论文部分内容阅读
摘要:随着移动电子商务的发展,其安全问题倍受人们的关注。通过对移动电子商务信息系统存在的诸多不安全因素与安全威胁的分析,结合现有的移动电子商务安全技术,研究了一种基于加密方法的移动电子商务信息系统模型,并分析了利用加密函数技术加强移动电子商务信息系统的安全性问题。
关键词:移动电子商务;信息系统;安全性;加密函数技术
中图分类号:TP399 文献标识码:A 文章编号:1009-0118(2011)-09-0-01
一、移动电子商务信息系统的安全威胁分析
(一)网络端的不安全因素。网络端主要是指无线传输线路、网关部分、Internet有线传输线路。在有些移动通信网络中,基站系统与移动服务交换中心之间的通信媒质之间的信息转换可能导致移动用户的身份、位置等确认信息的泄漏。
(二)无线接口中的不安全因素。在移动通信网络中,移动站与固定网络端之间的所有通信的无线传输接口是开放的,任何具有适当无线设备的人均可以通过窃听无线信道而获得其中传输的消息,甚至可以修改、插入、删除或重传无线接口中传输的消息,以达到假冒移动用户身份欺骗网络端的目的。
(三)用户端的不安全因素。移动端包括移动终端和内容服务器。不法分子取得用户的移动终端,并从中读出移动用户的资料信息、账户密码等就可以假冒用户身份来进行一些非法的活动。
通过对上述不安全因素的分析,可知移动电子商务信息系统的安全威胁可以分为多种可能,需要采取不同的安全策略。目前存在的安全威胁主要有以下几种:
1、未授权访问。访问者未经授权,即可读取主机的敏感商业数据,使用系统的资源。
2、信息的截取、窃听和篡改。如果没有采取加密的措施或加密的强度不够,攻击者就可能通过截获装置截取移动电子商务信息系统的数据获取信息,经过分析,获得有用的信息,如银行账号、用户密码等。当攻击者熟悉了过程的网络信息格式后,会通过各种技术方法和手段对网络传输的信息进行中途的修改,如肆意篡改购买商品的货号、价格等,或删除、插入错误信息,从而破坏信息的完整性。
3、信息的假冒。攻击者掌握了传输数据的规律或解密了商务信息后,就可假冒合法用户或假冒商家来欺骗服务主机,从而获得用户或商家的机密信息。
二、移动电子商务信息系统的安全模型研究与分析
针对以上电子商务信息系统在安全上所面临的种种问题,为了安全实现移动电子商务所提供的服务,结合现有的移动电子商务安全技术,可总结出一种基于签名和加密方法的移动电子商务信息系统的模型。模型主要是针对移动电子商务中的商务信息交换,实现信息传输安全和安全信息认证的功能。模型的具体执行流程如下:(见图1)
三、利用Hash函数加强移动电子商务信息系统的安全性
上述移动电子商务信息系统的模型在运行过程中的安全性利用Hash函数完成。Hash函数加密技术主要用于信息安全领域中加密算法,它能把一些不同长度的信息转化成杂乱的128位的编码里,叫做Hash值。Hash是为了找到一种数据内容和数据存放地址之间的映射关系。密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash 函数可用于数字签名、信息的完整性检测、信息的起源认证检测等。Hash函数的存在性依赖于单项函数的存在性。Hash算法几乎被普遍应用于数字安全的所有方面,如登录办公局域网、进入个人邮箱和安全页面都要用它来保护用户的密码,电子签名系统利用它来认证客户及其发来的信息。
利用Hash算法主要从三方面解决M-Commerce的安全问题:
(一)文件校验。利用MD5 Hash算法的“数字指纹”特性,对文件完整性校验。
(二)数字签名。对 Hash 值(又称数字摘要)进行数字签名,在统计上可以认为与对文件本身进行数字签名是等效的。
(三)鉴权协议。又被称作“挑战-认证”模式,即传输信道可被侦听,但不可被篡改的情况下,鉴权协议不失为简单而安全的方法。
四、结论
从保密安全技术方面出发,利用Hash加密函数技术加强移动电子商务信息系统的安全性只是其中的一种方法,利用其它方法与手段完善移动电子商务信息系统的安全有待于进一步研究。
参考文献:
[1]王宏.移动商务中的安全技术[J].信息安全与通信保密,2007,(3).
[2]邱显杰.关于Bent函数的研究[D].湘潭:湘潭大学,2002.
