移動電子商務安全
前言:本站為你精心整理了移動電子商務安全范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
內容摘要:隨著移動電子商務的發(fā)展,其安全問題倍受人們的關注。本文對移動電子商務技術的安全現(xiàn)狀作了簡要討論,然后對IEEE802.11標準、WAP技術、WPKI技術等從安全角度進行了分析,并針對不安全的因素提出了改進建議。
關鍵詞:移動電子商務IEEE802.11WAPWPKI
隨著無線通信技術的發(fā)展,移動電子商務已經(jīng)成為電子商務研究熱點。移動電子商務是將現(xiàn)代信息科學技術和傳統(tǒng)商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態(tài)商務服務。
但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環(huán)境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發(fā)生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當?shù)谋Wo時,移動電子商務才有可能蓬勃開展。
移動電子商務通信安全的現(xiàn)狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全。這里我們將從無線網(wǎng)絡和電子商務應用兩個方面作簡要討論。
無線局域網(wǎng)
無線局域網(wǎng)絡是以無線連接至局域網(wǎng)絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網(wǎng)的安全機制采用的是WEP協(xié)議(有線對等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。
WAP(無線應用協(xié)議)技術
WAP由一系列協(xié)議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網(wǎng)連接到一起,客觀上已成為移動終端上網(wǎng)的標準。WAP協(xié)議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡。
WAP的安全機制是通過WTLS(無線傳輸層安全)協(xié)議來實現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術的有限的發(fā)送功率、存儲容量及帶寬的條件下,WTLS能夠實現(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務的目標。
數(shù)字認證技術
對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發(fā)送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。
PKI提供與加密和數(shù)字證書有關的一系列技術。但在無線通信環(huán)境中,PKI是很難實現(xiàn)的。在只有有限計算能力和低數(shù)據(jù)流通率的設備上實現(xiàn)PKI中的服務一直是一個有挑戰(zhàn)性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協(xié)議是要將標準的PKI進行修正和簡化,使其在無線通信的環(huán)境下達到最優(yōu)。
移動電子商務安全分析
IEEE802.11的安全
IEEE802.11標準規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節(jié)點,使無線通信傳輸像有線網(wǎng)絡一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內容與數(shù)據(jù)包的檢驗組合在一起。然后,WEP標準要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數(shù)據(jù)包進行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進行解密。在理論上,這種方法優(yōu)于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網(wǎng)基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。
最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差。現(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網(wǎng)絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應該與其他安全機制一起應用才能提供較強的安全。
WAP的安全
WAP規(guī)范的安全特性包括幾個部分:WTLS協(xié)議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實體鑒別、數(shù)據(jù)加密和保護數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關之間的安全通信。有三種不同級別的WTLS:內容摘要:隨著移動電子商務的發(fā)展,其安全問題倍受人們的關注。本文對移動電子商務技術的安全現(xiàn)狀作了簡要討論,然后對IEEE802.11標準、WAP技術、WPKI技術等從安全角度進行了分析,并針對不安全的因素提出了改進建議。
關鍵詞:移動電子商務IEEE802.11WAPWPKI
隨著無線通信技術的發(fā)展,移動電子商務已經(jīng)成為電子商務研究熱點。移動電子商務是將現(xiàn)代信息科學技術和傳統(tǒng)商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態(tài)商務服務。
但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環(huán)境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發(fā)生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當?shù)谋Wo時,移動電子商務才有可能蓬勃開展。
移動電子商務通信安全的現(xiàn)狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全。這里我們將從無線網(wǎng)絡和電子商務應用兩個方面作簡要討論。
無線局域網(wǎng)
無線局域網(wǎng)絡是以無線連接至局域網(wǎng)絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網(wǎng)的安全機制采用的是WEP協(xié)議(有線對等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。
WAP(無線應用協(xié)議)技術
WAP由一系列協(xié)議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網(wǎng)連接到一起,客觀上已成為移動終端上網(wǎng)的標準。WAP協(xié)議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡。
WAP的安全機制是通過WTLS(無線傳輸層安全)協(xié)議來實現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術的有限的發(fā)送功率、存儲容量及帶寬的條件下,WTLS能夠實現(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務的目標。
數(shù)字認證技術
對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發(fā)送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。
PKI提供與加密和數(shù)字證書有關的一系列技術。但在無線通信環(huán)境中,PKI是很難實現(xiàn)的。在只有有限計算能力和低數(shù)據(jù)流通率的設備上實現(xiàn)PKI中的服務一直是一個有挑戰(zhàn)性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協(xié)議是要將標準的PKI進行修正和簡化,使其在無線通信的環(huán)境下達到最優(yōu)。
移動電子商務安全分析
IEEE802.11的安全
IEEE802.11標準規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節(jié)點,使無線通信傳輸像有線網(wǎng)絡一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內容與數(shù)據(jù)包的檢驗組合在一起。然后,WEP標準要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數(shù)據(jù)包進行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進行解密。在理論上,這種方法優(yōu)于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網(wǎng)基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。
最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差。現(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網(wǎng)絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應該與其他安全機制一起應用才能提供較強的安全。
WAP的安全
WAP規(guī)范的安全特性包括幾個部分:WTLS協(xié)議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實體鑒別、數(shù)據(jù)加密和保護數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關之間的安全通信。有三種不同級別的WTLS:
