關于移動電子商務安全的探析

井淑梅

摘 要：移動電子商務的安全問題是移動電子商務研究的熱點之一。隨著移動電子商務的發(fā)展，安全問題的探索與求解會逐步完善。文章對移動電子商務安全問題進行了分析和探討，希望能夠為相關人士提供參考和借鑒。

關鍵詞：移動電子商務；安全；網(wǎng)絡

1 移動電子商務概述

1.1 移動電子商務的定義

移動電子商務是依托移動通信網(wǎng)絡，使用手機、PDA、掌上電腦、筆記本電腦等移動通信終端和設備所進行的各種商業(yè)信息的交互和各類商務活動。概括的說，移動電子商務的主要特點是位置相關性、緊急性和隨時隨地的訪問。

移動電子商務關注的是商業(yè)系統(tǒng)領域內(nèi)無線遠程通信技術和無線設備的使用、應用和集成。移動商務的領域包括參考無線數(shù)據(jù)和信息以其各種多媒體形式（如文字、圖形、視頻和聲音）傳輸所需要的基礎結構和電子技術。它還結合了各種不同的無線技術以及用于發(fā)送和接受數(shù)據(jù)和信息的便攜式移動設備（如移動電話、個人數(shù)字助理和無線調(diào)制解調(diào)器）的研究。

1.2 移動電子商務的安全

1.2.1 移動電子商務的安全原則

（1）身份標識：對于每一個用戶，應該授予一個唯一的用戶ID、識別名稱等對其身份進行標識的要素以保證用戶身份的可識別性。（2）身份認證：系統(tǒng)應該能夠通過密碼、標識或數(shù)字認證等來對用戶的身份標識進行認證，來確保這一身份標識的確是代表了合法的用戶。（3）接入控制：通過授權等安全機制來保證有合適權限的用戶才能訪問相應的數(shù)據(jù)、應用和系統(tǒng)，使用相應的功能。（4）數(shù)據(jù)完整性：利用信息分類和校驗等手段保證數(shù)據(jù)在整個交易過程中沒有被修改，所收到的數(shù)據(jù)正是對方發(fā)送的數(shù)據(jù)。（5）不可否認性：通過數(shù)字簽名等手段保證交易的參與方對整個交易過程中的指令和活動不得抵賴。（6）數(shù)據(jù)保密性：通過一些加密手段來保證數(shù)據(jù)在交易過程中不得被未經(jīng)授權的人員讀取。

1.2.2 移動電子商務的主要安全技術

（1）MAC地址訪問控制：MAC地址是網(wǎng)絡設備在全球的唯一編號，就是我們說的物理地址、硬件地址、適配器地址或網(wǎng)卡地址。（2）WEP加密：WEP（有線等效保密協(xié)議）是為保證數(shù)據(jù)能通過無線網(wǎng)絡安全傳輸而制定的一個加密標準，實用了共享密鑰RC4加密算法。（3）WAP：WAP（無線應用協(xié)議）是Wi-Fi聯(lián)盟制定的過渡性無線網(wǎng)絡安全標準。WAP有兩個主要內(nèi)容，一個是代替WEP的、設計更好的加密系統(tǒng)，另一個是用戶身份認證系統(tǒng)。（4）WAPI：WAPI（無線局域網(wǎng)鑒別與保密基礎結構），它是經(jīng)多方參加，反復論證，充分考慮各種應用模型，在中國無線局域網(wǎng)標準中提出的WLAN安全解決方案。

2 移動電子商務安全性分析

2.1 移動終端安全問題分析

移動商務所用的終端設備主要包括個人數(shù)字助理、智能手機、便攜式計算機、平板電腦、GPS導航設備等，它們主要面臨以下安全問題：（1）加密和認證等安全措施難以使用?？傮w來說，移動終端設備具有計算能力和存儲能力有限、電池壽命短等特點。而許多安全性相對較好的加密的認證措施都需要客戶端有比較強大的運算能力和存儲能力支撐。移動設備能夠使用的移動終端體積小功能較弱，這就限制了復雜加密認證程序的使用，從而帶來安全隱患。（2）移動終端設備中的機密資料容易丟失和被盜用。移動設備體積較小，使用中很容易不小心跌落而造成損壞，而現(xiàn)在手機和PDA失竊的現(xiàn)象也是屢見不鮮。（3）企業(yè)缺乏終端相關的安全制度和安全技術。雖然現(xiàn)在的移動終端已經(jīng)存儲了大量的公司機密信息，可還是很少有公司對移動終端的安全問題納入公司IT安全考慮的范圍，相關的安全制度和安全技術也很少。（4）手機SIM卡等身份識別設備易于被克隆而造成欺詐。目前手機SIM卡和其它一些移動設備逐漸開始成為移動商務中身份識別的一個重要部分，一旦這些設備被惡意克隆，在其它身份識別措施還不健全的情況下，用戶的個人身份很容易被假冒。

2.2 無線局域網(wǎng)安全問題分析

無線局域網(wǎng)（WLAN）也有許多的安全問題，這些問題包括：（1）WLAN的設備容易為黑客所控制和盜用來向網(wǎng)絡傳送有害數(shù)據(jù)；（2）網(wǎng)絡操作容易受到堵塞傳輸通道的拒絕服務攻擊；（3）許多WLAN在跨越不同層子網(wǎng)的時候往往不需要第二次的登陸檢查；（4）802.11標準使用的WEP（有線等效加密）安全機制存在安全缺陷，容易造成數(shù)據(jù)被攔截和竊取。

