第三代移動通信系統(3G)在2G的基礎上進行了改進,繼承了2G系統安全的優點,同時針對3G系統的新特性,定義了更加完善的安全特徵與鑒權服務。未來的移動通信系統除了能夠提供傳統的語音、數據、多媒體業務外,還應當能支持電子商務、電子支付、股票交易、互聯網業務等,個人智能終端將獲得廣泛使用,移動通信網路最終會演變成開放式的網路,能向用戶提供開放式的應用程序介面,以滿足用戶的個性化需求。因此,網路的開放性以及無線傳輸的特性,使安全問題將成為整個移動通信系統的核心問題之一。
3G系統的面臨的安全問題與以往的移動通信網路有本質的不同:3G上最重要的安全問題將是IP網路的安全和基於IP技術的應用的 安全。其中IP網不僅指承載網,更是指業務網;IP應用也不僅指網際網路瀏覽、下載、郵件等應用,也包括承載在IP協議之上的移動通信系統控制信令和 數據。
安全威脅產生的原因來自於網路協議和系統的弱點,攻擊者可以利用網路協議和系統的弱點非授權訪問和處理敏感數據,或是干擾、濫用網路服務,對用戶和網路資源造成損失。按照攻擊的物理位置,對移動通信系統的安全威脅可以分為無線鏈路的威脅、對服務網路的威脅和對移動終端的威脅。主要威脅方式有以下幾種:
(1)竊聽,即在無線鏈路或服務網內竊聽用戶數據、信令數據及控制數據;
(2)偽裝,即偽裝成網路單元截取用戶數據、信令數據及控制數據,偽終端欺騙網路獲取服務;
(3)流量分析,即主動或被動流量分析以獲取信息的時間、速率、長度、來源及目的地;
(4)破壞數據的完整性,即修改、插入、重放、刪除用戶數據或信令數據以破壞數據的完整性;
(5)拒絕服務,即在物理上或協議上干擾用戶數據、信令數據及控制數據在無線鏈路上的正確傳輸,以實現拒絕服務攻擊;
(6)否認,即用戶否認業務費用、業務數據來源及發送或接收到的其他用戶的數據,網路單元否認提供的網路服務;
(7)非授權訪問服務,即用戶濫用許可權獲取對非授權服務的訪問,服務網濫用許可權獲取對非授權服務的訪問;
(8)資源耗盡,即通過使網路服務過載耗盡網路資源,使合法用戶無法訪問。
(9) 隨著網路規模的不斷發展和網路新業務的應用,還會有新的攻擊類型出現。
⑵ 第一代,第二代,第三代互聯網分別指的是
1、第一代互聯網:PC互聯網,核心是PC互聯。這個階段計算機實現了相互連通,可以進行數據通信。其特徵是:個人用戶瀏覽閱讀網站信息的,企業在互聯網上注冊域名、建立網站。
2、第二代互聯網:以IPv6為基礎。可以實現「戶對戶」連接的網路。特點是地址龐大,且對以後的網速和網路安全有重大影響。
其特徵是:個人用戶除了利用網路獲取信息外,還通過互聯網進行一些與工作、生活有關的經濟活動。企業開始將部分業務轉移到互聯網上,並且關注通過互聯網電子商務所獲得的營業額,
3、第三代互聯網:沒有具體的標准,是移動通信網路與互聯網的融合。一個永遠在線的網路時代,用戶將擁有無所不在的應用終端,個性化、人性化的界面和應用環境,可以實現永遠在線並能擁有足夠的帶寬。互聯網將融入到人們的生活當中,網路經濟與傳統經濟緊密地融合在一起。
(2)第三代網路安全方法擴展閱讀:
94年,中國實現了與國際互聯網的連接,中國正式進入了互聯網時代。雖然當時網速很慢,只有64k的帶寬。
互聯網剛出現時,以搜狐、新浪、網易為代表的門戶網站,給中國第一代網民提供了大量內容。人們了解信息已經不僅通過報紙、電視等傳統媒體,還有互聯網。這一時期,信息傳播速度開始了大幅度的提升。
隨後互聯網進入社交時代。網民們不在滿足互聯網給與的各種信息,不再想成為聆聽者,而是想成為信息的主導者。在這個時代,以開心網、校內網等平台為代表的社交網站開始涌現。而以QQ、微信為代表的即時聊天軟體逐漸取代了短息、打電話,成為了人們溝通的基本工具。
隨著智能手機的普及,互聯網很快進入了移動互聯的時代。網民開始脫離電腦,只要有手機就能做到電腦能做到的事情。中國互聯網用戶也呈井噴之勢迅速增長
隨著人工智慧的出現,人們生活方式將變得更加豐富多彩。
⑶ 第三代網路安全技術是什麼技術
網路技術在不斷發展,網路服務的內容在不斷擴展,網路安全的理念與技術也需要隨之不斷地更新和發展.本文在對網路安全技術的發展趨勢進行研究的基礎上,給出了"第三代網路安全"的基本概念和技術框架,提出了網路安全領域下一步應重點研究的一些技術和方法.認為,容忍技術是"第三代網路安全"的一個重要的組成部分。
⑷ 第三代移動通信(3G)的安全性分析
網路文庫就有的啦
你可以去看下哦
或者網路一下你就知道啦
c)如果用戶通過UTRAN接入,控制接入的3G VLR/SGSN同2G用戶之間進行GSM的鑒權過程後,在SIM卡上存儲了密鑰Kc。VLR/SGSN和用戶終端設備同時通過Kc計算出UMTS的CK和IK,然後3G VLR/SGSN將利用CK和IK為用戶提供安全保護,但由於此時用戶安全特性的核心仍是GSM密鑰Kc,所以用戶並不具備3G的安全特性。
