简述电子商务安全机制
电子商务安全的重要性:电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。最主要的还是一下这三大安全问题。
一、保护网络安全:
网络安全是为保护商务各方网络端系统之间通信过程的安全性。
二、保护应用安全:保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
三、保护系统安全:保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。
移动电子商务安全机制探讨[摘要] 文章分析了目前移动电子商务业务所面临的安全性问题,并结合移动电子商务的技术体系结构,从移动通信网络的角度出发,对影响移动电子商务发展前景的有关安全机制进行了探讨。
[关键词] 移动电子商务 安全机制 移动通信
移动电子商务(M-Commerce)是指通过手机、PDA、笔记本电脑等移动通信设备与无线上网技术结合所构成的一个电子商务体系。相对于传统的电子商务体系而言,移动电子商务可以使使用者在任何时间、任何地点都能够得到整个网络的信息与服务,增加了商务活动的灵活性、便利性、随时性,为企业带来了更多的商业机会。但由于电子商务本身存在的安全问题以及移动设施引发的新的商务安全隐患,使得移动电子商务的安全成为业内人士关注的热点,直接关系到移动电子商务模式的运行前景。
一、移动电子商务面临的安全性问题
1.来自移动通信终端的安全威胁
与有线终端相比,移动通信终端的资源状况非常有限,CPU的处理能力、内存的容量、数据传输速率等都与有线终端存在很大的差距,使得在有限的资源中开展的业务受到很大的限制。移动通信终端体积小、重量轻,便于随身携带使用,但也容易丢失和被窃。这使得攻击者可以通过所获取来的移动终端上的数据资源如数字证书、机密数据等,非授权访问企业内部网络的系统资源,或破坏移动通信终端中的数据完整性。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
2.无线通信网络本身的威胁
移动电子商务是基于移动通信系统的无线数据通信技术的。无线通信网络是通过一个开放的信道进行通信,无法像有线网络那样依靠信道的安全来保护信息,这就使得它在给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素。这对于使用无线网络的用户信息安全、个人安全等都构成了潜在的威胁。
3.移动Ad-hoc网络存在的安全问题
Ad-Hoc网络是一种没有有线基础设施支持的移动网络,在不依赖基础网络设施的前提下由一定范围内的移动终端动态的建立可以互联的网络。由于移动Ad-Hoc网络所固有的开放的媒质、分布式的合作、动态的拓扑结构、受限的网络能力及缺乏中心授权机制等特点,使这种网络特别容易遭受攻击。
二、移动电子商务安全机制
目前,推动移动电子商务发展的技术主要包括有WAP(无线应用协议)技术、蓝牙技术、移动IP技术、无线局域网技术等。下面就这几个方面所实施的安全机制进行探讨。
1.无线应用协议(WAP)
无线应用协议是移动电子商务的核心技术之一,它由一系列协议组成,提供了一套开放、统一的技术平台,用来标准化无线通信设备,负责将Internet和移动通信网连接到一起,客观上已成为移动终端上网的标准。WAP的安全机制是由WTLS(无线传输层安全)协议、WIM(无线身份识别模块)、WPKI(无线公共密钥系统)、WMLScript(无线标记语言脚本)4部分组成。WTLS协议类似于互联网传输层安全协议,可以确保在WAP装置和WAP网关之间的安全通信;WIM是安装在WAP设备中的一个WAP身份识别模块,将安全功能从移动终端转移到抗损害设备中;WPKI是将互联网电子商务中PKI的安全机制优化延伸引入到移动电子商务中,提供身份认证的机制;WMLScript是一种能够提高编程功能的语言,可以用在基于WAP的应用开发中。
2.蓝牙技术
蓝牙技术是一种低成本、低功率的无线局域网技术。其为保护通信安全而采用的安全机制包括:采用跳频技术,提供一定的安全保障;使用字管理机制,作为蓝牙系统鉴权和加密的基础;严谨的链接字产生机制,以申请者的蓝牙设备地址、一个PIN码、PIN码的长度和一个随机数作为参数,通过E22 算法产生初始化字Kunit,并以此为基础进行相应的加密及鉴权操作;高安全性的蓝牙鉴权机制,以双鉴权的做法保证通信双方的身份认定;有效的数据加密技术,不仅对数据包加密,而且对加密过程的中间数据进行加密,防止系统被攻击和数据被窃取。
3.移动IP技术
移动IP技术通过在网络层改变IP协议,允许移动节点在不重新启动、不中断任何进行中的通信的前提下,移动自己的位置,从而实现移动通信终端在网络中的无逢漫游。但此项技术虽给用户提供一个方便快捷的信息交互环境,却也为恶意的技术闯入大开便捷之门,因此移动IP技术采用了隧道技术、安全路由、切换外地代理时的认证机制、采用IPSEC安全协定及数据加密、身份认证等多项安全措施,以确保可靠通信。
4.无线局域网(WLAN)技术
WLAN的安全机制包括物理措施和协议安全两个方面。采用扩频技术、服务集标识符访问控制、用户认证口令控制和访问控制列表等方式实现物理安全。WLAN安全领域的最新标准是IEEE 802.11i标准,其中有对有线等价协议改进的临时密钥完整性协议及先进加密标准来保护数据传输的安全,有IEEE 802.1x/EAP来达到认证、鉴权和动态密钥分配,有EAP/SIM (可扩展认证协议/用户识别卡)、EAP/AKA (可扩展认证协议/认证与密钥协商)使WLAN与GSM网络以及未来的3G网络能够互通。
随着移动通信技术的不断成熟,移动电子商务以其技术领先性与市场适应性体现出明显的竞争实力。更个性化的移动客户服务、更精确的移动营销方法、更高效的移动办公系统、更快速的移动信息采集与管理、更安全方便的移动支付手段以及更丰富的行业应用将为企业创造更高的商业效率。只有完善移动电子商务的安全技术问题,才能推动移动电子商务的飞速发展。
