陶 玲

[摘要]隨著電子商務(wù)的發(fā)展,越來(lái)越多的企業(yè)開(kāi)始將自己的業(yè)務(wù)通過(guò)Internet直接提供給客戶(hù),一個(gè)基于Internet的全球電子商務(wù)框架正在形成。而移動(dòng)電子商務(wù)不僅具備電子商務(wù)快速、靈活、方便等特點(diǎn),更是以其接入互聯(lián)網(wǎng)進(jìn)行商務(wù)活動(dòng)的隨時(shí)性、可移動(dòng)性引發(fā)其迅速地發(fā)展,從而移動(dòng)商務(wù)安全問(wèn)題成為了重要解決的問(wèn)題。本文首先介紹了移動(dòng)商務(wù)安全,再分析了移動(dòng)商務(wù)的安全需求,進(jìn)而提出了相應(yīng)的解決方案。

[關(guān)鍵詞]密鑰 電子商務(wù) 加密 移動(dòng)

一、移動(dòng)商務(wù)安全概述

移動(dòng)商務(wù)就是在交易活動(dòng)中用手機(jī)、掌上電腦、筆記本電腦作為支付載體,通過(guò)短信、WAP、IVR等方式,使用移動(dòng)話(huà)費(fèi)或使用信用卡作為支付資金,完成購(gòu)物、繳費(fèi)、銀行轉(zhuǎn)賬等商務(wù)活動(dòng)。通過(guò)手機(jī)投注、網(wǎng)上購(gòu)買(mǎi)游戲卡、移動(dòng)夢(mèng)網(wǎng)和手機(jī)支付水電費(fèi)、燃?xì)赓M(fèi)等商務(wù)活動(dòng),移動(dòng)商務(wù)組建走進(jìn)了普通百姓的生活。

盡管移動(dòng)電子商務(wù)給工作效率的提高帶來(lái)了諸多優(yōu)勢(shì),但是安全問(wèn)題仍是移動(dòng)商務(wù)推廣應(yīng)用的瓶頸。由于無(wú)線(xiàn)設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大部分的病毒掃描和入侵檢測(cè)的程序,有線(xiàn)網(wǎng)絡(luò)安全技術(shù)手段不能完全適用于無(wú)線(xiàn)設(shè)備。移動(dòng)設(shè)備是電子商務(wù)應(yīng)用的新接口,但它們的安全功能卻受到嚴(yán)重限制。

移動(dòng)電子商務(wù)安全主要存在三大方面的問(wèn)題:(1)移動(dòng)終端的安全問(wèn)題,包括終端易被盜用、加密能力弱和移動(dòng)信息易被攔截等方面。(2)無(wú)線(xiàn)通信網(wǎng)絡(luò)的安全問(wèn)題。(3)服務(wù)網(wǎng)絡(luò)的安全問(wèn)題。

二、移動(dòng)商務(wù)的安全需求

在移動(dòng)商務(wù)系統(tǒng)中,通信會(huì)話(huà)開(kāi)始之前的安全協(xié)議就是身份認(rèn)證和密鑰協(xié)商協(xié)議,主要考慮一下安全需求。

1.雙向身份認(rèn)證,主要指移動(dòng)用戶(hù)與移動(dòng)通信網(wǎng)絡(luò)之間相互認(rèn)證身份,這是安全通信中最基本的安全需求。

2.密鑰協(xié)商和雙向密鑰控制,主要指移動(dòng)用戶(hù)與移動(dòng)網(wǎng)絡(luò)之間通過(guò)安全參數(shù)協(xié)商確定會(huì)話(huà)密鑰,而不能單獨(dú)由一方確定,保證一次一密。

3.雙向密鑰確認(rèn),主要指移動(dòng)用戶(hù)與移動(dòng)網(wǎng)絡(luò)系統(tǒng)要進(jìn)行相互確認(rèn),確保對(duì)方和自己擁有相同的會(huì)話(huà)密鑰,以保證接下來(lái)的會(huì)話(huà)中經(jīng)過(guò)自己加密的信息在被對(duì)方接收后能夠進(jìn)行解密。