d)當用戶通過2G接入網接入時,控制的VLR/SGSN(2G或3G)直接執行GSM鑒權過程,建立GSM安全上下文。
注意:為了支持2G鑒權和3G鑒權的兼容性,3G HLR必須支持3G鑒權5元組向2G鑒權3元組的轉換功能;3G MSC必須支持3G鑒權5元組和2G鑒權3元組之間的雙向轉換功能。
4、移動通信安全的進一步完善
隨著通信技術的不斷發展,移動通信系統在各個行業得到廣泛應用,因此對通信安全也提出了更高的要求。未來的移動通信系統安全需要進一步的加強和完善。
4.1 3G的安全體系結構趨於透明化
目前的安全體系仍然建立在假定內部網路絕對安全的前提下,但隨著通信網路的不斷發展,終端在不同運營商,甚至異種網路之間的漫遊也成為可能,因此應增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,更應盡量減少或避免網路內部人員的干預性。未來的安全中心應能獨立於系統設備,具有開放的介面,能獨立地完成雙向鑒權、端到端數據加密等安全功能,甚至對網路內部人員也是透明的。
4.2 考慮採用公鑰密碼體制
在未來的3G網路中要求網路更具有可擴展性,安全特性更加具有可見性、可操作性的趨勢下,採用公鑰密碼體制,參與交換的是公開密鑰,因而增加了私鑰的安全性,並能同時滿足數字加密和數字簽名的需要,滿足電子商務所要求的身份鑒別和數據的機密性、完整性、不可否認性。因此,必須盡快建設無線公鑰基礎設施(WPKI),建設以認證中心(CA)為核心的安全認證體系。
4.3 考慮新密碼技術的應用
隨著密碼學的發展以及移動終端處理能力的提高,新的密碼技術,如量子密碼技術、橢圓曲線密碼技術、生物識別技術等已在移動通信系統中獲得廣泛應用,加密演算法和認證演算法自身的抗攻擊能力更強健,從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4 使用多層次、多技術的安全保護機制
為了保證移動通信系統的安全,不能僅依靠網路的接入和核心網內部的安全,而應該使用多層次、多技術相結合的保護機制,即在應用層、網路層、傳輸層和物理層上進行全方位的數據保護,並結合多種安全協議,從而保證信息的安全。
今後相當長一段時期內,移動通信系統都會出現2G和3G兩種網路共存的局面,移動通信系統的安全也面臨著後向兼容的問題。因此,如何進一步完善移動通信系統的安全,提高安全機制的效率以及對安全機制進行有效的管理,都是今後亟需解決的問題。
USIM中的鑒權處理原理
首先計算AK,並從AUTN中將序列號恢復出來,SQN=(SQN①AK)①AK;USIM計算出XMAC,將它與AUTN中的MAC值進行比較。如果不同,用戶發送一個「用戶認證拒絕」信息給VLR/SGSN,放棄該鑒權過程。在這種情況下,VLR/SGSN向HLR發起一個「鑒權失敗報告」過程,然後由VLR/SGSN決定是否重新向用戶發起一個鑒權認證過程。
同時,用戶還要驗證接收到的序列號SQN是否在有效的范圍內,若不在,MS向VLR發送同步失敗消息,並放棄該過程。
如果XMAC和SQN的驗證都通過,那麼USIM計算出RES,發送給VLR/SGSN,比較RES是否等於XRES,如果相等,網路就認證了用戶的身份。
最後,用戶計算出CK和IK。
2.2 UMTS的加密機制
在上述雙向鑒權過程中產生的CK,在核心網和用戶終端間共享。CK在RANAP消息「安全模式命令」中傳輸,RNC獲得CK後就可以通過向終端發送RRC安全模式命令,並開始進行加密。
UMTS的加密機制是利用加密演算法f8生成密鑰流(偽隨機的掩碼數據),明文數據再和掩碼數據進行逐比特相加產生密文,然後以密文的方式在無線鏈路上傳輸用戶數據和信令信元,接收方在收到密文後,再把密文和掩碼數據(同加密時輸入參數一樣,因此產生的掩碼數據也一樣)逐比特相加,還原成明文數據,即解密。
2.3 UMTS的完整性保護機制
為防止侵入者假造消息或篡改用戶和網路間的信令消息,可以使用UMTS的完整性保護機制來保護信令的完整性。完整性保護在無線資源控制(RRC)子層執行,同加密一樣,在RNC和終端之間使用。IK在鑒權和密鑰協商過程中產生,IK也和CK一起以安全模式命令傳輸到RNC。
UMTS的完整性保護機制是發送方(UE或RNC)將要傳送的數據用IK經過f9演算法產生的消息鑒權碼MAC附加在發出的消息後。接收方(RNC或UE)收到消息後,用同樣的方法計算得到XMAC。接收方把收到的MAC和XMAC相比較,如果兩者相等,說明收到的消息是完整的,在傳輸過程中沒有被修改。
