移動電子商務(wù)中的信息交換安全性分析

1、移動電子商務(wù)中的信息交換安全性分析摘要移動電子商務(wù)作為一種移動互聯(lián)的貿(mào)易方式，將成為全球 具有戰(zhàn)略意義的貿(mào)易手段和信息交換的有效方式。移動網(wǎng)絡(luò)的開放性 和移動終端的移動性給移動電子商務(wù)的發(fā)展和工作效率的提高帶來了 諸多優(yōu)勢，如何有效的保證移動互聯(lián)的貿(mào)易方式中信息交換的安全性 和正確性,防御黑客對交換信息的截取和攻擊，以及確認(rèn)交易數(shù)據(jù)的可 靠性，就成為了移動電子商務(wù)發(fā)展中迫切需要解決的問題。關(guān)鍵詞移動電子商務(wù)信息交換安全性分析一、引言移動電子商務(wù)簡單的說就是指通過手機(jī)、個人數(shù)字助理(pda)和掌 上電腦等手持移動終端設(shè)備與無線上網(wǎng)技術(shù)結(jié)合所構(gòu)成的一個電子商 務(wù)體系。因特網(wǎng)、移動通信技術(shù)和其他技術(shù)

2、的完善組合創(chuàng)造了移動電 子商務(wù)。移動電子商務(wù)可高效地與用戶接觸，在整個商務(wù)體系中用戶可 以在任何地方、任何時間進(jìn)行電子商務(wù)活動。移動電子商務(wù)由于其快 捷方便、無所不在的特點(diǎn)，已經(jīng)成為電子商務(wù)發(fā)展的新方向。移動電子 商務(wù)的模式目前主要有兩種:sms模式(shortmessageservice)即短消 息模式,wap模式(wirelessapplicationprotocol無線應(yīng)用協(xié)議)是在 數(shù)字移動電話、因特網(wǎng)及其他個人數(shù)字助理(pda)、計算機(jī)應(yīng)用之間進(jìn) 行通信的開放式全球標(biāo)準(zhǔn),它是開展移動電子商務(wù)應(yīng)用的核心技術(shù)之 一。如何有效的保證信息交換的安全性和正確性,防御黑客對交換信息 的截取和攻擊

3、，以及確認(rèn)交易數(shù)據(jù)的可靠性，就成為了移動電子商務(wù)發(fā) 展中迫切需耍解決的問題。二、移動電子商務(wù)信息交換的安全性要求相對于傳統(tǒng)的電子商務(wù)模式，移動電子商務(wù)的安全性更加薄弱，傳 輸承載的交換信息更易受到竊取和攻擊。移動電子商務(wù)信息交換的安 全性要求主要表現(xiàn)在以下幾個方面：1. 信息的保密性保密性就是要保證雙方電子商務(wù)交易有效信息的不被竊取、非法 儲存和使用，保證整個交易通道的嚴(yán)密性。2. 身份的認(rèn)證性指交易雙方都能正確鑒別對方的身份，能防止他人的假冒行為。身 份認(rèn)證可以鑒別通信中一方或雙方的身份，從而確保只有授權(quán)的用戶 才能訪問網(wǎng)絡(luò)的資源與服務(wù)。3. 信息的正確性指電子商務(wù)的交易數(shù)據(jù)和雙方認(rèn)證數(shù)據(jù)沒

4、有丟失或被篡改。4. 交易數(shù)據(jù)的可靠性指交易雙方對交易的內(nèi)容包括合同、單據(jù)等在事后都能進(jìn)行有效 的確認(rèn)。進(jìn)行交易的雙方都要能夠在事后確認(rèn)進(jìn)行過的交易，即對交易 本身及交易合同、契約、或交易的單據(jù)等文件的抗抵賴性。三、信息交換過程安全性分析移動電子平臺的安全性，是決定整個商業(yè)運(yùn)營整體性能的一個重 要因素，如果沒有一個行z有效的安全機(jī)制，移動電子商務(wù)網(wǎng)屮的各種 商業(yè)活動將無法順利進(jìn)行。口前所面臨的各種安全威脅如卜：1信息交換過程中的不安全性因素移動電子商務(wù)信息交換涉及到移動終端、信息中心和內(nèi)容服務(wù)器 之間的通信和數(shù)據(jù)傳輸。這一過程存在的不安全因素就有移動無線接 口、移動網(wǎng)絡(luò)和移動客戶端3方面的不安