参考文献:
[1]唐晓东:电子商务中的信息安全[M].北京交通大学出版社,2006,9
[2]倪源:增强的无线局域网安全技术分析[J].中兴通讯技术,2003,6
[3]汪红松:移动电子商务的安全问题研究[J].电子商务, 2006,18
[4]贾晓芸:无线通信的安全机制[J].中国计算机报, 2007,7
电子商务安全服务是通过安全机制来实现的,安全机制是实现安全服务的具体方法和技术。不同的安全机制可实现不同的安全服务,一种安全服务可通过几种不同的安全机制结合来实现。在电子商务中采取的安全机制主要有以下几种。
(1)加密机制。加密可提供数据或业务流量信息的机密性。电子商务网络可应用两种形式的加密:即物理层的群路加密和网络层或应用层的端端加密。加密本身是支持许多一般安全业务的主要机制,特别是支持那些与机密性、对等实体鉴别和数据完整性有关的业务。
(2)数字签名机制。在电子商务安全系统中,数字签名有着特别重要的地位,是电子商务的核心部分,是实现电子商务中不可否认服务的有效手段。在使用公钥密码实现数字签名时,对公开密钥的完整性及其合法性证明是一项关键技术,公钥证书较好地保证了满足这两种特性的公开密钥的分发工作,具体地说,公钥证书的思想就是由一个可信的机构进行的对实体及其公开密钥具有约束力的数字签名,这个机构称为证书中心 CA。电子商务的安全对 CA具有较大的依赖性。作为电子商务网络安全的基础,为维护参与到电子商务中的商家、一般消费者的利益,CA的设计必须具备如下功能:
——签发证书
——管理和维护证书
——提供安全审计的依据
此外,作为安全系统的核心,CA本身必须是安全的。
(3)数据完整性机制。用于确保一个实体不会访问某些非法的资源,也不会非法地访问授权资源。它可以通过这样一些机构来实现,如访问控制表、通行字之类的鉴别信息和安全标签等。
(4)鉴别交换机制。通过某种信息交换来提供鉴别业务。
(5)业务流量填充机制。用来提供保护以防止业务流量分析,业务流量填充必须有机密性业务保护。
(6)路由控制机制。或者用来动态地选择路由,或者根据某种安排只选择物理上安全的子网或链路。其组件中可以有这样的指令,携带某种安全标签的数据禁止通过子网、中继或链路。
(7)审计跟踪。是一种基本的、全方位的安全措施。它对破坏电子商务安全的企图提供可追查的证据。安全策略应对审计跟踪的要求作出具体规定。
(8)密钥管理。在电子商务中,提供安全服务需要使用密码技术。密码技术的实现除设计安全外,另一个重要的方面就是密钥管理体制,包括密钥的产生、分发、更换、存储和销毁等内容。
答:(1)加密机制。加密可提供数据或业务流量信息的机密性。电子商务网络可应用两种形式的加密:即物理层的群路加密和网络层或应用层的端端加密。加密本身是支持许多一般安全业务的主要机制,特别是支持那些与机密性、对等实体鉴别和数据完整性有关的业务。(2)数字签名机制。在电子商务安全系统中,数字签名有着...
答:电子商务系统应该提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。(5)匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪。保证交易过程中的用户个人信息不会泄露,...
答:这个电子商务系统具有如下的安全交易特点:1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作; 已赞过 已踩过< 你对这个...
答:(1)系统安全性:指系统的稳定性和抗攻击能力,以及在受到攻击或系统出现软、硬件故障后的系统恢复能力。(2)数据安全性:是指保持数据的一致性、完整性,和使用权限的可控制性等。数据安全性包含以下几个方面:①数据的机密性。任何人不能看到其无权看到的信息;其中,比普通加密方式更进一步的是,任何...
答:试述电子商务的安全要求有哪些,通过那些方法能做到 1.机密性 电子商务作为贸易的一种手段,其资讯直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通讯渠道传送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网路环境上的,维护商业机密是电子商务...
答:简述电子商务对安全性的要求:1、信息保密性。信息泄露主要表现为:交易双方进行的交易内容被第三方窃取。交易一方提供给另一方使用的数据或文件被第三方非法使用。在电子交易过程中,商务信息均有保密要求。例如,信用卡的账号和用户名被人知悉,信用卡就可能被盗用;订货和付款的信息被竞争对手获悉,就可能...
答:1、数据传输安全隐患。电子商务是在开放的互联网上进行的贸易,大量的商务信息在计算机和网络上上存放、传输,从而形成信息传输风险。因此措施可以通过采用数据加密(包括秘密密钥加密和公开密钥加密)来实现的,数字信封技术是结合密钥加密和公开密钥加密技术实现的。2、数据完整性的安全隐患。数据的完整性安全...
答:从安全和信任的角度来看,传统的买卖双方是面对面的,因此很容易保证交易过程的安全性 和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制, 因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面 临安全威胁。1.卖方(销售者)面临的安全威胁 ...
答:【答案】:答案:电子商务系统的安全要求包括以下方面:数据保密:保证在Intenet上传送的数据信息不被第三方监视和窃取。数据完整性:保证在Internet上传送的数据信息不被篡改。身份验证;访问授权;不可抵赖和不可否认。
答:,国内主要有《电子签名法》、《中国互联网络域名管理办法》、《非经营性互联网信息服务备案管理办法》、《互联网IP地址亩案管理办法》、《电子认证服务管理办法》、《公用电信间接通及质量监督管理办法》、《计算机信息网络国际联网管理暂行规定》、《中国公众多媒体通信管理办法》、《计算机信息系统安全保护...