3、2G/3G網路共存時的漫遊用戶鑒權
2G與3G網路共存是目前移動通信向3G過渡必然要經歷的階段。由於用戶通過SIM卡或USIM使用雙模式手機可同時接入到2G和3G網路,當用戶在2G和3G共存的網路中漫遊時,網路必須為用戶提供必要的安全服務。由於2G和3G系統用戶安全機制之間的繼承性,所以可以通過2G和3G網路實體間的交互以及2G和3G安全上下文之間的轉換運算來實現不同接入情況下用戶的鑒權。
3.1 UMTS漫遊用戶的鑒權
在2G和3G共存網路中,UMTS漫遊用戶鑒權按以下方式進行:
a)通過UTRAN接入時,使用3G鑒權。
b)當使用3G移動台和3G MSC/VLR或SGSN通過GSM BSS接入時,使用3G鑒權機制。其中GSM密鑰從UMTS CK和IK計算獲得。
c)當使用2G移動台或2G MSC/VLR或SGSN通過GSM BSS接入時,使用GSM鑒權機制。其中用戶響應SRES和GSM密鑰從UMTS SRES、CK和IK得到。
UMTS漫遊用戶的鑒權過程包括以下幾個步驟(見圖4):
圖4 漫遊UMTS用戶在2G/3G網路中的鑒權
a)當HLR/AuC收到VLR/SGSN的鑒權數據請求消息時,將根據用戶鑰匙K生成一組3G鑒權矢量,包擴RAND、XRES、AUTN、CK和IK。
b)鑒權矢量的分發會根據請求鑒權數據的VLR/SGSN的類型而不同。如果請求鑒權數據的是3G VLR/SGSN,將直接接收HLR/AuC的3G鑒權矢量,並將它存儲起來;而當請求鑒權的是2G VLR/SGSN時,HLR/AuC會將3G鑒權矢量轉化為GSM鑒權三元組,2G VLR/SGSN將這組鑒權三元組存儲起來。
c)當UMTS通過UTRN接入時,VLR/SGSN直接進行3G鑒權,為用戶建立3G安全上下文。
d)當UMTS用戶通過2G接入網接入時,根據控制鑒權的VLR/SGSN類型和用戶設備類型的不同,使用的鑒權矢量可以是3G鑒權矢量,也可以是GSM鑒權三元組。當控制接入的是3G VLR/SGSN時,如果用戶使用的是3G用戶設備,VLR/SGSN和用戶之間執行3G鑒權過程,雙方協議CK和IK作為3G安全上下文,並存儲在USIM中,然後用戶設備和VLR/SGSN同時計算出Kc,並用它在以後的信令過程中對空中數據進行保護。如果此時用戶設備是2G,VLR/SGSN取出UMTS鑒權矢量對用戶鑒權時,先通過前述演算法計算出GSM鑒權三元組,然後將RAND發送到USIM,USIM通過3G鑒權演算法得到與鑒權矢量中相同的XRES、CK和IK,計算出2G的SRES和Kc,再將SRES發回到VLR/SGSN進行比較後,將Kc用作空中數據的加密。如果控制接入的是2G VLR/SGSN,則VLR/SGSN取出一個存儲的GSM鑒權三元組,將其中的RAND發送到用戶,USIM通過3G鑒權演算法得到XRES、CK和IK,再同樣計算出2G的SRES和Kc,在對SRES進行比較後,密鑰Kc協商成功。
3.2 GSM SIM漫遊用戶的鑒權
GSM SIM漫遊用戶的鑒權流程如圖5所示。
圖5 GSM SIM漫遊用戶的鑒權流程
由於GSM SIM用戶只支持GSM系統安全特性,所以鑒權過程必然是GSM系統的。具體步驟如下:
a)當VLR/SGSN向用戶歸屬2G HLR/AuC請求鑒權數據時,HLR/AuC生成一組GSM鑒權三元組。
b)HLR/AuC向請求鑒權數據的VLR/SGSN分發鑒權三元組,不管VLR/SGSN是2G還是3G類型的,VLR/SGSN會將這組鑒權三元組存儲起來,然後取出一個鑒權三元組對用戶進行鑒權。
c)如果用戶通過UTRAN接入,控制接入的3G VLR/SGSN同2G用戶之間進行GSM的鑒權過程後,在SIM卡上存儲了密鑰Kc。VLR/SGSN和用戶終端設備同時通過Kc計算出UMTS的CK和IK,然後3G VLR/SGSN將利用CK和IK為用戶提供安全保護,但由於此時用戶安全特性的核心仍是GSM密鑰Kc,所以用戶並不具備3G的安全特性。
d)當用戶通過2G接入網接入時,控制的VLR/SGSN(2G或3G)直接執行GSM鑒權過程,建立GSM安全上下文。
注意:為了支持2G鑒權和3G鑒權的兼容性,3G HLR必須支持3G鑒權5元組向2G鑒權3元組的轉換功能;3G MSC必須支持3G鑒權5元組和2G鑒權3元組之間的雙向轉換功能。
4、移動通信安全的進一步完善
隨著通信技術的不斷發展,移動通信系統在各個行業得到廣泛應用,因此對通信安全也提出了更高的要求。未來的移動通信系統安全需要進一步的加強和完善。
4.1 3G的安全體系結構趨於透明化
