迅速。相比之下,中国移动的TD-SCDMA3G
8、技术的商业化进程比预期缓慢。在网络部署方面,中国电信在3G领域方面动作最快,预计它将发动价格战以吸引更多的用户。3G网络的铺设,加速了我国移动电子商务的发展。二、移动电子商务安全存在的主要问题无线通信网络之所以得到广泛应用, 是因为无线通信网络的建设不像有线网络那样受地理环境的限制, 无线通信用户也不像有线通信用户那样受通信电缆的限制 , 而是可以在移动中通信。 无线通信网络的这些优势都来自于它们所采用的无线通信信道 , 而无线信道是一个开放性信道, 它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素, 如通信内容易被窃听、更改, 通信双方身份可能被假冒等。 当然, 无线通信网络
9、也存在着有线通信网络所具有的一些不安全因素。 开展移动电子商务主要面临着来自移动通信系统和因特网的安全风险 , 主要包括无线链路威胁、服务网络威胁和终端威胁。(一)终端窃取与假冒攻击者有可能通过窃取移动终端或SIM卡来假冒合法用户从而非法参与交易名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 11 页 - - - - - - - - - 3 活动, 给系统和用户造成损失。(二)无线网的窃听由于无线网络具有开放性特点以及短消息等数据一般都是明文传输, 这使得通过无线空中接口
10、进行窃听成为可能。在无线通信网络中 , 所有网络通信内容( 如移动用户的通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间的信令信息等)都是通过无线信道传送的, 而无线信道是一个开放性信道, 任何具有适当无线终端设备的人均可以通过窃听无线信道而获得上述信息。 虽然有线通信网络也可能会遭到搭线窃听, 但这种搭线窃听要求窃听者能接触到被窃听的通信电缆 , 而且需要对通信电缆进行专门处理, 这样就很容易被发现。因而无线窃听相对来说比较容易, 只需要适当的无线接收设备即可, 而且很难被发现。(三)重传交易信息截获传输中的交易信息并把交易信息多次传送给服务网络。(四)假冒攻击在无线通信网
11、络中 , 移动站必须通过无线信道传送其身份信息, 以便网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听 , 当攻击者截获到一个合法用户的身份信息时, 他就可以利用这个身份信息来假冒该合法用户, 这就是所谓的身份假冒攻击。 另外, 主动攻击者还可以假冒网络控制中心。例如, 在移动通信网络中 , 主动攻击者可能假冒网络基站来欺骗移动用户 , 以此手段获得移动用户的身份信息, 从而假冒该移动用户身份。(五)拒绝服务入侵者通过物理层或协议层干扰用户数据、信令数据或控制数据在网络中的正常传输 , 来实现网络中的拒绝服务攻击, 还可以通过假冒某一网络单元阻止合法用户的
12、业务数据、 信令信息或控制数据 , 从而使合法用户无法接受正常的网络服务。(六)交易抵赖所谓交易抵赖是指交易双方中的一方在交易完成后否认其参与了此交易。这种威胁在电子商务中很常见, 假设客户通过网上商店选购了一些商品, 然后通过电子支付系统向网络商店付费。 在这个电子商务应用中就存在着两种服务后抵赖的威胁 , 即客户在选购了商品后否认他选择了某些或全部商品而拒绝付费, 商店收到了客户的货款却否认已收到货款而拒绝交付商品。随着开放程度的加大 , 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -
13、- 第 5 页,共 11 页 - - - - - - - - - 4 来自服务提供商的交易抵赖也可能发生。三、移动电子商务安全的技术保障(一)网络安全技术网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。 网络安全所涉及的方面比较广泛,如操作系统安全、防火墙技术、 虚拟专用网VPN技术和各种反黑客技术以及漏洞检测技术等。1、防火墙技术放火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据制定的策略对网络数据进行过滤、分析和审计, 并对各种攻击提供有效的防范。主要用于 Internet 接入和专用与公用网之间的安全连接。常见的放火墙的类
