移动商务的安全问题

移动商务的安全问题（精选九篇）

移动商务的安全问题 篇1

一、移动电子商务通信技术现状

作为移动电子商务的最底层,无线通信技术,以及由其而构成的无线网络是否先进,将直接决定这种新兴商务模式的成败。目前,已经商用化的无线网络技术主要有以下几种:

1.无线局域网(Wireless Local Area Network,WLAN)无线局域网络是以无线连接至局域网络的通讯方式。它采用的是IEEE802.11系列标准。在该标准中,无线局域网的安全机制采用的是WEP协议(Wired Equivalent Privacy,有线对等安全协议)。在数据链路层用WEP加密数据,保证了信道上传送数据的安全。另外,无线局域网的网络管理员分配给每个授权用户一个基于WEP算法的密钥,这样就有效阻止了非授权用户的访问。

2.WAP(Wireless Application Protocol,无线应用协议) WAP由一系列协议组成,用来标准化无线通信设备。例如:移动电话、移动终端。它负责将Internet和移动通信网连接到一起,事实上已成为移动终端上网的标准。WAP协议可以广泛地运用于GSM、CDMA.TDMA、3G等多种网络。

WAP的安全机制是通过WTLS (Wireless Transport Layer SecUrity,无线传输层安全)来实现的。WTLS协议类似于互联网传输层安全协议。在无线技术的有限发送功率、存储容量及带宽的条件下,WTLS能够实现鉴定、保证数据的完整性和提供保密服务的目标。

二、移动电子商务安全分析

在网络安全技术中,一般根据不同的网络技术和具体的应用环境来选择与适用相应的安全手段。

1. IEEE 802.11的安全

IEEE 802.1 1标准规定了MAC子层的存取控制规范,也定义了加密机制,即WEP。WEP的目的是通过对信息流加密并利用WEP认证节点,使无线通信传输像有线网络一样安全。

WEP加密使用共享密钥和RC4加密算法。访问和连接到该访问点的所有工作站必须使用同样的共享密钥。对于任意一个传递的数据包,传输程序都将数据包的内容与数据包的校验组合在一起。然后,WEP标准要求传输程序创建一个特定于数据包的初始化向量,后者与密钥组合在一起,用于对数据包进行加密。接收方生成自己的匹配数据包密钥并用其对数据包进行解密。在理论上,这种方法优于单独使用共享私钥的显式策略,应该更难于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相当于有线局域网基本安全的安全级别,根本不是一种全面的安全方案。越来越多的安全专家和研究人员发现IEEE802.11存在安全漏洞,有经验的黑客可以利用这些漏洞进行攻击。早期的WEP只提供40位加密,这使得它抗暴力攻击能力差。现今的系统提供1 28位的WEP,128位的密钥长度减去24位的初始化向量后,实际上有效的密钥长度为104位。尽管如此,128位的WEP版本也不能保证绝对安全。最好的解决办法是把无线网络放在网络防火墙之外,这种防范措施会强制要求将无线联接当作不受信任的连接来看待,就像看待其他任何来自Internet的联接一样。所以,WEP应该与其他安全机制一起应用才能提供较强的安全。

2. WAP的安全

WAP规范的安全特性包括几个部分:WTLS协议、用于存储用户证书的WAP身份模块(WIM)和允许WAP交易签名的SignText功能。

WAP在一定程度上是安全的。但由于WAP网关暴露在外,而且并不为商务提供方所有,故而会成为一个潜在的安全隐患。对于安全要求较高的公司可以拥有自己的WAP网关,从而保障数据端到端的安全性。

3. WPKI技术

在有线环境中,电子商务的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务的安全问题,但在无线环境中应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。

WPKI和PKI的最主要区别在于证书的验证和加密算法。WPKI采用优化的ECC椭圆曲线加密和压缩的X.509数字证书。对于一个1024位加密算法,用手机至少需要半分钟才能完成,所以传统的PKI X.509就不适合于移动计算。ECC算法的数学理论非常深奥和复杂,在工程应用中比较难于实现,但它的单位安全强度相对较高。在目前已知的公钥体制中椭圆曲线密码体制是对每比特所提供的加密强度最高的一种体制。即使使用目前解椭圆曲线上的离散对数问题的最好算法,其时间复杂度也是完全指数阶的。ECC的密钥短这一优势是非常明显的,随加密强度的提高,密钥长度的变化也不大。椭圆曲线ECC算法在运算能力有限,存储空间不大的移动终端中的应用前景十分广阔。我国在2003年颁布的无线局域网国家标准中,数字签名采用的就是椭圆曲线ECC算法。

移动商务的安全问题 篇2

一、选题的背景、研究现状与意义

子商务技术是电子商务技术和移动通讯技术两项技术进行完美结合的产物。移动电子商务是未来电子商务发展的主要方向，能够有效扩大商业交易的灵活性，为企业带来更多的商机，极大程度上促进企业的发展。随着进入互联网高速发展的时代，电子商务技术的发展也被推上了高潮。

随着移动通信技术的发展以及移动终端的普及，一种崭新的电子商务模式应运而生———移动电子商务。移动电子商务随着电子商务发展起来，是电子商务发展的新形式，并日益成为电子商务发展研究的热点，已经成为国民经济和社会信息化的重要组成部分。移动电子商务发展迅速，但安全问题是制约其发展的重要因素，关系到商务系统能否正常运行。因此，如何建立安全、便捷的商务应用环境，保证整个商务活动中信息的安全性，对于促进移动电子商务健康发展具有重要理论价值和实际意义。

移动电子商务在现在的生活中扮演者越来越重要的地位，我们每天都在使用着，但是安全问题却越来越令人担忧。本论文在数据的.传输方面有着加密处理，降低数据泄露的风险，为大家的交易安全进行提供了有力的保障。

二、拟研究的主要内容(提纲)和预期目标

(1)引言

选题背景

研究意义

(2)移动电子商务内容

(3)移动电子商务安全支付需求

(4)移动电子商务安全技术

(5)移动电子商务安全支付解决方案

(6)总结

(7)预期目标：本课题的重点是采用文献研究法，通过广泛地查阅相关资料和文献，借鉴别人研究的成果之上，深入分析、思考，形成自己的观点。，而难点就在于如何能确定移动电子商务安全支付的问题。预期结果希望能对移动电子商务安全支付解决方案

三、拟采用的研究方法(思路、技术路线、可行性分析论证等)

1、选择导师、确定研究方向

2、选题

3、收集相关资料，并对资料进行整理和深入分析

4、根据资料和研究计划拟写开题报告

5、进行开题报告的答辩

6、撰写论文初稿

7、对论文反复修改、定稿

8、参加论文答辩

四、论文(设计)的工作进度安排

20xx年3月15日—3月20日?确定论文选题;

20xx年3月21日—3月31日?查阅有关国内外资料，了解该领域较为前沿的观点。写作论文提纲，确定论文基本框架，撰写开题报告;

20xx年4月1日—4月20日?修改提纲，形成论文的基本框架，写作论文初稿;

20xx年4月21日—4月30日?修改论文初稿，写作论文二稿;

20xx年5月1日—5月15日?修改论文二稿，形成正式稿。

五、参考文献(不少于5篇)

[1]姚帝晓。电子商务安全问题的思考[J]。商场现代化，20xx年7月(上旬刊)。

[2]张洁。安全电子邮件“乌托邦” [J]。电子商务世界，20xx年11月7月。[3]徐向阳。电子商务中电子邮件的安全问题研究[J]。商场现代化，20xx年5月(上月刊)。[4]付霄汉。电子邮件的安全问题与防范措施[J]。鞍山师范学院学报，20xx年7月。

[5]白佳丽。网上银行支付系统安全风险评估[J]。东方企业文化〃公司与产业，20xx年3月。87。[6]杨刚。网上支付安全问题研究[J]。鸡西大学学报，20xx年9月。

[7]刘丹。电子商务支付平台的安全问题刍议[J]。商业经济，20xx年8月15日。

[8]王煜。电子商务中网络支付风险与防范的研究[J]。经济师，20xx年第10期。

[9]李瑞歌。浅谈电子商务过程中网络交易安全管理策略[J]。科技资讯，20xx年。

[10]武慧娟、孙鸿飞。论电子商务关键性安全问题及其对策[J]。商场现代化，20xx年9月。

[11] 彭银香，白贞武。电子商务安全问题及措施研究[J]。大众科技，20xx。

[12] 林黎明，李新春。电子商务安全风险管理研究[J]。计算机与信息技术，20xx。

[13] 宋苑。影响电子商务发展的网络安全事件分析与对策[J]。计算机与信息技术，20xx。

[14] 杨二龙，刘建时。对电子商务风险的几点思考[J]。警官文苑，20xx。

六、指导教师意见

选题基本合理，内容完整。但开题报告还要求论述研究现状，即有哪些学者对相关问题有哪些研究，怎么研究的?用自己的话概述。

研究内容框架结构逻辑不合理，思路不清晰，具体意见详见附件批注。

应具体阐述哪些部分分别采用哪些定性或定量研究方法。

论据进度计划安排与实际不符。

具体意见详见附件批注。

签字：年月日

七、学院院长意见及签字

(办公室盖章)

关于移动电子商务安全的研究 篇3

关键词：移动电子商务；WAP；WVPN；J2ME

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)16-30966-01

Research about Mobile-commerce Security

DING Li-mei

(Guangdong Lingnan Polytechnic College,Guangzhou 510663,China)

Abstract:Mobile-commerce is new direction in electronic commerce.Security issue has become a major bottleneck for future development of Mobile-commerce. Security issue is researched in the paper

Key words:Moblie-commerce;WAP;WVPN;J2ME

1 引言

电子商务比传统商务具有简单、灵活、方便的特点。而移动电子商务由于可以随时随地使用通讯终端进行联系，因而更加简单方便。移动电子将是未来电子商务发展的趋势。然而移动电子商务可以为公司带来无限商机的同时，用户对它的安全性的担心越来越多。

2 移动电子商务安全框架体系

移动电子商务的安全体系结构由五个部分组成：移动承载层，加密技术层、安全认证层、安全协议层、应用系统层。如下图1所示，下层是上层的基础，为上层提供技术支持；上层是下层的扩展。各层之间相互依赖、相互关联构成统一整体，实现移动电子商务系统的安全。

图1 移动电子商务安全体系结构

3 移动电子商务安全的标准

3.1 WAP安全体系

WAP规范的安全特性包括几个部分：WTLS协议（Wireless Transport Layer Security）、用于存储用户证书的WAP身份认证模块（WIM）和允许交易签名SignText的功能。

(1)WTLS协议

WTLS是基于IETF小组的SSL/TLS协议，提供了实体鉴别、数据加密和保护数据完整性的功能，所以可以确保在WAP装置和WAP网关之间的安全通信。其有三种不同级别的WTLS：

1级：执行未经证实的Diffie－Hellman密钥以建立会话密钥；

2级：使用与SSL/TLS协议相类似的公开密钥证书机制进行服务器端鉴别；

3级：客户端和服务器采用X.509格式证书相互进行鉴别。

早期WAP装置仅仅采用了第一级别的WTLS，这种级别的安全是不够的，所以不应该用于电子商务。目前，支持第2和第3级别的移动装置可以从市场获得。当前中国运营商的移动网络中，从移动终端设备和WAP网关角度来讲，是WAP1.X和WAP2.0并存的状态。

从WAP1.X的协议体系结构（见图2），可以看到WAP需要将WML与WMLScript翻译为二进制代码，以适合在低宽带的网络上传输，并使用资源贫乏的终端设备易于处理。因此WTLS安全会话建立在手机和WAP网关之间，而与应用服务器无关。这意味着数据在WAP手机与WAP网关之间加密，随后经过WAP网关解密后，利用其他方法再次加密，然后经过TLS连接发送给应用服务器。

图2 WAP1.X协议

在看WAP2.0协议（见图3）。由于采用具有无线特征的WP TCP/IP，使得网络可以基于IP进行数据传输，即采用TLS协议，实现端到端的加密功能。

图3 WAP2.0协议体系

(2)WAP身份模块

为了便于客户端的鉴别，新一代的WAP电话提供了WIM。WIM是安装在WAP设备（手机、PDA等）中一个防篡改的计算机芯片，它可以存储如PKI根公钥和用户私钥等密钥信息。目前WIM普遍使用智能卡实现。WIM包含了WTLS 3级的功能并嵌入了对公开密钥技术的支持。

(3)SignText功能

不可抵赖性是电子商务所需要的安全服务之一。WAP浏览器提供WMLScript signText功能。此功能要求用户对一串文本签名。调用signText方法将显示需要签名的文本并要求用户确认，在一(上接第966页)

些情况下，可能要求用户输入数据并同时签名，而在其他情况下，先要求用户输入信息，然后把这些信息发送到服务器，服务器将返回signText的信息。

3.2 WVPN（Wireless Virtual Private Network）

WVPN即“无线虚拟专用网”，它可以在移动环境下接入企业的内联网提供安全保证。WVPN能够实现端到端的连接，从用户的角度来看，端到端的WVPN连接提供了最佳的安全性能。数据在WVPN客户端进行加密，在WVPN服务器进行解密，数据在整个传递过程中都进行了加密处理。

利用GPRS建立WVPN的一般过程：

①移动终端先激活PDP（Packet Date Protocol）连接，该连接提供了WVPN隧道的无线链路。

②GPRS网关GGSN接受移动终端的请求，在GGSN和移动终端之间建立一个PDP连接。一个源IP地址就动态的分配给了移动终端。这个IP地址将会用于IKE（Internet Key Exchange）的交换和识别。

③移动终端打开一个UDP 500端口的Socket来执行IKE第一阶段的协商（主动模式或野蛮模式）。移动终端作为发起者，VPN网关作为应答者，两者之间进行消息的交换。IKE的第一阶段结束后，产生了一个双向的ISAKMP SA来保护IKE第二阶段的协商。

④移动终端使用UDP Socket来执行ISAKMP配置交换协议。移动终端使用这个协议来：1）从企业网络中租用企业的私有IP地址，使得移动终端可以在企业网络里的主机之间进行通信；2）获得企业网络里面的DNS Server的IP地址；3）进行扩展鉴别。租用的IP和DNS Server的IP地址由移动终端提出请求，而扩展鉴别是VPN先发起的。

⑤移动终端作为发起者，VPN网关作为应答者，移动终端使用UDP Socket来使用IKE第二阶段的协商（快速模式）。IKE第二阶段使用IKE第一阶段产生的密钥进行加密。IKE第二阶段完成之后产生两个单向的SA来保护通过IPSec隧道的数据通信。至此，WVPN隧道建立。

WVPN是VPN中的高效简便和安全性与无线通信技术结合的产物，在移动电子商务上具有广泛的应用前景。它提供鉴权、保密性、完整性等方面的服务，提供了端到端的最好安全性的连接。

3.3基于J2ME和J2EE的移动电子商务

WAP模式必须通过网关才能访问网络，而且所有网络资源只有在网络连通时，才能使用等特点，使其在数据传输能力、可靠性、稳定性等方面都存在着不足。Sun公司专门为小型的消费电子设备（如手机、PDA、电视机机顶盒等）推出的J2ME技术，有效地解决了上述问题。J2ME结合GPRS/CDMA网络，具有较高的数据传输能力，同时Java机制和优化的HTTPS和KSSL技术保障了数据在网络上的安全性。

J2EE是一种利用Java 2平台来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构，它使用了多层的分布式应用模型，将应用逻辑根据功能划分组件，组成J2EE应用的不同应用组件的安装在不同的服务器上，解决了传统的C/S两层模型中难以升级和改进、可扩展性差、业务逻辑和界面逻辑难以重用等弊端。

利用J2ME和J2EE技术可以建立多层的企业级移动电子商务应用系统，可以通过J2ME技术建立移动终端程序，通过J2EE建立服务器端程序。

4 结束语

移动电子商务系统作为当前无线应用的一个重要方面，由于其快捷方便等特点，在近几年来得到快速的发展。作为未来通信发展的必然趋势，移动电子商务不会停止前进的脚步。随着技术的不断发展，移动电子商务将突破安全问题的瓶颈，引领人们进入一个崭新的时代。

参考文献：

[1]舒凯.移动电子商务的信息安全标准研究,信息技术与标准化,2004,8;14-17.

[2]陈益增.董云耀.WVPN的隧道建立及在移动保险系统中的应用.计算机与数字工程,2005,33:104-107.

[3]魏永红,基于J2ME技术的手机信息查询系统的设计与实现.微计算机信息,2006,4－3：280-282.

移动商务的安全问题 篇4

在中国,随着经济、技术的快速稳定发展,一方面人们的生活水平日益提高,移动无线终端的普及率也越来越高,移动用户日渐壮大,另一方面4G等无线通信技术不断发展、成熟,移动电子商务在整个电子商务市场中所占的份额越来越大。通过移动无线终端使交流更方便、使支付更快捷等,但其安全性问题始终成为人们所顾虑的重点。

1 移动电子商务自身因素导致的安全方面问题

1.1 无线网络开发起始阶段不成熟导致的安全问题

移动网络的出现比较早,早期的架构比较简单,加密算法,通信技术都比较落后,虽然随着时代的发展,在安全性方面得到了很大改进,然后并不能从本质上解决诸多安全问题,如信道频率公开导致通信被窃听、伪基站盛行导致诈骗信息无法识别,加密技术老化导致通信内容被篡改等。各种因素都指向一个同一个安全问题,并且信息在传输与转换的过程中都可能造成不安全的隐患。

1.2 通信终端多样化导致的安全方面问题

众所周知,目前移动通信终端设备的种类较多,各类设备累计体现出来的安全隐患也随之增多,其主要表现有:移动通信设备自身的设计漏洞,设备或其所使用软件在验证使用者身份时产生的隐私泄露,导致账户信息安全产生威胁,人为的攻击因素如复制SIM卡,被解RFID密码等。

1.3 使用软件不当而造成的安全威胁

手机软件发展迅速,但是比起电脑端,显得尤为脆弱,纠错排毒等功能也弱化不少,病毒木马等在手机软件发展中也在不断滋生,这种安全威胁尤为严重。软件病毒会以多种形式渗入移动通信终端,比如通过手机浏览器或者潜伏与手机软件中伺机传播非法信息,破坏手机系统。移动通信终端一旦感染病毒,会出现这样那样的问题,有些问题不会影响终端的正常运行,旨在窃取用户信息、银行账号、密码等私密信息;有些问题则会如电脑中毒一样,加重系统运行负载,更改用户信息,严重的甚至会导致手机无法正常工作。

1.4 运营管理上存在的漏洞和隐患

电子商务在近十年内飞速发展,移动电商的发展也随之突飞猛进,运营至今,给类移动电商平台数不胜数,不仅种数繁多,而且良莠不齐,一般的大众用户很难甄别这些运营平台的真伪和优劣。抛开管理方面因素,就平台开发过程中运用的相关技术而言,存在数量不少的平台在开放方面由于技术较弱,而导致在使用过程中问题频出,漏洞难补,安全问题可想而知。而平台的服务提供者对平台的管理机制是否健全,也是影响平台安全问题的重要因素。

2 移动电子商务的安全保护措施

2.1 建立移动互联网的安全框架

移动电子商务设计的初衷当然是需要运行在一个安全服务平台之上,这就要求作为提供网络通信服务的移动通信网络,包括目前主要采用3G移动通信、4G移动通信和WIFI网络,针对无线应用协议的各个不同层,在各个层次上均需要采用针对性的安全技术。

2.2 在支付方式上采用安全加密技术

目前还有很多场合使用比较老的支付方式,比如密码支付,二维码支付等,这些支付技术漏洞较大,研发新一代安全支付手段势在必行。

如国际公认的无线公开密钥体系WPKI,其强项是管理公开密钥和数字证书,其采用的密钥加密技术以及基于网络环境的数字加密和签名服务,能够有效地提高数据传输过程中,从的端到端的安全,使得交易的风险大大降低,其采用的可信WPKI技术,以及非复制功能,能保证信息的不可抵赖性。

当然,理论上没有绝对安全的环境,在具体验证过程中,对密钥的验证,需要结合数字证书证明密钥的有效性,建立起一套加解密和认证系统相辅相成的布局,可以在很大程度上提高交易过程中重要数据被窃取或篡改的难度,使得电子商务交易安全系数大大提升。

2.3 规范行业管理标准

一个完善的行业标准是规范行业管理的重要条件。为了保证移动电子商务交易活动的高效与可靠,必须建立一个移动电子商务行业的安全标准,并提高交易各方的安全意识。在执行过程中不断完善,去粗取精,建立交易过程中的相互作用机制,以促进移动电子商务的健康、快速发展。

2.4 健全相关法律法规

国家及相关职能部门应逐步健全与移动电子商务相关的法律、法规和制度,明确行业政策导向,保障公平的竞争环境,及时修正法律法规漏洞,明确细节,使出现问题有法可依、有律可循。在详尽的法律条款和规章制度规范下,提供方便、快捷、安全的移动电子商务环境,减少商务纠纷,使当事双方可以放心地进行交流、交易等等,更多地参与到各类移动电子商务活动中。

3 结语

移动电子商务要健康、快速地发展,相关管理部门应该与移动运营商紧密联系与互相配合,从技术、管理、法律法规等多方面入手,实施可行的安全策略以及管理体制。

参考文献

[1]徐桂.移动互联网安全认证及安全应用中关键技术研究[J].网络安全技术与应用,2014(1).

[2]翁晓军.基于NFC技术的手机支付平台设计与研究[J].网络安全技术与应用,2013(12).

移动电子商务安全问题及其应对策略 篇5

关键词：移动电子商务,信息安全,WPKI

0、引言

移动电子商务 (M-Commerce) , 它由电子商务 (E-Commerce) 的概念衍生出来, 是通过手机、PDA (个人数字助理) 、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:银行业务、交易、购物、娱乐、无线医疗 (Wireless Medical) 、移动应用服务提供商 (MASP) 等。

相对于传统的电子商务体系而言, 移动电子商务具有显著的先天优势, 主要特点是灵活、简单、方便。它不受时间、地点、空间限制, 人们使用掌上设备便能随时随地上网、购物和做生意;它能完全根据消费者的个性化需求和喜好定制, 设备的选择以及提供服务与信息的方式完全由用户自己控制。通过移动电子商务, 用户可更及时地获取所需的服务、应用、信息和娱乐, 使得支付方便、快捷、成本低。

1、移动电子商务存在的安全问题

移动电子商务的发展对我们而言既是机遇也是挑战, 可以充分利用这个机遇实现跨越式发展。但由于我国移动电子商务的发展应用还处于起步阶段, 法律规范还不很完善, 人们的信用意识淡薄, 移动终端限制了安全性能的提高以及无线网络本身的开放性降低了安全性等原因, 导致移动电子商务应用过程中存在诸多安全威胁。主要表现为:

1.1 无线网络威胁。

移动电子商务是基于移动通信系统的无线数据通信技术的, 无线通信网络是通过一个开放的信道进行通信, 无法像有线网络那样依靠信道的安全来保护信息, 这就使得它在给无线用户带来通信自由和灵活性的同时, 也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒以及通信内容容易被篡改等。在无线通信过程中, 所有通信内容 (如通话信息、身份信息、数据信息等) 都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。[1]

1.2 移动终端威胁。

由于移动终端的移动性, 移动终端很容易被破坏或者丢失。势必造成安全影响, 甚或安全威胁。更由于移动终端的持有者和网络终端的所有者一般情况下分属于不同的实体, 因此他们尽管都属于终端的范畴, 但是他们所面临的安全威胁是不尽相同的。概括起来移动终端的安全威胁, 主要包括如下方面:移动终端设备的物理安全;移动终端被攻击和数据破坏;在线终端容易被攻击。

1.3 无线ad hoc应用的威胁。

除了互联网在线应用带来的威胁外, 无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成ad hoc网路。Ad hoc网络和传统的移动网络有着许多不同, 其中一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施, 而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点, 使得Ad Hoc网络的安全问题尤为突出。Ad hoc网路的一个重要特点是网络决策是分散的, 网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。

1.4 移动商务平台运营管理漏洞造成的安全威胁。

随着移动商务的发展, 移动商务平台林立。它把手机的功能从简单的通话扩展到了电子邮件等功能在内的互动沟通形式, 从而使用户能够方便地进行各种信息的交流。大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营, 还普遍缺少经验。移动商务平台设计和建设中做出的一些技术控制和程序控制的安全思考, 急需要在运营实践中进行修正和完善, 更需要把技术性安全措施和运营管理中的安全措施, 交易中的安全警示和安全思考进行整合, 以形成一个整合的、增值的移动商务安全运营和防御战略, 确保使用者免收安全威胁。[2]

1.5 法律规范不完善, 信用意识淡薄。

我国已经制定了《电子商务签名法》等一系列的法律规范, 有效的规范了基于有线网络上的电子商务的发展, 但国内还没有一部针对移动电子商务的法律法规[3]。通过法律手段解决移动电子商务交易各方的纠纷问题成为一个法律上的真空区域。目前移动商务中虽己逐步开展, 但是信用问题仍然悬而未决。当前采用的形式基本是以移动运营商利用自己良好的信誉和网络接入的便利开展相应业务。

2、解决移动电子商务安全问题的策略

安全性是移动电子商务取得成功最关键的因素, 电子商务的安全威胁既有来自恶意攻击、防范疏漏, 还可能来自管理松散、操作疏忽等方面。因此保障电子商务安全是一项综合工程, 除了从技术上提高防范和保障机制外, 还需要完善网络系统管理体制, 加强信息安全意识。另外, 电子商务实践要求有透明、和谐的交易秩序和环境保障, 为此还需要政府建立和完善相应的法律体系。只有采取了必要和恰当的手段才能充分提高移动商务的可用性和可推广性。

2.1 端到端策略

端到端在移动电子商务中意味着保护每个薄弱环节, 确保数据从传输点到最后目的地之间完全的安全性, 包括传输过程中的每个阶段。即找出每个薄弱环顾并采取适当的安全性和私密性措施, 以确保整个传输过程中安全性并保护每条信道。移动电子商务带来了许多的设备, 它们运行不同的操作系统且采用不同标准, 因此安全性已经成为更加复杂的问题[3]。需要实用的安全解决方案, 这些解决方案应能够被快速简便的修改以便满足所有设备的要求, 除此之外还要考虑全局。安全策略将对一系列商业问题产生影响, 单独考虑安全性是远远不够的。实施128位鉴权码也非理想选择, 因为程序太长会影响到用户使用的方便。同样, 性能、个性化、可扩展性及系统管理等问题都会对安全性产生影响, 它们全是制订安全策略时必须考虑的因素。

2.2 防火墙技术

防火墙技术在无线网络服务层中起着至关重要的作用。与"一直在线"网络相连接的设备需要更高的安全性来防止非法接入。可以在通过GPRS连接与互联网一直连接的电脑上安装个人防火墙。这可以保护本地电脑保存的企业数据和个人数据。但这项技术目前尚不能用于电话或PDA等低功率设备[4]。

2.3 WPKI技术

WPKI (Wireless PKI) 是有线PKI的一种扩展, 它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术, 有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础, 通过管理实体间关系、密钥和证书来增强电子商务安全。可信的PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性而且能够帮助企业实施非复制功能, 使得交易参与各方无法抵赖[5]。

2.4 加强交易主体身份识别管理

在移动商务的交易过程中, 通过强化主体资格的身份认证管理, 保证每个用户的访问与授权的准确, 实名身份认证解决方案的应用, 可以增强移动商务交易的安全性, 保证交易双方的利益不受到侵害。

2.5 完善相关法律和制度, 建构安全交易环境

为了保证移动商务的正常运作, 安全运作, 必须加强移动商务的法制建设, 专门制定与移动电子商务相关法律, 要加快移动电子商务安全立法进程, 在保证所确定的法规不阻碍未来新技术发展的前提下, 加强法律对安全管理的约束力量[6]。

3、结束语

随着移动互联网技术的成熟迅速发展, 移动电子商务独特的应用领域使得其安全问题倍受关注。解决了安全问题, 移动电子商务的发展才具有可持续性。作为传统电子商务的有益补充, 移动电子商务具有非常广阔的发展前景。

参考文献

[1]马薇.移动电子商务安全机制探讨[J].商场现代化, 2008, 9 (1) :134

[2]韩景灵.移动电子商务安全问题探析[J].电脑知识与技术, 2010, 6 (1) :31-33.

[3]孙天立.移动电子商务安全问题探析[J].河南财政税务高等专科学校学报.2009, 23 (2) :32-36.

[4]田迎华, 杨敬松, 周敏.3G时代移动电子商务安全问题研究[J].情报科学, 2010, 28 (10) :1487-1490.

[5]舒虹.移动电子商务安全问题及其应对策略[J].贵阳学院学报, 2009, 4 (4) :44-47.

移动商务的安全问题 篇6

我们通常所说的移动电子商务是电子商务的一种延伸, 具体指的是依托于个人数字助理、手机、电脑等手持的移动通信设备同无线上网手段契合起来所形成的完整的电子商务体系, 与传统电子商务模式比较来说, 这种全新的电子移动商务具有显著的优势, 相对而言更加具有灵活性、随时性、快捷性。可以使使用者不受时间、地点、空间的限制就可以得到自己想要的信息和贴身服务。并且它可以满足客户的任何需要, 且随时可以更改。

二、当前移动电子商务安全所面临的问题与威胁

1. 移动通信终端的安全威胁因素

与传统电子商务模式比较, 现代移动电子商务与其最大的不同点在于这种商务模式依托于移动终端上网, 所以我们首要考虑的就应该是移动通信终端的安全性。而这种移动终端的安全威胁是相对复杂的, 由于它是移动的, 因此很容易被人为破坏亦或是使数据丢失, 这样就造成了显而易见的安全问题。有一些攻击者会窃听你的个人信息获得你终端的数据资源, 这就会给人们带来巨大的信息财产威胁, 必将会阻碍移动电子商务在我国的发展。我们在生活中所遇到的SIM卡复制就是其中的威胁之一。

2. 商家的欺诈行为和软件病毒所造成的安全问题因素

当前, 这种全新的移动电子商务是依托于图片和文字的方式进行交易的, 购买者并看不到实物。有一些不良卖家拍一些假的图片和虚假信息, 这就会使得消费者对商家失去信任感, 从而出现退货、换货等一系列的后续服务问题, 而这些矛盾和纠纷则会使得消费者对电子商务逐渐失去信心, 因为诸多电子商务网站难以为卖家提供其详细信息。有时一些软件病毒会让我们的信息泄露, 财产被盗, 无疑这种问题的普遍性必定会阻碍移动电子商务的发展。

3. 移动电子商务平台的管理存在严重的安全问题因素

移动电子商务的兴起虽然方便了人员管理, 但是其管理过程中呈现的安全问题也不容小觑。目前, 我国大量的移动运营平台在设计和建设中都缺少相关的安全技术保障与可控性的经验, 因此需要我们在实际应用过程中进行不断整合与完善。尤其是对于消费者在交易过程中呈现的安全警示问题, 目前电子商务网站缺乏明确有效的安全运营机制来进行防御与指导, 使得部分恶意软件、入侵的病毒难以被及时发现与制止, 这就使移动电子商务的威胁性明显增大。另一方面, 针对我国移动电子商务的交易过程也缺乏相应的法律法规来限制, 这就使得不法分子利用法律漏洞获得不义财富, 使人们生命财产安全受到威胁。

三、移动电子商务安全解决方案与关键技术

1. 无线应用协议 (WAP)

WAP是开展动电子商务的核心技术之一。针对上面移动电子商务存在的威胁, WAP协议可以改变数据传输和交易的过程, 这就使得WAP可以保护使用者的数据安全。WTLS协议、WAP身份模块WIM、WMLSCript、WPKI (无线公钥基础设施) 这四种机制构成了WAP协议, 可以对使用者的数据保持完整性和不被泄露。WAP提供了一套技术完整的应用平台。用户能够依托于移动设备去访问网络亦或是企业内部的信息平台, 获取自己需要的信息数据与内容。目前WAP可以支持大多数的无线设备, 其安全机制在数据保密性、数据完整性、交易方的认证与授权和不可抵赖性等四个方面都得到了很好的实现。

2. 移动中间件 (Mobile Middleware)

由于移动计算是用户移动、终端移动和服务移动三大移动部分构成, 因此需要三种设备将上面三种移动联系起来, 进而实现上述的三种功能。而移动中间件则起到了这样的作用, 它的使用能够很好地解决移动设备和移动操作系统的多样化、各种不兼容的网络标准、无线网络带宽的变化和网络连接的不连贯性等一系列问题。当前, 移动中间件在很多地方都得到了广泛的应用, 它使终端的智能处理能力越来越强大, 在彻底改变传统以计算机为主的计算体系的基础同时, 也能够提高了终端的价值, 使终端得到了更好更广的应用。该系统能够将无线网络与电子商务紧密结合, 从一定程度上减少一些麻烦, 能够为移动电子商务的开发提供一些良好的环境条件, 使得应用程序等软件设备提高其性能。

3. J2ME (Java 2 Platform, Micro Edition) 技术

J2ME技术目前在国内电子商务领域应用十分广泛, 它是一种全新类型的企业客户端并应用于诸多移动设备之中, 比如说手机、PDA等。Sun公司后来将J2ME定义为“一种以广泛的消费性产品为目标、高度优化的Java运行时环境”, 其在运行过程中凸显出“与平台无关性”等特点。J2ME关键技术由配置层 (Coguration) 、简表层 (Profile) 、厂商选择性实现 (Optional Packages) 三层结构组成, 其中配置层是java系统中的最小平台, 简表层则为具体的系列设备亦或是特别的应用程序, 能够为设备提供更具体的服务能力。

4. 加密和认证手段

加密技术可以有效地降低数据被窃取的风险。当然现在加密技术并没有很完善还存在一定的风险, 目前较安全的协议有PSEC、wr I'IS和TPKDP等。用户鉴权和授权能够提高现代移动电子商务的安全性, 尤其是严格的用户鉴权可以实现“双向”鉴权机制, 这样的鉴权是基于客户所拥有设备内容与数据进行。而系统的授权解决方案是用来管理和集成用户接入控制及授权信息内容的, 其在关键时刻也能够对部分用户进行接入与限制。

摘要：随着科学技术水平的发展, 人们的生活水平越来越高, 因特网的使用已经不再只是局限于有线网络。现在移动用户越来越多, 移动电子商务已经成了我们日常生活中不可缺少的一部分, 同时在享受高速度和高效率的生活效率时, 移动电子商务的安全问题也成了我们不可避免要面对的问题。基于此, 本文对在面对移动电子商务安全风险时多项问题的科学、有效对策探究。

关键词：移动电子商务,安全问题,分析,解决方案

参考文献

[1]赵林度.电子商务理论与实务[M].北京:人民邮电出版社, 2001:2—10.

移动电子商务的信息安全 篇7

1 移动通信新技术

1.1 无线应用协议 (WAP)

WAP是无线通信和互联网技术发展的产物, 它不仅为无线设备提供丰富的互联网资源, 也提供了开发各种无线网路应用的途径。1998年, WAP论坛公布了WAP1.0版本, 制定了一套专门为移动互联网而设计的应用协议, 具有良好的开放性和互通性。2001年WAP论坛颁布了WAP2.0版本, 该版本增加了对HTTP、TLS和TCP等互联网协议的支持, WAP代理的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性, 可以提供TLS隧道。

1.2 移动IP技术

移动IP技术, 是指移动用户可在跨网络随意移动和漫游中, 使用基于TCP/IP协议的网络时, 不用修改计算机原来的IP地址, 同时, 也不必中断正在进行的通信。移动IP通过AAA (Authentication, Authorization, Accounting) 机制, 实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。

1.3 第三代 (3G) 移动通信系统

3G, 是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式, 提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比, 3G产品可提供数据速率高达2Mbps的多媒体业务。在我国, 以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速, 发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点, 必然会给移动电子商务的应用带来巨大商机。

2 移动电子商务面临的安全威胁

2.1 网络本身的威胁

无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制, 可以实现开放性的通信。无线信道是一个开放性的信道, 它给无线用户带来通信自由和灵活性的同时, 也带来了诸多不安全因素。在无线通信过程中, 所有通信内容都是通过无线信道开放传送的任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。

2.2 无线ad hoc应用的威胁

Ad hoc网络和传统的移动网络有着许多不同, 一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施, 而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点, 使得Ad Hoc网络的安全问题尤为突出。Ad hoc网路的一个重要特点是网络决策是分散的, 网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。

2.3 网路漫游的威胁

无线网路中的攻击者不需要寻找攻击目标, 攻击目标会漫游到攻击者所在的终端。在终端用户不知情的情况下, 信息可能被窃取和篡改, 服务也可被经意或不经意地拒绝, 交易会中途打断, 由刷新引起连接的重新建立会给系统引入风险, 没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立, 使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。

2.4 物理安全

无线设备另一个特有的威胁就是容易丢失和被窃。对个人来说, 移动设备的丢失意味着别人将会看到电话上的数字证书, 以及其他一些重要数据。利用存储的数据, 拿到无线设备的人就可以访问企业内部网络, 包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。

3 移动商务面临的隐私和法律问题

3.1 垃圾短信息

垃圾短信打扰着我们的生活, 使得人们对移动商务充满恐惧, 而不敢在网络上使用自己的移动设备从事商务活动。现阶段, 还没有相关的法律法规来规范短信广告, 运营商还只是在技术层面来限制垃圾短信的群发。目前, 信息产业部正在起草手机短信的规章制度, 相信不久的将来会还手机短信一片绿色的空间。

3.2 定位新业务的隐私威胁

定位是移动业务即全球定位系统, 该种技术利用24颗GPS卫星来精确 (误差在几米之内) 定位地面上的人和车辆。基于手机的定位技术TOA, 该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时, 也暴露了其不利的一面, 即定位服务在给我们带来便利的同时, 也影响到了个人隐私。利用这种技术, 执法部门和政府可以监听信道上的数据, 并能跟踪一个人的物理位置。

3.3 移动商务的法律保障

移动电子商务的安全性研究 篇8

移动电子商务主要是指用户通过移动终端如手机、掌上电脑等设备访问网络,进行各种电子商务活动。这种电子商务活动可以随时随地进行,完全不受时间空间和交易方式的限制。相对于传统的电子商务而言,移动电子商务拥有传统电子商务无法比拟的优点。1995 年以来,伴随着移动通讯与互联网的飞速发展,移动电子商务受到越来越多用户的青睐,展现出了极为广阔的发展前景。

与传统的基于Internet的电子商务相比,移动电子商务具有以下特点:

1.1 移动电子商务不受时间和地点的限制,为用户提供超越时间、地点、方式的服务。

1.2提供更加个性化、人性化的服务。移动终端的使用者是固定的,这就意味着用户可以根据自己的喜好来定制个性化的移动交易服务,满足现代人追求自我、彰显个性的需要。

1.3可以提供与位置相关的交易服务。

2 移动电子商务的应用方向

移动电子商务不仅仅能够提供一种购物方式,更可以利用自身无时间地点约束的特点提供畅通无阻信息发布模式,更能延伸出许多全新应用领域。移动电子商务提供的应用可分为以下几个方面:

2.1 移动信息处理模式

传统的有线网络和无线网络之间是可以相互联通的,用户可以通过移动终端接入传统有线网络,访问传统有线网络中丰富的信息资源。传统网络中的各种资讯信息通过采集、整理,可以按照用户的要求向其提供。这样我们就可以利用现有互联网上的信息资源向使用移动终端访问网络的用户提供互联网上的一切服务,如移动在线游戏、移动视频收看、移动下载等。移动电子商务自身还具有无时间地点约束的特点,这就更加适合随时随地地查询天气、交易股票、收发电子邮件、网上购物等等,使传统的电子商务发展的更加完美。

2.2 移动电子支付模式

现在的因特网已经具有网上银行的功能,通过移动电子商务,我们可以把网上银行的功能从有线网络向无线网络扩展。这样用户就可以通过自己的手持移动终端(如智能手机、PDA等),以自己的银行账户为资金支持,移动通信终端为交易工具,随时随地进行安全地个人财务管理。通过技术手段,进一步完善现有的电子银行模式,实现日常生活中货币支付的新模式,增加便利、提高效率、节省时间。

2.3 移动身份识别

现代生活的很多领域,我们的身份除了可以用身份证证明外,还可以用指纹、声音、DNA等方式来辨别。通过移动电子商务这种新模式,我们可以通过移动通信终端输入指纹或声音信息,通过网络访问己建立的指纹或声音特征等资料库进行对比与查询,实时的进行个人身份确认。

以上只是对的应用进行了大致的概括,移动电子商务的应用远远不止这些,随着移动通信技术的发展和移动终端硬件的发展,移动通信技术与传统网络的结合,在传统电子商务中取得成功的业务均可以移植到移动电子商务中来。

3 移动电子商务的安全问题

移动电子商务的安全涵盖面比一般的网络安全要广泛得多,从整体上可分为两大部分:计算机网络安全和商务交易安全。下面主要讨论一下移动电子商务面临的安全问题。目前开展移动电子商务主要安全隐患有:

3.1 无线窃听

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。在无线通信网络中,信息都是以无线电波的方式传输的,这种开放的信息传输方式使黑客十分容易就能截取到信息从而发动攻击,可能导致敏感信息的泄露,从而获取有价值的商业情报等一切损害系统机密性的行为,对个人、企业甚至国家造成严重危害。

3.2 假冒攻击

移动电子商务是直接关系到贸易双方的商业交易行为,如何确定要进行交易的一方的真实身份,这一问题是保证电子商务顺利进行的关键。

面对面交易时, 交易双方可以通过在单据、契约、合同等书面文件上印章或手写签名来鉴别对方, 这种带有签名或印章的书面文件是可靠的,并可以防止对方否认交易事实。在无线网络中,攻击者在破译信息之后,可以仿冒交易的任何一方,假冒该用户身份,进行不法活动。

3.3 信息篡改

移动电子商务简化了贸易过程, 同时也带来维护贸易各方商业信息的完整统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略, 保持贸易各方信息的完整性是电子商务应用的基础。

3.4 交易的否认性

所谓交易否认性是指交易双方在完成交易后,其中的一方否认自己参与了此次交易。这种威胁在电子商务中很常见,随着开放程度的加大, 来自服务提供商的交易抵赖也可能发生。

此外,与有线通信网络一样,除了窃取信息和非法访问网络,攻击者也会进行拒绝服务攻击、病毒攻击等其他的攻击方式,达到阻止无线通信网络的正常工作的目的。

4 移动电子商务的安全属性

一个安全的移动商务协议除了应具有认证性、完整性和保密性之外,还应具有不可否认性、可追究性、公平性等重要安全属性,无线通信网络必须能够提供相应的安全业务来消除不安全因素带来的威胁。

4.1 数据完整性业务

数据完整性业务主要用于保护无线信道中传输的信息是完整的,没有被他人私自修改,保证接收方收到的信息是未经擅自改动,是真实的。

4.2 数据保密性业务

数据保密性业务是指在无线信道中传输的信息不会被他人知晓其中的真实内容,只有信息的接收方才能解密,知道信息中的真实内容。这是防止无线窃听的十分有效方法。移动电子商务系统应能够提供的用户身份的保密性、用户位置的保密性、传输信息的保密性等具体的保密性业务。

4.3 身份认证性业务

用户进行自身身份识别的过程叫做身份认证,身份认证性业务可以鉴别通信双方的真实身份,是对付假冒攻击的有效方法。身份认证性业务可以确保移动用户或网络端的身份是真实有效的。

4.4 不可否认性业务

不可否认性是电子支付商务协议的一个重要性质,是对付服务后抵赖的有效方法。其目的在于通过通信主体提供对方参与协议交换的证据来保证其合法利益不受侵害,即协议主体必须对自己的合法行为负责,不能也无法事后否认,以此来保护通信主体免遭来自于系统内部其他合法用户的欺诈。不可否认协议主体的目的在于收集证据,以便事后当一方否认时能够向仲裁方证明对方主体的确发送或接收了消息。证据一般是以签名消息( 或多重共享密钥加密) 的形式出现的,从而将消息与消息的发送方和接受方进行绑定。

4.5 可追究性业务

可追究性是指电子商务交易发生纠纷时,可通过历史信息获取交易当时的情况,从而获得解决交易纠纷的能力。可追究性的两个基本目标是仲裁者验证接收方和发送方提供的证据,即发送方非否认证据EOO(Evidenceof Origin) 和接收方非否认证据EOR (Evidenceof Recei Pt)。如果仲裁者能够判断出正确的消息来源,协议符合可追究性。

4.6 公平性业务

公平性是一个合法的参与方能按照协议规范产生消息并根据某些特定的消息推导规则处理消息。公平性包含两层含义:首先,正确地执行协议后保证发送方收到EOR且接收方收到EOO;其次,如果协议异常终止,协议应保证通信双方都处于同等地位,任何一方都不占优势,或者说,消息接收方收到EOO当且仅当消息发送方收到EOR。

公平性是建立在可追究性的基础上,即如果协议不满足可追究性,意味着同时也不满足公平性。验证该属性时,在协议每进行一步都记录下收发消息的双方( 即验证是否公平的双方) 在收发消息之前和之后对重要信息知晓的状态,如果消息中断( 只有发送没有接收),对比此时双方记录的内容是否相等。

和传统的电子商务一样,要实现这些安全需求,同样需要密码技术来实现。移动电子商务的实现基础是无线通信网络,但现阶段无线通信网络与传统网络相比存在很大的不同,主要体现在传输链路和终端设备这两个方面,下面分别说明这些不同点,并分析由这些不同点引发的问题。

4.6.1 传输链路的不同

1无线通信网络依靠空中媒介进行信息的传播,由于空中接口的开放性,用户能方便的接入移动网络,安全性差。另外,其传输的稳定性差,容易受到天气的影响。

2无线通信网络的资源也十分有限:带宽低、时延长、传输效率较低、误码率高。

4.6.2 终端设备的不同

1由于其移动的特性,一般体积较小,显示屏较小,不能够与传统网络终端的显示器相比,必须对显示的内容进行压缩。

2移动终端的处理能力较弱,不可与传统网络终端的处理能力同日而语。

3移动终端的储存能力较小。

4移动终端的输入设备不方便,与传统网络终端的输入设备相比,移动终端的输入设备体积小,且不同的移动终端输入设备不统一。

5传统网络终端需要连接电源,而移动设备由于其移动的特性,连接电源时间较短。

因为有以上各个方面的不同,所以在将因特网电子商务安全解决方案移植到移动环境时,就需要进行相关的改进并增加相应的措施。

摘要：互联网和移动通信技术的深入融合推动了移动电子商务的飞速发展,移动电子商务以其随时随地、方便灵活的特点受到消费者尤其是年轻群体的广泛欢迎,极大地推动和促进了传统电子商务的发展。与此同时,有关移动电子商务的安全性的担忧也从来没有停止过,无线互联技术作为移动电子商务的基础,由于无线环境的开放特性,以及其他诸多限制因素,使得整个移动电子商务系统易受攻击,研究并改进移动电子商务系统的安全性是保护用户的机密信息的迫切需求。

移动商务的安全问题 篇9

随着移动通信技术的发展和智能移动终端的广泛应用, 移动电子商务已成为个人和企业进行商务活动的一种全新方式, 通过无线网络与电子商务应用的结合, 各种提供商可以为客户提供更为方便、实时和人性化的服务。移动电子商务是指利用PDA、手机、掌上电脑等移动设备与因特网有机结合, 进行电子商务活动。安全性一直是影响移动电子商务发展的关键问题, 相对于传统的电子商务模式, 移动电子商务的安全性更加脆弱。将PKI安全机制引入到无线网络中, 形成WPKI安全技术, 能为各种无线网络上的应用提供加密和数字签名等安全服务, 从而保护移动用户的合法信息 (账户、密码等) 不受侵犯, 满足移动电子商务的安全性要求。

1 WAP安全体系结构

WAP安全体系结构主要包括基础层、协议层和应用层。基础层为最底层, 其核心是WPKI技术, WPKI是安全协议有效实施的基础, 一切基于身份验证的应用都需要WPKI的支持。协议层主要包括在无线网络和有线网络中加密、解密以及传输数据时所使用的各种协议 (WTLS, WSP, WDP, WSP, HTTP, SSL, TCP, IP等) , 其中在移动终端和WAP网关之间是主要使用无线传输层安全WTLS协议, 而在Web server和WAP网关之间主要使用安全套接层协议SSL。最外层为应用层, 主要包括各种移动终端软件平台和硬件安全设备、网关以及各种Web服务器。WAP安全体系结构如图1所示。

2 WPKI移动电子商务安全实现方案

2.1 移动电子商务安全体系结构

移动电子商务的安全体系结构是保证移动电子商务中数据安全的一个完整的逻辑结构。由五个部分组成:移动承载层、加密技术层、安全认证层、安全协议层、应用系统层。移动承载层主要提供承载网络及软、硬件平台等功能;加密技术层完成移动终端到WAP网关以及WAP网关到Web服务器之间的数据加密、解密功能;安全认证层完成对移动终端用户、Web服务器用户以及第三方金融机构等的身份认证功能;网络安全协议层包括WTLS协议及有线环境下位于传输层上的安全协议TLS、SSL等;应用系统层完成用户各种移动商务业务的处理。该体系结构中各层次之间相互依赖、相互关联构成统一整体, 实现移动电子商务的安全。移动电子商务安全体系结构如图2所示。

2.2 WPKI移动商务安全结构设计

WPKI (无线公开密钥体系) 是在公钥技术基础上发展起来的一种综合安全平台, 它将互联网电子商务中PKI安全机制引入到无线网络环境中, 包括生成、管理、存储、分发和吊销公钥证书所需要的硬件、软件、人员、策略和规程的完整基础设施。一个完整的WPKI系统必须包含以下元素:

最终申请者EA (end entity application) :即具有PKI功能的应用, 该应用运用于WAP设备中的WIM卡上。

注册机构RA (registration authority) Portal:Portal提供用户和CA之间的一个接口, 作为认证机构的校验者, 它确定用户的身份, 向CA提出证书请求并且处理用户的其他请求。当然, 认证的处理质量取决于证书中所设定的信任级别。

认证机构CA (certification authority) :CA系统是PKI的信任基础, 同样也是WPKI系统的基础, 负责产生、分发和验证数字证书, 规定证书的有效期, 并发布证书和证书撤销列表 (CRL) 。

证书库, 存放证书的目录, 在需要的时候可以访问这些证书。

PKI端口, 通常情况下它发挥着RA的作用, 同时翻译WAP客户向RA端口发出的请求, 另外, 它还与有线网络上的CA进行交互。WPKI移动商务安全体系结构如图3所示。

在WPKI的体系结构中, WAP网关是移动终端通过无线网络访问互联网的关键组件。在WAP网关的左侧, 移动终端要访问互联网服务需要通过WAP网关的协议转换才能实现。由于移动网络的资源有限等问题, 移动终端与WAP网关之间的安全连接采用WTLS协议。WTLS协议是从WAP协议栈中专为移动电子商务业务提供的一个安全的传输协议, WTLS足以确保WAP通信的安全。

WIM卡是在当前SIM (Subscriber Identity Module) 卡上加入新的功能和更大的存储空间, 属于一种智能卡。智能卡认证技术是最为安全可靠的认证手段之一。智能卡一般分为存储卡和芯片卡。芯片卡一般内置一个微处理器, 并有相应的RAM和可擦写的EPROM, 具有防篡改和防止非法读取的保护功能, 本体系采用带有微处理器的智能卡, 在智能卡中内置加速器, 可以提高密码生成、口令验证等的速度, 弥补智能手机计算能力低的弱点。

2.3 数字签名与验证

移动终端用户要向应用服务器发送消息m, 移动终端和应用服务器所选用的椭圆曲线密码算法密钥对分别为 (dM, PM) 和 (dA, PA) 。

移动终端首先将HASH函数作用于消息m得到消息摘要H=HASH (m) , 然后, 用自己的私钥对消息摘要进行签名:移动终端用户根据自己的椭圆曲线参数T= (p, a, b, G, n, h) 选定一个随机的密钥对 (k, R) , 其中R= (xR, yR) ;将域元素xR转换为整数XR并求得r=XRmod n, 要求r≠0, 否则重复前述步骤;由消息摘要H按照某种规则生成一个整数e;计算s=k-1· (e+r·dM) (mod n) , 要求s≠0, 否则重复前述步骤;得到签名S= (r, s) 。

应用服务器取得移动终端用户的合法有效的证书, 从中获取其所用的椭圆曲线参数T和公钥PM, 并验证签名中的r和s是否在[0, n-1]内, 若不在此范围内, 则该签名无效;采用移动终端用户相同的办法计算出H=HASH (m) 并由其生成一个整数e;计算u1=e·s-1 (mod n) , u2=r·s-1 (mod n) 和R= (xR, yR) =u1G+u2PM, 若R为0 (无穷远点) , 则签名无效;将域元素xR转换为整数XR并设定v=XR (mod n) , 比较v和r, 假如v=r, 则签名得到证实, 否则无效。至此, 验证完毕。

2.4 数据安全传输流程

该移动电子商务安全体系在数据传输过程中采用一种双层加密机制, 从而进一步提供了移动商务中数据信息的安全传输, 其传输流程如图4所示。

1) 移动终端用户使用应用服务器提供的公钥PA对数据信息M0进行加密得到M1, 将加密后的信息M1再用移动终端和WAP网关之间共享的WTLS密钥Ke1进行加密得到M2, 然后把M2发送给WAP网关。

2) WAP网关用Ke1解密收到的信息M2, 得到由移动终端用应用服务器的公钥PA加密的密文M1。

3) WAP网关将解密后的文件M1使用WAP网关与应用服务器之间共享的TLS/SSL密钥Ke2进行加密得到M3, 然后发送M3给应用服务器。

4) 应用服务器收到M3后, 先使用Ke2对M3进行解密得到M1, 然后再使用自己的私钥dA对M1进行解密得到移动终端发送的数据信息M0。

3 系统仿真

该系统数据处理是基于OPNET平台进行仿真的。OPNET软件包主要由三个模块组成:It Decision Guru适合最终用户, 它只有仿真、分析功能;Modeler在It Decision Guru基础上增加了建库功能;Modeler/radio在Modeler上又增加了对移动通信和卫星通信的支持。在仿真过程中我们使用OPNET的Modeler/Radio软件包为协议及网关建立模型, 并对模型中的进程使用C++进行编码调试。

WTLS仿真模型的消息时序如图5所示。

Client_wtp是客户端的WTP协议对象, client_wtls是WTLS对象, 首先由移动终端用户通过无线传输协议WTP发送一个CREATE_REQ创建安全会话请求, WTLS用PDU封装一个Client Hello消息通过收发器送到WAP网关的WTLS对象, WAP网关的WTLS向WTP发送一个CREATE_IND消息, 等WTP返回CREATE_RES消息之后创建相应的WAP网关缓存并发送CREATED_IND消息给WTP, 在等到EXCHANGE_REQ消息后把Server Hello Done消息传送给客户。此时客户端WTLS通知WTP一个EXCHANGE_IND消息, 待收到EXCHANGE_RES消息之后开始创建密钥交换用到的缓存, 等COMMIT_REQ消息到达时, 再向WAP网关发送完整的密钥交换信息, 如果密钥交换成功, 则WAP网关再向客户发送一个使用WTLS_PDU_HAND-SHAKE封装的结束消息, 然后WAP网关等待应用数据。客户端由上层协议发起应用数据传输UNITDATA_REQ消息, 再由WTLS_PDU_APP消息封装该应用数据传送给WAP网关, WAP网关再完成相应的数据处理之后, 给客户端一个应答[6]。

4 系统性能分析

1) 安全性高:该安全体系采用双层加密机制, 一方面彻底解决了在WAP网关中数据信息在解密和加密的间隙中以明文暴露的安全问题;另一方面由于采用椭圆曲线算法的公钥机制, 其安全性能明显高于RAS&DSA算法, ECC与RSA&DSA破译时间随密钥长度变化的比较如图6所示[5]。

2) 系统实现容易:该方案不需要在WAP网关、应用服务器中附加任何设备, 也不需要重新配置系统, 只需在移动终端中增加WIM卡。

3) 运行效率高:由于本系统中选用椭圆曲线加密算法, 相同的计算资源条件下, 在加密、签名验证和私钥的处理速度上, ECC比RSA、DSA要快得多, 特别适合在运算能力较低的移动终端中使用。在文献[4]中, 给出了关于RSA和ECC等公钥算法在8位智能卡上的加/解密性能分析, 如表1所示。

4) 占用存储空间小:ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多。160位ECC与1024位RSA、DSA具有相同的安全强度, 210位ECC则与2 048位RSA、DSA具有相同的安全强度。特别适合在存储容量较小的设备 (如WIM等卡) 中应用。

5) 信道利用率高:在仿真过程中分别设定了10个节点和500个节点测试WAP网关的无线信道利用率。数据接收利用率如图7所示, 由图可以看出随着节点数目的增加数据接收利用率明显增大[9]。

5 结语

针对数据信息在WAP网关中传输时解密和加密间隙中存在的安全隐患, 以及移动终端计算能力低、资源有限的现状。采用基于WPKI的双层加密机制实现了移动电子商务中数据信息的安全传输。结合WIM智能卡以及椭圆曲线加密算法的优点弥补移动终端运算能力低的缺点, 能够快速生成密钥对, 并完成数据加密、解密以及数字签名和验证。通过分析OPNET仿真结果, 该方案具有安全性高、容易实现、运算效率高、存储容量小以及信道利用率高的诸多优势, 解决了移动电子商务的安全问题。

参考文献

[1]Hua Jiang.Study on Mobile E-commerce Security Payment System[C]//2008 International Symposium on Electronic Commerce and Security.August, 2008:754-757.

[2]David Wright.The Role of Wireless Access Interconnection in Mobile e-Commerce Industry Evolution[C]//Eighth World Congress on the Management of eBusiness (WCMeB 2007) .July 2007.

[3]Cheung T, Chanson S.Design and Implementation of a PKI-Based End-to-End Secure Infrastructure for Mobile E-Commerce[C]//Second International Conference on Web Information Systems Engineering (WISE’01) , 2001.

[4]Gura N, Patel A, Wander A, et al.Comparing elliptic curve cryptography andRSA on 8-bitCPUs:proceedings of theWorkshop on CryptographyHardwere and Embedded Systems[C]//Boston:Springer-Verlag, 2004:119-132.

[5]Elliptic Curve Cryptography (ECC) [OL].http://wlan.sjtu.edu.cn/Article_Show.asp?ArticleID=54.

[6]刘晔.基于WAP2.0的WPKI设计与仿真及其应用研究[D].兰州理工大学, 2007.

[7]崔建琪, 姚丹霖.新的基于WAP的移动电子商务安全解决方案[J].计算机应用研究, 2007, 24 (9) :99-101.

[8]黄渌, WPKI在保障移动电子商务安全上的应用[D].江南大学, 2004.