目前的安全體系仍然建立在假定內部網路絕對安全的前提下,但隨著通信網路的不斷發展,終端在不同運營商,甚至異種網路之間的漫遊也成為可能,因此應增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,更應盡量減少或避免網路內部人員的干預性。未來的安全中心應能獨立於系統設備,具有開放的介面,能獨立地完成雙向鑒權、端到端數據加密等安全功能,甚至對網路內部人員也是透明的。
4.2 考慮採用公鑰密碼體制
在未來的3G網路中要求網路更具有可擴展性,安全特性更加具有可見性、可操作性的趨勢下,採用公鑰密碼體制,參與交換的是公開密鑰,因而增加了私鑰的安全性,並能同時滿足數字加密和數字簽名的需要,滿足電子商務所要求的身份鑒別和數據的機密性、完整性、不可否認性。因此,必須盡快建設無線公鑰基礎設施(WPKI),建設以認證中心(CA)為核心的安全認證體系。
4.3 考慮新密碼技術的應用
隨著密碼學的發展以及移動終端處理能力的提高,新的密碼技術,如量子密碼技術、橢圓曲線密碼技術、生物識別技術等已在移動通信系統中獲得廣泛應用,加密演算法和認證演算法自身的抗攻擊能力更強健,從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4 使用多層次、多技術的安全保護機制
為了保證移動通信系統的安全,不能僅依靠網路的接入和核心網內部的安全,而應該使用多層次、多技術相結合的保護機制,即在應用層、網路層、傳輸層和物理層上進行全方位的數據保護,並結合多種安全協議,從而保證信息的安全。
今後相當長一段時期內,移動通信系統都會出現2G和3G兩種網路共存的局面,移動通信系統的安全也面臨著後向兼容的問題。因此,如何進一步完善移動通信系統的安全,提高安全機制的效率以及對安全機制進行有效的管理,都是今後亟需解決的問題。
⑸ 保護網路安全的常用技術手段有哪些
為了保護網路安全,常用的技術手段主要有以下幾個方面:
1、用備份技術來提高數據恢復時的完整性。備份工作可以手工完成,也可以自動完成。現有的操作系統一般都帶有比較初級的備份系統,如果對備份要求高,應購買專用的系統備份產品。由於備份本身含有不宜公開的信息,備份介質也是偷竊者的目標,因此,計算機系統允許用戶的某些特別文件不進行系統備份,而做涉密介質備份。
2、防病毒。定期檢查網路系統是否被感染了計算機病毒,對引導軟盤或下載軟體和文檔應加以安全控制,對外來軟盤在使用前應進行病毒診斷。同時要注意不斷更新病毒診斷軟體版本,及時掌握、發現正在流行的計算機病毒動向,並採取相應的有效措施。
3、補丁程序。及時安裝各種安全補丁程序,不要給入侵者以可乘之機。
4、提高物理環境安全。保證計算機機房內計算機設備不被盜、不被破壞,如採用高強度電纜在計算機機箱穿過等技術措施。
5、在區域網中安裝防火牆系統。防火牆系統包括軟體和硬體設施,平時需要加以監察和維護。
6、在區域網中安裝網路安全審計系統。在要求較高的網路系統中,網路安全審計系統是與防火牆系統結合在一起作為對系統安全設置的防範措施。
7、加密。加密的方法很多可視要求而定,如:通訊兩端設置硬體加密機、對數據進行加密預處理等。
⑹ 第三代通信技術3G的移動電子商務安全方面是指哪些
伴隨著internet的蓬勃發展,電子商務正以其高效、低成本的優勢,逐步成為新興的經營模式和理念,b2b、b2c等經營模式的不斷優化和成熟更是推動了世界范圍內電子商務的發展。人們己不再滿足於信息瀏覽和發布,而是渴望著能夠享受網路所帶來的更多的便利。為了滿足人們的需求,越來越多的網站投身到提供電子商務服務的行列中來,越來越多的企業開始將自己的業務通過internet的形式直接提供給客戶,一個基於internet的全球電子商務框架正在形成。而移動電子商務不僅具備電子商務快速、靈活、方便等特點,更是以其隨時隨地接入互聯網進行商務活動的隨時性、可移動性,引發其作為信息時代寵兒的「高溫」效應。但是,由於電子商務本身存在的安全問題以及移動設施引發的新的商務安全隱患,使得其安全問題成為「高溫」下的炸彈,直接關繫到移動電子商務模式的運行前景。
移動電子商務雖然誕生於電子商務,但是其通過移動終端上網的特性決定了它存在和普通電子商務不同的安全性。在探討移動安全的特性時,我們首先要考慮的是移動終端本身的安全性。只有當移動電子商務賴以依存的移動終端安全了,才可能進一步談其它的移動安全問題。如今用於上網的移動終端主要有手提電腦、手機、pda等等,保障這些設備本身的安全以及在使用這些設備時遵循安全操作規范進行操作是移動電子商務安全保障的一個前提。當設備安全的前提得以保證後,我們就需要保證移動電子商務在應用中的安全,通常我們需要保障以下的一些安全問題:
1、無線應用軟體效能監控與系統效能管理;
2、審核和檢測針對移動電子商務的存取是否合法或授權;
3、網頁做到安全性認證的整合,以確保資料安全以及人員存取合法
