移動電子商務模式下安全問題的研究

移動電子商務是將現代信息科學技術和傳統商務活動相結合，隨時隨地為用戶提供各種個性化的、定制的在線動態商務服務。這種融合了移動通信技術的電子商務具有巨大的潛力，業內人士普遍看好它的市場前景。電子商務在我國能否廣泛應用的一個瓶頸問題是安全。在無線環境里，由于空中接口的開放，人們對于進行商務活動的安全性的關注遠遠超過有線環境。只有當所有的用戶確信，通過無線方式進行的交易不會發生欺詐或篡改，進行的交易得到法律的承認和隱私信息被適當地保護，移動電子商務才有可能成功和推廣。

一、移動電子商務通信技術現狀

作為移動電子商務的最底層，無線通信技術，以及由其而構成的無線網絡是否先進，將直接決定這種新興商務模式的成敗。目前，已經商用化的無線網絡技術主要有以下幾種:

1.無線局域網（Wireless Local Area Network，WLAN)無線局域網絡是以無線連接至局域網絡的通訊方式。它采用的是IEEE 802.11系列標準。在該標準中，無線局域網的安全機制采用的是WEP協議（Wired Equivalent Privacy，有線對等安全協議）。在數據鏈路層用WEP加密數據，保證了信道上傳送數據的安全。另外，無線局域網的網絡管理員分配給每個授權用戶一個基于WEP算法的密鑰，這樣就有效阻止了非授權用戶的訪問。

2．WAP（Wireless Application Protocol，無線應用協議）WAP由一系列協議組成，用來標準化無線通信設備。例如:移動電話、移動終端。它負責將Internet和移動通信網連接到一起，事實上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。

WAP的安全機制是通過WTLS（Wireless Transport Layer Security，無線傳輸層安全）來實現的。WTLS協議類似于互聯網傳輸層安全協議。在無線技術的有限發送功率、存儲容量及帶寬的條件下，WTLS能夠實現鑒定、保證數據的完整性和提供保密服務的目標。

二、移動電子商務安全分析

在網絡安全技術中，一般根據不同的網絡技術和具體的應用環境來選擇與適用相應的安全手段。

1.IEEE 802.11的安全

IEEE 802.11標準規定了MAC子層的存取控制規范，也定義了加密機制，即WEP。WEP的目的是通過對信息流加密并利用WEP認證節點，使無線通信傳輸像有線網絡一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于任意一個傳遞的數據包，傳輸程序都將數據包的內容與數據包的校驗組合在一起。然后，WEP標準要求傳輸程序創建一個特定于數據包的初始化向量，后者與密鑰組合在一起，用于對數據包進行加密。接收方生成自己的匹配數據包密鑰并用其對數據包進行解密。在理論上，這種方法優于單獨使用共享私鑰的顯式策略，應該更難于破解。

但是，IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網基本安全的安全級別，根本不是一種全面的安全方案。越來越多的安全專家和研究人員發現IEEE802.11存在安全漏洞，有經驗的黑客可以利用這些漏洞進行攻擊。早期的WEP只提供40位加密，這使得它抗暴力攻擊能力差。現今的系統提供128位的WEP，128位的密鑰長度減去24位的初始化向量后，實際上有效的密鑰長度為104位。盡管如此，128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網絡放在網絡防火墻之外，這種防范措施會強制要求將無線聯接當作不受信任的連接來看待，就像看待其他任何來自Internet的聯接一樣。所以，WEP應該與其他安全機制一起應用才能提供較強的安全。

2.WAP的安全

WAP規范的安全特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊（WIM）和允許WAP交易簽名的SignText功能。

WAP在一定程度上是安全的。但由于WAP網關暴露在外，而且并不為商務提供方所有，故而會成為一個潛在的安全隱患。對于安全要求較高的公司可以擁有自己的WAP網關，從而保障數據端到端的安全性。

3.WPKI技術

在有線環境中，電子商務的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務的安全問題，但在無線環境中應用PKI的同時要考慮到移動通信環境的特點，并據此對PKI技術進行改進。

WPKI和PKI的最主要區別在于證書的驗證和加密算法。WPKI采用優化的ECC橢圓曲線加密和壓縮的X.509數字證書。對于一個1024位加密算法，用手機至少需要半分鐘才能完成，所以傳統的PKI X.509就不適合于移動計算。ECC算法的數學理論非常深奧和復雜，在工程應用中比較難于實現，但它的單位安全強度相對較高。在目前已知的公鑰體制中橢圓曲線密碼體制是對每比特所提供的加密強度最高的一種體制。即使使用目前解橢圓曲線上的離散對數問題的最好算法，其時間復雜度也是完全指數階的。ECC的密鑰短這一優勢是非常明顯的，隨加密強度的提高，密鑰長度的變化也不大。橢圓曲線ECC算法在運算能力有限，存儲空間不大的移動終端中的應用前景十分廣闊。我國在2003年頒布的無線局域網國家標準中，數字簽名采用的就是橢圓曲線ECC算法。

作為對傳統電子商務的有益補充，移動電子商務在解決了實現技術和安全問題后，定會迎來它的高速發展和飛快普及，很可能成為未來電子商務的主流方式。