前言：本站為你精心整理了移動(dòng)電子商務(wù)安全范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

內(nèi)容摘要:隨著移動(dòng)電子商務(wù)的發(fā)展,其安全問(wèn)題倍受人們的關(guān)注。本文對(duì)移動(dòng)電子商務(wù)技術(shù)的安全現(xiàn)狀作了簡(jiǎn)要討論,然后對(duì)IEEE802.11標(biāo)準(zhǔn)、WAP技術(shù)、WPKI技術(shù)等從安全角度進(jìn)行了分析,并針對(duì)不安全的因素提出了改進(jìn)建議。

關(guān)鍵詞:移動(dòng)電子商務(wù)IEEE802.11WAPWPKI

隨著無(wú)線通信技術(shù)的發(fā)展,移動(dòng)電子商務(wù)已經(jīng)成為電子商務(wù)研究熱點(diǎn)。移動(dòng)電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動(dòng)相結(jié)合,隨時(shí)隨地為用戶提供各種個(gè)性化的、定制的在線動(dòng)態(tài)商務(wù)服務(wù)。

但在無(wú)線世界里,人們對(duì)于進(jìn)行商務(wù)活動(dòng)安全性的考慮比在有線環(huán)境中要多。只有當(dāng)所有的用戶確信,通過(guò)無(wú)線方式所進(jìn)行的交易不會(huì)發(fā)生欺詐或篡改、進(jìn)行的交易受到法律的承認(rèn)和隱私信息被適當(dāng)?shù)谋Ｗo(hù)時(shí),移動(dòng)電子商務(wù)才有可能蓬勃開(kāi)展。

移動(dòng)電子商務(wù)通信安全的現(xiàn)狀

由于無(wú)線通訊接入方式非常靈活,所以其對(duì)安全的要求更高。實(shí)際上,主要的無(wú)線通信技術(shù)都有各自的措施、協(xié)議和方法來(lái)保證各自體制下的通信安全。這里我們將從無(wú)線網(wǎng)絡(luò)和電子商務(wù)應(yīng)用兩個(gè)方面作簡(jiǎn)要討論。

無(wú)線局域網(wǎng)

無(wú)線局域網(wǎng)絡(luò)是以無(wú)線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中,無(wú)線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議(有線對(duì)等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個(gè)授權(quán)用戶一個(gè)基于WEP算法的密鑰,這樣就有效阻止了非授權(quán)用戶的訪問(wèn)。

WAP(無(wú)線應(yīng)用協(xié)議)技術(shù)

WAP由一系列協(xié)議組成,用來(lái)標(biāo)準(zhǔn)化無(wú)線通信設(shè)備,例如:移動(dòng)電話、移動(dòng)終端;它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起,客觀上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。

WAP的安全機(jī)制是通過(guò)WTLS(無(wú)線傳輸層安全)協(xié)議來(lái)實(shí)現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無(wú)線技術(shù)的有限的發(fā)送功率、存儲(chǔ)容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。

數(shù)字認(rèn)證技術(shù)

對(duì)諸如移動(dòng)電子商務(wù)和有重要使命的合作通信等活動(dòng),其安全性的一個(gè)關(guān)鍵方面是能否對(duì)信息發(fā)送者的身份進(jìn)行論證,通常都要利用有線安全的公開(kāi)密鑰基本構(gòu)架(PKI)。

PKI提供與加密和數(shù)字證書(shū)有關(guān)的一系列技術(shù)。但在無(wú)線通信環(huán)境中,PKI是很難實(shí)現(xiàn)的。在只有有限計(jì)算能力和低數(shù)據(jù)流通率的設(shè)備上實(shí)現(xiàn)PKI中的服務(wù)一直是一個(gè)有挑戰(zhàn)性的難題。同時(shí)在PKI的基礎(chǔ)上,要將無(wú)線設(shè)備與有線設(shè)備之間進(jìn)行互通也是有難度的。因此無(wú)線PKI(WPKI)協(xié)議是要將標(biāo)準(zhǔn)的PKI進(jìn)行修正和簡(jiǎn)化,使其在無(wú)線通信的環(huán)境下達(dá)到最優(yōu)。

