世界超市世界超市

移动电子商务中的信息交换安全性分析

[摘要]移动电子商务作为一种移动互联的贸易方式,将成为全球具有战略意义的贸易手段和信息交换的有效方式。移动网络的开放性和移动终端的移动性给移动电子商务的发展和工作效率的提高带来了诸多优势,如何有效的保证移动互联的贸易方式中信息交换的安全性和正确性,防御黑客对交换信息的截取和攻击,以及确认交易数据的可靠性,就成为了移动电子商务发展中迫切需要解决的问题。  一、引言  移动电子商务简单的说就是指通过手机、个人数字助理(PDA)和掌上电脑等手持移动终端设备与无线上网技术结合所构成的一个电子商务体系。因特网、移动通信技术和其他技术的完善组合创造了移动电子商务。移动电子商务可高效地与用户接触,在整个商务体系中用户可以在任何地方、任何时间进行电子商务活动。移动电子商务由于其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。移动电子商务的模式目前主要有两种:SMS模式(Short Message Service)即短消息模式,WAP模式(Wireless Application Protocol无线应用协议)是在数字移动电话、因特网及其他个人数字助理(PDA)、计算机应用之间进行通信的开放式全球标准,它是开展移动电子商务应用的核心技术之一。如何有效的保证信息交换的安全性和正确性,防御黑客对交换信息的截取和攻击,以及确认交易数据的可靠性,就成为了移动电子商务发展中迫切需要解决的问题。  二、移动电子商务信息交换的安全性要求  相对于传统的电子商务模式,移动电子商务的安全性更加薄弱,传输承载的交换信息更易受到窃取和攻击。移动电子商务信息交换的安全性要求主要表现在以下几个方面:  1.信息的保密性  保密性就是要保证双方电子商务交易有效信息的不被窃取、非法储存和使用,保证整个交易通道的严密性。  2.身份的认证性  指交易双方都能正确鉴别对方的身份,能防止他人的假冒行为。身份认证可以鉴别通信中一方或双方的身份,从而确保只有授权的用户才能访问网络的资源与服务。  3.信息的正确性  指电子商务的交易数据和双方认证数据没有丢失或被篡改。  4.交易数据的可靠性  指交易双方对交易的内容包括合同、单据等在事后都能进行有效的确认。进行交易的双方都要能够在事后确认进行过的交易,即对交易本身及交易合同、契约、或交易的单据等文件的抗抵赖性。  三、信息交换过程安全性分析  移动电子平台的安全性,是决定整个商业运营整体性能的一个重要因素,如果没有一个行之有效的安全机制,移动电子商务网中的各种商业活动将无法顺利进行。目前所面临的各种安全威胁如下:  1.信息交换过程中的不安全性因素  移动电子商务信息交换涉及到移动终端、信息中心和内容服务器之间的通信和数据传输。这一过程存在的不安全因素就有移动无线接口、移动网络和移动客户端3方面的不安全性因素。  (1)无线接口中的不安全因素。在移动通信网络中,移动站与固定网络端之间的所有通信都是通过无线接口来传输的。而无线接口是开放的,任何具有适当无线设备的人均可以通过窃听无线信道而获得其中传输的消息,甚至可以修改、插入、删除或重传无线接口中传输的消息,以达到假冒移动用户身份欺骗网络端的目的。(2)网络端的不安全因素。网络端主要是指无线传输线路、网关部分、Internet有线传输线路。在有些移动通信网络中,基站系统与移动服务交换中心之间的通信媒质就不尽相同,相互之间的信息转换就有可能导致移动用户的身份、位置及身份确认信息的泄漏。(3)移动端的不安全因素。移动端包括移动终端和内容服务器。移动终端的不安全因素主要表现在用户身份、账户信息和认证密钥等方面。例如不法分子取得用户的移动终端,并从中读出移动用户的资料信息、账户密码等就可以假冒用户身份来进行一些非法的活动。  2.信息交换过程中的安全威胁  通过对以上各种方面的不安全因素的分析,可知对于移动电子商务信息交换的安全威胁可以分为多种可能,需要采取不同的安全策略。目前存在的安全威胁主要有以下几种:  (1)信息的截取和窃听。如果没有采取加密的措施或加密的强度不够,攻击者就可能通过截获装置截取数据、获取信息,经过分析,获得有用的信息,如银行账号、用户密码等。(2)信息的篡改。当攻击者熟悉了过程的网络信息格式后,会通过各种技术方法和手段对网络传输的信息进行中途的修改,再发往目的地,从而破坏信息的完整性,如肆意篡改购买商品的货号、价格等,或删除、插入错误信息。