14、型主要有三种:包过滤、应用层网关、双宿主机。虽然放火墙技术可以在很大程度上提高网络安全性能,但是并不能百分之百的解决网络上的信息安全问题,比如防火墙虽然能对外部网络的攻击进行有效的保护,但对于来自内部网络的攻击却无能为力,事实上据统计60%以上的网络安全问题来自内部网络,而且网络程序和网络管理系统中也可能存在缺陷。因此, 网络安全仅仅依靠防火墙是不够的,还需要考虑其他技术和非技术的因素,如信息加密技术、安全认证和提高管理人员的安全意识等。2、虚拟专用网VPN技术VPN 也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租
15、用本地的数据专线,连接上本地的公众信息网,其各地的分支机构就可以相互之间安全传递信息;同时, 企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN 主要具有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点, 它是目前和今后企业网络发展的趋势。根据目前国内公众多媒体通信网的现状,在国内采用 VPN 组网一般分为三类: ATM PVC 组建方式、IP Tunnel-ing 组建方式和Dial-up Access组网方式( VDPN ) 。3、网络安全服务的层配置由于 OSI 参考模型是一种层次结构,某种安全服务有某些层支持更有效,
16、而另外一些层却不能支持,因此存在一个安全服务的层配置问题。物理层:只支持数据保密服务;网络层:主要是路由选择和报文转发,所以网络层可支持多种安全服务;会话层:不提供安全服务;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 11 页 - - - - - - - - - 5 应用层:原则上将所有安全服务均可在应用层提供,但因应用层是OSI 参考模型中的最高层,是用户与OSI 的接口,应用实体不同,所要求的安全服务也不同,所以应用层的安全服务一般是专业的。从合理性和效率上来讲把
17、所有的安全服务都纳入应用层也是不妥的。(二)密码技术密码技术是网络安全最有效的技术之一。一个加密网络, 不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。密码技术主要包括以下三种技术,即信息加密技术、数字签名技术、安全认证技术。1、信息加密技术信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。在多数情况下, 信息加密是保证信息机密性的唯一方法。如果按照收发双方密匙是否相同来分类, 可以将加密算法分为常规密码算法和公匙密码算法: 在常规密码中, 收信方和发信方使用相同的密匙, 即加密密匙和解
18、密密匙是相同或等价的。常规密码的优点是有很强的保密强度, 且经受得住时间的检验和攻击, 但其密匙必须通过安全的途径传送。因此, 其密匙管理成为系统安全的重要因素。在公匙密码中, 收信方和发信方使用的密匙互不相同, 而且几乎不可能从加密密匙推导出解密密匙。公匙密码的优点是可以适应网络的开放性要求. 而且密匙管理也较为简单, 尤其可以方便的实现数字签名和验证。但其算法复杂, 加密数据的速率较低。尽管如此, 随着现代电子技术和密码技术的发展, 公匙密码算法将是一种很有前途的网络安全加密体制。2、数字签名技术数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来潭并核实报文是否发生变化的
19、一个字母数字串。电子商务中 , 传送的文件是通过电子签名证明当事人身份与数据真实性的。数据加密是保护数据的最基本方法, 但也只能防止第三者获得真实数据。电子签名则可以解决否认、伪造、篡改及冒充等问题, 具体要求 : 发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、 网络中的某一用户不能冒充另一用户作为发送者或接收者。数字签名的算法很多, 应用最为广泛的三种是:Hash签名、 DS 签名、 RSA 签名。3、安全认证CA 安全、 高效、 可靠、 信用度高是一切商务活动的必要保证, 对电子商务而言, 要实现