5、全性因素。(1) 無線接口中的不安全因素。在移動通信網(wǎng)絡(luò)中,移動站與固定 網(wǎng)絡(luò)端之間的所有通信都是通過無線接口來傳輸?shù)?。而無線接口是開 放的,任何具有適當(dāng)無線設(shè)備的人均可以通過竊聽無線信道而獲得其 中傳輸?shù)南ⅲ踔量梢孕薷?、插入、刪除或重傳無線接口中傳輸?shù)南?息，以達(dá)到假冒移動用戶身份欺騙網(wǎng)絡(luò)端的目的。網(wǎng)絡(luò)端的不安全 因素。網(wǎng)絡(luò)端主要是指無線傳輸線路、網(wǎng)關(guān)部分、internet有線傳輸 線路。在有些移動通信網(wǎng)絡(luò)中，基站系統(tǒng)與移動服務(wù)交換中心z間的通 信媒質(zhì)就不盡相同,相互之間的信息轉(zhuǎn)換就有可能導(dǎo)致移動用戶的身 份、位置及身份確認(rèn)信息的泄漏。(3)移動端的不安金因素。移動端包 括移動終端和內(nèi)容

6、服務(wù)器。移動終端的不安全因素主要表現(xiàn)在用戶身 份、賬戶信息和認(rèn)證密鑰等方面。例如不法分子取得用戶的移動終端, 并從中讀出移動用戶的資料信息、賬戶密碼等就可以假冒用戶身份來 進(jìn)行一些非法的活動。2.信息交換過程中的安全威脅通過對以上各種方面的不安全因素的分析，可知對于移動電子商 務(wù)信息交換的安全威脅可以分為多種可能，需要采取不同的安全策略。 目前存在的安全威脅主要有以下幾種：（1）信息的截取和竊聽。如果沒有采取加密的措施或加密的強(qiáng)度不 夠，攻擊者就可能通過截獲裝置截取數(shù)據(jù)、獲取信息，經(jīng)過分析,獲得有 用的信息,如銀行賬號、用戶密碼等。（2）信息的篡改。當(dāng)攻擊者熟悉 了過程的網(wǎng)絡(luò)信息格式后,會通過

7、各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)?信息進(jìn)行屮途的修改，再發(fā)往目的地，從而破壞信息的完整性,如肆意 篡改購買商品的貨號、價格等，或刪除、插入錯誤信息。（3）非授權(quán)方 的非法訪問。訪問者未經(jīng)授權(quán)，即可讀取主機(jī)的敏感商業(yè)數(shù)據(jù),使用系 統(tǒng)得資源，享受為被授予的權(quán)利等。（4）信息的假冒。攻擊者掌握了傳 輸數(shù)據(jù)的規(guī)律或解密了商務(wù)信息后，就可假冒合法的用戶或假冒商家 來欺騙服務(wù)主機(jī),從而獲得用戶或商家的機(jī)密信息。（5）交易的抵賴。 交易雙方中的一方在交易完成后否認(rèn)其參與了此交易。比如用戶在選 購了商品后否認(rèn)選擇了某些商品而拒絕付費(fèi)，商家賣出的商品因?yàn)閮r 格差的原因而不承認(rèn)原有的交易或收到貨款后拒絕交付商品等。

8、（6） 拒絕服務(wù)的威脅。此種威脅以網(wǎng)絡(luò)癱瘓為目標(biāo)的攻擊破壞性很大，造成 危害的范圍很廣，而攻擊者本身的風(fēng)險卻非常小,甚至可以在襲擊開始 前就已經(jīng)消失得無影無蹤。攻擊者可以通過刪除某一網(wǎng)絡(luò)上傳送的所 有數(shù)據(jù)包的方法，使網(wǎng)絡(luò)拒絕為用戶服務(wù);還可以通過郵件炸彈的方法 使系統(tǒng)性能降低或崩潰,從而達(dá)到拒絕服務(wù)的目的。3.安全移動商務(wù)解決方案實(shí)現(xiàn)目標(biāo)耍達(dá)到一個安全實(shí)用的移動電子商務(wù)解決方案，必須解決以上的 種種問題，竭力滿足如下幾方面的要求和冃的:具有身份認(rèn)證功能、能 夠識別信息的完整性、能夠監(jiān)測出重傳攻擊、可以保留交易證據(jù)、保 證信息的機(jī)密性、）較低的通信費(fèi)用、較好的端到端信息傳輸?shù)谋Ｃ芎?較高的容錯能

