|
摘要:随着移动商务的,其安全倍受人们的关注。本文对移动电子商务技术的安全现状作了扼要讨论,然后对IEEE 802.11标准、WAP技术、WPKI技术等从安全角度进行了,并针对不安全的因素提出了改进建议。
关键词:移动电子商务 IEEE 802.11 WAP WPKI
随着无线通讯技术的发展,移动电子商务已经成为电子商务热门。移动电子商务是将信息技术和传统商务活动相结合,随时随地为用户提供各种个性化的、定制的在线动态商务服务。
但在无线世界里,人们对于进行商务活动安全性的考虑比在有线环境中要多。只有当所有的用户确信,通过无线方式所进行的交易不会发生欺诈或篡改、进行的交易受到的承认和隐私信息被适当的保护时,移动电子商务才有可能蓬勃开展。
移动电子商务通讯安全的现状
由于无线通讯接进方式非常灵活,所以其对安全的要求更高。实际上,主要的无线通讯技术都有各自的措施、协议和来保证各自体制下的通讯安全。这里我们将从无线和电子商务两个方面作扼要讨论。
无线局域网
无线局域网络是以无线连接至局域网络的通讯方式。它采用的是IEEE 802.11系列标准。在该标准中,无线局域网的安全机制采用的是WEP协议(有线对等安全协议)。在数据链路用WEP加密数据,保证了信道上传送数据的安全。另外,无线局域网的网络治理员分配给每个授权用户一个基于WEP算法的密钥,这样就有效阻止了非授权用户的访问。
WAP(无线应用协议)技术
WAP由一系列协议组成,用来标准化无线通讯设备,例如:移动电话、移动终端;它负责将Internet和移动通讯网连接到一起,客观上已成为移动终端上网的标准。WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。
WAP的安全机制是通过WTLS(无线传输层安全)协议来实现的。WTLS协议类似于互联网传输层安全协议。在无线技术的有限的发送功率、存储容量及带宽的条件下,WTLS能够实现鉴定,保证数据的完整性和提供保密服务的目标。
数字认证技术
对诸如移动电子商务和有重要使命的合作通讯等活动,其安全性的一个关键方面是能否对信息发送者的身份进行论证,通常都要利用有线安全的公然密钥基本构架(PKI)。
PKI提供与加密和数字证书有关的一系列技术。但在无线通讯环境中,PKI是很难实现的。在只有有限能力和低数据流通率的设备上实现PKI中的服务一直是一个有挑战性的困难。同时在PKI的基础上,要将无线设备与有线设备之间进行互通也是有难度的。因此无线PKI(WPKI)协议是要将标准的PKI进行修正和简化,使其在无线通讯的环境下达到最优。
移动电子商务安全分析
IEEE 802.11的安全
IEEE 802. 11标准规定了MAC层的存取控制规范,也定义了加密机制,即上述的WEP。WEP的目的是通过对信息流加密并利用WEP认证节点,使无线通讯传输像有线网络一样安全。
WEP加密使用共享密钥和RC4加密算法。访问点(AP)和连接到该访问点的所有工作站必须使用同样的共享密钥。对于往任一方向发送的数据包,传输程序都将数据包的内容与数据包的检验组合在一起。然后,WEP标准要求传输程序创建一个特定于数据包的初始化向量(IV),后者与密钥k相组合在一起,用于对数据包进行加密。接收器天生自己的匹配数据包密钥并用之对数据包进行解密。在上,这种方法优于单独使用共享私钥的显式策略,应该使对方更难于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相当于有线局域网基本安全的安全级别,根本不是一种全面的安全方案。越来越多的安全专家和研究职员发现IEEE802.11存在安全漏洞,有经验的黑客会利用这些漏洞进行攻击。其缺陷主要有:RC4算法本身就有一个小缺陷。WEP标准答应IV重复使用(均匀大约每5小时重复一次)。WEP标准不提供自动修改密钥的方法。
最早的WEP实施只提供40位加密,这使得它抗暴力攻击能力差。现代的系统提供128位的WEP,128位的密钥长度减往24位的IV后,实际上有效的密钥长度为104位。尽管如此,128位的WEP版本也不能保证尽对安全。最好的解决办法是把无线网络放在机构防火墙之外,这种防范措施会强制要求将无线连接当作不受信任的连接来看待,就像看待其他任何来自Internet的连接一样。 |
|