淺析移動(dòng)電子商務(wù)交易安全性研究

徐洪峰

貴州師范大學(xué)經(jīng)濟(jì)與管理學(xué)院 貴州 550001

0 引言

移動(dòng)電子商務(wù)(M-commerce)是指通過手機(jī)、傳呼機(jī)、掌上電腦、筆記本電腦等移動(dòng)通訊設(shè)備與無線上網(wǎng)技術(shù)結(jié)合所構(gòu)成的一個(gè)電子商務(wù)體系。它能夠不受時(shí)間和空間的約束展開商務(wù)活動(dòng)，已經(jīng)為越來越多的企業(yè)所接受。移動(dòng)電子商務(wù)的模式目前主要有兩種：SMS模式和WAP模式。SMS模式(hort Message Service)短消息模式；WAP模式(ireless Application Protocol 無線應(yīng)用協(xié)議)在數(shù)字移動(dòng)電話、因特網(wǎng)及其他個(gè)人數(shù)字助理(DA)計(jì)算機(jī)應(yīng)用之間進(jìn)行通信的開放式全球標(biāo)準(zhǔn)，它是開展移動(dòng)電子商務(wù)應(yīng)用的核心技術(shù)之一。但由于移動(dòng)電子商務(wù)采用的是無線信道，同時(shí)計(jì)算機(jī)通訊網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)原有存在的不安全因素，使得交易過程中存在大量的安全隱患。

1 存在問題

移動(dòng)電子商務(wù)交易過程中主要面臨著三個(gè)方面的威脅：無線鏈路威脅、拒絕服務(wù)和交易抵賴。

（1）無線鏈路威脅。由于無線網(wǎng)絡(luò)具有開放性特點(diǎn)以及短消息等數(shù)據(jù)一般都是明文傳輸，這使得通過無線空中接口進(jìn)行竊聽成為可能。在無線通信網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)通信內(nèi)容(如通話信息、身份信息、位置信息、數(shù)據(jù)信息等)都是通過無線信道傳送的，而無線信道是一個(gè)開放性信道，任何具有適當(dāng)無線終端設(shè)備的人均可以通過竊聽無線信道而獲得上述信息。因而無線竊聽相對(duì)來說比較容易，只需要適當(dāng)?shù)臒o線接收設(shè)備即可，而且很難被發(fā)現(xiàn)。同時(shí)由于通訊過程中，信息需要通過基站之間以及基站和移動(dòng)服務(wù)交換中間來傳遞，信息在轉(zhuǎn)換過程中容易導(dǎo)致用戶身份、位置的泄露。

（2）交易抵賴。指交易雙方對(duì)交易的內(nèi)容包括合同、單據(jù)等在事后都能進(jìn)行有效的確認(rèn)。進(jìn)行交易的雙方都要能夠在事后確認(rèn)進(jìn)行過的交易，即對(duì)交易本身及交易合同、契約、或交易的單據(jù)等文件的抗抵賴性。

（3）假冒攻擊。利用無線網(wǎng)絡(luò)信號(hào)的漫游性，攻擊者可以利用無線接收設(shè)備對(duì)信息進(jìn)行截取和竊聽，當(dāng)攻擊者截獲到一個(gè)合法用戶的身份信息時(shí)，他就可以利用這個(gè)身份信息來假冒該合法用戶，這就是所謂的身份假冒攻擊。

（4）拒絕服務(wù)。入侵者通過物理層或協(xié)議層干擾用戶數(shù)據(jù)、信令數(shù)據(jù)或控制數(shù)據(jù)在網(wǎng)絡(luò)中的正常傳輸，來實(shí)現(xiàn)網(wǎng)絡(luò)中的拒絕服務(wù)攻擊，還可以通過假冒某一網(wǎng)絡(luò)單元阻止合法用戶的業(yè)務(wù)數(shù)據(jù)、信令信息或控制數(shù)據(jù)，從而使合法用戶無法接受正常的網(wǎng)絡(luò)服務(wù)。如：攻擊者可以通過刪除某一網(wǎng)絡(luò)上傳送的所有數(shù)據(jù)包的方法，使網(wǎng)絡(luò)拒絕為用戶服務(wù)；還可以通過郵件炸彈的方法使系統(tǒng)性能降低或崩潰，從而達(dá)到拒絕服務(wù)的目的。

2 解決方案

2.1 WEP協(xié)議

在無線局域網(wǎng)環(huán)境中可以考慮采用 WEP協(xié)議(Wired Equivalent Privacy，有線對(duì)等安全協(xié)議)。對(duì)數(shù)據(jù)層數(shù)據(jù)在傳輸過程中采用 WEP進(jìn)行數(shù)據(jù)加密，保證通信信道上數(shù)據(jù)傳輸?shù)陌踩Ｍ瑫r(shí)，由網(wǎng)絡(luò)管理員對(duì)每個(gè)授權(quán)用戶分配一個(gè)基于 WEP算法的密鑰，能夠有效的防止非授權(quán)用戶的訪問。但由于早期WEP僅能提供40位長度的加密，及其容易破解和攻擊。現(xiàn)在的WEP有效密鑰長度為104位，仍然不能有效實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。因此，采用 WEP協(xié)議仍然不能保證移動(dòng)電子商務(wù)的安全交易。

