移动电子商务交易安全问题刍议

点赞:4796 浏览:15244 近期更新时间:2024-01-14 作者:网友分享原创网站原创

【摘 要】移动电子商务交易和网络数据传输中存在威胁,采用移动网络来改进TCP/IP网络体系安全,以WAP承载方案进行重点分析,从信息加密和数字签名着手实现端到端的安全传输,为移动电子商务数据的安全提供有效的技术保障.

【关 键 词】移动电子商务WAP安全技术

移动电子商务(M-merce)是指通过手机、传呼机、掌上电脑、笔记本电脑等移动通讯设备与无线上网技术结合进行B2B、B2C或C2C的电子商务活动.它能够不受时间和空间的约束展开商务活动,已经为越来越多的企业所接受.移动电子商务的模式目前主要有两种:S模式和WAP模式.S模式(ShortMessageService)短消息模式;WAP模式(WirelessApplicationProtocol无线应用协议)在数字移动、因特网及其他个人数字助理(DA)计算机应用之间进行通信的开放式全球标准,它是开展移动电子商务应用的核心技术之一.由于移动电子商务采用的是无线信道,同时计算机通讯网络系统结构原有存在的不安全因素,使得交易过程中存在大量的安全隐患.

一、移动电子商务存在的安全隐患

移动电子商务是传统电子商务和无线互联网技术的结合,所以分析移动商务存有的安全威胁,须从电子商务和无线网络所存有的安全问题进行分析.移动电子商务交易过程中主要存在四个方面的威胁:

(一)电子商务系统中存在的安全隐患

计算机管理不当.一些电子商务系统内部人员有一定的管理系统权限,若对计算机设备管理不当,很可能会被一些别有用心的人员非法进入,为自己牟利,造成损失.外部攻击.网上电子交易会吸引进行网络攻击,截取或是商户的交易信息,冒充正常用户进行非法登录,侵害交易当事人的正当权益.病毒或木马.对电子商务系统而言,病毒是常见的威胁,电脑病毒种类繁多,由病毒侵入造成损失的例子也是经常看到.木马对商务系统的威胁最大,木马利用计算机程序漏洞侵入系统并窃取文件资料.拒绝怎么写作.拒绝怎么写作通过向怎么写作器发送大量垃圾信息或干扰信息的方式,导致怎么写作器无法向正常用户提供怎么写作.

(二)网络怎么写作系统中的隐患

非授权数据访问.系统入侵者没有访问权限,非法访问或是窃听系统数据信息;或是伪造身份冒充合法用户进行系统网络接入,对系统进行访问.完整性威胁.系统入侵者通过相关手段修改或是删除系统数据信息,对系统完整性形成破坏.拒绝怎么写作.通过向怎么写作器发送大量垃圾信息或干扰信息的方式,导致怎么写作器无法向正常用户提供怎么写作.抵赖否认.用户可对业务费用和数据来源进行否认:网络单元否认发出信令或者否认接收到了其他数据信息.

(三)无线网络威胁

无线网络因其开放性,与有线传输网络相比,安全性稍微差些.与网络怎么写作系统威胁类似,无线网络所存在的安全威胁也分为三种情况:对于数据的非授权访问,对于无线传输信息的完整性威胁和拒绝怎么写作.入侵者利用相关技术手段可以窃听无线链路上的数据信息,可以修改或是,破坏其完整性.

二、基于WAP的解决方案

基于WAP方式是目前主流,可以通过建立WAP网关的Web怎么写作器来解决端到端的问题.WAP使移动因特网有了一个通用标准,把目前Inter上HTML语言标一记的信息转换成用WML(WirelessMakeupLanguage)描述的信息,显示在移动等终端设备显示屏上.WAP仅需要移动和WAP写作技巧怎么写作器的支持,不需要现有移动通信网络协议做任何的改动,可以广泛地应用于G、CDMA和3G等多种网络.


建立一个具有WAP网关的Web怎么写作器来解决端到端的问题.WAP的安全机制主要包括WTLS协议(WirelessTransportLayerSecurity)、WAP身份模块WIM(WAPIdentifyModule)、WML脚本加密接口WMLScrypt(WMLScriptCryptoAPI)和WPKI(WirelessPKI).这四种安全机制可以实现移动电子商务所需的数据保密性、数据完整性、交易方的认证与授权和不可抵赖性四个方面的信息安全特征.数据解密出来直接提交给怎么写作器操作,实现了端到端的安全.如图1所示.