20、这一点 , 就必须建立一套完备的CA 安全认证体系。在公用网络上进行交易, 要一个第三方的信用认证机构来确认买卖双方的身份, 这个机构就是 CA (Certification Authentication ) 。CA 安全认证系统是用来解决公匙密码中的公开密匙的分发和其合法性检验的问题。CA 中心为每个使用CA 的用户发放一个数字证名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 11 页 - - - - - - - - - 6 书。 数字证书是经过授权中心是签名的, 它包
21、含公开密匙的拥有者信息以及公开密匙的数据文件 , 相当于用户在网络中的身份证, 用来向系统中的其他实体证明自己的身份。最简单的证书包含一个公开密匙、名称以及证书授权中心的数字签名和用户基本信息。CA 中心包括审核授权和证书操作两个部门. 主要提供证书的发放、更新、作废、公布、管理、证书状态的在线查询以及操作员分级管理、权限控制、 证书卡身份认证; 根据系统详细日志进行系统实时监控;根据系统内部统计报表监测系统运行及业务发展等功能。四、解决电子商务安全问题的对策针对以上电子商务系统的安全问题存在的漏洞,我觉得可以从这些方面提出解决方案:(一)端到端策略公司必须开始策划并实施相应战略, 以降低风险
22、并开发端到端移动电子商务解决方案。此类战略的设计要综合考虑公司和客户以及具体移动应用的要求。应用结构化方法降低移动电子商务的安全风险将使所有公司受益。从大的范围看, 公司能否在移动电子商务领域取得成功 , 取决于它能否应对安全方面的风险和挑战。用户信心、 品牌资产、投资回报、市场份额和价值都与此相关。而应对风险和挑战的关键是拥有端到端的移动电子商务应用方法。端到端在移动电子商务中意味着保护每个薄弱环节。确保数据从传输点到最后目的地之间具有完全的安全性。包括传输过程的每个阶段。这需要找出每个薄弱环节并采取适当的安全性和私密性措施, 以确保整个传输过程的安全性并保护每条信道。移动电子商务的许多设备
23、, 运行不同的操作系统且采用不同标准, 使得安全性成为更加复杂的问题。公司需要实用的安全解决方案, 这些解决方案应能快速简便地进行修改, 以满足所有设备的要求。除此之外还要考虑全局。安全策略将对一系列商业问题产生影响, 单独考虑安全性是远远不够的。(二)技术防护方案目前,市场上提供了许多安全性解决方案来降低移动电子商务的风险及易受攻击性。首先, 无线电子商务解决方案要求的安全控制, 与用来保护有线电子商务环境中的安全控制完全相同。这些控制方法将包括防火墙、内容、电子邮件过滤、防病毒、用户验证和鉴权、授权、策略管理、入侵检测、强化平台、安全的设备管理等技术。然而,除了这些控制方法外,还需要其他技
24、术为所有无线电子商务信道提供安全性在这些移动电子商务安全技术中,有许多正处在开发或演进阶段。1、严格的用户鉴权出于某些目的, 一些重要的交易尤其是金融交易要求有严格的用户鉴权。为了确保移动环境的安全性 , 必须应用“双钥”鉴权。TAN 码等传统的双钥技术也可用在无线环境中,可替代的解决方案包括手持设备一次性密码生成器或智能卡。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 11 页 - - - - - - - - - 7 2、单一登录鉴权支持可实现单一登入功能, 用户可以
25、使用该环境中的所有服务和应用, 无需进行进一步的用户可视鉴权。这要求将用户证明从门户网站安全地传输到提供内容服务和应用的其他系统中 , 包括第三方。3、无线 PKI 技术可通过部署无线公共密钥基础设施(WPKI )技术来实现数据传输路径真正的端到端安全性、安全的用户鉴权及可信交易。WPKI 使用公共密钥加密及开放标准技术来构建可信的安全性架构 , 该架构可促使公共无线网络上的交易和安全通信鉴权。可信的 PK I 不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性, 而且能够帮助企业实施非复制功能, 使得交易参与各方无法抵赖。4、授权授权解决方案用来管理和集成用户接入控制及授权信息, 在必要
