移动电子商务安全分析专业论文.docx
《移动电子商务安全分析专业论文.docx》由会员分享,可在线阅读,更多相关《移动电子商务安全分析专业论文.docx(14页珍藏版)》请在冰豆网上搜索。
移动电子商务安全分析专业论文
中南民族大学
“移动电子商务案例分析”课程论文
题目
移动电子商务安全
姓名:
官燕青
学号:
10122129
专业:
行政管理
年级:
2010级
学期:
2011-2012学年第2学期
教师评语:
摘要
B2C商务是企业与消费者之间的电子商务,它是以Internet为02主要服务提供手段,
实现奋众消费和提供服务,并保证与其相关的付袄方式电子化的一种模式。
B2C电子商务
的发展一直被业界所关注。
我国电子商务的环境在不断改善,接受网上购物方式的消费者越来越多。
目前我国B2C
电子商务市场发展的红红火火,各大企业激烈的竞争,使B2C市场迅速发展并日益完善,
国内B2C市场发展持续看好。
但综观其发展现状,B2C电子商务发展仍存在着一些问题,
国内B2C电子商务网站近几年也都面临着严峻的挑战。
本文分析了当前中国B2C电子商务的困境;针对目前B2C电子商务企业所处的困境,提出了新的可能的发展思路,并对其发展前景进行了分析。
关键词
B2C电子商务问题发展思路发展前景
Abstract
B2Cbusinessenterprisesandconsumersofe-commerce,itisintheInternet
serviceproviderasthemainmeansofimplementationofthefenzhiunigenmata
andconsumptionandprovisionofservices,andguaranteesassociatedwiththe
waytopayforwhichtheChienyielectronization.B2Ce-commercedevelopmenthasalwaysbeentheseconcerns.
ElectroniccommerceinChinaenvironmentaiimprovements,acceptthewayconsumersonlineshoppingmoreandmore.butChina2001noB2Candtoomanygratifying,evenhadaleadinge-commerceWebsitehadtofacethefateoftheirchoice.thestatusofthereasonsfornotjuste-commerceasawhole,someofthereasonsarealsoincludedsomeeffectsofB2Ce-commercedevelopmentof
specificreasons.marketdevelopmentissues,suchastheInternetenvironmentandconditions,creditimproremant,problom,legislativeissues,operationalproblems,etc.thesebottleneckscanberesolved,forthedevelopmentofelectroniccommercewillbeenormous.
ThispaperanalyzesthecurrentChineseB2Ce-commerce;fortheplightof
B2Ce-commercebusinessplight,hasraisednewpossibilitiesofdevelopmentthinking,andontheirdevelopmentprospects.
Keywords
B2Ce-commerce
questionenvironmenetthedevelopmentprospects
摘要n
第1章移动电子商务的安全5
1.1移动电子商务面临的威胁5
第2章移动电子商务的安全需求6
2.1移动电子商务的安全技术7
2.1.1对称密码算法7
2.1.2非对称密码算法8
第3章数字签名9
结论10
参考文献11
第一章移动电子商务的安全
从全球电子商务的安全性上看,
般要满足四个要求:
一是安全可靠的电信网络;二是保
护有关网络的信息系统的有效方法;三是证实及确保电子信息的机密性,防止信息XX
而使用的有效方法;四是电子商务交易的安全性,包括电子支付的安全和商品的安全。
1.1移动电子商务面临的安全威胁
随着移动网络从2.5G到3G的演进和移动数据传输速率的提高,面向移动电子商务的业务领域得到了快速发展。
无线信道是一个开放性的信道,它给移动电子商务带来通信自由
和灵活性的同时,也带来了诸多不安全因素。
一、技术方面的安全威胁
1.网络本身的安全威胁。
传统的有线网络是利用通信电缆作为传播介质,这些介质大部分处于地下等比较安全的
场所,因此中间的传输区域相对是受控制的。
而在无线通信网络中,所有的通信内容(如移
动用户的通话信息、身份信息、位置信息等)都是通过无线信道传送的,无线信道是一个开放性信道,是利用无线电波进行传播的,任何个人和组织不需要申请就可以进行通信。
在无
线网络中的信号很容易受到拦截并被解码,只要具有适当的无线接收设备就可以很容易实现
无线窃听,而且很难被发现。
无线窃听可以导致信息泄露,移动用户的身份信息和位置信息
的泄露可以导致移动用户被无线跟踪。
这对于移动电子商务的信息安全构成了潜在威胁。
在
无线通信网络中,移动站与网络控制中心以及其它移动站之间不存在固定的物理连接,移动
站必须通过无线信道传送用户的身份信息。
由于无线信道信息传送过程可能被窃听,当攻击
者截获到一个合法用户的身份信息时,他就可以利用这个信息来冒充该合法用户的身份入网,访问网络资源或者使用一些收费通信服务等,这就是所谓的身份冒充攻击。
另外,攻击
者还可以假冒网络控制中心,冒充网络端基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而冒充合法的移动用户身份。
2.无线网络标准的安全漏洞。
移动电子商务涉及到很多无线网络标准,其中使用最广泛的是实现手机无
线访问因Internet的WAP标准和构建WLAN(无线局域网)的802.11标准。
WAP中
WTLS(无线传输层安全)协议仅仅加密由WAP设备到WAP网关的数据,数据通过SSL
传送至网关上有短暂的时间处于明文状态;802.