2.2 WAP協(xié)議框架

考慮到上述的安全性問題及威脅，可以采用WAP體系框架來改進(jìn)數(shù)據(jù)傳輸和交易過程中的安全性。通過建立一個(gè)具有WAP 網(wǎng)關(guān)的Web服務(wù)器來解決端到端的問題。因?yàn)閿?shù)據(jù)在移動(dòng)終端與 WAP服務(wù)器之間采用 WTLS (Wireless Transport Layer Security)加密，數(shù)據(jù)通道上不存在協(xié)議轉(zhuǎn)換，而WAP網(wǎng)關(guān)作為最終服務(wù)器的一部分，就不再是整個(gè)過程的一個(gè)環(huán)節(jié)。數(shù)據(jù)解密出來直接提交給服務(wù)器操作，實(shí)現(xiàn)了端到端的安全。若采用WAP服務(wù)器方式，用戶必須重新配置WAP移動(dòng)終端設(shè)備，建立與之相應(yīng)的WAP會(huì)話，但存在配置費(fèi)用過高的問題，以及在WAP會(huì)話的通訊的過程中，存在明文通訊，這種通訊容易別攻擊者獲取和利用。可以考慮在通訊傳輸?shù)倪^程中，進(jìn)行一定的加密，現(xiàn)在用的最多的是橢圓加密ECC，主要考慮的因素是該加密過程中密鑰長度為163位，加密能力和程度可以達(dá)到RSA加密密鑰1024位的加密程度(如圖1)。

圖1 WAP體系結(jié)構(gòu)

2.3 加密和認(rèn)證手段

(1) 加密技術(shù)

現(xiàn)在有許多加密解決方案可降低數(shù)據(jù)在無線網(wǎng)絡(luò)上傳輸時(shí)遭到攔截的風(fēng)險(xiǎn)。由于GSM和GPRS網(wǎng)絡(luò)采用的加密技術(shù)存在許多弱點(diǎn)，所以采用更可靠的加密解決方案是必要的。這些解決方案雖然運(yùn)行在無線網(wǎng)絡(luò)運(yùn)營商提供的現(xiàn)有系統(tǒng)之上，但可以由公司控制并使用經(jīng)過驗(yàn)證的標(biāo)準(zhǔn)化協(xié)議，提供的選項(xiàng)包括IPSec、WTLS和TPKDP。

(2) MEIP安全協(xié)議

采用移動(dòng)電子商務(wù)交互協(xié)議(Mobile E-Commerce Interact Protocol, EIP)。該協(xié)議從源頭解決了數(shù)據(jù)重傳問題，它采用端連接的方式，及時(shí)攻擊者截獲了數(shù)據(jù)包，也沒有辦法加以利用來獲取用戶信息。此外該協(xié)議能夠?qū)崿F(xiàn)用戶身份驗(yàn)證，防止用戶誤操作。

(3) 授權(quán)

授權(quán)解決方案用來管理和集成用戶接入控制及授權(quán)信息，在必要時(shí)也可對(duì)用戶接入加以限制。授權(quán)包括兩種方式，即基于功能的授權(quán)(根據(jù)能使用訂購信息接入的資源對(duì)每位用戶進(jìn)行授權(quán))和基于接入控制表ACL的授權(quán)(定義用戶可以接入的資源)。簡單的授權(quán)檢查可在無線環(huán)境中的各種位置完成。

(4) WPKI技術(shù)

可通過部署無線公共密鑰基礎(chǔ)設(shè)施(WPKI-Wireless Public Key Infrastructure)技術(shù)來實(shí)現(xiàn)數(shù)據(jù)傳輸路徑真正的端到端的安全性、安全的用戶鑒權(quán)及可信交易。WPKI使用公共密鑰加密及開放標(biāo)準(zhǔn)技術(shù)來構(gòu)建可信的安全性架構(gòu)，該架構(gòu)可促使公共無線網(wǎng)絡(luò)上的交易和安全通信鑒權(quán)。可信的PKI不僅能夠安全鑒權(quán)用戶、保護(hù)數(shù)據(jù)在傳輸中的完整性和保密性，而且能夠幫助企業(yè)實(shí)施非復(fù)制功能，使得交易參與各方無法抵賴。

3 結(jié)論

考慮到WAP存在的缺陷，在相應(yīng)的認(rèn)證中心簽發(fā)數(shù)字簽名和數(shù)字證書的過程前，考慮加入相應(yīng)的加密過程，保證用戶信息的惟一性。此外，利用相應(yīng)的授權(quán)和WPKI技術(shù)來進(jìn)一步保證移動(dòng)電子商務(wù)交易過程的安全性。

[1] 王德仲,孫秀平.移動(dòng)電子商務(wù)發(fā)展初具規(guī)模[J].通信世界.2007.

[2] 施慶平.移動(dòng)電子商務(wù)中的信息交換安全性分析[J].場現(xiàn)代化.2009.

[3] 代文鋒,王玉珍.我國移動(dòng)電子商務(wù)現(xiàn)狀與問題研究[J].辦公自動(dòng)化.2008.

[4] 李必云,石俊萍.基于WPKI的移動(dòng)電子商務(wù)研究[J].計(jì)算機(jī)與現(xiàn)代化.2010.

[5] 李思輝,陳樺.移動(dòng)電子商務(wù)模式下安全問題的研究[J].商場現(xiàn)代化.2008.

[6] 吳章.WAP協(xié)議的安全策略在移動(dòng)電子商務(wù)中的應(yīng)用[J].現(xiàn)代商業(yè).2010.

[7] 范榮真.基于WAP2.0的移動(dòng)安全支付協(xié)議[J].技術(shù)研究.2010.

[8] 孫雁飛,張順頤,陸青蓮等.一種基于數(shù)據(jù)安全保證的移動(dòng)電子商務(wù)系統(tǒng)[J].電信快報(bào).2008.

[9] 傅杰勇.我國移動(dòng)電子商務(wù)應(yīng)用安全問題探析[J].中國集團(tuán)經(jīng)濟(jì).2008.