移动电子商务安全分析专业论文.docx

1、移动电子商务安全分析专业论文中南民族大学“移动电子商务案例分析”课程论文题目移动电子商务安全姓名：官燕青学号：10122129专业：行政管理年级：2010 级学期：2011-2012 学年第 2学期教师评语：摘要B2C商务是企业与消费者之间的电子商务，它是以 In ternet为02主要服务提供手段，实现奋众消费和提供服务，并保证与其相关的付袄方式电子化的一种模式。 B2C电子商务的发展一直被业界所关注。我国电子商务的环境在不断改善， 接受网上购物方式的消费者越来越多。 目前我国B2C电子商务市场发展的红红火火，各大企业激烈的竞争，使 B2C市场迅速发展并日益完善，国内B2C市场发展持续看好。

2、但综观其发展现状， B2C电子商务发展仍存在着一些问题，国内B2C电子商务网站近几年也都面临着严峻的挑战。本文分析了当前中国B2C电子商务的困境；针对目前 B2C电子商务企业所处的困境，提 出了新的可能的发展思路，并对其发展前景进行了分析。关键词B2C 电子商务问题发展思路发展前景AbstractB2C bus in ess en terprises and con sumers of e - commerce, it is in the Internetservice provider as the main means of impleme ntatio n of the fen zhi

3、unigenm ataand consumption and provision of services, and guarantees associated with theway to pay for which the Chie nyi electro ni zati on .B2C e - commerce developme nt has always bee n these concerns.Electronic commerce in China environmentai improvements, accept the way con sumers on li ne shop

4、p ing more and more.but China 2001 no B2C and too many gratify ing, even had a leadi ng e - commerce Web site had to face the fate of their choice.the status of the reas ons for n ot just e - commerce as a whole, some of the reasons are also included some effects of B2C e - commerce development ofsp

5、ecific reas on s.market developme nt issues, such as the Internet environment and con diti ons, credit improrema nt, problom, legislative issues, operati onal problems, etc.these bottle necks can be resolved, for the developme nt of electro nic commerce will be eno rmous.This paper an alyzes the cur

6、re nt Chin ese B2C e - commerce; for the plight ofB2C e - commerce bus in ess plight, has raised new possibilities of developme nt thinking, and on their developme nt prospects.Key wordsB2C e - commercequesti on environmenet the developme nt prospects摘要 n第1章 移动电子商务的安全 51.1移动电子商务面临的威胁 5第2章 移动电子商务的安全需

7、求 62.1移动电子商务的安全技术 72.1.1对称密码算法 72.1.2非对称密码算法 8第3章数字签名 9结 论 10参考文献 11第一章 移动电子商务的安全从全球电子商务的安全性上看,般要满足四个要求：一是安全可靠的电信网络； 二是保护有关网络的信息系统的有效方法； 三是证实及确保电子信息的机密性， 防止信息XX而使用的有效方法；四是电子商务交易的安全性，包括电子支付的安全和商品的安全。1.1移动电子商务面临的安全威胁随着移动网络从2.5G到3G的演进和移动数据传输速率的提高，面向移动电子商务的 业务领域得到了快速发展。 无线信道是一个开放性的信道， 它给移动电子商务带来通信自由和灵活性

8、的同时，也带来了诸多不安全因素。一、技术方面的安全威胁1.网络本身的安全威胁。传统的有线网络是利用通信电缆作为传播介质， 这些介质大部分处于地下等比较安全的场所，因此中间的传输区域相对是受控制的。 而在无线通信网络中，所有的通信内容（如移动用户的通话信息、 身份信息、位置信息等）都是通过无线信道传送的，无线信道是一个开 放性信道，是利用无线电波进行传播的， 任何个人和组织不需要申请就可以进行通信。 在无线网络中的信号很容易受到拦截并被解码， 只要具有适当的无线接收设备就可以很容易实现无线窃听，而且很难被发现。 无线窃听可以导致信息泄露， 移动用户的身份信息和位置信息的泄露可以导致移动用户被无线

9、跟踪。 这对于移动电子商务的信息安全构成了潜在威胁。 在无线通信网络中，移动站与网络控制中心以及其它移动站之间不存在固定的物理连接， 移动站必须通过无线信道传送用户的身份信息。 由于无线信道信息传送过程可能被窃听， 当攻击者截获到一个合法用户的身份信息时，他就可以利用这个信息来冒充该合法用户的身份入 网，访问网络资源或者使用一些收费通信服务等， 这就是所谓的身份冒充攻击。另外， 攻击者还可以假冒网络控制中心， 冒充网络端基站来欺骗移动用户， 以此手段获得移动用户的身 份信息，从而冒充合法的移动用户身份。2.无线网络标准的安全漏洞。移动电子商务涉及到很多无线网络标准，其中使用 最广泛的是实现手机

