《移动电子商务的信息安全(共4页).doc》由会员分享,可在线阅读,更多相关《移动电子商务的信息安全(共4页).doc(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上移动电子商务安全浅析摘要 :本文介绍了应用于移动电子商务的新技术,并分析了其应用前景。从移动网络本身、移动ad hoc应用、漫游,以及物理安全等方面给出了移动商务所面临的安全威胁。本文还分析了移动电子商务的发展带来的一些隐私和法律问题。 关键词 移动电子商务信息安全自组网隐私法律 移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。 移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展
2、的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。但是对于任何通过无线网路(如:GSM网路)进行金融交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。一、 移动电子商务面临的安全性问题1、 终端窃取与假冒攻击者有可能通过窃取移动终端或SIM卡来假冒合法用户从而非法参与交易活动,给系统和用户造成损失。2、 无线网的窃听由于无线网络本身的开放性特点以及短消息等数据一般都是明文传输,这使得通过无线空中接口进行窃听成为可能。3、重传交易信息截获传输中的交易信息,并把交易信息多次传送给服务网络。4、中间人攻击如果攻击者
3、设法使用户和服务提供商间的通信变成生攻击者转发,那么这种中间人攻击将可以完全控制双方的交易过程,并从中非法获利。5、拒绝服务故意使Web服务器超载的破坏服务,阻止网络对手机用户提供的相关正常移动业务。6、交易抵赖用户有可能对发出的交易指令进行否认也可能对使用的业务费用及业务数据来源进行否认,随着开放程度的加强来自服务提供商的交易抵赖也将成为可能。7、移动终端遗失移动终端的移动性,移动终端很容易被破坏或者丢失。势必造成安全影响,甚或安全威胁,也无法依赖于第三方来提供安全性。8、设备差异有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和人侵检测
4、的程序。9、设备的不安全大众用户群要求在漫游时保持机密性和私密性,但却不得不面对广泛使用的不安全设备、糟糕的用户鉴权控制、不安全的RF接口。二、移动电子商务安全技术1、无线应用协议(WAP) 无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP代理的工作大大简化。W
5、AP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。 2、移动IP技术 移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过AAA(Authentication, Authorization, Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。 3、第三代(3G)移动通信系统 第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式
6、,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。 4、无线局域网(WLAN)技术 美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准IEEE802.11,后来又相继推出了IEEE 802.11a, IEEE 802.11b和IEEE802.11g等一系列新的
7、标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporal key integrity protocol)加密算法和基于AES高级加密标准的CBC-MAC Protocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN国
8、家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。三、移动电子商务安全策略 1、端到端策略端到端在移动电子商务中意味着保护每个薄弱环节,确保数据从传输点到最后目的地之间完全的安全性,包括传输过程中的每个阶段。即找出每个薄弱环顾并采取适当的安全性和私密性措施,以确保整个传输过程中的安全性并保护每条信道。移动电子商务带来了许多的设备,它们运行不同的操作系统且采用不同标准,因此安全性已经成为更加复杂的问题。需要实用的安全解决方案,这些解决方案应能够被快速简便的修改以便满足所有设备的要求,除此之外还要考虑全局。安全策略将对一系列商业问题产生影响,单
9、独考虑安全性是远远不够的。实施128位鉴权码也非理想选择,因为程序太长会影响到用户使用的方便。同样,性能、个性化、可扩展性及系统管理等问题都会对安全性产生影响,它们全是制订安全策略时必须考虑的因素。2、防火墙与“一直在线”网络相连接的设备需要更高的安全性来防止非法接人。可以在通过GPRS连接与互联网一直连接的电脑上安装个人防火墙。这可以保护电脑本地保存的企业数据和个人数据。但这项技术目前尚不能用于电话或PDA等低功率设备。3、采用无线公共密钥技术(WPKI)WPKI(Wireless PKI)是有线PKI的一种扩展,它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础
10、设施、证书管理策略、软件和硬件等技术,有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础,通过管理实体间关系、密钥和证书来增强电子商务安全。可信的PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性而且能够帮助企业实施非复制功能,使得交易参与各方无法抵赖。4、加强交易主体身份识别管理在移动商务的交易过程中依赖某个可信赖的机构(认证中心一CA)发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。强化主体资格的身份认证管理,保证每个用户的访问与授权的准确,实名身份认证解决方案的应用,可以增强移动商务交易的安全性,保证交易双方的利益不受到侵害。5、加
11、强移动商务安全规范管理为了保证移动商务的正常运作,安全运作,必须建立起移动商务的安全规范,必须加强移动商务的法制建设,必须提升移动商务主体的安全意识,必须营造移动商务的整体诚信意识、风险营销意识和安全交易意识。通过移动商务安全规范的建设。完善管理体制,优化交易环境,加强基础网络设施建设,提高整体的安全交易环境和服务质量,充分发挥法律法规在交易中的规范作用,建立整个交易过程的良性互动机制,促进移动商务的健康发展。6、完善相关法律和制度,建构安全、规范交易环境移动电子商务是虚拟网络环境中的商务交易模式,较之传统交易模式更需要政策来规范其发展。我国应密切关注国际动向,学习外国的成功经验,并结合我国具体国情,制定一套既有中国特色又与国际接轨的完善相关法律和制度。有了保障才能使交易的双方具有安全感,才能逐步转变用户固有的交易习惯参与到方便快捷的移动电子商务模式中,切实维护电子商务的安全,明确行业的发展策略和政策导向,为移动电子商务的发展提供公平竞争的环境,并保障各参与团体的利益分配,从技术和资金等方面支持广大企业从事移动电子商务的业务开发,促进我国电子商务健康快速发展。专心-专注-专业