由于移动电子商务有多方面的安全威胁,因此安全需求对于它非常重要。基于移动电子商务自身的特点,它的安全需求主要考虑以下几点。
1.双向身份认证
双向身份认证指移动终端与移动通信网络相互认证身份,这个安全需求在移动通信中是被一致认同的,但是在第二代移动通信系统中却存在很多安全问题,缺少用户对移动网络的身份认证,导致存在“中间人攻击”等威胁就是其中之一。
2.密钥协商与双向密钥控制
密钥协商与双向密钥控制指移动用户与移动网络之间通过安全参数共同确定会话密钥,而不能由一方单独确定,并保证一次一密。一方面是为了避免旧的会话密钥泄露而发生的重放攻击,另一方面避免由一方确定特定的会话密钥所带来的安全隐患(如假冒者自己产生会话密钥就可进行中间人攻击)。
3.双向密钥确认
移动用户与移动网络系统要进行相互确认,确保对方和自己拥有相同的会话密钥,以保证经过自己加密的信息在接下来的会话中被对方接收后能被正确的解密。
4.能够检测到DoS攻击和重放攻击
保证信息的接收方能识别出发送状态,确定信息是否存在重放。识别出是否由人为的恶意攻击而造成信息重放,以及判断出是否存在拒服务攻击,并进行抵御。
5.较高的容错能力和较低的资源消耗
当无线网络中的通信线路或者网关和服务器出现故障时,安全机制不会因此而失效,即系统安全性不依赖于网络的可靠性。而同时系统的资源消耗不会因为系统安全性的增强而大大增加,因此应尽量减少安全机制带来的系统资源开销。
6.容错能力
信息在网络中传输,设备和线路经常会发生故障,要保证在故障产生时系统不会长时间处于停滞状态,要有处理的备用方案,还需保证更新系统时对原有软硬件的兼容能力。
7.经济性
合理的加密技术是增强安全的最有力措施,目前已有不少加密算法可以实现安全方案,要适当选择算法的可实践性。移动商务系统也得适当考虑安全的经济性,希望在增强系统安全性的同时,能够尽量降低成本。
综上,与通过有线网络传输的传统电子商务比较,无线接入网络的移动电子商务安全性降低。移动商务系统应从终端、无线传输网络以及网络服务系统共同实现安全解决方案。无线网络是信息传输的通路,终端设备和服务器系统要有较强的业务处理和纠错兼容能力,来保证信息传输的安全。
