陶 玲

[摘要]隨著電子商務(wù)的發(fā)展,越來越多的企業(yè)開始將自己的業(yè)務(wù)通過Internet直接提供給客戶,一個基于Internet的全球電子商務(wù)框架正在形成。而移動電子商務(wù)不僅具備電子商務(wù)快速、靈活、方便等特點,更是以其接入互聯(lián)網(wǎng)進行商務(wù)活動的隨時性、可移動性引發(fā)其迅速地發(fā)展,從而移動商務(wù)安全問題成為了重要解決的問題。本文首先介紹了移動商務(wù)安全,再分析了移動商務(wù)的安全需求,進而提出了相應(yīng)的解決方案。

[關(guān)鍵詞]密鑰 電子商務(wù) 加密 移動

一、移動商務(wù)安全概述

移動商務(wù)就是在交易活動中用手機、掌上電腦、筆記本電腦作為支付載體,通過短信、WAP、IVR等方式,使用移動話費或使用信用卡作為支付資金,完成購物、繳費、銀行轉(zhuǎn)賬等商務(wù)活動。通過手機投注、網(wǎng)上購買游戲卡、移動夢網(wǎng)和手機支付水電費、燃氣費等商務(wù)活動,移動商務(wù)組建走進了普通百姓的生活。

盡管移動電子商務(wù)給工作效率的提高帶來了諸多優(yōu)勢,但是安全問題仍是移動商務(wù)推廣應(yīng)用的瓶頸。由于無線設(shè)備的內(nèi)存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序,有線網(wǎng)絡(luò)安全技術(shù)手段不能完全適用于無線設(shè)備。移動設(shè)備是電子商務(wù)應(yīng)用的新接口,但它們的安全功能卻受到嚴重限制。

移動電子商務(wù)安全主要存在三大方面的問題:(1)移動終端的安全問題,包括終端易被盜用、加密能力弱和移動信息易被攔截等方面。(2)無線通信網(wǎng)絡(luò)的安全問題。(3)服務(wù)網(wǎng)絡(luò)的安全問題。

二、移動商務(wù)的安全需求

在移動商務(wù)系統(tǒng)中,通信會話開始之前的安全協(xié)議就是身份認證和密鑰協(xié)商協(xié)議,主要考慮一下安全需求。

1.雙向身份認證,主要指移動用戶與移動通信網(wǎng)絡(luò)之間相互認證身份,這是安全通信中最基本的安全需求。

2.密鑰協(xié)商和雙向密鑰控制,主要指移動用戶與移動網(wǎng)絡(luò)之間通過安全參數(shù)協(xié)商確定會話密鑰,而不能單獨由一方確定,保證一次一密。

3.雙向密鑰確認,主要指移動用戶與移動網(wǎng)絡(luò)系統(tǒng)要進行相互確認,確保對方和自己擁有相同的會話密鑰,以保證接下來的會話中經(jīng)過自己加密的信息在被對方接收后能夠進行解密。

4.相關(guān)數(shù)據(jù)的不可否認,主要指移動通信中的某一方對自己發(fā)送或者接收到的某些數(shù)據(jù)在事后不能進行抵賴。

5.相關(guān)敏感數(shù)據(jù)的機密性,特別用于用戶的身份信息,即身份信息不能以明文形式在網(wǎng)絡(luò)中傳輸。

6.協(xié)議盡量簡單,目前移動通信系統(tǒng)的帶寬受限,以及移動通信終端的計算資源有限,所設(shè)計的身份認證和密鑰協(xié)商協(xié)議應(yīng)該保證盡量簡單、計算量小、通信量小。

在具體的安全需求分析中,應(yīng)該根據(jù)實際情況的需要來設(shè)計滿足其中上述部分安全需求的協(xié)議。

三、移動商務(wù)安全的解決方案

從安全需求出發(fā),常用的移動商務(wù)解決方案包括以下幾個方面。

1.加密技術(shù),即包括對稱加密和非對稱加密,常用的對稱加密算法有DES、IDEA和AES,非對稱加密算法有RSA、橢圓曲線加密體制等。

2.個人防火墻是保護本地系統(tǒng)或網(wǎng)絡(luò),抵制網(wǎng)絡(luò)攻擊的最主要的網(wǎng)絡(luò)安全技術(shù)。防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測、潛在破壞性的侵入。防火墻具備防止外部攻擊、防止內(nèi)部信息外泄、對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計等功能。

3.嚴格的用戶鑒權(quán),為了確保移動環(huán)境中的安全性,強烈要求應(yīng)用“雙鑰”鑒權(quán)。

4.單一登入,鑒權(quán)支持可實現(xiàn)單一登入功能,因此用戶可以使用該環(huán)境中的所有服務(wù)和應(yīng)用,無需進行進一步的用戶可視鑒權(quán)。

5.無線PKI技術(shù),可通過部署無線公共密鑰基礎(chǔ)設(shè)施技術(shù)來實現(xiàn)數(shù)據(jù)傳輸路徑的真正的端到端安全性、安全的用戶鑒權(quán)及可信交易。

6.授權(quán),用來管理和集成用戶接入控制及授權(quán)信息,并在必要時對用戶接入加以限制。

7.安全流程,了解風險、構(gòu)建正確的結(jié)構(gòu)以及部署適當?shù)陌踩刂剖羌笫?且必須通過結(jié)構(gòu)化流程加以管理。

四、總結(jié)

移動電子商務(wù)的安全問題是值得關(guān)注的熱點問題,如何保障移動電子商務(wù)安全也是目前急迫需要解決地問題。我們不但要從技術(shù)要去是實現(xiàn)信息加密、數(shù)據(jù)過濾、用戶授權(quán)和無線PKI技術(shù)等問題,還要具備完善的法律條例雙管齊下。對于移動終端,盡量減少中病毒的機會,發(fā)現(xiàn)安全隱患,應(yīng)當及時處理,時刻保持安全意識,促進移動電子商務(wù)的發(fā)展,也讓越來越多的人能夠放心地享受便捷的生活方式。

參考文獻:

[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學,2006.

[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(6).

[3]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學報,2007,(2).

[4]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學院學報,2005,(1).

[5]肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用.華南理工大學出版色,2008,(2).