移動(dòng)電子商務(wù)安全分析

IEEE802.11的安全

IEEE802.11標(biāo)準(zhǔn)規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機(jī)制,即上述的WEP。WEP的目的是通過(guò)對(duì)信息流加密并利用WEP認(rèn)證節(jié)點(diǎn),使無(wú)線通信傳輸像有線網(wǎng)絡(luò)一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問(wèn)點(diǎn)(AP)和連接到該訪問(wèn)點(diǎn)的所有工作站必須使用同樣的共享密鑰。對(duì)于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗(yàn)組合在一起。然后,WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對(duì)數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對(duì)數(shù)據(jù)包進(jìn)行解密。在理論上,這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略,應(yīng)該使對(duì)方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級(jí)別,根本不是一種全面的安全方案。越來(lái)越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗(yàn)的黑客會(huì)利用這些漏洞進(jìn)行攻擊。其缺陷主要有:RC4算法本身就有一個(gè)小缺陷。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用(平均大約每5小時(shí)重復(fù)一次)。WEP標(biāo)準(zhǔn)不提供自動(dòng)修改密鑰的方法。

最早的WEP實(shí)施只提供40位加密,這使得它抗暴力攻擊能力差?，F(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長(zhǎng)度減去24位的IV后,實(shí)際上有效的密鑰長(zhǎng)度為104位。盡管如此,128位的WEP版本也不能保證絕對(duì)安全。最好的解決辦法是把無(wú)線網(wǎng)絡(luò)放在機(jī)構(gòu)防火墻之外,這種防范措施會(huì)強(qiáng)制要求將無(wú)線連接當(dāng)作不受信任的連接來(lái)看待,就像看待其他任何來(lái)自Internet的連接一樣。

所以,WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全。

WAP的安全

WAP規(guī)范的安全特性包括幾個(gè)部分:WTLS協(xié)議、用于存儲(chǔ)用戶證書(shū)的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實(shí)體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信。有三種不同級(jí)別的WTLS:內(nèi)容摘要:隨著移動(dòng)電子商務(wù)的發(fā)展,其安全問(wèn)題倍受人們的關(guān)注。本文對(duì)移動(dòng)電子商務(wù)技術(shù)的安全現(xiàn)狀作了簡(jiǎn)要討論,然后對(duì)IEEE802.11標(biāo)準(zhǔn)、WAP技術(shù)、WPKI技術(shù)等從安全角度進(jìn)行了分析,并針對(duì)不安全的因素提出了改進(jìn)建議。

關(guān)鍵詞:移動(dòng)電子商務(wù)IEEE802.11WAPWPKI

隨著無(wú)線通信技術(shù)的發(fā)展,移動(dòng)電子商務(wù)已經(jīng)成為電子商務(wù)研究熱點(diǎn)。移動(dòng)電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動(dòng)相結(jié)合,隨時(shí)隨地為用戶提供各種個(gè)性化的、定制的在線動(dòng)態(tài)商務(wù)服務(wù)。

但在無(wú)線世界里,人們對(duì)于進(jìn)行商務(wù)活動(dòng)安全性的考慮比在有線環(huán)境中要多。只有當(dāng)所有的用戶確信,通過(guò)無(wú)線方式所進(jìn)行的交易不會(huì)發(fā)生欺詐或篡改、進(jìn)行的交易受到法律的承認(rèn)和隱私信息被適當(dāng)?shù)谋Ｗo(hù)時(shí),移動(dòng)電子商務(wù)才有可能蓬勃開(kāi)展。

移動(dòng)電子商務(wù)通信安全的現(xiàn)狀

由于無(wú)線通訊接入方式非常靈活,所以其對(duì)安全的要求更高。實(shí)際上,主要的無(wú)線通信技術(shù)都有各自的措施、協(xié)議和方法來(lái)保證各自體制下的通信安全。這里我們將從無(wú)線網(wǎng)絡(luò)和電子商務(wù)應(yīng)用兩個(gè)方面作簡(jiǎn)要討論。