(3)非授权方的非法访问。访问者未经授权,即可读取主机的敏感商业数据,使用系统得资源,享受为被授予的权利等。(4)信息的假冒。攻击者掌握了传输数据的规律或解密了商务信息后,就可假冒合法的用户或假冒商家来欺骗服务主机,从而获得用户或商家的机密信息。(5)交易的抵赖。交易双方中的一方在交易完成后否认其参与了此交易。比如用户在选购了商品后否认选择了某些商品而拒绝付费,商家卖出的商品因为价格差的原因而不承认原有的交易或收到货款后拒绝交付商品等。(6)拒绝服务的威胁。此种威胁以网络瘫痪为目标的攻击破坏性很大,造成危害的范围很广,而攻击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪。攻击者可以通过删除某一网络上传送的所有数据包的方法,使网络拒绝为用户服务;还可以通过邮件炸弹的方法使系统性能降低或崩溃,从而达到拒绝服务的目的。  3.安全移动商务解决方案实现目标  要达到一个安全实用的移动电子商务解决方案,必须解决以上的种种问题,竭力满足如下几方面的要求和目的:具有身份认证功能、能够识别信息的完整性、能够监测出重传攻击、可以保留交易证据、保证信息的机密性、)较低的通信费用、较好的端到端信息传输的保密和较高的容错能力。  四、移动电子商务信息交换安全性设计  1.移动电子商务交易模型安全性解决措施  针对以上电子商务系统在安全上所面临的种种问题,为了实现移动电子商务所提供的服务,同时保证其上信息交换的安全性,结合现有的移动电子商务安全技术,现将就各安全要素及其可能的安全威胁提出如下安全性解决措施:  (1)信息的截取和窃听。其关系到的安全要素是交易数据的保密性原则。现有的移动电子商务的安全措施可以采用交易信息加密的方式来进行处理。(2)信息的篡改。信息的篡改牵涉到的安全要素是信息的完整性原则。基于现有的安全技术可以采用报文摘要的方法来解决此种的安全威胁。(3)非授权方的非法访问。访问未经授权而可以获取重要的商务信息所关系到的安全要素是信息的授权性原则。要解决此种安全威胁,所采用的安全技术就包括防火墙、动态密码等。(4)信息的假冒。其关系到的安全要素是移动电子商务信息的可验证性。针对这种威胁所采取的解决措施有数字证书技术。(5)交易的抵赖。其与安全要素信息的认可性相关。数字签名技术就是用来解决商务交易中的抵赖性问题。数字签名技术可以有效地判断出信息的发送方,因为它是通过发送方私钥进行加密的,因而可以解决交易抵赖的安全威胁。  2.移动电子商务的安全模型  针对移动商务交易安全性解决措施,将其应用到移动电子商务,可总结出一种基于签名和加密方法的安全移动电子商务信息交换的模型。模型主要是针对移动电子商务中的商务信息交换。其对照安全交易体系主要是实现信息传输安全和安全信息认证的功能。模型的具体执行流程如下:  (1)移动终端向内容服务器发送注册要求;(2)信息中心对用户身份进行验证;(3)信息中心的认证机构生成用户证书发送到移动终端,并将用户证书按移动终端标识保存到数据库中;(4)内容服务器为移动终端产生公私密钥,并将私钥按用户标识发送给移动终端,用户标识和私钥保存到数据库中;(5)用户通过移动终端选择相应的商品,并对交易进行签名,随后将用户标识、交易信息、摘要信息、数字签名和证书一起发送给内容服务器;(6)内容服务器依据移动终端发送过来的标识号,先和数据库保存的用户标识进行比较,如果一致,则向信息中心的认证机构请求用户证书,否则拒绝服务;(7)信息中心的认证机构根据标识号将用户证书发送给内容服务器,用户证书由信息中心来进行产生、存储和验证;(8)内容服务器使用用户证书鉴别移动终端发送过来的交易信息是否可信;(9)核实后,内容服务器用公钥将用户的交易订单进行解密工作,判断摘要是否正确,以确保给移动终端。  五、移动电子商务安全技术的展望  伴随着移动计算和信息访问需求的日益增加,移动安全必将成为一个热点问题。下一代移动电子商务的安全技术必将与无线和有线通讯网络实现无缝、高质量的集成,支持任何WAP兼容的手机的访问,有效解决WAP网络端到端的安全性问题,为用户的交互提供简单、透明的操作方法,以有利于内容开发者为无线因特网提供更多的服务。(文/施庆平 编选:中国电子商务研究中心)

上一条:德阳市多举措加快电子商务人才培养建设

相关推荐