移动电子商务的信息安全

移动电子商务安全浅析移动电子商务安全浅析 摘摘 要要 本文介绍了应用于移动电子商务的新技术 并分析了其应用前景 从移动网络本身 移动 ad hoc 应用 漫游 以及物理安全等方面给出了移动商 务所面临的安全威胁 本文还分析了移动电子商务的发展带来的一些隐私和法 律问题 关键词 移动电子商务 信息安全 自组网 隐私 法律 移动电子商务 M Commerce 是通过手机 PDA 个人数字助理 呼机等移 动通信设备与因特网有机结合所进行的电子商务活动 移动电子商务能提供以 下服务 PIM 个人信息服务 银行业务 交易 购物 基于位置的服务 娱 乐等 移动电子商务因其快捷方便 无所不在的特点 已经成为电子商务发展 的新方向 因为只有移动电子商务才能在任何地方 任何时间 真正解决做生 意的问题 但是对于任何通过无线网路 如 GSM 网路 进行金融交易的用户 安全和隐私问题无疑是其关注的焦点 由于移动电子商务的特殊性 移动电子 商务的安全问题尤其显得重要 一 一 移动电子商务面临的安全性问题移动电子商务面临的安全性问题 1 终端窃取与假冒 攻击者有可能通过窃取移动终端或SIM卡来假冒合法用户从而非法参与交易 活动 给系统和用户造成损失 2 无线网的窃听 由于无线网络本身的开放性特点以及短消息等数据一般都是明文传输 这使 得通过无线空中接口进行窃听成为可能 3 重传交易信息 截获传输中的交易信息 并把交易信息多次传送给服务网络 4 中间人攻击 如果攻击者设法使用户和服务提供商间的通信变成生攻击者转发 那么这种 中间人攻击将可以完全控制双方的交易过程 并从中非法获利 5 拒绝服务 故意使Web服务器超载的破坏服务 阻止网络对手机用户提供的相关正常移 动业务 6 交易抵赖 用户有可能对发出的交易指令进行否认也可能对使用的业务费用及业务数据 来源进行否认 随着开放程度的加强来自服务提供商的交易抵赖也将成为可能 7 移动终端遗失 移动终端的移动性 移动终端很容易被破坏或者丢失 势必造成安全影响 甚或安全威胁 也无法依赖于第三方来提供安全性 8 设备差异 有线网络安全的技术手段不完全适用于无线设备 由于无线设备的内存和计 算能力有限而不能承载大部分的病毒扫描和人侵检测的程序 9 设备的不安全 大众用户群要求在漫游时保持机密性和私密性 但却不得不面对广泛使用的 不安全设备 糟糕的用户鉴权控制 不安全的RF接口 二 移动电子商务安全技术二 移动电子商务安全技术 1 无线应用协议 WAP 无线应用协议 WAP 是无线通信和互联网技术发展的产物 它不仅为无线设 备提供丰富的互联网资源 也提供了开发各种无线网路应用的途径 1998 年 WAP 论坛公布了 WAP1 0 版本 制定了一套专门为移动互联网而设计的应用 协议 具有良好的开放性和互通性 随着移动通信网传输速率的显著提高 WAP 论坛于 2001 年颁布了 WAP2 0 版本 该版本增加了对 HTTP TLS 和 TCP 等互联网协议的支持 WAP 代理的工作大大简化 WAP2 0 模式有利于 实现电子商务所需的端到端安全性 可以提供 TLS 隧道 2 移动 IP 技术 移动 IP 技术 是指移动用户可在跨网络随意移动和漫游中 使用基于 TCP IP 协议的网络时 不用修改计算机原来的 IP 地址 同时 也不必中断正 在进行的通信 移动 IP 通过 AAA Authentication Authorization Accounting 机制 实现网络全方位的安全移动或者漫游功能 移动 IP 在一定程度上能够很 好地支持移动商务的应用 3 第三代 3G 移动通信系统 第三代移动通信系统 简称 3G 是指将无线通信与互联网等多媒体通信结 合的移动通信系统 它能够处理图像 话音 视频流等多种媒体形式 提供包 括网页浏览 电话会议 电子商务等多种信息服务 与 2G 相比 3G 产品可提 供数据速率高达 2Mbps 的多媒体业务 在我国 以 TD SCDMA 技术为基础的 3G 基础设施和产品的建设和研制发展迅速 我国发展 3G 的条件已经基本具备 由于 3G 带来的高速率 移动性和高安全性等特点 