關(guān)于移動電子商務(wù)安全的探析

井淑梅

摘 要：移動電子商務(wù)的安全問題是移動電子商務(wù)研究的熱點之一。隨著移動電子商務(wù)的發(fā)展，安全問題的探索與求解會逐步完善。文章對移動電子商務(wù)安全問題進行了分析和探討，希望能夠為相關(guān)人士提供參考和借鑒。

關(guān)鍵詞：移動電子商務(wù)；安全；網(wǎng)絡(luò)

1 移動電子商務(wù)概述

1.1 移動電子商務(wù)的定義

移動電子商務(wù)是依托移動通信網(wǎng)絡(luò)，使用手機、PDA、掌上電腦、筆記本電腦等移動通信終端和設(shè)備所進行的各種商業(yè)信息的交互和各類商務(wù)活動。概括的說，移動電子商務(wù)的主要特點是位置相關(guān)性、緊急性和隨時隨地的訪問。

移動電子商務(wù)關(guān)注的是商業(yè)系統(tǒng)領(lǐng)域內(nèi)無線遠程通信技術(shù)和無線設(shè)備的使用、應(yīng)用和集成。移動商務(wù)的領(lǐng)域包括參考無線數(shù)據(jù)和信息以其各種多媒體形式（如文字、圖形、視頻和聲音）傳輸所需要的基礎(chǔ)結(jié)構(gòu)和電子技術(shù)。它還結(jié)合了各種不同的無線技術(shù)以及用于發(fā)送和接受數(shù)據(jù)和信息的便攜式移動設(shè)備（如移動電話、個人數(shù)字助理和無線調(diào)制解調(diào)器）的研究。

1.2 移動電子商務(wù)的安全

1.2.1 移動電子商務(wù)的安全原則

（1）身份標(biāo)識：對于每一個用戶，應(yīng)該授予一個唯一的用戶ID、識別名稱等對其身份進行標(biāo)識的要素以保證用戶身份的可識別性。（2）身份認(rèn)證：系統(tǒng)應(yīng)該能夠通過密碼、標(biāo)識或數(shù)字認(rèn)證等來對用戶的身份標(biāo)識進行認(rèn)證，來確保這一身份標(biāo)識的確是代表了合法的用戶。（3）接入控制：通過授權(quán)等安全機制來保證有合適權(quán)限的用戶才能訪問相應(yīng)的數(shù)據(jù)、應(yīng)用和系統(tǒng)，使用相應(yīng)的功能。（4）數(shù)據(jù)完整性：利用信息分類和校驗等手段保證數(shù)據(jù)在整個交易過程中沒有被修改，所收到的數(shù)據(jù)正是對方發(fā)送的數(shù)據(jù)。（5）不可否認(rèn)性：通過數(shù)字簽名等手段保證交易的參與方對整個交易過程中的指令和活動不得抵賴。（6）數(shù)據(jù)保密性：通過一些加密手段來保證數(shù)據(jù)在交易過程中不得被未經(jīng)授權(quán)的人員讀取。

1.2.2 移動電子商務(wù)的主要安全技術(shù)

（1）MAC地址訪問控制：MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號，就是我們說的物理地址、硬件地址、適配器地址或網(wǎng)卡地址。（2）WEP加密：WEP（有線等效保密協(xié)議）是為保證數(shù)據(jù)能通過無線網(wǎng)絡(luò)安全傳輸而制定的一個加密標(biāo)準(zhǔn)，實用了共享密鑰RC4加密算法。（3）WAP：WAP（無線應(yīng)用協(xié)議）是Wi-Fi聯(lián)盟制定的過渡性無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。WAP有兩個主要內(nèi)容，一個是代替WEP的、設(shè)計更好的加密系統(tǒng)，另一個是用戶身份認(rèn)證系統(tǒng)。（4）WAPI：WAPI（無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)），它是經(jīng)多方參加，反復(fù)論證，充分考慮各種應(yīng)用模型，在中國無線局域網(wǎng)標(biāo)準(zhǔn)中提出的WLAN安全解決方案。

