|
[摘要] 移动电子商务作为一种移动互联的贸易方式,将成为全球具有战略意义的贸易手段和信息交换的有效方式。移动网络的开放性和移动终端的移动性给移动电子商务的发展和工作效率的提高带来了诸多优势,如何有效的保证移动互联的贸易方式中信息交换的安全性和正确性,防御黑客对交换信息的截取和攻击,以及确认交易数据的可靠性,就成为了移动电子商务发展中迫切需要解决的问题。
[关键词] 移动电子商务 信息交换 安全性分析
一、引言
移动电子商务简单的说就是指通过手机、个人数字助理(PDA)和掌上电脑等手持移动终端设备与无线上网技术结合所构成的一个电子商务体系。因特网、移动通信技术和其他技术的完善组合创造了移动电子商务。移动电子商务可高效地与用户接触,在整个商务体系中用户可以在任何地方、任何时间进行电子商务活动。移动电子商务由于其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。移动电子商务的模式目前主要有两种:SMS模式(Short Message Service)即短消息模式,WAP模式(Wireless Application Protocol无线应用协议)是在数字移动电话、因特网及其他个人数字助理(PDA)、计算机应用之间进行通信的开放式全球标准,它是开展移动电子商务应用的核心技术之一。如何有效的保证信息交换的安全性和正确性,防御黑客对交换信息的截取和攻击,以及确认交易数据的可靠性,就成为了移动电子商务发展中迫切需要解决的问题。
二、移动电子商务信息交换的安全性要求
相对于传统的电子商务模式,移动电子商务的安全性更加薄弱,传输承载的交换信息更易受到窃取和攻击。移动电子商务信息交换的安全性要求主要表现在以下几个方面:
1.信息的保密性
保密性就是要保证双方电子商务交易有效信息的不被窃取、非法储存和使用,保证整个交易通道的严密性。
2.身份的认证性
指交易双方都能正确鉴别对方的身份,能防止他人的假冒行为。身份认证可以鉴别通信中一方或双方的身份,从而确保只有授权的用户才能访问网络的资源与服务。
3.信息的正确性
指电子商务的交易数据和双方认证数据没有丢失或被篡改。
4.交易数据的可靠性
指交易双方对交易的内容包括合同、单据等在事后都能进行有效的确认。进行交易的双方都要能够在事后确认进行过的交易,即对交易本身及交易合同、契约、或交易的单据等文件的抗抵赖性。
三、信息交换过程安全性分析
移动电子平台的安全性,是决定整个商业运营整体性能的一个重要因素,如果没有一个行之有效的安全机制,移动电子商务网中的各种商业活动将无法顺利进行。目前所面临的各种安全威胁如下:
1.信息交换过程中的不安全性因素
移动电子商务信息交换涉及到移动终端、信息中心和内容服务器之间的通信和数据传输。这一过程存在的不安全因素就有移动无线接口、移动网络和移动客户端3方面的不安全性因素。
(1)无线接口中的不安全因素。在移动通信网络中,移动站与固定网络端之间的所有通信都是通过无线接口来传输的。而无线接口是开放的,任何具有适当无线设备的人均可以通过窃听无线信道而获得其中传输的消息,甚至可以修改、插入、删除或重传无线接口中传输的消息,以达到假冒移动用户身份欺骗网络端的目的。(2)网络端的不安全因素。网络端主要是指无线传输线路、网关部分、Internet有线传输线路。在有些移动通信网络中,基站系统与移动服务交换中心之间的通信媒质就不尽相同,相互之间的信息转换就有可能导致移动用户的身份、位置及身份确认信息的泄漏。(3)移动端的不安全因素。移动端包括移动终端和内容服务器。移动终端的不安全因素主要表现在用户身份、账户信息和认证密钥等方面。例如不法分子取得用户的移动终端,并从中读出移动用户的资料信息、账户密码等就可以假冒用户身份来进行一些非法的活动。
2.信息交换过程中的安全威胁
通过对以上各种方面的不安全因素的分析,可知对于移动电子商务信息交换的安全威胁可以分为多种可能,需要采取不同的安全策略。目前存在的安全威胁主要有以下几种:
(1)信息的截取和窃听。如果没有采取加密的措施或加密的强度不够,攻击者就可能通过截获装置截取数据、获取信息,经过分析,获得有用的信息,如银行账号、用户密码等。(2)信息的篡改。当攻击者熟悉了过程的网络信息格式后,会通过各种技术方法和手段对网络传输的信息进行中途的修改,再发往目的地,从而破坏信息的完整性,如肆意篡改购买商品的货号、价格等,或删除、插入错误信息。(3)非授权方的非法访问。访问者未经授权,即可读取主机的敏感商业数据,使用系统得资源,享受为被授予的权利等。(4)信息的假冒。攻击者掌握了传输数据的规律或解密了商务信息后,就可假冒合法的用户或假冒商家来欺骗服务主机,从而获得用户或商家的机密信息。(5)交易的抵赖。交易双方中的一方在交易完成后否认其参与了此交易。比如用户在选购了商品后否认选择了某些商品而拒绝付费,商家卖出的商品因为价格差的原因而不承认原有的交易或收到货款后拒绝交付商品等。(6)拒绝服务的威胁。此种威胁以网络瘫痪为目标的攻击破坏性很大,造成危害的范围很广,而攻击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪。攻击者可以通过删除某一网络上传送的所有数据包的方法,使网络拒绝为用户服务;还可以通过邮件炸弹的方法使系统性能降低或崩溃,从而达到拒绝服务的目的。
3.安全移动商务解决方案实现目标
要达到一个安全实用的移动电子商务解决方案,必须解决以上的种种问题,竭力满足如下几方面的要求和目的:具有身份认证功能、能够识别信息的完整性、能够监测出重传攻击、可以保留交易证据、保证信息的机密性、)较低的通信费用、较好的端到端信息传输的保密和较高的容错能力。 |
|