與保密;
4、數字證書或加密管理,實現不可否認性與完整性;
5、wireless lan是否有入侵以及數據包中是否隱藏病毒;
6、wireless網路的效能以及預測失敗或錯誤預警事件;
7、pda等設備在與電腦連接存取時的安全(包括wap、wireless等存取方式);
8、gateway主機以及所提供的服務加以監控;
9、實網路環境中加強防火牆、入侵偵測和弱點掃描,使企業交易內部的主機得到完全的保護。
這九點中在前面的論述己經提到了一些解決方法,針對移動的特性,可通過vpn來解決移動上網中的安全問題。vpn一一虛擬專用網就是在公用的internet網路上通過隧道協議建立起安全的私有網路。它可以滿足以下三個安全的需要:
1、和你正在通信的人確實是那個你想要通信的人,你可能遇到的安全性問題是,在通信過程中,可能會碰到一個偽裝者。
2、沒有人能偷聽你的通信內容,你的通信信息是保密的。
3、你接收到的通信信息在傳輸過程中沒有被篡改。
這三點用信息的安全術語來說就是第一:認證,確認信息源;第二:信息保密性,傳輸的信息是加密的;第三:數據完整性,確認數據沒有被篡改。只有當我們達到了這三點要求,才有可能保證移動電子商務在交易過程中的安全。
虛擬專用網主要基於以下技術:
1、ipsec,ietf (internet 工程師任務組)制定的ip安全標准;
2、通過認證機構(ca)發放數字證書和進行第二方認證,或使用「共享密鑰認證」用於小規模的安全虛擬專用網;
3、隧道技術,允許公司內部專用ip地址穿越internet。通過這些技術,再集成上pki(公共密鑰體系)就可以說是最完美最嚴密的vpn解決方案了,它通過密鑰管理、安全交換以及隧道協議來實現上述的移動設備的通訊安全。
移動電子商務還有一個顯著的特徵就是一般通過無線上網來進行商務交易。目前所用的無線上網技術主要有:無線應用協議(wap)、移動ip技術、藍牙技術、802.11b協議。無線應用協議是移動電子商務的核心技術之一,通過wap,手機用戶就可以隨時隨地的接入互聯網,真正做到不受時間和地域限制的移動電子商務。移動ip技術通過在網路層改變ip協議,從而實現notebook在網路中的無逢漫遊,進行不間斷的電子商務交易。藍牙技術是一種取代線纜、實現數字空間的無線互聯的一種技術,它可以很方便的和周圍的網路設備進行連接,建立一個基於個人空間的無線網路。
802.11b協議是和藍牙技術類似的一種技術,它實現的功能和藍牙一樣,但是其傳輸協議和傳輸距離都要強於藍牙,它是基於企業的無線網路。這些無線協議本身的安全直接關繫到移動電子商務的安全問題。假如我們使用的是802.11b技術進行移動上網,那麼就等於將無線登陸入口公之於眾,並「鼓勵」所有擁有與之相匹配的網路適配卡的人登錄,這時就需要使用wep(一種資料加密的處理方式)和虛擬專用網共同來保障其安全性。如果使用手機上網,那麼我們就要注意數據傳輸過程中的加密問題,wap手機是無法進行端到端的加密,因此使用的是wap網關來保障數據的保密性。但是wap網關在使用過程中極易被黑客攻破,因此要真正實現安全,我們通常把無線傳輸層協議(wtls)和wap網關配套使用,並針對窄帶通信信道進行優化,從而實現以下的功能:
1、數據完整性:確保終端和應用程序伺服器之間傳送數據的正確性。
2、私有性:確保在終端和應用程序伺服器之間傳送數據的私有性,任何中途試圖截獲數據流的設備均無法破譯。
3、簽權:可以在終端和應用程序伺服器之間建立簽權機制。
4、拒絕服務保護:可以檢測和拒絕那些要求重傳的數據或未成功檢驗的數據。w t l s使許多常見的拒絕服務攻擊更難以實現,從而保護了上層協議。
這樣我們就可以有效的實現人們在使用手機進行電子商務活動時的安全問題了。目前,由於藍牙產品本身的安全性沒有得到很好的解決,其安全機制很薄弱,因此在移動電子商務交易過程中我們建議暫時不使用藍牙產品,待其本身的安全機製得以提高後,那麼藍牙技術在移動電在商務中的運用會逐步增多。
隨著無線通訊技術的發展,移動電子商務也展示出更加亮麗的前景,它創造的是一種「無論何時何地」的新概念。賽博研究機構最近發布的一份題為《中國移動電子商務的現狀及未來發展》專業研究報告稱,基於無線互聯網的移動電子商務(m-commerce)在國內擁有良好的市場前景,其發展將超過電子商務。在這如此熱的領域里,我們還應該清醒的看到移動電子商務中存在的許多安全問題,詳細分析其可能出現的情況並加以解決。只有當我們真正解決了移動電子商務中的安全隱患,排除了這枚炸彈,才可能吸引更多的人使用移動電子商務,才能帶動移動電子商務的飛速發展。
⑺ 電子商務論文寫作方向!!幫我選擇一個比較好寫點的!並給予題目(最好帶點內容)支持原創!