2 移動電子商務(wù)安全性分析

2.1 移動終端安全問題分析

移動商務(wù)所用的終端設(shè)備主要包括個人數(shù)字助理、智能手機、便攜式計算機、平板電腦、GPS導(dǎo)航設(shè)備等，它們主要面臨以下安全問題：（1）加密和認(rèn)證等安全措施難以使用。總體來說，移動終端設(shè)備具有計算能力和存儲能力有限、電池壽命短等特點。而許多安全性相對較好的加密的認(rèn)證措施都需要客戶端有比較強大的運算能力和存儲能力支撐。移動設(shè)備能夠使用的移動終端體積小功能較弱，這就限制了復(fù)雜加密認(rèn)證程序的使用，從而帶來安全隱患。（2）移動終端設(shè)備中的機密資料容易丟失和被盜用。移動設(shè)備體積較小，使用中很容易不小心跌落而造成損壞，而現(xiàn)在手機和PDA失竊的現(xiàn)象也是屢見不鮮。（3）企業(yè)缺乏終端相關(guān)的安全制度和安全技術(shù)。雖然現(xiàn)在的移動終端已經(jīng)存儲了大量的公司機密信息，可還是很少有公司對移動終端的安全問題納入公司IT安全考慮的范圍，相關(guān)的安全制度和安全技術(shù)也很少。（4）手機SIM卡等身份識別設(shè)備易于被克隆而造成欺詐。目前手機SIM卡和其它一些移動設(shè)備逐漸開始成為移動商務(wù)中身份識別的一個重要部分，一旦這些設(shè)備被惡意克隆，在其它身份識別措施還不健全的情況下，用戶的個人身份很容易被假冒。

2.2 無線局域網(wǎng)安全問題分析

無線局域網(wǎng)（WLAN）也有許多的安全問題，這些問題包括：（1）WLAN的設(shè)備容易為黑客所控制和盜用來向網(wǎng)絡(luò)傳送有害數(shù)據(jù)；（2）網(wǎng)絡(luò)操作容易受到堵塞傳輸通道的拒絕服務(wù)攻擊；（3）許多WLAN在跨越不同層子網(wǎng)的時候往往不需要第二次的登陸檢查；（4）802.11標(biāo)準(zhǔn)使用的WEP（有線等效加密）安全機制存在安全缺陷，容易造成數(shù)據(jù)被攔截和竊取。

2.3 WTLS安全性分析

WTLS（無線傳輸層）：WTLS主要提供WAP安全性協(xié)議，主要提供了下列功能：（1）數(shù)據(jù)完整性（確保傳輸?shù)臄?shù)據(jù)未被更改并且未損壞）；（2）保密性（確保傳輸?shù)臄?shù)據(jù)是加密的）；（3）身份驗證（建立終端及應(yīng)用服務(wù)器的真實身份）；（4）拒絕服務(wù)保護（檢測和拒絕未成功驗證的數(shù)據(jù)）。

3 移動電子商務(wù)安全的思考

3.1 終端設(shè)備安全問題

在移動設(shè)備的選擇使用上，移動用戶可以選擇一些擁有加密措施的終端設(shè)備，現(xiàn)在市場上已經(jīng)有很多設(shè)備中添加了指紋識別系統(tǒng)、衛(wèi)星定位系統(tǒng)、文件加密系統(tǒng)，這些設(shè)備有效的將因設(shè)備丟失而引起的安全隱患降到了最低。還有就是對于一些公司成員，移動用戶制定相應(yīng)的規(guī)章制度，增強安全意識。

3.2 病毒黑客問題

在移動電子商務(wù)的實際應(yīng)用中采取有效措施來防范和降低病毒給移動商務(wù)帶來的威脅，由于移動用戶手里的移動設(shè)備由于本身的計算量有限，所以很難在移動設(shè)備中建立相對完善的防病毒軟件，那么移動商務(wù)安全措施就應(yīng)該寄希望于移動運營商，在移動運營商提供的交互服務(wù)器上建立完善的病毒檢測，病毒查殺體系，并且在移動運營商的服務(wù)器上建立防火墻，對用戶傳來的信息進行首次審查，再將審查后的信息導(dǎo)入總服務(wù)器進行二次查殺，用戶在使用移動設(shè)備時也要安裝針對移動設(shè)備的最新的殺毒軟件，并且及時更新自己設(shè)備上的病毒庫。