[3]苏桂平,刘争春,吕述望.Hash函数在信息安全中随机序列发生器中的应用[J].计算机工程与应用,2008,(11).
[4]戴方虎.Internet的移动访问技术研究[J].计算机科学,2009,(3).
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文
关键词:移动电子商务;信息系统;安全性;加密函数技术
中图分类号:TP399 文献标识码:A 文章编号:1009-0118(2011)-09-0-01
一、移动电子商务信息系统的安全威胁分析
(一)网络端的不安全因素。网络端主要是指无线传输线路、网关部分、Internet有线传输线路。在有些移动通信网络中,基站系统与移动服务交换中心之间的通信媒质之间的信息转换可能导致移动用户的身份、位置等确认信息的泄漏。
(二)无线接口中的不安全因素。在移动通信网络中,移动站与固定网络端之间的所有通信的无线传输接口是开放的,任何具有适当无线设备的人均可以通过窃听无线信道而获得其中传输的消息,甚至可以修改、插入、删除或重传无线接口中传输的消息,以达到假冒移动用户身份欺骗网络端的目的。
(三)用户端的不安全因素。移动端包括移动终端和内容服务器。不法分子取得用户的移动终端,并从中读出移动用户的资料信息、账户密码等就可以假冒用户身份来进行一些非法的活动。
通过对上述不安全因素的分析,可知移动电子商务信息系统的安全威胁可以分为多种可能,需要采取不同的安全策略。目前存在的安全威胁主要有以下几种:
1、未授权访问。访问者未经授权,即可读取主机的敏感商业数据,使用系统的资源。
2、信息的截取、窃听和篡改。如果没有采取加密的措施或加密的强度不够,攻击者就可能通过截获装置截取移动电子商务信息系统的数据获取信息,经过分析,获得有用的信息,如银行账号、用户密码等。当攻击者熟悉了过程的网络信息格式后,会通过各种技术方法和手段对网络传输的信息进行中途的修改,如肆意篡改购买商品的货号、价格等,或删除、插入错误信息,从而破坏信息的完整性。
3、信息的假冒。攻击者掌握了传输数据的规律或解密了商务信息后,就可假冒合法用户或假冒商家来欺骗服务主机,从而获得用户或商家的机密信息。
二、移动电子商务信息系统的安全模型研究与分析
针对以上电子商务信息系统在安全上所面临的种种问题,为了安全实现移动电子商务所提供的服务,结合现有的移动电子商务安全技术,可总结出一种基于签名和加密方法的移动电子商务信息系统的模型。模型主要是针对移动电子商务中的商务信息交换,实现信息传输安全和安全信息认证的功能。模型的具体执行流程如下:(见图1)
三、利用Hash函数加强移动电子商务信息系统的安全性
上述移动电子商务信息系统的模型在运行过程中的安全性利用Hash函数完成。Hash函数加密技术主要用于信息安全领域中加密算法,它能把一些不同长度的信息转化成杂乱的128位的编码里,叫做Hash值。Hash是为了找到一种数据内容和数据存放地址之间的映射关系。密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash 函数可用于数字签名、信息的完整性检测、信息的起源认证检测等。Hash函数的存在性依赖于单项函数的存在性。Hash算法几乎被普遍应用于数字安全的所有方面,如登录办公局域网、进入个人邮箱和安全页面都要用它来保护用户的密码,电子签名系统利用它来认证客户及其发来的信息。
利用Hash算法主要从三方面解决M-Commerce的安全问题:
(一)文件校验。利用MD5 Hash算法的“数字指纹”特性,对文件完整性校验。
(二)数字签名。对 Hash 值(又称数字摘要)进行数字签名,在统计上可以认为与对文件本身进行数字签名是等效的。
(三)鉴权协议。又被称作“挑战-认证”模式,即传输信道可被侦听,但不可被篡改的情况下,鉴权协议不失为简单而安全的方法。
四、结论
从保密安全技术方面出发,利用Hash加密函数技术加强移动电子商务信息系统的安全性只是其中的一种方法,利用其它方法与手段完善移动电子商务信息系统的安全有待于进一步研究。
参考文献:
[1]王宏.移动商务中的安全技术[J].信息安全与通信保密,2007,(3).
[2]邱显杰.关于Bent函数的研究[D].湘潭:湘潭大学,2002.
[3]苏桂平,刘争春,吕述望.Hash函数在信息安全中随机序列发生器中的应用[J].计算机工程与应用,2008,(11).
[4]戴方虎.Internet的移动访问技术研究[J].计算机科学,2009,(3).
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文