必然会给移动电子商务的 应用带来巨大商机 4 无线局域网 WLAN 技术 美国电子电器工程师协会 IEEE 在 1991 年就启动了 WLAN 标准工作组 称 为 IEEE802 11 并在 1997 年产生了 WLAN 标准 IEEE802 11 后来又相继 推出了 IEEE 802 11a IEEE 802 11b 和 IEEE802 11g 等一系列新的标准 802 11WLAN 标准自公布之日起 安全问题一直是其被关注的焦点问题 802 11b 采用了基于 RC4 算法的有线对等保密 WEP 机制 为网络业务流 提供安全保障 但其加密和认证机制都存在安全漏洞 802 11i 是 2004 年 6 月 批准的 WLAN 标准 其目的是解决 802 11 标准中存在的安全问题 802 11i 应 用 TKIP Temporal key integrity protocol 加密算法和基于 AES 高级加密标 准的 CBC MAC Protocol CCMP 其中 TKIP 仍然采用 RC4 作为其加密算法 可以向后兼容 802 11a b g 等硬件设备 中国宽带无线 IP 标准工作组制订了 WLAN 国家标准 GB15629 11 定义了无线局域网鉴别与保密基础结构 WAPI 大大减少了 WLAN 中的安全隐患 三 移动电子商务安全策略三 移动电子商务安全策略 1 端到端策略 端到端在移动电子商务中意味着保护每个薄弱环节 确保数据从传输点到最 后目的地之间完全的安全性 包括传输过程中的每个阶段 即找出每个薄弱环 顾并采取适当的安全性和私密性措施 以确保整个传输过程中的安全性并保护 每条信道 移动电子商务带来了许多的设备 它们运行不同的操作系统且采用 不同标准 因此安全性已经成为更加复杂的问题 需要实用的安全解决方案 这些解决方案应能够被快速简便的修改以便满足所有设备的要求 除此之外还 要考虑全局 安全策略将对一系列商业问题产生影响 单独考虑安全性是远远 不够的 实施128位鉴权码也非理想选择 因为程序太长会影响到用户使用的方 便 同样 性能 个性化 可扩展性及系统管理等问题都会对安全性产生影响 它们全是制订安全策略时必须考虑的因素 2 防火墙 与 一直在线 网络相连接的设备需要更高的安全性来防止非法接人 可以 在通过GPRS连接与互联网一直连接的电脑上安装个人防火墙 这可以保护电脑 本地保存的企业数据和个人数据 但这项技术目前尚不能用于电话或PDA等低功 率设备 3 采用无线公共密钥技术 WPKI WPKI Wireless PKI 是有线PKI的一种扩展 它将互联网电子商务中PKI的安 全机制引入到移动电子商务中 WPKI采用公钥基础设施 证书管理策略 软件 和硬件等技术 有效地建立了安全和值得信赖的无线网络通信环境 WPKI以WAP 的安全机制为基础 通过管理实体间关系 密钥和证书来增强电子商务安全 可信的PKI不仅能够安全鉴权用户 保护数据在传输中的完整性和保密性而且能 够帮助企业实施非复制功能 使得交易参与各方无法抵赖 4 加强交易主体身份识别管理 在移动商务的交易过程中依赖某个可信赖的机构 认证中心一CA 发放证书 双方交换信息之前通过CA获取对方的证书 并以此识别对方 强化主体资格的 身份认证管理 保证每个用户的访问与授权的准确 实名身份认证解决方案的 应用 可以增强移动商务交易的安全性 保证交易双方的利益不受到侵害 5 加强移动商务安全规范管理 为了保证移动商务的正常运作 安全运作 必须建立起移动商务的安全规范 必须加强移动商务的法制建设 必须提升移动商务主体的安全意识 必须营造 移动商务的整体诚信意识 风险营销意识和安全交易意识 通过移动商务安全 规范的建设 完善管理体制 优化交易环境 加强基础网络设施建设 提高整 体的安全交易环境和服务质量 充分发挥法律法规在交易中的规范作用 建立 整个交易过程的良性互动机制 促进移动商务的健康发展 6 完善相关法律和制度 建构安全 规范交易环境 移动电子商务是虚拟网络环境中的商务交易模式 较之传统交易模式更需要 政策来规范其发展 我国应密切关注国际动向 学习外国的成功经验 并结合 我国具体国情 制定