3.3 無線技術(shù)面臨的一些安全問題

3.3.1 雙協(xié)議安全的完善

（1）移動用戶將自己的公開密鑰PKa交給內(nèi)容服務(wù)器；內(nèi)容服務(wù)器則將自己的公開密鑰PKb反交給移動用戶。（2）移動用戶將自己的設(shè)備中的信息用對稱加密算法加密后，再用內(nèi)容服務(wù)器給的加密算法PKb進行加密，最后將加密好的數(shù)據(jù)傳送給內(nèi)容服務(wù)器。（3）內(nèi)容服務(wù)器接受了用戶的加密數(shù)據(jù)后，自動選擇自己的對應(yīng)解密算法，選擇一組對稱加密算法、公鑰加密算法、信息摘錄算法。對用戶的數(shù)據(jù)加密算法進行再加密最后傳給用戶。（4）移動用戶接收到內(nèi)容服務(wù)器發(fā)來的信息后對其私鑰解密，得出的數(shù)據(jù)信息來確定自己與內(nèi)容服務(wù)器之間的對應(yīng)的加密算法。移動用戶對自己的信息進行一個摘錄處理，得出摘錄信息，在進行私鑰處理最后得到一個數(shù)字簽名，將這個數(shù)字簽名附著在數(shù)據(jù)信息上。移動用戶使用設(shè)備再隨機地出一個密鑰，使用這個密鑰與先前的數(shù)字簽名共同加密數(shù)據(jù)信息，形成一個密文，將這個雙加密的密文再次發(fā)送給內(nèi)容服務(wù)器。（5）內(nèi)容服務(wù)器接收到了信息后先用自己的私鑰對其解密，得到與用戶協(xié)商好的的對稱密鑰，用這個密鑰對用戶傳來的信息進行二次解密得到數(shù)字簽名，至此將先前的對稱密鑰刪除以免被不法利用。內(nèi)容服務(wù)器再對得到的數(shù)字簽名使用公開密鑰解密得到信息摘錄。內(nèi)容服務(wù)器對得到的信息招錄進行再處理得到新的信息摘錄將兩次的摘錄進行對比，如果雙方一致則該傳輸?shù)臄?shù)據(jù)未被寫改過。內(nèi)容服務(wù)器就把這個安全信息作為安全協(xié)商密鑰。

3.3.2 無線應(yīng)用技術(shù)設(shè)計

（1）移動用戶將要傳輸?shù)臄?shù)據(jù)準(zhǔn)備好后用安全協(xié)商密鑰Ke對數(shù)據(jù)進行加密處理，在使用移動設(shè)備與WAP網(wǎng)關(guān)之間共享的WTLS密鑰Ke1進行二次加密，這樣就可以發(fā)送給WAP網(wǎng)關(guān)了。（2）WAP網(wǎng)關(guān)對接收的加密信息使用自己的Ke1解密，因為用戶的數(shù)據(jù)還被安全協(xié)議密鑰加密著，所以WAP解密后的用戶數(shù)據(jù)還是密文，這樣就不會使數(shù)據(jù)在傳輸過程中泄漏了。（3）WAP網(wǎng)關(guān)再把已經(jīng)用Ke解密后的信息再用WAP網(wǎng)關(guān)與內(nèi)容服務(wù)器之間共享的TLS密鑰Ke2進行加密，然后再發(fā)送給內(nèi)容服務(wù)器。（4）內(nèi)容服務(wù)器接收到WAP網(wǎng)關(guān)發(fā)過來的加密信息后，先用Ke2對其解密，再用Ke進行二次解密，得到用戶發(fā)來的信息。