移动电子商务交易安全问题刍议参考属性评定
有关论文范文主题研究: 关于移动电子商务的论文范文文献 大学生适用: 专升本毕业论文、专科论文
相关参考文献下载数量: 21 写作解决问题: 怎么撰写
毕业论文开题报告: 论文任务书、论文总结 职称论文适用: 刊物发表、初级职称
所属大学生专业类别: 怎么撰写 论文题目推荐度: 免费选题

WAP应用的工作模式如下:首先WAP终端向怎么写作器发送访问请求,用户写作技巧将编码后的Http请求无线接口传输给WAP网关.网关接到终端的请求信息后,对信息进行编码处理,读取其中信息,经解析后把标准的Http请求通过网络发送给WAP怎么写作器.怎么写作器将所请求内容反馈给WAP网关,网关则把接收到的信息内容进行压缩处理再发至用户手持终端上,内容由显示屏进行显示.

WAP系统是由用户终端,WAP网关以及WEB怎么写作器组成,WAP会话的建立就是在上述三部分之间进行.整个WAP会话过程包括两个部分:用户终端和WAP网关之间的信息传输和WAP网关与WEB怎么写作器间的信息传输.如图2所示.

由上图可以看出第一部分即用户终端和网关间会话,经由无线网络传输,由WTLS协议来保障传输安全;第二部分在网关和怎么写作器间则由安全套阶层协议SSL和传输安全层协议TLS来保证信息安全.考虑到WAP存在的缺陷,以及解决WAP怎么写作器配置过程中费用过高问题和WTLS与SSL会话通过存在的协议数据转换间的明码问题,可以考虑在通讯传输的过程中,采用相关的移动电子商务安全技术,来保证用户信息的唯一性.

三、移动电子商务安全技术

移动电子商务是电子商务技术的继承和发展,作为电子商务和移动互联技术的结合,移动商务安全实现技术包括了电子商务安全技术,还有移动接入安全性需求.主要包括的安全技术包括有加密技术、身份认证技术、防火墙技术、数字签名和电子安全协议等.

加密技术.现在有许多加密解决方案可降低数据在无线网络上传输时遭到拦截的风险.为了保证数据的安全传输和交易信息的安全,确认交易双方的真实身份,从技术层面上常用到加密技术.加密技术是用加密算法把传输数据信息变成密文进行传输,到达目的后再进行解密还原.加密技术包括两个元素:算法和密钥.加密算法就是将普通文本信息与一串随机字符结合产生密文,这个随机字符就是密钥,密钥是对数据进行编码和解码的参数信息.通信过程中,通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全.由于G和GPRS网络采用的加密技术存在许多弱点,所以采用更可靠的加密解决方案是必要的.这些解决方案虽然运行在无线网络运营商提供的现有系统之上,但可以由公司控制并使用经过验证的标准化协议,提供的选项包括IPSec、WTLS和TPKDP.认证技术.包括有身份认证、数字签名、时间戳、数字信封和数字证书等方式.身份认证是比较简单的认证方法,可通过验证,生物学特征(指纹识别、虹膜识别),动态口令和USBKEY认证等方式.

防火墙技术.防火墙是计算机软硬件的组合.是在互联网和内部网之间建立起一个安全网关,此网关能够保护内部网络避免受到外界非法用户的侵入.实际上防火墙技术是一种隔离技术,在网络间通信时执行访问控制,最大限度的组织网络访问内部网.

数字签名.数字签名可以保证信息在传输过程中的完整性,并可以提供对信息发送者身份的验证.在电子商务中数字签名是最普遍应用且可靠性最强的一种方法.数字签名是公钥加密算法的应用,信息发送方用私钥加密报文摘 要,并与原始信息内容附加在一起.使用时,报文发送方在报文中生成128hits或16Obits的单向hash值,即报文摘 要;然后用私钥对此摘 要进行加密,形成数字签名.常见的是通过部署无线公共密钥基础设施(WPKI-WirelessPublicKeyInfrastructure)技术来实现数据传输路径真正的端到端的安全性、安全的用户鉴权及可信交易.WPKI使用公共密钥加密及开放标准技术来构建可信的安全性架构,该架构可促使公共无线网络上的交易和安全通信鉴权.

电子安全协议.安全协议分为安全套阶层协议和安全电子交易协议.电子安全协议对于通信内容进行加密,而且这种加密强度比较高;可以提供对于用户以及怎么写作器的认证,保证数据信息在传输过程中的完整性.采用移动电子商务交互协议(MobileE-CommerceInteractProtocol,EIP).可以从源头解决了数据重传问题,它采用端连接的方式,及时攻击者截获了数据包,也没有办法加以利用来获取用户信息.此外该协议能够实现用户身份认证,防止用户错误操作.

WAP系统安全需考虑到各个参与实体的安全性,WAP网关在系统中是个中间角色,起着“翻译器”的作用,但是也存有“数字鸿沟”安全问题,应充分利用相应的授权和电子商务安全技术来进一步保证移动电子商务交易过程的安全性.