电商平台等
APP开发的安全问题有哪些?我国移动电子商务正处在快速兴起阶段,安全且便捷的电子商务平台是电子商务发展的关键,在行业整体蓬勃发展的同时,许多方面还存在问题,其中最核心的问题就是移动电子商务平台的安全问题。开展移动电子商务可以由多种平台承载,其中,WAP及短消息是实现移动电子商务最主要的平台。
APP开发公司本文主要介绍WAP及短消息的安全问题。
电商平台等APP开发的安全问题之基于WAP平台的移动商务安全问题
WAP用于把互联网的海量信息、多种多样的业务引入移动终端中。WAP支持多种无线网络协议,包括GSM、CDMA、LTE等。这使得用户不论身处何地,只
要利用WAP终端即可获取Internet上的丰富资源。WAP自发展之初至今共包含3个版本,即WAP1.1、 WAP1.2、WAP2.0,其中,WAP2.0是当前的发展趋势,主流终端已能够支持2.0版本,APP开发公司资深工程师下面分别介绍3个
APP开发关于版本的安全问题。
WAP1.1
主要基于WTLS协议保证安全性,该协议能够提供针对传输层数据机密性、完整性的保障,并对通信双方的身份进行认证,但不能提供数字签名机
制,对部分用户的抵赖行为无能为力。与WAP1.1相比,WAP1.2优势在于制定了WIM规范,该规范将原先存储于手机软件中的机密信息(包括私钥和共享秘密参数等)改为存于SIM卡或智能卡等防篡改设备中,进一步增强了机密信息完整性的保护。同时,加/解密算法也改为在SIM-卡或智能卡中实现,可以设计专[门的加/解密芯片,保证在不脱离硬件的情况下,完成针对机密信息的加/解密过程。因此,手机软件中无需保存机密信息,即便手机丢失,私钥等重要参数已固化于智能卡设备中,可有效避免泄露的风险。同时,WAP1.2制定了安全API库WMI Script。WMLScript中提供数字签名机制以弥补WAP1.1中无法实现的缺陷。
WAP1.2
的安全问题在于无法提供端到端的保密通信,由于WAP网关服务器接收经过无线编码的WAP用户数据后,需先译码再进行互联网编码,译码和重新编码的时间间隔不到1s,使得该段时间内用户信息处于未编码状态。虽然处于未编码状态的时间极短,但这也是WAP1.x固有的安全隐患。相较WAP1.1,WAP2.0的主要优势在于,提出使用SSL/TLS保障传输层的通信安全,进而实现了传输层端到端的保密通信。同时,在继承WAP1.1安全性保障的基础上,WAP2.0根据WAP1.1中存在的问题及当前移动通信发展趋势,提出了新的安全协议,包括WPKI。WAP2.0能够为移动电子商务交易提供较好的安全性保障,这是当前移动电子商务的发展方向。
电商平台等APP开发的安全问题之基于短消息的移动商务安全问题
点到点的短消息服务提供了一种移动电话发起或终止的长度受限消息的发送方式。当发生部分小额商务交易时,可利用短消息(SMS)完成移动支付,例如彩铃订购。在利用SMS进行移动商务交易过程中,短消息服务中心(SMSC)起着存储转发短消息的作用,即发端用户将短消息发至SMSC, SMSC进行处理后,转发短消息至接收端用户。因此,终端和终端之间、终端和服务器之间的直接交互难以实现,部分安全机制不再适用。基于短消息的移动商务过程中存在的安全问题,深圳APP开发公司下面具体从接入部分、SMSC、业务实体3个方面分别介绍。
1. SMS接入的安全问题
用户可通过和基站间的无线链路或者由基站到移动交换中心再到SMS网关的有线网络两种方式接入SMSC。短消息在网络中传输时可以使用A5算法加密,然而对于GSM网络而言,内部有线链路的数据、信令消息均未加密,存在被黑客监听窃取的安全威胁。黑客甚至可能篡改通信消息,达到欺骗合法用户的目的。此外,由于信道中传送短消息是基于MAP (Mobile Application Part,移动应用部分)传输协议,该协议自身并无任何加密机制,使得短消息在信道中传输时也未加密。数据的机密性、完整性均无法保障。
2. SMSC的安全问题
SMSC与互联网短信网关(ISMG)之间利用TCP/IP连接,且二者间传输的数据并未加密,使得黑客能够窃听SMSC和ISMG之间的通信。同时,由于SMSC和ISMG之间采用单向鉴权,即SMSC对ISMG进行 鉴别,未提供ISMG对SMSC的鉴权机制。黑客在窃听通话获取重要数据后,可能伪装成短消息中心,发起与短信网关的会话,可达到欺骗短信网关的目的。SMSC的另一个安全问题是数据库的管理问题。由于数据库中存储着大量用户的重要信息,对数据库的安全管理格外重要。一是要加强对短消息中心数据库的访问控制,严格限制第三方人员对数据库的访问;二是增强对短消息中心数据库中数据的机密性保障,防范不法分子窃取数据库中的机密信息。
3.业务实体的安全问题
互联网短信网关是外部信息资源站实体(SP)与移动网内短信中心之间的中介实体。SP发送给用户的消息均经互联网短信网关中转,由互联网短信网关发送至短消息中心。同时,用户点播SP业务的消息也是先由短消息中心发送给互联网短信网关,再由互联网短信网关发给SP。互联网短信网关和SP之间利用有线网络传输数据,这部分数据缺乏可靠的加密机制保证安全性,为黑客窃取降低了难度。同时,互联网短信网关对SP发送的短消息缺少完整性验证的安全机制,也没有针对病毒、木马的检测机制,使得短消息内容可能被黑客恶意篡改以欺骗网关,或者通过将短消息捆绑木马以达到完全控制网关的目的。好了,
深圳APP开发公司本文关于“电商平台等APP开发的安全问题有哪些?”知识就分享到这里,谢谢关注,博纳网络编辑整理。