26、时也可对用户接入加以限制。授权包括两种方式, 即基于功能的授权( 根据能使用订购信息接入的资源对每位用户进行授权 ) 和基于接入控制表ACL 的授权 ( 定义用户可以接入的资源) 。 简单的授权检查可在无线环境中的各种位置完成。(三)在管理上健全管理制度1、人员管理制度(1) 严格网络营销人员选拔(2) 落实工作贵任制(3) 贯彻电子商务安全运作墓本原则: 双人负贵原则、任期有限原则、最小权限原则。2、保密制度信息的安全级别一般可分为三级: (l) 绝密级 : 公司经营状况报告、订/ 出货价格、公司的发展规划等。此部分网址、密码不在互联网络上公开. 只限于公司高层人员掌握。(2) 机密级 :
27、如公司的日常管理情况、会议通知等。 此部分网址、 密码不在互联网络上公开 , 只限于公司中层以上人员使用。(3) 秘密级 : 如公司简介、 新产品介绍及订货方式等。此部分网址、 密码在互联网络上公开 , 供消费者浏览 , 但必须有保护程序, 防止“黑客”入侵。(4) 密钥的管理。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 11 页 - - - - - - - - - 8 3、数据备份和应急措施为了保证数据安全 , 必须定期或不定期地对网络数据加以备份。应急措施是指在计
28、算机灾难事件( 即紧急事件或安全事故) 发生时 , 利用应急计划辅助软件和应急设施, 排除灾难和故障 . 保障计算机信息系统继续运行或紧急恢复。(l) 瞬时复制技术 : 瞬时复制技术就是使计算机在某一灾难时刻自动复制数据的技术。(2) 远程磁盘镜像技术 : 远程班盘镜像技术是在远程备份中心提供主数据中心的磁盘影像。(3) 数据库恢复技术五、结语网络应用应以安全为本。随着电子商务在我国的不断发展, 我们应该充分地认识到安全问题在电子商务发展过程中的重要作用, 组织各方面的力量, 独立研制和开发具有自主知识产权的网络安全和电子商务安全产品, 逐步掌握电子商务安全的核心技术 , 从宏观上进行调节和控
29、制。 只有这样电子商务安全状况才会不断的得到改善 , 才能真正地为电子商务的健康发展构筑起一道牢不可破的坚固屏障。综上所述 , 保障交易安全是移动电子商务研究中急需解决的主要问题之一。无线网络传输媒体的开放性、无线终端的移动性和网络拓扑结构的动态性以及无线终端计算能力和存储能力的局限性, 使有线网络环境下的许多安全方案和技术无法直接应用于无线网络环境。因此, 需要研究适用于无线网络环境的安全理论与技术, 以推动移动电子商务安全的发展。【参考文献】【1】 林立鑫 , 龚慧华 . 浅谈移动电子商务的发展J. 经营管理者 ,2009. 【2】 张敏锋 , 颜展眉 .3G 时代我国移动电子商务现状与发
30、展策略J. 通信管理与技术 ,2009. 【3】 陈海挺 . 中国移动电子商务研究现状综述与发展趋势J. 硅谷,2010(16). 【4】 舒虹 . 移动电子商务安全问题及其应对策略J.贵阳学院学报 ( 自然科学版),2009(4). 【5】 孙天立 . 移动电子商务安全问题探析J.河南财政税务高等专科学校学报,2009. 【6】 彭博. 浅谈移动电子商务的信息安全 J.农业与技术 ,2008.【7】 傅杰勇 . 我国移动电子商务发展对策探讨 J.农村经济与科技 , 2008.【8】 张娟. 移动电子商务中的安全支付协议研究 D. 西安, 电子科技大学 , 名师资料总结 - - -精品资料欢迎
31、下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 11 页 - - - - - - - - - 9 2006.【9】 林枫. 电子商务安全技术及应用 M, 北京,北航出版社, 2002. 【10】马尚才 . 电子商务安全技术 M, 北京,国防工业出版社, 2000. 【11】何芳 . 电子商务安全问题分析 A ,宁夏,广播电视大学出版社,2006. 【12】孙天立 . 移动电子商务安全问题探析A ,河南,财政税务高等专科学校学报,2009. 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 11 页 - - - - - - - - -