9、力。四、移動電子商務(wù)信息交換安全性設(shè)計1.移動電子商務(wù)交易模型安全性解決措施針對以上電了商務(wù)系統(tǒng)在安全上所面臨的種種問題，為了實(shí)現(xiàn)移 動電子商務(wù)所提供的服務(wù)，同時保證其上信息交換的安全性，結(jié)合現(xiàn)有 的移動電子商務(wù)安全技術(shù),現(xiàn)將就各安全要素及其可能的安全威脅提 出如下安全性解決措施：（1）信息的截取和竊聽。其關(guān)系到的安全要素是交易數(shù)據(jù)的保密性 原則?，F(xiàn)有的移動電子商務(wù)的安全措施可以采用交易信息加密的方式 來進(jìn)行處理。（2）信息的篡改。信息的篡改牽涉到的安全要素是信息的 完整性原則?；诂F(xiàn)有的安全技術(shù)可以采用報文摘要的方法來解決此 種的安全威脅。（3）非授權(quán)方的非法訪問。訪問未經(jīng)授權(quán)而可以獲取重

10、要的商務(wù)信息所關(guān)系到的安全要素是信息的授權(quán)性原則。要解決此種 安全威脅,所采用的安全技術(shù)就包括防火墻、動態(tài)密碼等。（4）信息的 假冒。其關(guān)系到的安全耍索是移動電子商務(wù)信息的可驗(yàn)證性。針對這 種威脅所采取的解決措施有數(shù)字證書技術(shù)。（5）交易的抵賴。其與安全 耍素信息的認(rèn)可性相關(guān)。數(shù)字簽名技術(shù)就是用來解決商務(wù)交易中的抵 賴性問題。數(shù)字簽名技術(shù)可以有效地判斷出信息的發(fā)送方，因?yàn)樗峭?過發(fā)送方私鑰進(jìn)行加密的，因而可以解決交易抵賴的安全威脅。2.移動電子商務(wù)的安全模型針對移動商務(wù)交易安全性解決措施，將其應(yīng)用到移動電子商務(wù)，可 總結(jié)出一種基于簽名和加密方法的安全移動電子商務(wù)信息交換的模 型。模型主要是針

11、對移動電子商務(wù)中的商務(wù)信息交換。其對照安全交 易體系主要是實(shí)現(xiàn)信息傳輸安全和安全信息認(rèn)證的功能。模型的具體 執(zhí)行流程如下：（1）移動終端向內(nèi)容服務(wù)器發(fā)送注冊要求；（2）信息中心對用戶身 份進(jìn)行驗(yàn)證；（3）信息中心的認(rèn)證機(jī)構(gòu)生成用戶證書發(fā)送到移動終端, 并將用戶證書按移動終端標(biāo)識保存到數(shù)據(jù)庫中；（4）內(nèi)容服務(wù)器為移動 終端產(chǎn)生公私密鑰，并將私鑰按用戶標(biāo)識發(fā)送給移動終端，用戶標(biāo)識和 私鑰保存到數(shù)據(jù)庫中；（5）用戶通過移動終端選擇相應(yīng)的商品，并對交 易進(jìn)行簽名，隨后將用戶標(biāo)識、交易信息、摘要信息、數(shù)字簽名和證書 一起發(fā)送給內(nèi)容服務(wù)器；（6）內(nèi)容服務(wù)器依據(jù)移動終端發(fā)送過來的標(biāo)識 號，先和數(shù)據(jù)庫保存的用

12、戶標(biāo)識進(jìn)行比較，如果一致，則向信息中心的 認(rèn)證機(jī)構(gòu)請求用戶證書，否則拒絕服務(wù)；（7）信息屮心的認(rèn)證機(jī)構(gòu)根據(jù) 標(biāo)識號將用戶證書發(fā)送給內(nèi)容服務(wù)器，用戶證書由信息中心來進(jìn)行產(chǎn) 生、存儲和驗(yàn)證；（8）內(nèi)容服務(wù)器使用用戶證書鑒別移動終端發(fā)送過來 的交易信息是否可信；（9）核實(shí)后，內(nèi)容服務(wù)器用公鑰將用戶的交易訂 單進(jìn)行解密工作,判斷摘要是否正確，以確保給移動終端。五、移動電子商務(wù)安全技術(shù)的展望伴隨著移動計算和信息訪問需求的日益增加，移動安全必將成為 一個熱點(diǎn)問題。下一代移動電子商務(wù)的安全技術(shù)必將與無線和有線通 訊網(wǎng)絡(luò)實(shí)現(xiàn)無縫、高質(zhì)量的集成，支持任何wap兼容的手機(jī)的訪問，有 效解決wap網(wǎng)絡(luò)端到端的安全性問題，為用