目前我国移动电子商务安全问题及解决途径

薛睿，蔡艳

(1.郑州大学信息工程学院，河南郑州 450001;2.河南教育学院信息技术系，河南郑州 450046)

目前我国移动电子商务安全问题及解决途径

薛睿1，2，蔡艳2

(1.郑州大学信息工程学院，河南郑州 450001;2.河南教育学院信息技术系，河南郑州 450046)

通过对我国移动电子商务所面临的发展现状进行描述，探讨了信号衰退与干扰等9种影响移动电子商务安全的主要因素，从技术、立法等层面提出了解决途径.

移动电子商务;安全;WAP;解决途径

0 引言

CNNIC(中国互联网络信息中心)于2012年3月发布了《中国移动互联网发展状况调查报告》［1］，据该报告显示，截至2011年12月底，中国手机网民规模已达到3.56亿，同比增长17.5%，其中，智能手机网民规模达到1.9亿，占手机网民的比例达到53.4%.在智能手机用户中，Symbian、Android以及iOS占据95%以上的市场份额，市场集中度较高.我国网络购物用户规模已达19 395万，网络购物用户占网民总数的比例达到37.8%.与网络购物的高渗透率相比，我国移动电子商务的渗透率却较低，只占智能手机用户的6.6%，比上年提高1.7个百分点.移动电子商务渗透率较低的主要原因为，一方面，用户对于大部分电子商务产品需要进行比较、咨询后才会购买，而手机较小的屏幕使得电子商务产品的展示相对较差，很难激发用户的购物欲望;另一方面，大部分用户还未建立起对手机支付的信任和使用习惯，担心移动网络购物安全.

1 影响移动电子商务安全的主要因素

1.1 信号衰退与干扰

一方面，目前移动电子商务的网络状态依赖于通信公司的塔台信号传输，在城市中不可避免会存在信号衰退与干扰问题，如图1所示.另一方面，当用户手持终端在移动过程中，会有信号衰退现象，目前3G网络理想状态下终端设备高速运动时最高传输速率为128 kb/s，而室内环境则可以达到2 Mb/s.而目前很多用户喜欢在高速列车、公交车等环境下使用手持移动通信设备，这就使得移动电子商务的业务开展会受到数据传输速度慢的限制.

图1 无线信号传输的衰退Fig.1The recession of the wireless signal transmission

1.2 无线信道带宽的有限性，影响电子商务的PKI认证效率

传统的电子商务的PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等，处理PKI的请求必须依靠ASN.1标准的Basic Encoding Rules(BER)以及Distinguished Encoding Rules(DER)，但是这种编码规则需要占用很多资源［2］，在目前无线信道带宽有限的情况下，使得PKI检验速度非常缓慢.

1.3 WAP体系存在漏洞

WAP(Wireless Application Protocol)为无线应用协议，类似于Internet的HTTP体系结构，移动通信设备采用的是WAP1.X体系结构，如图2.

图2 WAP1.X协议栈Fig.2 Protocol stack of WAP1.X

如果在无线通信服务中使用普通Internet协议，则会导致速度慢、成本高且难以大规模应用等问题，而且无线电传输的延时还会造成其他问题，因此，为了提高效率，WAP进行了很多优化处理.在WAP的安全会话模式中，WAP应用的安全由WTLS实现，而Internet则是由SSL实现，由于SSL是以明文形式存在，而WTLS与SSL是不兼容的，必须由WAP网关进行翻译，因此，WAP浏览器与内容服务器之间的通信数据在WAP网关上会有一段时间以明文形式存在，这就成为其安全漏洞.

1.4 无线窃听与伪装

在无线通信网络中，需要传输的数据信息，如用户的身份注册信息、服务密码信息、金融信息等，都是通过无线电波传送的，这种传输具有无方向性的特点.攻击者只要有适当的无线接收设备，就可以窃取并解码用户的个人信息，而且这一过程很难被发现.无线窃听可以导致用户的信息泄露，可能造成无法挽回的损失.当攻击者通过无线窃听截获到一个合法用户的个人信息后，他就可以利用这个信息冒充该合法用户的身份从事非法活动.

