浅析移动商务安全及解决方案
来源:用户上传
作者: 陶 玲
[摘要]随着电子商务的发展,越来越多的企业开始将自己的业务通过Internet直接提供给客户,一个基于Internet的全球电子商务框架正在形成。而移动电子商务不仅具备电子商务快速、灵活、方便等特点,更是以其接入互联网进行商务活动的随时性、可移动性引发其迅速地发展,从而移动商务安全问题成为了重要解决的问题。本文首先介绍了移动商务安全,再分析了移动商务的安全需求,进而提出了相应的解决方案。
[关键词]密钥 电子商务 加密 移动
一、移动商务安全概述
移动商务就是在交易活动中用手机、掌上电脑、笔记本电脑作为支付载体,通过短信、WAP、IVR等方式,使用移动话费或使用信用卡作为支付资金,完成购物、缴费、银行转账等商务活动。通过手机投注、网上购买游戏卡、移动梦网和手机支付水电费、燃气费等商务活动,移动商务组建走进了普通百姓的生活。
尽管移动电子商务给工作效率的提高带来了诸多优势,但是安全问题仍是移动商务推广应用的瓶颈。由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序,有线网络安全技术手段不能完全适用于无线设备。移动设备是电子商务应用的新接口,但它们的安全功能却受到严重限制。
移动电子商务安全主要存在三大方面的问题:(1)移动终端的安全问题,包括终端易被盗用、加密能力弱和移动信息易被拦截等方面。(2)无线通信网络的安全问题。(3)服务网络的安全问题。
二、移动商务的安全需求
在移动商务系统中,通信会话开始之前的安全协议就是身份认证和密钥协商协议,主要考虑一下安全需求。
1.双向身份认证,主要指移动用户与移动通信网络之间相互认证身份,这是安全通信中最基本的安全需求。
2.密钥协商和双向密钥控制,主要指移动用户与移动网络之间通过安全参数协商确定会话密钥,而不能单独由一方确定,保证一次一密。
3.双向密钥确认,主要指移动用户与移动网络系统要进行相互确认,确保对方和自己拥有相同的会话密钥,以保证接下来的会话中经过自己加密的信息在被对方接收后能够进行解密。
4.相关数据的不可否认,主要指移动通信中的某一方对自己发送或者接收到的某些数据在事后不能进行抵赖。
5.相关敏感数据的机密性,特别用于用户的身份信息,即身份信息不能以明文形式在网络中传输。
6.协议尽量简单,目前移动通信系统的带宽受限,以及移动通信终端的计算资源有限,所设计的身份认证和密钥协商协议应该保证尽量简单、计算量小、通信量小。
在具体的安全需求分析中,应该根据实际情况的需要来设计满足其中上述部分安全需求的协议。
三、移动商务安全的解决方案
从安全需求出发,常用的移动商务解决方案包括以下几个方面。
1.加密技术,即包括对称加密和非对称加密,常用的对称加密算法有DES、IDEA和AES,非对称加密算法有RSA、椭圆曲线加密体制等。
2.个人防火墙是保护本地系统或网络,抵制网络攻击的最主要的网络安全技术。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测、潜在破坏性的侵入。防火墙具备防止外部攻击、防止内部信息外泄、对网络存取和访问进行监控审计等功能。
3.严格的用户鉴权,为了确保移动环境中的安全性,强烈要求应用“双钥”鉴权。
4.单一登入,鉴权支持可实现单一登入功能,因此用户可以使用该环境中的所有服务和应用,无需进行进一步的用户可视鉴权。
5.无线PKI技术,可通过部署无线公共密钥基础设施技术来实现数据传输路径的真正的端到端安全性、安全的用户鉴权及可信交易。
6.授权,用来管理和集成用户接入控制及授权信息,并在必要时对用户接入加以限制。
7.安全流程,了解风险、构建正确的结构以及部署适当的安全控制是件大事,且必须通过结构化流程加以管理。
四、总结
移动电子商务的安全问题是值得关注的热点问题,如何保障移动电子商务安全也是目前急迫需要解决地问题。我们不但要从技术要去是实现信息加密、数据过滤、用户授权和无线PKI技术等问题,还要具备完善的法律条例双管齐下。对于移动终端,尽量减少中病毒的机会,发现安全隐患,应当及时处理,时刻保持安全意识,促进移动电子商务的发展,也让越来越多的人能够放心地享受便捷的生活方式。
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津:天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(6).
[3]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007,(2).
[4]周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005,(1).
[5]肖德琴.电子商务安全保密技术与应用.华南理工大学出版色,2008,(2).
转载注明来源:https://www.xzbu.com/2/view-466985.htm