2.3 WTLS安全性分析

WTLS（無線傳輸層）：WTLS主要提供WAP安全性協(xié)議，主要提供了下列功能：（1）數(shù)據(jù)完整性（確保傳輸?shù)臄?shù)據(jù)未被更改并且未損壞）；（2）保密性（確保傳輸?shù)臄?shù)據(jù)是加密的）；（3）身份驗證（建立終端及應用服務器的真實身份）；（4）拒絕服務保護（檢測和拒絕未成功驗證的數(shù)據(jù)）。

3 移動電子商務安全的思考

3.1 終端設備安全問題

在移動設備的選擇使用上，移動用戶可以選擇一些擁有加密措施的終端設備，現(xiàn)在市場上已經(jīng)有很多設備中添加了指紋識別系統(tǒng)、衛(wèi)星定位系統(tǒng)、文件加密系統(tǒng)，這些設備有效的將因設備丟失而引起的安全隱患降到了最低。還有就是對于一些公司成員，移動用戶制定相應的規(guī)章制度，增強安全意識。

3.2 病毒黑客問題

在移動電子商務的實際應用中采取有效措施來防范和降低病毒給移動商務帶來的威脅，由于移動用戶手里的移動設備由于本身的計算量有限，所以很難在移動設備中建立相對完善的防病毒軟件，那么移動商務安全措施就應該寄希望于移動運營商，在移動運營商提供的交互服務器上建立完善的病毒檢測，病毒查殺體系，并且在移動運營商的服務器上建立防火墻，對用戶傳來的信息進行首次審查，再將審查后的信息導入總服務器進行二次查殺，用戶在使用移動設備時也要安裝針對移動設備的最新的殺毒軟件，并且及時更新自己設備上的病毒庫。

3.3 無線技術面臨的一些安全問題

3.3.1 雙協(xié)議安全的完善

（1）移動用戶將自己的公開密鑰PKa交給內(nèi)容服務器；內(nèi)容服務器則將自己的公開密鑰PKb反交給移動用戶。（2）移動用戶將自己的設備中的信息用對稱加密算法加密后，再用內(nèi)容服務器給的加密算法PKb進行加密，最后將加密好的數(shù)據(jù)傳送給內(nèi)容服務器。（3）內(nèi)容服務器接受了用戶的加密數(shù)據(jù)后，自動選擇自己的對應解密算法，選擇一組對稱加密算法、公鑰加密算法、信息摘錄算法。對用戶的數(shù)據(jù)加密算法進行再加密最后傳給用戶。（4）移動用戶接收到內(nèi)容服務器發(fā)來的信息后對其私鑰解密，得出的數(shù)據(jù)信息來確定自己與內(nèi)容服務器之間的對應的加密算法。移動用戶對自己的信息進行一個摘錄處理，得出摘錄信息，在進行私鑰處理最后得到一個數(shù)字簽名，將這個數(shù)字簽名附著在數(shù)據(jù)信息上。移動用戶使用設備再隨機地出一個密鑰，使用這個密鑰與先前的數(shù)字簽名共同加密數(shù)據(jù)信息，形成一個密文，將這個雙加密的密文再次發(fā)送給內(nèi)容服務器。（5）內(nèi)容服務器接收到了信息后先用自己的私鑰對其解密，得到與用戶協(xié)商好的的對稱密鑰，用這個密鑰對用戶傳來的信息進行二次解密得到數(shù)字簽名，至此將先前的對稱密鑰刪除以免被不法利用。內(nèi)容服務器再對得到的數(shù)字簽名使用公開密鑰解密得到信息摘錄。內(nèi)容服務器對得到的信息招錄進行再處理得到新的信息摘錄將兩次的摘錄進行對比，如果雙方一致則該傳輸?shù)臄?shù)據(jù)未被寫改過。內(nèi)容服務器就把這個安全信息作為安全協(xié)商密鑰。

3.3.2 無線應用技術設計

（1）移動用戶將要傳輸?shù)臄?shù)據(jù)準備好后用安全協(xié)商密鑰Ke對數(shù)據(jù)進行加密處理，在使用移動設備與WAP網(wǎng)關之間共享的WTLS密鑰Ke1進行二次加密，這樣就可以發(fā)送給WAP網(wǎng)關了。（2）WAP網(wǎng)關對接收的加密信息使用自己的Ke1解密，因為用戶的數(shù)據(jù)還被安全協(xié)議密鑰加密著，所以WAP解密后的用戶數(shù)據(jù)還是密文，這樣就不會使數(shù)據(jù)在傳輸過程中泄漏了。（3）WAP網(wǎng)關再把已經(jīng)用Ke解密后的信息再用WAP網(wǎng)關與內(nèi)容服務器之間共享的TLS密鑰Ke2進行加密，然后再發(fā)送給內(nèi)容服務器。（4）內(nèi)容服務器接收到WAP網(wǎng)關發(fā)過來的加密信息后，先用Ke2對其解密，再用Ke進行二次解密，得到用戶發(fā)來的信息。