前言：本站為你精心整理了移動電子商務安全范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文對移動電子商務技術的安全現(xiàn)狀作了簡要討論,然后對IEEE802.11標準、WAP技術、WPKI技術等從安全角度進行了分析,并針對不安全的因素提出了改進建議。

隨著無線通信技術的發(fā)展,移動電子商務已經(jīng)成為電子商務研究熱點。移動電子商務是將現(xiàn)代信息科學技術和傳統(tǒng)商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態(tài)商務服務。

但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環(huán)境中要多。隨著移動電子商務的發(fā)展,其安全問題倍受人們的關注。只有當所有的用戶確信,通過無線方式所進行的交易不會發(fā)生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當?shù)谋Ｗo時,移動電子商務才有可能蓬勃開展。

移動電子商務通信安全的現(xiàn)狀

由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全。這里我們將從無線網(wǎng)絡和電子商務應用兩個方面作簡要討論。

無線局域網(wǎng)

無線局域網(wǎng)絡是以無線連接至局域網(wǎng)絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網(wǎng)的安全機制采用的是WEP協(xié)議(有線對等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。

WAP(無線應用協(xié)議)技術

WAP由一系列協(xié)議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網(wǎng)連接到一起,客觀上已成為移動終端上網(wǎng)的標準。WAP協(xié)議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡。

WAP的安全機制是通過WTLS(無線傳輸層安全)協(xié)議來實現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術的有限的發(fā)送功率、存儲容量及帶寬的條件下,WTLS能夠實現(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務的目標。

數(shù)字認證技術

對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發(fā)送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。

PKI提供與加密和數(shù)字證書有關的一系列技術。但在無線通信環(huán)境中,PKI是很難實現(xiàn)的。在只有有限計算能力和低數(shù)據(jù)流通率的設備上實現(xiàn)PKI中的服務一直是一個有挑戰(zhàn)性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協(xié)議是要將標準的PKI進行修正和簡化,使其在無線通信的環(huán)境下達到最優(yōu)。

移動電子商務安全分析

IEEE802.11的安全

IEEE802.11標準規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節(jié)點,使無線通信傳輸像有線網(wǎng)絡一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內容與數(shù)據(jù)包的檢驗組合在一起。然后,WEP標準要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數(shù)據(jù)包進行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進行解密。在理論上,這種方法優(yōu)于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網(wǎng)基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。

最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差?，F(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網(wǎng)絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。

所以,WEP應該與其他安全機制一起應用才能提供較強的安全。

WAP的安全

WAP規(guī)范的安全特性包括幾個部分:WTLS協(xié)議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實體鑒別、數(shù)據(jù)加密和保護數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關之間的安全通信。有三種不同級別的WTLS:

1級:執(zhí)行未經(jīng)證實的Diffie-Hellman密鑰交換以建立會話密鑰。

2級:使用與SSL/TLS協(xié)議相類似的公開密鑰證書機制進行服務器端鑒別。

3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。

早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網(wǎng)上銀行交易和購物等應用的機密性。

WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產(chǎn)廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網(wǎng)關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。

SignText功能:這個功能為WAP用戶提供了數(shù)字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數(shù)情況下WTLS已足以確保WAP的安全。但是,由于WAP網(wǎng)關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網(wǎng)關之間,而與終端服務器無關。這意味著數(shù)據(jù)只在WAP手機與網(wǎng)關之間加密,網(wǎng)關將數(shù)據(jù)解密后,利用其他方法將數(shù)據(jù)再次加密,然后經(jīng)過TLS連接發(fā)送給終端服務器。由于WAP網(wǎng)關可以看見所有的數(shù)據(jù)明文,而該WAP網(wǎng)關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數(shù)據(jù)。

目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網(wǎng)關的安全。如果WAP網(wǎng)關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優(yōu)化以減少數(shù)據(jù)明文存在的時間、在釋放前覆蓋加密解密進程使用的內存以確保數(shù)據(jù)的安全性。對于安全要求較高的公司可以擁有自己的WAP網(wǎng)關,從而保障數(shù)據(jù)端到端的安全性。通過WIM實現(xiàn)數(shù)據(jù)安全性。

WPKI技術

在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環(huán)境的特點,并據(jù)此對PKI技術進行改進。

WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:

認證機構(CA)CA系統(tǒng)是PKI的信任基礎,負責分發(fā)和驗證數(shù)字證書,規(guī)定證書的有效期,證書廢除列表。

注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數(shù)字證書分發(fā)給請求者之前對證書進行驗證。

智能卡智能卡將具有存儲、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產(chǎn)過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現(xiàn)。并且智能卡也是存儲移動電子商務密鑰及相關數(shù)字證書的最佳選擇。

加密算法加密算法越復雜,密鑰越長則安全性越高,但執(zhí)行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協(xié)處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現(xiàn)數(shù)字簽名應用是至關重要的,ECC在這方面具有很大的優(yōu)勢。

綜上所述,在WPKI機制下,數(shù)字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數(shù)字證書是WPKI所必須解決的問題?？梢圆捎靡韵?種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數(shù)據(jù)一起提交給對方,對方再根據(jù)移動證書標識檢索相應的數(shù)字證書即可。

目前,大多數(shù)移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數(shù)來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統(tǒng),為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協(xié)商產(chǎn)生會話加密密鑰。顯然,采用這種方式構建的系統(tǒng)的安全性主要取決于主密鑰的安全。

盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統(tǒng)的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。

移動電子商務隨著移動互聯(lián)網(wǎng)技術的成熟發(fā)展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發(fā)展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現(xiàn)實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環(huán)境。

參考文獻:

1.儲節(jié)旺,郭春俠.移動電子商務研究[J].現(xiàn)代情報,2002,3(3)

2.姜志,聶志鋒.移動電子商務及其關鍵技術[J].湖北郵電技術,2002,9(3)

3.陸佩忠,平湖.無線電子商務安全性的幾個關鍵技術[J].中國科學院研究生院學報,2002,9(3)

4.劉杰,王春萌等.移動電子商務及WPKI技術[J].北京郵電大學學報,2002,2(2)