歡迎來到學術參考發外網

移動電子商務中的信息交換安全性分析

發布時間:2015-07-07 09:42

  [摘要] 移動電子商務作為一種移動互聯的貿易方式,將成為環球具有戰略意義的貿易手段和信息交換的有效方式。移動網絡的開放性和移動終端的移動性給移動電子商務的發展和工作效率的提高帶來了諸多優勢,如何有效的保證移動互聯的貿易方式中信息交換的安全性和正確性,防御黑客對交換信息的截取和攻擊,以及確認交易數據的可靠性,就成為了移動電子商務發展中迫切需要解決的問題。
  [關鍵詞] 移動電子商務 信息交換 安全性分析
  
  一、引言
  
  移動電子商務簡單的說就是指通過手機、個人數字助理(pda)和掌上電腦等手持移動終端設備與無線上網技術結合所構成的一個電子商務體系。因特網、移動通訊技術和其他技術的完善組合創造了移動電子商務。移動電子商務可高效地與用戶接觸,在整個商務體系中用戶可以在任何地方、任何時間進行電子商務活動。移動電子商務由于其快捷方便、無所不在的特點,已經成為電子商務發展的新方向。移動電子商務的模式目前主要有兩種:sms模式(short message service)即短消息模式,wap模式(wireless application protocol無線應用協議)是在數字移動電話、因特網及其他個人數字助理(pda)、計算機應用之間進行通訊的開放式環球標準,它是開展移動電子商務應用的核心技術之一。如何有效的保證信息交換的安全性和正確性,防御黑客對交換信息的截取和攻擊,以及確認交易數據的可靠性,就成為了移動電子商務發展中迫切需要解決的問題。
  
  二、移動電子商務信息交換的安全性要求
  
  相對于傳統的電子商務模式,移動電子商務的安全性更加薄弱,傳輸承載的交換信息更易受到竊取和攻擊。wwW.zhouyixx.com移動電子商務信息交換的安全性要求主要外現在以下幾個方面:
  1.信息的保密性
  保密性就是要保證雙方電子商務交易有效信息的不被竊取、非法儲存和使用,保證整個交易通道的嚴密性。
  2.身份的認證性
  指交易雙方都能正確鑒別對方的身份,能防止他人的假冒行為。身份認證可以鑒別通訊中一方或雙方的身份,從而確保只有授權的用戶才能訪問網絡的資源與服務。
  3.信息的正確性
  指電子商務的交易數據和雙方認證數據沒有丟失或被篡改。
  4.交易數據的可靠性
  指交易雙方對交易的實質包括合同、單據等在事后都能進行有效的確認。進行交易的雙方都要能夠在事后確認進行過的交易,即對交易本身及交易合同、契約、或交易的單據等文件的抗抵賴性。
  
  三、信息交換過程安全性分析
  
  移動電子平臺的安全性,是決定整個商業運營整體性能的一個重要因素,如果沒有一個卓有成效的安全機制,移動電子商務網中的各種商業活動將無法順利進行。目前所面臨的各種安全威脅如下:
  1.信息交換過程中的擔心全性因素
  移動電子商務信息交換涉及到移動終端、信息中心和實質服務器之間的通訊和數據傳輸。這一過程存在的擔心全因素就有移動無線接口、移動網絡和移動客戶端3方面的擔心全性因素。
  (1)無線接口中的擔心全因素。在移動通訊網絡中,移動站與固定網絡端之間的一切通訊都是通過無線接口來傳輸的。而無線接口是開放的,任何具有適當無線設備的人均可以通過竊聽無線信道而獲得其中傳輸的消息,甚至可以修改、插入、刪除或重傳無線接口中傳輸的消息,以達到假冒移動用戶身份欺騙網絡端的目的。(2)網絡端的擔心全因素。網絡端主要是指無線傳輸線路、網關部分、internet有線傳輸線路。在有些移動通訊網絡中,基站系統與移動服務交換中心之間的通訊媒質就不盡相同,相互之間的信息轉換就有可能導致移動用戶的身份、位置及身份確認信息的泄漏。(3)移動端的擔心全因素。移動端包括移動終端和實質服務器。移動終端的擔心全因素主要外現在用戶身份、賬戶信息和認證密鑰等方面。例如不法分子取得用戶的移動終端,并從中讀出移動用戶的資料信息、賬戶密碼等就可以假冒用戶身份來進行一些非法的活動。
  2.信息交換過程中的安全威脅
  通過對以上各種方面的擔心全因素的分析,可知對于移動電子商務信息交換的安全威脅可以分為多種可能,需要采取不同的安全策略。目前存在的安全威脅主要有以下幾種:
  (1)信息的截取和竊聽。如果沒有采取加密的措施或加密的強度不夠,攻擊者就可能通過截獲裝置截取數據、獲守信息,經過分析,獲得有效的信息,如銀行賬號、用戶密碼等。(2)信息的篡改。當攻擊者熟悉了過程的網絡信息格式后,會通過各種技術方法和手段對網絡傳輸的信息進行中途的修改,再發往目的地,從而破壞信息的完整性,如肆意篡改購買商品的貨號、價格等,或刪除、插入錯誤信息。(3)非授權方的非法訪問。訪問者未經授權,即可讀取主機的敏感商業數據,使用系統得資源,享受為被授予的權利等。(4)信息的假冒。攻擊者掌握了傳輸數據的規律或解密了商務信息后,就可假冒合法的用戶或假冒商家來欺騙服務主機,從而獲得用戶或商家的機密信息。(5)交易的抵賴。交易雙方中的一方在交易結束后否認其參與了此交易。比如用戶在選購了商品后否認選擇了某些商品而拒絕付費,商家賣出的商品因為價格差的原因而不承認原有的交易或收到貨款后拒絕交付商品等。(6)拒絕服務的威脅。此種威脅以網絡癱瘓為目標的攻擊破壞性很大,造成危害的范圍很廣,而攻擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤。攻擊者可以通過刪除某一網絡上傳送的一切數據包的方法,使網絡拒絕為用戶服務;還可以通過郵件炸彈的方法使系統性能降低或崩潰,從而達到拒絕服務的目的。
  3.安全移動商務解決方案實現目標
  要達到一個安全實用的移動電子商務解決方案,必須解決以上的種種問題,竭力滿足如下幾方面的要求和目的:具有身份認證功能、能夠識別信息的完整性、能夠監測出重傳攻擊、可以保存交易證據、保證信息的機密性、)較低的通訊用度、較好的端到端信息傳輸的保密和較高的容錯能力。