11标准使用的WEP(无线等效协议)安全机制存在密钥容易泄露且难以管理等缺陷;许多
WLAN在跨越不同子网时往往不需要第二次的登陆验证。
这些缺陷容易造成数据拦截和窃取,给移动电子商务的应用带来了很大的安全隐患。
3.移动终端的安全。
移动终端因为体积小、重量轻便于随身携带和使用,但是也容易丢失和被窃。
对个人而
言,移动终端的丢失意味着别人将会看到移动设备上的数字证书,以及其他一些重要数据。
利用存储的数据,拿到移动终端的人可以访问企业内部网络,包括E-mail服务器和文件系
统等。
目前手持移动终端的最大问题就是缺乏对特定用户的实体认证机制。
二、管理方面的威胁
1.手机短信的安全管理。
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,其中垃圾短信成为困扰
用户的主要因素。
他们一般通过非正常渠道获得一些发送手机短信价格十分低廉的短信卡,
利用“短信猫”在短时间内向移动用户密集发送垃圾短信,这类短信显示的发送号码都是正
常的11位手机号码,短信中诱惑性的文字可能会间接骗取用户的金融资料。
垃圾短信使得
人们对移动电子商务充满恐惧,不敢在网络上使用自己的移动设备从事商务活动。
目前还没
有相关的法律法规
来规范垃圾短信,运营商也只是在技术层面上来垃圾短信的群发。
2.信息安全管理的标准化问题。
目前移动电子商务产业刚刚起步,这个领域还没有国际标准,我国也没有自己的国家标
准和统一管理机构。
设备厂商在无线局域网设备安全性能的实现方式上各行其道,使得移动
用户既不能获得真正等效于有线互联网的安全保证,也难以在保证通讯安全的基础上实现互
通互联和信息共享。
由于没有安全标准的评测依据,又缺乏有关信息安全的管理法规,主管
部门很难对信息安全标准做出规范要求,这也为移动电子商务信息安全的审查和管理工作带
来了很大困难。
第二章移动电子商务的安全需求
由于移动电子商务是基于无线通信技术的网络层应用,在安全性方面还存在一些特殊的
威胁,在安全保护方面也存在特殊的困难。
例如,无线网络更容易被外部窃听;无线信道带
宽有限,认证信息不能太多,否则会影响系统的吞吐量;移动电子商务中通信单元具有移动性,更增加了安全机制的不确定性。
移动电子商务的安全威胁主要来源于如下几个方面。
假冒(EasqueradeorSpoofing)是指攻击者装扮成另一合法用户来非法访问受害者的资源以获取某种利益或达到破坏的目的。
要进行假冒攻击需要一些特殊的工具来处理协议数
据单元(PDU),并且可能需要一些特定的访问权限。
网络中的结点必须具有非法用户无法模
仿的特征,并且能够正确处理合法用户的这些特征,保证系统安全。
窃听(Eavesdropping)是指攻击者通过对传输媒介的监听非法获取传输的信息,是对通
信网络最常见的攻击方式。
这种威胁完全来源于无线链路的开放性,但是由于无线网络传输
距离受到功率与信噪比的限制,窃听结点必须与源节点距离较近,所以与以太网,FDDI等
典型有线网络相比,更容易发现外部窃听结点。
非授权访问(UnauthorizedAccess)是攻击者违反安全策略,利用安全系统的缺陷非法
占有系统资源或访问本应受保护的信息。
所以,必须对网络中的通信单元增加认证机制,以
防止非法用户使用网络资源。
有中心无线网络由于具有核心结点实现认证功能相对容易’而
无中心网络没有固定基点,结点的移动不确定,加之其特有的多跳特点,认证机制比较复杂。
服务拒绝(Denailofservice)是指入侵者通过某些手段使合法的网络实体无法获得其应有的网络服务。
在移动电子商务中,这种威胁包括阻止合法用户连接的建立,或者,通过向网络或指定网络单元发送大量数据来破坏合法用户的正常通信。
对于这种威胁,通过可采取
认证机制和流量控制机制来防止。
移动电子商务的安全要素主要体现在以下几个方面:
有效性、真实性即是对信息、实体的有效性、真实性进行鉴别。
电子商务以电子形式取
代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。
电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业、或国家
的经济利益和声誉。
因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制盒预防,以保证贸易数据在确定的时刻、确定
的地点是有效真实的。
机密性要求即是能保证信息不被泄露给非授权人或实体。