無(wú)線局域網(wǎng)

無(wú)線局域網(wǎng)絡(luò)是以無(wú)線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中,無(wú)線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議(有線對(duì)等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個(gè)授權(quán)用戶一個(gè)基于WEP算法的密鑰,這樣就有效阻止了非授權(quán)用戶的訪問(wèn)。

WAP(無(wú)線應(yīng)用協(xié)議)技術(shù)

WAP由一系列協(xié)議組成,用來(lái)標(biāo)準(zhǔn)化無(wú)線通信設(shè)備,例如:移動(dòng)電話、移動(dòng)終端;它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起,客觀上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。

WAP的安全機(jī)制是通過(guò)WTLS(無(wú)線傳輸層安全)協(xié)議來(lái)實(shí)現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無(wú)線技術(shù)的有限的發(fā)送功率、存儲(chǔ)容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。

數(shù)字認(rèn)證技術(shù)

對(duì)諸如移動(dòng)電子商務(wù)和有重要使命的合作通信等活動(dòng),其安全性的一個(gè)關(guān)鍵方面是能否對(duì)信息發(fā)送者的身份進(jìn)行論證,通常都要利用有線安全的公開(kāi)密鑰基本構(gòu)架(PKI)。

PKI提供與加密和數(shù)字證書(shū)有關(guān)的一系列技術(shù)。但在無(wú)線通信環(huán)境中,PKI是很難實(shí)現(xiàn)的。在只有有限計(jì)算能力和低數(shù)據(jù)流通率的設(shè)備上實(shí)現(xiàn)PKI中的服務(wù)一直是一個(gè)有挑戰(zhàn)性的難題。同時(shí)在PKI的基礎(chǔ)上,要將無(wú)線設(shè)備與有線設(shè)備之間進(jìn)行互通也是有難度的。因此無(wú)線PKI(WPKI)協(xié)議是要將標(biāo)準(zhǔn)的PKI進(jìn)行修正和簡(jiǎn)化,使其在無(wú)線通信的環(huán)境下達(dá)到最優(yōu)。

移動(dòng)電子商務(wù)安全分析

IEEE802.11的安全

IEEE802.11標(biāo)準(zhǔn)規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機(jī)制,即上述的WEP。WEP的目的是通過(guò)對(duì)信息流加密并利用WEP認(rèn)證節(jié)點(diǎn),使無(wú)線通信傳輸像有線網(wǎng)絡(luò)一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問(wèn)點(diǎn)(AP)和連接到該訪問(wèn)點(diǎn)的所有工作站必須使用同樣的共享密鑰。對(duì)于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗(yàn)組合在一起。然后,WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對(duì)數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對(duì)數(shù)據(jù)包進(jìn)行解密。在理論上,這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略,應(yīng)該使對(duì)方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級(jí)別,根本不是一種全面的安全方案。越來(lái)越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗(yàn)的黑客會(huì)利用這些漏洞進(jìn)行攻擊。其缺陷主要有:RC4算法本身就有一個(gè)小缺陷。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用(平均大約每5小時(shí)重復(fù)一次)。WEP標(biāo)準(zhǔn)不提供自動(dòng)修改密鑰的方法。

最早的WEP實(shí)施只提供40位加密,這使得它抗暴力攻擊能力差?，F(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長(zhǎng)度減去24位的IV后,實(shí)際上有效的密鑰長(zhǎng)度為104位。盡管如此,128位的WEP版本也不能保證絕對(duì)安全。最好的解決辦法是把無(wú)線網(wǎng)絡(luò)放在機(jī)構(gòu)防火墻之外,這種防范措施會(huì)強(qiáng)制要求將無(wú)線連接當(dāng)作不受信任的連接來(lái)看待,就像看待其他任何來(lái)自Internet的連接一樣。

所以,WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全。

WAP的安全

WAP規(guī)范的安全特性包括幾個(gè)部分:WTLS協(xié)議、用于存儲(chǔ)用戶證書(shū)的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實(shí)體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信。有三種不同級(jí)別的WTLS: