第4卷　第4期贵阳学院学报(自然科学版)　(季刊)　Vol .4　No.4JOURN AL O F G U I Y ANG COLLEG E 2009年12月Natural Sciences (Quarte rly)Dec .2009移动电子商务安全问题及其应对策略舒　虹(贵阳学院,贵州　贵阳　550005)摘　要:在移动通信技术及移动互联网的发展基础上,移动电子商务日渐成为一种重要的服务,其安全倍受关注。

对目前移动电子商务的安全问题、安全机制进行分析,提出了解决移动电子商务安全问题的策略。

关键词:移动电子商务;信息安全;W PKI ;法律中图分类号:T N915108 文献标识码:A 文章编号:1673-6125(2009)04-0044-04Safety P r oble m s of M ob ile E lectr o n i cCo m m er ce an d Its C oun term ea sur esS HU Hong(G uiyang University,Guiyang Guizhou 550005,China)Ab stra ct:B ased on the mobile co mmunica ti on technique s and internet dev e l opment,mobile elec tronic co mme rce gradu 2a lly become s an i mportant service and its safe ty is greatl y conce rned .The p resent arti c le discusses the problem of mobile e l ec tronic co mm erce,ana l yses its safe ty system and put for wards so me m easure s of s olving the probl em s .Key wor ds:mobile e lectronic co mmerce;infor m ation safe ty ;WPKI ;LA W 移动电子商务(M -Comme r ce)就是利用手机、P DA 及掌上电脑等无线终端进行的B2B 、B 2C 或C2C 的电子商务。

它将因特网、移动通信技术、短距离通信技术及其它技术完善的结合,使人们可以在任何时间、任何地点进行各种商贸活动,实现随时随地的线上线下购物与交易、在线电子支付以及各种交易、商务、金融活动和相关的综合服务活动等。

由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。

安全问题仍是移动电子商务推广应用的瓶颈。

1　移动电子商务面临的安全性问题2009年1月7日,工业和信息化部为中国移动、中国电信和中国联通发放3张第三代移动通信(3G )牌照,此举标志着我国正式进入3G 时代。

3G 带来的高速率、移动性等特点,必然会给移动电子商务的应用带来巨大商机,但同时对移动电子商务的安全提出了更高要求。

移动电子商务主要面临着来自移动通信系统和互联网的安全风险,主要包括无线链路威胁、服务网络威胁和终端威胁。

主要表现为:111　终端窃取与假冒攻击者有可能通过窃取移动终端或SI M 卡来假冒合法用户从而非法参与交易活动,给系统和用户造成损失。

——3收稿日期6作者简介舒　虹(),女,湖北黄岗人,贵阳学院教师教育学院教师。

44:2009-07-1:1980-112　无线网的窃听由于无线网络本身的开放性特点以及短消息等数据一般都是明文传输,这使得通过无线空中接口进行窃听成为可能。

113　重传交易信息截获传输中的交易信息,并把交易信息多次传送给服务网络。

114　中间人攻击如果攻击者设法使用户和服务提供商间的通信变成生攻击者转发,那么这种中间人攻击将可以完全控制双方的交易过程,并从中非法获利。

115　拒绝服务故意使W eb服务器超载的破坏服务,阻止网络对手机用户提供的相关正常移动业务。

116　交易抵赖用户有可能对发出的交易指令进行否认也可能对使用的业务费用及业务数据来源进行否认,随着开放程度的加强来自服务提供商的交易抵赖也将成为可能。

117　移动终端遗失移动终端的移动性,移动终端很容易被破坏或者丢失。

势必造成安全影响,甚或安全威胁,也无法依赖于第三方来提供安全性。

118　设备差异有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。

119　设备的不安全大众用户群要求在漫游时保持机密性和私密性,但却不得不面对广泛使用的不安全设备、糟糕的用户鉴权控制、不安全的RF接口。

由于移动电子商务尚处在襁褓之中,所以开发能适应新挑战的战略和解决方案是至关重要的。

2　移动电子商务安全机制目前,推动移动电子商务发展的技术主要包括有无线应用协议技术、蓝牙技术、移动I技术、无线局域网技术等。

下面就这几个方面所实施的安全机制进行探讨。

211　无线应用协议(WAP)WA P由一系列协议组成,用来标准化无线通信设备,例如移动电话移动终端它负责将I nte r ne t 和移动通信网连接到一起,客观上已成为移动终端上网的标准。

WAP协议可以广泛地运用于GS M、CD MA、T D MA、3G等多种网络。

WA P的安全机制是由W TLS(无线传输层安全)协议、W I M(无线身份识别模块)、W PK I(无线公共密钥系统) WMLSc ript(无线标记语言脚本)4部分组成。

W T LS协议类似于互联网传输层安全协议,可以确保在W A P装置和W A P网关之间的安全通信; W I M是安装在WAP设备中的一个WAP身份识别模块,将安全功能从移动终端转移到抗损害设备中;W PKI是将互联网电子商务中PKI的安全机制优化延伸引入到移动电子商务中,提供身份认证的机制;WMLScri p t是一种能够提高编程功能的语言,可以用在基于W A P的应用开发中。

212　蓝牙技术蓝牙技术是一种低成本、低功率的无线局域网技术。

其为保护通信安全而采用的安全机制包括:采用跳频技术,提供一定的安全保障;使用字管理机制,作为蓝牙系统鉴权和加密的基础;严谨的链接字产生机制,以申请者的蓝牙设备地址、一个P I N码、P I N码的长度和一个随机数作为参数,通过E22算法产生初始化字K unit,并以此为基础进行相应的加密及鉴权操作;高安全性的蓝牙鉴权机制,以双鉴权的做法保证通信双方的身份认定;有效的数据加密技术,不仅对数据包加密,而且对加密过程的中间数据进行加密,防止系统被攻击和数据被窃取。

213　移动I P技术移动I P技术,是移动技术和I P技术的深层融合,允许移动节点在不重新启动、不中断任何进行中的通信的前提下,移动自己的位置,使用基于T I协议的网络时,不用修改计算机原来的I 地址,实现移动通信终端在网络中的无逢漫游。

移—5—PCP/P P4动I P的目标是将无线话音和无线数据综合到一个技术平台上传输,这一平台就是I P协议。

移动I P 通过AAA(Authentication,Authorizati on,Account2 ing)机制,实现网络全方位的安全移动或者漫游功能。

移动I P在一定程度上能够很好地支持移动商务的应用。

214　第三代(3G)移动通信系统第三代移动通信系统,简称3G,国际电信联盟(I T U)目前一共确定了全球四大3G标准,它们分别是W C D MA、CD MA2000和T D-S CD MA和W i M AX,3G是指将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统。

它能够处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。

在第三代移动通信系统(3G)中,实现了用户和网络的相互认证,其中网络对用户的认证采用的是动态双向鉴权方式,而用户对网络的认证采用的是动态单向鉴权的方式。

其中而用户对网络的认证采用的是动态单向鉴权是3G系统区别于2G系统安全特征的一个重要特性,采用了基于内核的设计方法有其独特的设计方式。

由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。

215　无线局域网(WLAN)技术W L A N的安全机制包括物理措施和协议安全两个方面。

采用扩频技术、服务集标识符访问控制、用户认证口令控制和访问控制列表等方式实现物理安全。

WLAN安全领域的最新标准是I EEE802.11i标准,其中有对有线等价协议改进的临时密钥完整性协议及先进加密标准来保护数据传输的安全,有I EEE802.1x/EAP来达到认证、鉴权和动态密钥分配,有EAP/SI M(可扩展认证协议/用户识别卡)、EAP/AK A(可扩展认证协议/认证与密钥协商)使WLA N与GS M网络以及3G网络能够互通。

中国宽带无线I P标准工作组制订了WLAN国家标准G B1562911,定义了无线局域网鉴别与保密基础结构W I,大大减少了WL N中的安全隐患。

3　解决移动电子商务安全问题的策略安全性是移动电子商务取得成功最关键的因素,电子商务的安全威胁既有来自恶意攻击、防范疏漏,还可能来自管理松散、操作疏忽等方面。

因此,保障电子商务安全是一项综合工程,除了从技术上提高防范和保障机制外,还需要完善网络系统管理体制,加强信息安全意识。

另外,电子商务实践要求有透明、和谐的交易秩序和环境保障,为此还需要政府建立和完善相应的法律体系。

只有采取了必要和恰当的手段才能充分提高移动商务的可用性和可推广性。

311　端到端策略端到端在移动电子商务中意味着保护每个薄弱环节,确保数据从传输点到最后目的地之间完全的安全性,包括传输过程中的每个阶段。

即找出每个薄弱环顾并采取适当的安全性和私密性措施,以确保整个传输过程中的安全性并保护每条信道。

移动电子商务带来了许多的设备,它们运行不同的操作系统且采用不同标准,因此安全性已经成为更加复杂的问题。

需要实用的安全解决方案,这些解决方案应能够被快速简便的修改以便满足所有设备的要求,除此之外还要考虑全局。

安全策略将对一系列商业问题产生影响,单独考虑安全性是远远不够的。

实施128位鉴权码也非理想选择,因为程序太长会影响到用户使用的方便。

同样,性能、个性化、可扩展性及系统管理等问题都会对安全性产生影响,它们全是制订安全策略时必须考虑的因素。

312　防火墙与“一直在线”网络相连接的设备需要更高的安全性来防止非法接入。

可以在通过G PR S连接与互联网一直连接的电脑上安装个人防火墙。

这可以保护电脑本地保存的企业数据和个人数据。

但这项技术目前尚不能用于电话或PD A等低功率设备。