在利用网络进行的交易中,必
须保证发送者和接收者之间交换的信息的保密性。
电子商务作为贸易的一种手段,其信息直
接代表着个人、企业或国家的商业机密。
传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个较为开放的网络
环境上的,商业泄密是电子商务全面推广应用的重要保障。
因此,要预防非法的信息存取和
信息在传输过程中被非法窃取。
要确保只有合法用户才能看到数据,防止泄密事件。
数据的完整性要求即是能保证数据的一致性,防止数据被非法授权建立、修改和破坏。
2.1移动电子商务的安全技术
密码学中两种常见的密码算法为对称密码算法(单钥密码算法)和非对称密码算法(公钥
密码算法)。
2.1.1对称密码算法
对称密码算法又叫单钥密码算法,就是加密密钥能够从解密密钥中推算出来,反过来也
成立。
在大多数对称算法中,加密解密密钥是相同的,这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定以个密钥,对称算法的安全系性依赖于
密钥,泄露密钥意味着任何人都能对信息进行加密解密。
只要通信需要保密,密钥就必须保
密。
对称算法的加密解密表示为:
EK(M)=C
DK(C)=M
对称算法可分为两类。
一次只对明文中的单个位运算的算法称为序列算法或序列密码。
另一类算法是对明文的一组位进行运算,这些位组称为分组,相应的算法称为分组算法或分
组密码。
现代计算机密码算法的典型分组长度为64位一一这个长度大到足以防止分析破
译,但又小到足以方便作用。
这种算法具有如下的特性:
DK(EK(M))=M
常用的采用对称密码技术的加密方案有5个组成部分
1)明文:
原始信息
2)加密算法:
以密钥为参数,对明文进行多种置换和转换的规则和步骤,变换结果为
密文。
3)密钥:
加密与解密算法的参数,直接影响对明文进行变换的结果。
4)密文:
对明文进行变换的结果。
5)解密算法:
加密算法的逆变换,以密文为输入,密钥为参数,变换结果为明文。
对称密码技术的优点在于效率高,算法简单,系统开销小,适合加密大量数据。
尽管对称密码技术有一些很好的特性,但它也存在着明显的缺陷,包括:
1)进行安全通信前需要以安全的方式进行密钥变换。
这一步骤,在某种情况下是可行的,但在某些情况下会非常困难,甚至无法实现。
2)规模复杂
通过应用基于对称密码的中心服务结构,上述问题有所缓解。
在这个体系中,团体中的
任何一个用户与中心服务器共享一个密钥。
因而,需要存储的密钥数量基本上和团体的人数
。
但是,这个与安
差不多,而且中心服务器也可以为以前互相不认识的用户充当“介绍人”
也意味着它还是
能进行。
这就意味着中心服务器是整个通信成败的关键和受攻击的焦点,个庞大组织通信服务的“瓶颈”
2.1.2非对称密钥算法
非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一样的或者说不能由其
中以个密钥推导出另一个密钥。
1.加解密时采用的密钥的差异:
从上述对对称密钥算法和非
对称密钥的算法的描述中可以看出,对称密钥算法具有加密处理简单,加解密速度快,密钥
较短,发展历史悠久等特点,非对称密钥算法具有加解密速度慢的特点,密钥尺寸大,发展历史较短的特点。
第三章数字签名
数字签名是一种类似写在纸上的普通的物理签名。
但是使用了公钥加密领域的技术实
现,用于鉴别数字信息的方法。
一套数字签名通常定义两种互补的运算,一个用于签名,另
一个用于验证。
数字签名不是指将你的签名扫描成数字图像,或者用触摸板获取的签名,更
不是你的落款。
数字签名的文件的完整性是很容易验证的,而且数字签名具有不可抵赖性。
简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变
换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并
保护数据,防止被人进行伪造。
它是对电子形式的信息进行签名的一种方法,一个签名信息能在一个通信网络中传输。
基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主
要是基于公钥密码体制的数字签名。
包括普通数字签名很特殊数字签名。
数字签名技术是不对称加密算法的典型应用。
数字签名的应用过程是数据源发送方使用
自己的私钥对数据校验和其他与数据内容有关的变量进行加密处理,完成对数据的合法“签
名”数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完
整性的检验,以确保签名的合法性。
数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签名”,在技术和法律上有保证。
在公钥与私钥管
理方面,数字签名应用与加盟邮件PGP技术正好相反。
在数字签名应用中,发送者的公钥
可以很方便地得到,但他的私钥则需要严格保密。
发送者身份认证、防止交易中的抵赖
与原文一起传送给接收者。
接收者
HASH函数对收到的原文产生一个
数字签名主要的功能是:
保证信息传输的完整性、发生。
数字签名技术是将来摘要信息用发送者的私钥加密,只有用发送的公钥才能解密被加密的摘要信息,然后用
摘要信息,与解密的摘要信息对比。
如果相同,则说明收到的信息完整的,在传输过程中美有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
数字签名是个加密的过程,数字签名验证是个解密的过程。
具有数字签名功能的个人安全邮件证书的一种,是指单位用户收发电子邮件时采用证书
机制保证安全所必须具备的证书。
个人安全电子邮件证书是符合X.509标准的数字安全证
书,结合数字证书和S/MIME技术对普通电子邮件做加密和数字签名处理,确保电子邮件内容的安全性、机密性、发件人身份确认性和不可抵赖性。
具有数字签名功能的个人安全邮
件证书包括证书持有人的电子邮件地址、证书持有人的公钥、颁发者以及颁发者对该证书的
签名。
个人安全邮件证书功能的实现决定于用户使用的邮件系统是否支持相应功能。
结论
移动电子商务随着移动互联网技术的成熟发展迅速,其应用使得其安全问题倍受关注。
从技术上看,一方面无线通信的安全处在不断发展和完善中,其应用到移动电子商务中时要
与其它的安全机制相结合才能满足实际应用的需要;另一方面有线电子商务的安全技术不能
解决移动电子商务的安全问题,所以WPKI技术是一个现实的选择。
因此,将这两方面进
行改进并进行有机的整合,才能营造一个安全的移动电子商务环境。
我们在本文中论述了各
种技术和手段来满足安全、便捷的移动电子商务。
目前,移动电子商务的技术已经日渐成熟,随着网络的飞速发展,人们不再满足于传统的局限在有限空间里的商务交易模式,希望随时随地进行交易,甚至在移动的过程中获得服务。
如何保证移动电子商务的安全成为一个重要的研究课题,同时由于种种原因到达其安全需求的困难性,决定看该研究具有很大的挑战性,它需要我们进行更深入细致的研究。
参考文献
:
1]汪应洛.中国移动商务研究与应用的回顾与展望
:
J].信息系统学报,2008(3).
:
2]汪应洛.电子商务学科的理论基础和研究方向
:
J].中国学科基金,2007(4).
:
3]赵干辅.中国移动电子商务发展初探[J].当代通信,2005(22).
:
4]叶乃沂,何耀琴,杨莉,王谦.电子商务]M].西南交通大学出版社,2002.
:
5]孔伟成,陈水芬.网络营销]M].高等教育出版社,2002.
:
6]刘杰,王春萌,范春晓•移动电子商务及WPKI技术]J].北京邮电大学学报,
2002
(2).
:
7]旋奈德(Schneider,G.P.).电子商务经济教材译丛[M].机械工业
出版社,2006.
:
8]史蒂芬•陈.电子商务战略管理(第2版)[M].北京大学出版社,2006.
[9]Wade,M.,S.Nevo.DevelopmentandValidationofaPerceptualInstrument
toMeasureE—CommercePerform-anee[J].InternationalJournalofElectronic
Commerce,2006,10
(2):
123—146.
[10]Belanger,F..E—CommerceWebDevelopment:
PerspectivefromtheField
[J].JournalofElectronicCom-merceinOrganizations,2006,4
(2):
1—4.
[11]Fisher,J.,H.Scheepers,R.Scheepers.E—Com-merceResearchin
2007,19
(1):
39.
Australia[J].ScandinavianJournalofIn-formationSystems
升级会员 