1.5 移动终端丢失和被窃后容易导致重要信息被利用

移动终端易于携带，方便使用，但是也容易丢失和被窃.当移动终端丢失，也就意味着移动设备上一些重要信息会被不法分子获取.任何拿到这个移动终端的人都可以随意访问Internet、移动通信工具、电子商务网站等，并伪装成真正持有者，甚至进行电子商务诈骗活动，目前手持移动终端的最大问题就是缺乏实体认证机制.

1.6 移动电子支付安全问题

为了迅速完成电子商务交易，出现了多种电子现金支付工具如网上银行、第三方支付平台等.在传统的电子商务平台上，网上银行为了保证安全需要采用加密狗，但是通过移动终端上网上银行时却无法使用加密狗，这样就无法保证网上支付的安全性.如果直接通过第三方支付平台，在输入账号密码时，这些信息又极容易被盗窃［3］.

1.7 病毒与黑客造成的安全威胁

目前针对智能手机的病毒泛滥，病毒利用短信、彩信、电子邮件、浏览网站、下载铃声等方式进行传播，会导致用户手机死机、关机，个人资料被删、个人信息泄露、发送垃圾邮件，甚至自动拨打电话、发短(彩)信等造成恶意扣费.特别是有些用户在使用移动终端设备进行网络购物和网银支付时，由于缺乏使用网络的安全意识和操作常识，可能在下载所需软件时下载了含有不安全插件的程序，给自己的移动终端留下了潜在威胁.当条件成熟时，攻击者会利用依附在软件的木马程序、操作系统的漏洞及缺陷等，非法侵入用户终端，进行干扰和不法行为，给移动电子商务的安全造成很大的安全威胁［4］.

1.8 拒绝服务攻击

攻击者会通过对服务器或者通信网络进行干扰，致使用户数据无法及时传递，或者大量地、重复地发送假冒网络信息单元，阻塞合法用户的信令信息、通信数据或控制数据等，使用户无法接受正常的网络服务，从而无法正常进行电子商务活动［5］.

1.9 不法移动商务平台运营商的恶意欺骗

为适应移动电子商务业务的快速发展，终端提供商、软件开发商，移动终端系统集成商、移动终端设备制造商和网络运营商等都加快了相应的手机软、硬件研发的速度，不同功能的移动商务平台比比皆是，使用户无法辨别真伪.这些移动电子商务软件很不完善，或多或少存在一些问题，如推荐系统的商品排名欺骗、软件购买收费等.

2 移动电子商务安全问题的解决方案

2.1 技术方案

2.1.1 端到端的解决方案

WAP1.X的缺陷导致很长一段时间WAP业务开展并不成功，国外许多无线网络运营商纷纷将目前WAP1.X网关升级为WAP2.0网关.在WAP1.X中定义的WTLS属于点到点的加密，因此，在网关存在潜在的安全隐患.而WAP2.0引入TLS进行加密，直接承载在TCP层之上，在应用上构建了端到端的加密机制，提供给用户良好的安全性.我国无线网络运营商也可将目前的WAP1.X升级到WAP2.0.

2.1.2 引入WPKI体系

很多学者提出在互联网电子商务中建立“无线公开密钥体系”(WPKI体系)，WPKI是将PKI安全机制引入到无线网络环境中.WPKI用优化的ECC椭圆曲线加密算法和压缩的X.509数字证书进行管理，证书的公钥管理由第三方可信认证中心CA进行，能够准确认证用户身份，从而实现交易数据的安全传输.用WPKI体系管理在移动网络环境中使用的公开密钥和数字证书，可以建立有效的、安全的、值得信赖的移动电子商务环境.

2.1.3 安装防火墙及杀毒软件

通过引导用户或强制终端系统集成商在移动终端安装安全平台，如360安全卫士、瑞星手机杀毒软件、金山手机卫士等，以便优化无线电子商务环境，从而极大降低病毒及黑客造成的威胁.

2.1.4 推进4G网络的开发与建设

4G是第四代移动通信的简称，是集3G与WLAN于一体的技术产品，能够快速传输高质量、高清晰度的视频图像，目前尚处于研发阶段.据预测，第四代移动通信系统的下载速度最高可以达到100 Mbps，这种速度接近于目前手机的传输速度的1万倍，上传速度也能达到20 Mbps，能够满足几乎所有移动网络用户对无线服务的要求.4G通信并不是在3G通信的基础上经过简单的升级而来的，所以4G手机更应该称得上是一台小型电脑了，其智能性、安全性会得到大幅提升.

2.2 完善立法

构建安全的电子商务交易环境，离不开严格的监管机制.由于电子商务是在虚拟的网络环境下进行的，相对于传统的交易方式，电子商务的灵活性和不确定性更加突出，这就更需要用有效的规范和制度来监管.有关部门应尽快制定并完善与移动电子商务相关的法律和制度，利用法律手段保障电子商务平台的安全，增加交易双方的信任感，使用户愿意通过移动电子商务完成交易.

2.3 推行手机实名制，建立健全个人信用制度

在移动电子商务中，可以推行手机实名制，由公安部、商务部或信息产业部等权威机构来监督、实施.在实名制的实施过程中，为了确保电子商务中交易双方身份的唯一性与合法性，可以建立相应的用户信息管理数据库，将用户的个人信息，如用户身份证号、手机号码、手机PIN码、银行账号、指纹等资料存放其中进行管理.在使用过程中，用户具有访问数据库的权限，而权威机构则具有访问、修改数据库的权限［6］.建立实名制后，每位参与移动电子商务的用户的身份将是唯一的而且是可识别的.这样将移动电子商务从虚拟状态推向了实体化.

另外，我国应该建立和完善个人信用制度，由于在电子商务交易最低层次下，交易双方的身份是可靠的，一旦某一交易方实施诈骗，另一方可以轻而易举地将其诈骗事实进行公布，并追究其违约责任［7］.

［1］中国互联网络信息中心(CNNIC).中国移动互联网发展状况调查报告(2012年3月)［R/OL］.［2012－04－30］.http://www.199it.com/ archives/30327.html.

［2］沈郁.基于WPKI的WAP移动电子商务安全研究［J］.湖南大学学报:自然科学版，2003，30(3):189－192.

［3］李艳，杨拥，涂伟.移动电子商务面临的安全问题及其防范［J］.商业时代，2011(20):49－50.

［4］梁少娥，蔡振治.3G时代我国移动电子商务的安全问题与应对策略［J］.肇庆学院学报，2010，31(4):55－58.

［5］徐洪峰，徐曦，曾杰.移动电子商务安全问题研究［J］.计算机技术与发展，2011，21(11):236－242.

［6］薛睿，万三敏.电子商务信任问题及建立途径［J］.水利电力机械，2007(9):94－99.

［7］万三敏.有限信用下旅游电子商务的发展［J］.河南教育学院学报:哲学社会科学版，2008，27(3):103－105.

Current Security Issues and Solution Approaches of Mobile E-Commerce in China

XUE Rui1，2，CAI Yan2

(1.Institute of Information Engineering，Zhengzhou University，Zhengzhou 450001，China;
2.Department of Information Technology，Henan Institute of Education，Zhengzhou 450046，China)

The development of current situation of mobile e-commerce in China was described.The main factors affecting the security of mobile e-commerce such as signal recession and interference were discussed，and the approaches in view of technology and legislation were proposed.

mobile e-commerce;security;WAP;solution approach

F724.6

A

1007－0834(2012)03－0033－04

10.3969/j.issn.1007－0834.2012.03.011

2012－05－29

河南省教育厅自然科学研究项目“旅游电子商务信任机制研究”(2009B630021)研究成果;河南教育学院计算机应用技术重点学科资助项目

薛睿(1980—)，女，河南郑州人，河南教育学院信息技术系讲师、郑州大学电子与信息工程学院在职硕士研究生，研究方向:电子与通信工程.