10、无线访问因In ternet的WAP标准和构建 WLAN（无线局域网）的802.11标准。WAP中WTLS （无线传输层安全）协议仅仅加密由 WAP设备到 WAP网关的数据，数据通过 SSL传送至网关上有短暂的时间处于明文状态； 802.11标准使用的 WEP （无线等效协议）安全机制存在密钥容易泄露且难以管理等缺陷；许多WLAN在跨越不同子网时往往不需要第二次的登陆验证。这些缺陷容易造成数据拦截和窃 取，给移动电子商务的应用带来了很大的安全隐患 。3.移动终端的安全。移动终端因为体积小、重量轻便于随身携带和使用，但是也容易丢失和被窃。对个人而言，移动终端的丢失意味着别人将会看到移动设备上的数

11、字证书，以及其他一些重要数据。利用存储的数据，拿到移动终端的人可以访问企业内部网络，包括 E-mail服务器和文件系统等。目前手持移动终端的最大问题就是缺乏对特定用户的实体认证机制。二、管理方面的威胁1.手机短信的安全管理。在移动通信给人们带来便利和效率的同时，也带来了很多烦恼，其中垃圾短信成为困扰用户的主要因素。他们一般通过非正常渠道获得一些发送手机短信价格十分低廉的短信卡，利用“短信猫”在短时间内向移动用户密集发送垃圾短信， 这类短信显示的发送号码都是正常的11位手机号码，短信中诱惑性的文字可能会间接骗取用户的金融资料。垃圾短信使得人们对移动电子商务充满恐惧， 不敢在网络上使用自己的移动设

12、备从事商务活动。 目前还没有相关的法律法规来规范垃圾短信，运营商也只是在技术层面上来垃圾短信的群发。2.信息安全管理的标准化问题。目前移动电子商务产业刚刚起步，这个领域还没有国际标准，我国也没有自己的国家标准和统一管理机构。设备厂商在无线局域网设备安全性能的实现方式上各行其道， 使得移动用户既不能获得真正等效于有线互联网的安全保证， 也难以在保证通讯安全的基础上实现互通互联和信息共享。由于没有安全标准的评测依据， 又缺乏有关信息安全的管理法规， 主管部门很难对信息安全标准做出规范要求， 这也为移动电子商务信息安全的审查和管理工作带来了很大困难。第二章 移动电子商务的安全需求由于移动电子商务是基

13、于无线通信技术的网络层应用， 在安全性方面还存在一些特殊的威胁，在安全保护方面也存在特殊的困难。例如， 无线网络更容易被外部窃听；无线信道带宽有限，认证信息不能太多，否则会影响系统的吞吐量；移动电子商务中通信单元具有移动 性，更增加了安全机制的不确定性。移动电子商务的安全威胁主要来源于如下几个方面。假冒(Easquerade or Spoofing)是指攻击者装扮成另一合法用户来非法访问受害者的 资源以获取某种利益或达到破坏的目的。 要进行假冒攻击需要一些特殊的工具来处理协议数据单元(PDU)，并且可能需要一些特定的访问权限。 网络中的结点必须具有非法用户无法模仿的特征，并且能够正确处理合法用

14、户的这些特征，保证系统安全。窃听(Eavesdropping)是指攻击者通过对传输媒介的监听非法获取传输的信息， 是对通信网络最常见的攻击方式。这种威胁完全来源于无线链路的开放性， 但是由于无线网络传输距离受到功率与信噪比的限制，窃听结点必须与源节点距离较近，所以与以太网， FDDI等典型有线网络相比，更容易发现外部窃听结点。非授权访问(Unauthorized Access) 是攻击者违反安全策略，利用安全系统的缺陷非法占有系统资源或访问本应受保护的信息。 所以，必须对网络中的通信单元增加认证机制， 以防止非法用户使用网络资源。 有中心无线网络由于具有核心结点实现认证功能相对容易 而无中心网

15、络没有固定基点， 结点的移动不确定，加之其特有的多跳特点， 认证机制比较复杂。服务拒绝(Denail of service) 是指入侵者通过某些手段使合法的网络实体无法获得其应 有的网络服务。在移动电子商务中， 这种威胁包括阻止合法用户连接的建立，或者，通过向 网络或指定网络单元发送大量数据来破坏合法用户的正常通信。 对于这种威胁，通过可采取认证机制和流量控制机制来防止。移动电子商务的安全要素主要体现在以下几个方面：有效性、真实性即是对信息、实体的有效性、 真实性进行鉴别。电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。 电子商务作为贸易的一

16、种形式， 其信息的有效性和真实性将直接关系到个人、 企业、或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件 错误及计算机病毒所产生的潜在威胁加以控制盒预防， 以保证贸易数据在确定的时刻、确定的地点是有效真实的。机密性要求即是能保证信息不被泄露给非授权人或实体。 在利用网络进行的交易中， 必须保证发送者和接收者之间交换的信息的保密性。 电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可 靠的通信渠道发送商业报文来达到保守机密的目的。 电子商务是建立在一个较为开放的网络环境上的，商业泄密是电子商

17、务全面推广应用的重要保障。 因此，要预防非法的信息存取和信息在传输过程中被非法窃取。要确保只有合法用户才能看到数据，防止泄密事件。数据的完整性要求即是能保证数据的一致性，防止数据被非法授权建立、修改和破坏。2.1移动电子商务的安全技术密码学中两种常见的密码算法为对称密码算法 (单钥密码算法)和非对称密码算法(公钥密码算法)。2.1.1对称密码算法对称密码算法又叫单钥密码算法， 就是加密密钥能够从解密密钥中推算出来， 反过来也成立。在大多数对称算法中， 加密解密密钥是相同的， 这些算法也叫秘密密钥算法或单密钥 算法，它要求发送者和接收者在安全通信之前， 商定以个密钥，对称算法的安全系性依赖于密钥

18、，泄露密钥意味着任何人都能对信息进行加密解密。 只要通信需要保密， 密钥就必须保密。对称算法的加密解密表示为：EK(M)=CDK(C)=M对称算法可分为两类。一次只对明文中的单个位运算的算法称为序列算法或序列密码。另一类算法是对明文的一组位进行运算， 这些位组称为分组，相应的算法称为分组算法或分组密码。现代计算机密码算法的典型分组长度为 64位一一这个长度大到足以防止分析破译，但又小到足以方便作用。这种算法具有如下的特性：DK(EK(M)=M常用的采用对称密码技术的加密方案有 5个组成部分1 )明文：原始信息2)加密算法：以密钥为参数，对明文进行多种置换和转换的规则和步骤，变换结果为密文。3

19、）密钥：加密与解密算法的参数，直接影响对明文进行变换的结果。4）密文：对明文进行变换的结果。5 ）解密算法：加密算法的逆变换，以密文为输入，密钥为参数，变换结果为明文。 对称密码技术的优点在于效率高，算法简单，系统开销小，适合加密大量数据。尽管对称密码技术有一些很好的特性，但它也存在着明显的缺陷，包括：1） 进行安全通信前需要以安全的方式进行密钥变换。这一步骤，在某种情况下是可行 的，但在某些情况下会非常困难，甚至无法实现。2） 规模复杂通过应用基于对称密码的中心服务结构， 上述问题有所缓解。 在这个体系中，团体中的任何一个用户与中心服务器共享一个密钥。 因而，需要存储的密钥数量基本上和团体的

20、人数。但是，这个与安差不多，而且中心服务器也可以为以前互相不认识的用户充当“介绍人”也意味着它还是能进行。这就意味着中心服务器是整个通信成败的关键和受攻击的焦点, 个庞大组织通信服务的“瓶颈”2.1.2非对称密钥算法非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一样的或者说不能由其中以个密钥推导出另一个密钥。 1.加解密时采用的密钥的差异： 从上述对对称密钥算法和非对称密钥的算法的描述中可以看出， 对称密钥算法具有加密处理简单， 加解密速度快，密钥较短，发展历史悠久等特点，非对称密钥算法具有加解密速度慢的特点，密钥尺寸大， 发展 历史较短的特点。第三章数字签名数字签名是一种类似写在纸上

21、的普通的物理签名。但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。 一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名不是指将你的签名扫描成数字图像， 或者用触摸板获取的签名， 更不是你的落款。数字签名的文件的完整性是很容易验证的，而且数字签名具有不可抵赖性。简单地说，所谓数字签名就是附加在数据单元上的一些数据， 或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人进行伪造。它是对电子形式的信息进行签名的一种方法， 一个签名信息 能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以

22、获得数字签名， 目前主要是基于公钥密码体制的数字签名。包括普通数字签名很特殊数字签名。数字签名技术是不对称加密算法的典型应用。 数字签名的应用过程是数据源发送方使用自己的私钥对数据校验和其他与数据内容有关的变量进行加密处理， 完成对数据的合法“签名”数据接收方则利用对方的公钥来解读收到的 “数字签名”，并将解读结果用于对数据完整性的检验，以确保签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要 技术，完全可以代替现实过程中的“亲笔签名” ，在技术和法律上有保证。在公钥与私钥管理方面，数字签名应用与加盟邮件 PGP技术正好相反。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私

23、钥则需要严格保密。发送者身份认证、 防止交易中的抵赖与原文一起传送给接收者。接收者HASH函数对收到的原文产生一个数字签名主要的功能是： 保证信息传输的完整性、 发生。数字签名技术是将来摘要信息用发送者的私钥加密, 只有用发送的公钥才能解密被加密的摘要信息，然后用摘要信息，与解密的摘要信息对比。 如果相同，则说明收到的信息完整的， 在传输过程中美 有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。具有数字签名功能的个人安全邮件证书的一种， 是指单位用户收发电子邮件时采用证书机制保证安全所必须具备的证书。个人安全电子邮件证书是符

24、合 X.509标准的数字安全证书，结合数字证书和 S/MIME 技术对普通电子邮件做加密和数字签名处理，确保电子邮件 内容的安全性、机密性、发件人身份确认性和不可抵赖性。 具有数字签名功能的个人安全邮件证书包括证书持有人的电子邮件地址、 证书持有人的公钥、 颁发者以及颁发者对该证书的签名。个人安全邮件证书功能的实现决定于用户使用的邮件系统是否支持相应功能。结论移动电子商务随着移动互联网技术的成熟发展迅速，其应用使得其安全问题倍受关注。从技术上看，一方面无线通信的安全处在不断发展和完善中， 其应用到移动电子商务中时要与其它的安全机制相结合才能满足实际应用的需要； 另一方面有线电子商务的安全技术不

25、能解决移动电子商务的安全问题，所以 WPKI技术是一个现实的选择。因此，将这两方面进行改进并进行有机的整合，才能营造一个安全的移动电子商务环境。 我们在本文中论述了各种技术和手段来满足安全、便捷的移动电子商务。目前，移动电子商务的技术已经日渐成熟， 随着网络的飞速发展， 人们不再满足于传统 的局限在有限空间里的商务交易模式， 希望随时随地进行交易，甚至在移动的过程中获得服 务。如何保证移动电子商务的安全成为一个重要的研究课题， 同时由于种种原因到达其安全 需求的困难性，决定看该研究具有很大的挑战性，它需要我们进行更深入细致的研究。参考文献:1 汪应洛. 中国移动商务研究与应用的回顾与展望:J.

26、信息系统学报，2008( 3).:2 汪应洛. 电子商务学科的理论基础和研究方向:J.中国学科基金，2007( 4).:3 赵干辅. 中国移动电子商务发展初探J.当代通信，2005( 22).:4 叶乃沂，何耀琴，杨莉，王谦. 电子商务M .西南交通大学出版社，2002.:5 孔伟成，陈水芬. 网络营销M .高等教育出版社，2002.:6 刘杰，王春萌，范春晓 移动电子商务及 WPKI技术J.北京邮电大学学报，2002(2).:7 旋奈德(Schneider , G . P .).电子商务 经济教材译丛 M . 机械工业出版社，2006.:8史蒂芬陈.电子商务战略管理(第2版)M .北京大学出

27、版社，2006.9 Wade , M . , S . Nevo . Development and Validation ofa Perceptual Instrumentto Measure E Commerce Perform-a nee J. Intern ati onal Journal of Electro nicCommerce , 2006 , 10( 2) : 123 146.10 Belanger ,F . . E Commerce Web Development:Perspective from the FieldJ . Journal of Electronic Com-merce in Organizations , 2006 , 4( 2) : 1 4.11 Fisher , J . , H . Scheepers , R . Scheepers . E Com-merce Research in,2007 , 19( 1) : 39.Australia J . Scandin avia n Journal of In-formatio n Systems