電子商務安全問題的特徵分析
企業網路安全的核心是企業信息的安全。為防止非法用戶利用網路系統的安全缺陷進行數據的竊取、偽造和破壞,必須建立企業網路信息系統的安全服務體系。關於計算機信息系統安全性的定義到目前為止還沒有統一,國際標准化組織(ISO)的定義為:「為數據處理系統建立和採用的技術和管理的安全保護,保護計算機硬體、軟體和數據不因偶然和惡意的原因遭到破壞、更改和泄露」。計算機安全包括物理安全和邏輯安全,其中物理安全指系統設備及相關設施的物理保護以免於被破壞和丟失,邏輯安全是指信息的可用性、完整性和保密性三要素。 信息安全的隱患存在於信息的共享和傳遞過程中。目前,瀏覽器/伺服器技術已廣泛應用於企業網路信息系統中,而其基礎協議就存在著不少的安全漏洞。 一種基本的安全系統——網路安全系統,也稱為防火牆系統,可以設置在公用網路系統和企業內部網路之間,或者設置在內部網路的不同網段之間,用以保護企業的核心秘密並抵禦外來非法攻擊。隨著企業網上業務的不斷擴大和電子商務的發展,對網路的安全服務提出了新的要求。像用戶認證、信息的加密存貯、信息的加密傳輸、信息的不可否認性、信息的不可修改性等要求,要用密碼技術、數字簽名、數字郵戳、數字憑證和認證中心等技術和手段構成安全電子商務體系。 黑客攻擊企業信息系統的手段 2.1 TCP/IP協議存在安全漏洞 目前使用最廣泛的網路協議是TCP/IP協議,而TCP/IP協議恰恰存在安全漏洞。如IP層協議就有許多安全缺陷。IP地址可以軟體設置,這就造成了地址假冒和地址欺騙兩類安全隱患;IP協議支持源路由方式,即源點可以指定信息包傳送到目的節點的中間路由,這就提供了源路由攻擊的條件。再如應用層協議Telnet、FTP、SMTP等協議缺乏認證和保密措施,這就為否認、拒絕等欺瞞行為開了方便之門。 對運行TCP/IP協議的網路系統,存在著如下五種類型的威脅和攻擊:欺騙攻擊、否認服務、拒絕服務、數據截取和數據纂改。 2.2 黑客攻擊網路信息系統的手段 黑客攻擊的目標不相同,有的黑客注意焦點是美國國防部五角大樓,有的關心是安全局、銀行或者重要企業的信息中心,但他們採用的攻擊方式和手段卻有一定的共同性。一般黑客的攻擊大體有如下三個步驟: 信息收集→對系統的安全弱點探測與分析→實施攻擊。 2.2.1 信息收集 信息收集的目的是為了進入所要攻擊的目標網路的資料庫。黑客會利用下列的公開協議或工具,收集駐留在網路系統中的各個主機系統的相關信息。·SNMP協議 用來查閱網路系統路由器的路由表,從而了解目標主機所在網路的拓撲結構及其內部細節。·TraceRoute程序 能夠用該程序獲得到達目標主機所要經過的網路數和路由器數。 ·Whois協議 該協議的服務信息能提供所有有關的DNS域和相關的管理參數。 ·DNS伺服器 該伺服器提供了系統中可以訪問的主機的IP地址表和它們所對應的主機名。 ·Finger協議 可以用Finger來獲取一個指定主 機上的所有用戶的詳細信息(如用戶注冊名、電話號碼、最後注冊時間以及他們有沒有讀郵件等等)。 ·Ping實用程序 可以用來確定一個指定的主機的位置。 ·自動Wardialing軟體 可以向目標站點一次連續撥出大批電話號碼,直到遇到某一正確的號碼使其MODEM響應。2.2.2 系統安全弱點的探測 在收集到攻擊目標的一批網路信息之後,黑客會探測網路上的每台主機,以尋求該系統的安全漏洞或安全弱點,黑客可能使用下列方式自動掃描駐留網路上的主機。 ·自編程序 對某些產品或者系統,已經發現了一些安全漏洞,該產品或系統的廠商或組織會提供一些「補丁」程序給予彌補。但是用戶並不一定及時使用這些「補丁」程序。黑客發現這些「補丁」程序的介面後會自己編寫程序,通過該介面進入目標系統,這時該目標系統對於黑客來講就變得一覽無余了。 ·利用公開的工具 象Internet的電子安全掃描程序IIS(InternetSecurity Scanner)、審計網路用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等這樣的工具,可以對整個網路或子網進行掃描,尋找安全漏洞。這些工具有兩面性,就看是什麼人在使用它們。系統管理員可以使用它們,以幫助發現其管理的網路系統內部隱藏的安全漏洞,從而確定系統中那些主機需要用「補丁」程序去堵塞漏洞。而黑客也可以利用這些工具,收集目標系統的信息,獲取攻擊目標系統的非法訪問權。2.2.3 網路攻擊 黑客使用上述方法,收集或探測到一些「有用」信息之後,就可能會對目標系統實施攻擊。黑客一旦獲得了對攻擊的目標系統的訪問權後,又可能有下述多種選擇: ·該黑客可能試圖毀掉攻擊入侵的痕跡,並在受到損害的系統上建立另外的新的安全漏洞或後門,以便在先前的攻擊點被發現之後,繼續訪問這個系統。 ·該黑客可能在目標系統中安裝探測器軟體,包括特洛伊木馬程序,用來窺探所在系統的活動,收集黑客感興趣的一切信息,如Telnet和FTP的帳號名和口令等等。 ·該黑客可能進一步發現受損系統在網路中的信任等級,這樣黑客就可以通過該系統信任級展開對整個系統的攻擊。 ·如果該黑客在這台受損系統上獲得了特許訪問權,那麼它就可以讀取郵件,搜索和盜竊私人文件,毀壞重要數據,破壞整個系統的信息,造成不堪設想的後果。 防火牆的基本思想 如果網路在沒有防火牆的環境中,網路安全性完全依賴主系統的安全性。在一定意義上,所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大,把所有主系統保持在相同的安全性水平上的可管理能力就越小,隨著安全性的失策和失誤越來越普遍,入侵就時有發生。 防火牆有助於提高主系統總體安全性。 防火牆的基本思想——不是對每台主機系統進行保護,而是讓所有對系統的訪問通過某一點,並且保護這一點,並盡可能地對外界屏蔽保護網路的信息和結構。它是設置在可信任的內部網路和不可信任的外界之間的一道屏障,它可以實施比較廣泛的安全政策來控制信息流,防止不可預料的潛在的入侵破壞。 防火牆系統可以是路由器,也可以是個人機、主系統或者是一批主系統,專門用於把網點或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。 防火牆可以從通信協議的各個層次以及應用中獲取、存儲並管理相關的信息,以便實施系統的訪問安全決策控制。 防火牆的技術已經經歷了三個階段,即包過濾技術、代理技術和狀態監視技術。 包過濾技術 包過濾防火牆的安全性是基於對包的IP地址的校驗。在Internet上,所有信息都是以包的形式傳輸的,信息包中包含發送方的IP地址和接收方的IP地址。包過濾防火牆將所有通過的信息包中發送方IP地址、接收方IP地址、TCP埠、TCP鏈路狀態等信息讀出,並按照預先設定的過濾原則過濾信息包。那些不符合規定的IP地址的信息包會被防火牆過濾掉,以保證網路系統的安全。這是一種基於網路層的安全技術,對於應用層的黑客行為是無能為力的。 代理技術代理伺服器接收客戶請求後會檢查驗證其合法性,如其合法,代理伺服器象一台客戶機一樣取回所需的信息再轉發給客戶。它將內部系統與外界隔離開來,從外面只能看到代理伺服器而看不到任何內部資源。代理伺服器只允許有代理的服務通過,而其他所有服務都完全被封鎖住。這一點對系統安全是很重要的,只有那些被認為「可信賴的」服務才允許通過防火牆。另外代理服務還可以過濾協議,如可以過濾FTP連接,拒絕使用FTP put(放置)命令,以保證用戶不能將文件寫到匿名伺服器。 代理服務具有信息隱蔽、保證有效的認證和登錄、簡化了過濾規則等優點。 網路地址轉換服務(NAT�Network Address Translation)可以屏蔽內部網路的IP地址,使網路結構對外部來講是不可見的。 狀態監視技術 這是第三代網路安全技術。狀態監視服務的監視模塊在不影響網路安全正常工作的前提下,採用抽取相關數據的方法對網路通信的各個層次實行監測,並作安全決策的依據。監視模塊支持多種網路協議和應用協議,可以方便地實現應用和服務的擴充。狀態監視服務可以監視RPC(遠程過程調用)和UDP(用戶數據報)埠信息,而包過濾和代理服務則都無法做到。 防火牆的類型 4.1 按實現的網路層次分 Internet採用TCP/IP協議,設置在不同網路層次上的電子屏障構成了不同類型的防火牆:包過濾型防火牆(Packet Firewall)、電路網關(Circuit Gateway)和應用網關(Application Gateway)。 安全策略是防火牆的靈魂和基礎。在建立防火牆之前要在安全現狀、風險評估和商業需求的基礎上提出一個完備的總體安全策略,這是配製防火牆的關鍵。 安全策略可以按如下兩個邏輯來制訂: ·准許訪問除明確拒絕以外的全部訪問——所有未被禁止的都允許訪問。 ·拒絕訪問除明確准許的全部訪問——所有未被允許的都禁止訪問。 可以看出後一邏輯限制性大,前一邏輯比較寬松。 4.1.1 包過濾防火牆(1)包過濾防火牆實施步驟 包過濾防火牆是基於路由器來實現的。它利用數據包的頭信息(源IP地址、封裝協議、埠號等)判定與過濾規則相匹配與否來決定舍取。建立這類防火牆需按如下步驟去做。 ·建立安全策略——寫出所允許的和禁止的任務; ·將安全策略轉化為數據包分組欄位的邏輯表達式; ·用供貨商提供的句法重寫邏輯表達式並設置之。 (2)包過濾防火牆針對典型攻擊的過濾規則 包過濾防火牆主要是防止外來攻擊,其過濾規則大體有: ·對付源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks) 對入侵者假冒內部主機,從外部傳輸一個源IP地址為內部網路IP地址的數據包的這類攻擊,防火牆只需把來自外部埠的使用內部源地址的數據包統統丟棄掉。 ·對付源路由攻擊(Source Rowing Attacks) 源站點指定了數據包在Internet中的傳遞路線,以躲過安全檢查,使數據包循著一條不可預料的路徑到達目的地。對付這類攻擊,防火牆應丟棄所有包含源路由選項的數據包。·對付殘片攻擊(Tiny Fragment Attacks) 入侵者使用TCP/IP數據包的分段特性,創建極小的分段並強行將TCP頭信息分成多個數據包,以繞過用戶防火牆的過濾規則。黑客期望防火牆只檢查第一個分段而允許其餘的分段通過。對付這類攻擊,防火牆只需將TCP/IP協議片斷位移植(Fragment Offset)為1的數據包全部丟棄即可。 (3)包過濾防火牆的優缺點 包過濾防火牆的優點是簡單、透明,其缺點是: ·該防火牆需從建立安全策略和過濾規則集入手,需要花費大量的時間和人力,還要不斷根據新情況不斷更新過濾規則集。同時,規則集的復雜性又沒有測試工具來檢驗其正確性,難免仍會出現漏洞,給黑客以可乘之機。 ·對於採用動態分配埠的服務,如很多RPC(遠程過程調用)服務相關聯的伺服器在系統啟動時隨機分配埠的,就很難進行有效地過濾。 ·包過濾防火牆只按規則丟棄數據包而不作記錄和報告,沒有日誌功能,沒有審計性。同時它不能識別相同IP地址的不同用戶,不具備用戶身份認證功能,不具備檢測通過高層協議(如應用層)實現的安全攻擊的能力。包過濾防火牆是保護網路安全的必不可少的重要工具,更重要的是要理解這些問題並著手解決。 4.1.2電路級網關 電路級網關又稱線路級網關,它工作在會話層。它在兩個主機首次建立TCP連接時創立一個電子屏障。它作為伺服器接收外來請求,轉發請求;與被保護的主機連接時則擔當客戶機角色、起代理服務的作用。它監視兩主機建立連接時的握手信息,如Syn、Ack和序列數據等是否合乎邏輯,判定該會話請求是否合法。一旦會話連接有效後網關僅復制、傳遞數據,而不進行過濾。電路網關中特殊的客戶程序只在初次連接時進行安全協商控制,其後就透明了。只有懂得如何與該電路網關通信的客戶機才能到達防火牆另一邊的伺服器。 在不同方向上拒絕發送放置和取得命令,就可限制FTP服務的使用。如不允許放置命令輸入,外部用戶就不能寫到FTP伺服器破壞其內容;如不允許放置命令輸出,則不可能將信息存儲在網點外部的FTP伺服器了。 電路級網關的防火牆的安全性比較高,但它仍不能檢查應用層的數據包以消除應用層攻擊的威脅。4.1.3 應用級網關 應用級網關使用軟體來轉發和過濾特定的應用服務,如TELNET、FTP等服務的連接。這是一種代理服務。它只允許有代理的服務通過,也就是說只有那些被認為「可信賴的」服務才被允許通過防火牆。另外代理服務還可以過濾協議,如過濾FTP連接、拒絕使用FTP放置命令等。 應用級網關具有登記、日記、統計和報告功能,有很好的審計功能。還可以具有嚴格的用戶認證功能。 應用級網關的安全性高,其不足是要為每種應用提供專門的代理服務程序。 4.2 按實現的硬體環境分 根據實現防火牆的硬體環境,可分為基於路由器的防火牆和基於主機系統的防火牆。 包過濾防火牆可基於路由器或基於主機系統來實現,而電路級網關和應用級網關只能由主機系統來實現。 4.3 按拓撲結構分4.3.1 雙穴網關(Dual Homed Gateway) 主機系統作為網關,其中安裝兩塊網路介面分別連接到Internet和Intranet。在該雙穴網關中,從包過濾到應用級的代理服務、監視服務都可以用來實現系統的安全策略。 對雙穴網關的最大威脅是直接登錄到該主機後實施攻擊,因此雙穴網關對不可信任的外部主機的登錄應進行嚴格的身份驗證。 4.3.2 屏蔽主機網關 屏蔽主機網關由一個運行代理服務的雙宿網關和一個具有包過濾功能的路由器組成,功能的分開提高了防護系統的效率。 4.3.3 屏蔽子網網關 一個獨立的屏蔽子網位於Intranet與Internet之間,起保護隔離作用。它由兩台過濾路由器和一台代理服務主機構成。路由器過濾掉禁止或不能識別的信息,將合法的信息送到代理服務主機上,並讓其檢查,並向內或向外轉發符合安全要求的信息。 該方案安全性能很高,但管理也最復雜,成本也很高,應用於高安全要求的場合。 先進的認證技術 先進的認證措施,如智能卡、認證令牌、生物統計學和基於軟體的工具已被用來克服傳統口令的弱點。盡管認證技術各不相同,但它們產生的認證信息不能讓通過非法監視連接的攻擊者重新使用。在目前黑客智能程度越來越高的情況之下,一個可訪問Internet的防火牆,如果不使用先進認證裝置或者不包
資料參考如下:
http://dzh.mop.com/topic/main/readSubMain_5238366_0.html
⑻ 網路安全技術主要有哪些
1、防火牆
網路防火牆技術是一種特殊的網路互聯設備,用於加強網路間的訪問控制,防止外網用戶通過外網非法進入內網,訪問內網資源,保護內網運行環境。它根據一定的安全策略,檢查兩個或多個網路之間傳輸的數據包,如鏈路模式,以決定網路之間的通信是否允許,並監控網路運行狀態。
目前防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)、電路層網關、屏蔽主機防火牆、雙宿主機等。
2、殺毒軟體技術
殺毒軟體絕對是使用最廣泛的安全技術解決方案,因為這種技術最容易實現,但是我們都知道殺毒軟體的主要功能是殺毒,功能非常有限,不能完全滿足網路安全的需求,這種方式可能還是能滿足個人用戶或者小企業的需求,但是如果個人或者企業有電子商務的需求,就不能完全滿足。
幸運的是,隨著反病毒軟體技術的不斷發展,目前主流的反病毒軟體可以防止木馬等黑客程序的入侵。其他殺毒軟體開發商也提供軟體防火牆,具有一定的防火牆功能,在一定程度上可以起到硬體防火牆的作用,比如KV300、金山防火牆、諾頓防火牆等等。
3、文件加密和數字簽名技術
與防火牆結合使用的安全技術包括文件加密和數字簽名技術,其目的是提高信息系統和數據的安全性和保密性。防止秘密數據被外界竊取、截獲或破壞的主要技術手段之一。隨著信息技術的發展,人們越來越關注網路安全和信息保密。
目前,各國除了在法律和管理上加強數據安全保護外,還分別在軟體和硬體技術上採取了措施。它促進了數據加密技術和物理防範技術的不斷發展。根據功能的不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性判別等。
(8)第三代網路安全方法擴展閱讀:
首屆全VR線上網路安全大會舉辦
日前,DEF CON CHINA組委會正式官宣,歷經20餘月的漫長等待,DEF CON CHINA Party將於3月20日在線上舉辦。
根據DEF CON CHINA官方提供的信息,本次DEF CON CHINA Party將全程使用VR的方式在線上進行,這也是DEF CON歷史上的首次「全VR」大會。為此,主辦方構建了名為The DEF CONstruct的虛擬空間和賽博世界。在計算機語言中,Construct通常被譯為結構體。
⑼ 什麼是網路安全,常用的安全措施有那些
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全措施有哪些
1、物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
2、訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權,等等。
3、數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
4、網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
5、其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。