  四、移動電子商務信息交換安全性設計
  
  1.移動電子商務交易模型安全性解決措施
  針對以上電子商務系統在安全上所面臨的種種問題,為了實現移動電子商務所提供的服務,同時保證其上信息交換的安全性,結合現有的移動電子商務安全技術,現將就各安全要素及其可能的安全威脅提出如下安全性解決措施:
  (1)信息的截取和竊聽。其關系到的安全要素是交易數據的保密性原則。現有的移動電子商務的安全措施可以采用交易信息加密的方式來進行處理。(2)信息的篡改。信息的篡改牽涉到的安全要素是信息的完整性原則。基于現有的安全技術可以采用報文摘要的方法來解決此種的安全威脅。(3)非授權方的非法訪問。訪問未經授權而可以獲取重要的商務信息所關系到的安全要素是信息的授權性原則。要解決此種安全威脅,所采用的安全技術就包括防火墻、動態密碼等。(4)信息的假冒。其關系到的安全要素是移動電子商務信息的可驗證性。針對這種威脅所采取的解決措施有數字證書技術。(5)交易的抵賴。其與安全要素信息的認可性相關。數字簽名技術就是用來解決商務交易中的抵賴性問題。數字簽名技術可以有效地判斷出信息的發送方,因為它是通過發送方私鑰進行加密的,因而可以解決交易抵賴的安全威脅。
  2.移動電子商務的安全模型
  針對移動商務交易安全性解決措施,將其應用到移動電子商務,可總結出一種基于簽名和加密方法的安全移動電子商務信息交換的模型。模型主要是針對移動電子商務中的商務信息交換。其比照安全交易體系主要是實現信息傳輸安全和安全信息認證的功能。模型的具體執行流程如下:
  (1)移動終端向實質服務器發送注冊要求;(2)信息中心對用戶身份進行驗證;(3)信息中心的認證機構天生用戶證書發送到移動終端,并將用戶證書按移動終端標識保存到數據庫中;(4)實質服務器為移動終端產生公私密鑰,并將私鑰按用戶標識發送給移動終端,用戶標識和私鑰保存到數據庫中;(5)用戶通過移動終端選擇相應的商品,并對交易進行簽名,隨后將用戶標識、交易信息、摘要信息、數字簽名和證書一起發送給實質服務器;(6)實質服務器依據移動終端發送過來的標識號,先和數據庫保存的用戶標識進行比較,如果一致,則向信息中心的認證機構請求用戶證書,否則拒絕服務;(7)信息中心的認證機構根據標識號將用戶證書發送給實質服務器,用戶證書由信息中心來進行產生、存儲和驗證;(8)實質服務器使用用戶證書鑒別移動終端發送過來的交易信息是否可信;(9)核實后,實質服務器用公鑰將用戶的交易訂單進行解密工作,判斷摘要是否正確,以確保給移動終端。
  
  五、移動電子商務安全技術的展望
  
  伴隨著移動計算和信息訪問需求的日益增加,移動安全必將成為一個熱點問題。下一代移動電子商務的安全技術必將與無線和有線通訊網絡實現無縫、高質量的集成,支持任何wap兼容的手機的訪問,有效解決wap網絡端到端的安全性問題,為用戶的交互提供簡單、透明的操作方法,以有利于實質開發者為無線因特網提供更多的服務。
  
  參考文獻:
  [1]黃劉生:電子商務安全問題[m].北京理工大學出版社,2005
  [2]沈郁:基于wpki的wap移動電子商務安全研究.湖南大學學報,2003,6:30-33
  [3]王宏:移動商務中的安全技術.信息安全與通訊保密,2001,3:17-18
  [4]王汝林:移動電子商務理論與實務[m].清華大學出版社,2007

安徽快三冷熱號:http://www.zhouyixx.com/gl/ds/38814.html

上一篇:移動電子商務及其主要實現技術淺析

下一篇:電子商務專業畢業生就業難問題分析與對策研究

相關標簽: