關鍵詞: 電子商務 安全套接層協議 安全電子交易
淺析電子商務的安全技術2
【文章摘要】隨着科技的進步,智能手機的普及,移動電子商務應用越來越普及。
但是隨着移動電子商務的蓬勃發
展,在實際應用中,由於是處於移動通訊的狀態,更加之移動端的手機或平板電腦的特點使移動電子商務具有自身特別的安全風險,同時需要我們針對移動安全風險給出針對性的安全技術。本文結合移動電子商務特點,分析其面臨的風險,並分析應用在移動電子商務中的主要安全技術。
【關鍵詞】移動電子商務;網絡安全
社會發展科技進步,網絡和資訊技術極大的改變着人們的生活方式,而人們的生活方式又對資訊技術和網絡技術的發展提供了方向和前進的動力,隨着iOS系統和Android系統在移動端的成功,Win8的興起,全世界範圍內的移動端操作系統逐步普及,隨着市場的膨脹和ARM和Intel等芯片商的技術投入,移動端的手機或平板電腦計算能力越來越強大。這爲電子商務轉移到移動端提供了堅實的基礎,同時隨着各種針對移動端電子商務安全技術的進步,國內外大型電商(淘寶、亞馬遜、京東)、銀行(中農工建等)、證券(招商證券、中信證券等)、保險(平安、太平洋等)等企業紛紛推出自己的移動電子商務平臺。這些軟件硬件的普及更是助推了移動電子商務的.發展,將移動電子商務的發展推入了快車道。但是隨着移動電子商務的蓬勃發展,在實際應用中,由於是處於移動通訊的狀態,更加之移動端的手機或平板電腦的特點使移動電子商務具有自身特別的安全風險,同時需要我們針對移動安全風險給出針對性的安全技術。本文結合移動電子商務特點,分析其面臨的風險,並分析應用在移動電子商務中的主要安全技術。
1移動電子商務的特點
1.1移動性移動電子商務
最大的特點也可以說是最大的優點就是其是移動接入的,讓用戶可以隨時隨地的進行網絡訪問和網絡商務活動。
1.2天然的身份認定和私密性
由於手機或者平板電腦在移動端接入網絡時候使用的是電信服務商提供的SIM卡,每張SIM卡都是全球唯一的,以SIM卡可以識別用戶資訊,在SIM2.0中還可以在SIM卡的IC芯片中還可以對用戶資訊,銀行帳號、CA證書等進行綁定,更進一步的應用還可以寫入公鑰、算法等加密解密措施。SIM卡可以看作是用戶隨身攜帶的一個網絡鑰匙,同時SIM卡用於手機專人專用的特性也賦予了用戶的私密性。
1.3多重移動支付手段
移動的電子商務不僅可以以intel網爲基礎還可以做到以實體電子錢包的形式出現,在基於NFC進場通訊、短信、二維碼支付等方便快捷的多種支付手段的基礎可以實現日常生活中的微支付、遠程支付、面對面支付等。極大的滿足了人們對於資金的管理和電子商務的便捷性
2移動電子商務的網絡風險特點
移動電子商務是網絡電子商務的延續,其面對的風險除了電子商務中共有的網絡安全風險、病毒木馬等問題外,還主要存在無線通訊網絡風險和SIM卡丟失或被複制的風險。其中無線通訊網絡又可分爲以SIM卡爲基礎的通訊網絡接入和以WIFI爲基礎的無線路由器接入。在無線通訊過程中的信道是開放傳送的,可以被輕鬆的竊取(2.5GHz,5GHz)。在基於wifi連接的無線路由器連接中,可能存在被監聽或盜取無線路由器管理密碼進而導致數據加密被盜取等風險。
同時SIM卡雖然能夠作爲身份認證存在,但是存在着隨手機被盜、被複制的風險。在基於SIM卡被盜或被複制後可能存在身份資訊被冒用,銀行賬號被盜用等問題。
3移動電子商務的安全技術
3.1生物識別技術
隨着移動端手機、平板電腦的硬件發展和軟件進步,有些手機或平板已經實現了生物識別,如iphone5S/C基於攝像頭的指紋識別技術、微軟的基於攝像頭的人臉識別技術、以及常用的手勢加密等方式以最簡單快捷的形式完成身份識別。在移動端計算能力不斷提升、攝像頭的普及的前提下,已經有很多iOS和Android的應用軟件能夠在不增加硬件設施的情況下實現指紋識別,這類技術的使用能夠極大的提高移動設備的私密性和抗破解能力。做到了即使丟失也很難被破解。
3.2WEP2協議
在RSA公鑰加密技術上發展而來的有線等效保密(WEP,WiredEquivalentPrivacy)是第一代的移動安全技術,而後針對WEP的缺陷發明了WPA技術,在WPA技術的基礎上進一步優化算法做出了WPA2技術,目前WPA2技術是無線網絡加密的最高等級,用計數器模式密碼塊鏈消息完整碼協議(CCMP、CounterCBC-MACProtocol)算法和進階加密標準(AdvancedEncryptionStandard,AES)算法。但是近年來由日本學者破解了該套算法的較簡單密碼,不過隨着硬件技術的提升,完全可以採用設定更復雜密碼加關閉WPS/QSS的方式提高安全性,至少在目前來說是無限無線的最高安全技術
3.3WPKI管理系統
無線公開密鑰體系WPK(IwirelessPublicKeyInfrastructure)是PK(IPublicKeyInfrastructure)技術的升級,是PKI技術的無線版,針對無線連接的特點重新設定了算法。PKI系統即公鑰體系,是利用非對稱加密理論提供的公鑰管理系統共,是一種資訊安全服務的基礎第三方機構。
具體來說是集中管理和認證交易雙方的公鑰,與交易雙方取得聯繫後,交換雙方的公鑰系統,然後交易雙方再以用公鑰對資訊加密,再以自己的私鑰解密對方發來的資訊。
WPKI是PKI的無線版,針對PKI系統進行了優化,最大的進步是採用橢圓曲線加密(ECC,EllipticCurvesCryptography)和壓縮的X.509數字證書,這種改進非常重要,因爲移動端設備的計算能力參差不齊,總體來看比計算機的運算能力差很多。PKI系統用的RSA算法計算量很大,而WPKI的ECC技術在同等密碼強度下,密碼長度要比前者小9倍,這樣移動端的計算解密計算量會小很多,能夠在保證安全性的同時大幅度降低計算時間。
3.4CA認證
CA系統是結合WPKI系統使用的第三方證書管理系統,CA總體來說是一種公鑰及CA簽名的管理機構,爲交易的雙方提供證書認證,這種證書中含有交易雙方的基本資料、加密的數字簽名、公鑰資訊以及CA自身的數字簽名。爲交易的雙方提供身份驗證同時賦予移動電子商務交易的不可否認性。
【參考文獻】
[1].舒虹,移動電子商務安全問題及其應對策略.貴陽學院學報(自然科學版),20xx(04).
[2].韓景靈,移動電子商務安全問題探析.電腦知識與技術,20xx(01).