4.相關(guān)數(shù)據(jù)的不可否認(rèn),主要指移動(dòng)通信中的某一方對(duì)自己發(fā)送或者接收到的某些數(shù)據(jù)在事后不能進(jìn)行抵賴(lài)。

5.相關(guān)敏感數(shù)據(jù)的機(jī)密性,特別用于用戶(hù)的身份信息,即身份信息不能以明文形式在網(wǎng)絡(luò)中傳輸。

6.協(xié)議盡量簡(jiǎn)單,目前移動(dòng)通信系統(tǒng)的帶寬受限,以及移動(dòng)通信終端的計(jì)算資源有限,所設(shè)計(jì)的身份認(rèn)證和密鑰協(xié)商協(xié)議應(yīng)該保證盡量簡(jiǎn)單、計(jì)算量小、通信量小。

在具體的安全需求分析中,應(yīng)該根據(jù)實(shí)際情況的需要來(lái)設(shè)計(jì)滿(mǎn)足其中上述部分安全需求的協(xié)議。

三、移動(dòng)商務(wù)安全的解決方案

從安全需求出發(fā),常用的移動(dòng)商務(wù)解決方案包括以下幾個(gè)方面。

1.加密技術(shù),即包括對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密,常用的對(duì)稱(chēng)加密算法有DES、IDEA和AES,非對(duì)稱(chēng)加密算法有RSA、橢圓曲線(xiàn)加密體制等。

2.個(gè)人防火墻是保護(hù)本地系統(tǒng)或網(wǎng)絡(luò),抵制網(wǎng)絡(luò)攻擊的最主要的網(wǎng)絡(luò)安全技術(shù)。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)、潛在破壞性的侵入。防火墻具備防止外部攻擊、防止內(nèi)部信息外泄、對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)等功能。

3.嚴(yán)格的用戶(hù)鑒權(quán),為了確保移動(dòng)環(huán)境中的安全性,強(qiáng)烈要求應(yīng)用“雙鑰”鑒權(quán)。

4.單一登入,鑒權(quán)支持可實(shí)現(xiàn)單一登入功能,因此用戶(hù)可以使用該環(huán)境中的所有服務(wù)和應(yīng)用,無(wú)需進(jìn)行進(jìn)一步的用戶(hù)可視鑒權(quán)。

5.無(wú)線(xiàn)PKI技術(shù),可通過(guò)部署無(wú)線(xiàn)公共密鑰基礎(chǔ)設(shè)施技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)傳輸路徑的真正的端到端安全性、安全的用戶(hù)鑒權(quán)及可信交易。

6.授權(quán),用來(lái)管理和集成用戶(hù)接入控制及授權(quán)信息,并在必要時(shí)對(duì)用戶(hù)接入加以限制。

7.安全流程,了解風(fēng)險(xiǎn)、構(gòu)建正確的結(jié)構(gòu)以及部署適當(dāng)?shù)陌踩刂剖羌笫?且必須通過(guò)結(jié)構(gòu)化流程加以管理。

四、總結(jié)

移動(dòng)電子商務(wù)的安全問(wèn)題是值得關(guān)注的熱點(diǎn)問(wèn)題,如何保障移動(dòng)電子商務(wù)安全也是目前急迫需要解決地問(wèn)題。我們不但要從技術(shù)要去是實(shí)現(xiàn)信息加密、數(shù)據(jù)過(guò)濾、用戶(hù)授權(quán)和無(wú)線(xiàn)PKI技術(shù)等問(wèn)題,還要具備完善的法律條例雙管齊下。對(duì)于移動(dòng)終端,盡量減少中病毒的機(jī)會(huì),發(fā)現(xiàn)安全隱患,應(yīng)當(dāng)及時(shí)處理,時(shí)刻保持安全意識(shí),促進(jìn)移動(dòng)電子商務(wù)的發(fā)展,也讓越來(lái)越多的人能夠放心地享受便捷的生活方式。

參考文獻(xiàn):

[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學(xué),2006.

[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(6).

[3]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學(xué)報(bào),2007,(2).

[4]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學(xué)院學(xué)報(bào),2005,(1).

[5]肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用.華南理工大學(xué)出版色,2008,(2).