关于移动电子商务安全的探析

井淑梅

摘 要：移动电子商务的安全问题是移动电子商务研究的热点之一。随着移动电子商务的发展，安全问题的探索与求解会逐步完善。文章对移动电子商务安全问题进行了分析和探讨，希望能够为相关人士提供参考和借鉴。

关键词：移动电子商务；安全；网络

1 移动电子商务概述

1.1 移动电子商务的定义

移动电子商务是依托移动通信网络，使用手机、PDA、掌上电脑、笔记本电脑等移动通信终端和设备所进行的各种商业信息的交互和各类商务活动。概括的说，移动电子商务的主要特点是位置相关性、紧急性和随时随地的访问。

移动电子商务关注的是商业系统领域内无线远程通信技术和无线设备的使用、应用和集成。移动商务的领域包括参考无线数据和信息以其各种多媒体形式（如文字、图形、视频和声音）传输所需要的基础结构和电子技术。它还结合了各种不同的无线技术以及用于发送和接受数据和信息的便携式移动设备（如移动电话、个人数字助理和无线调制解调器）的研究。

1.2 移动电子商务的安全

1.2.1 移动电子商务的安全原则

（1）身份标识：对于每一个用户，应该授予一个唯一的用户ID、识别名称等对其身份进行标识的要素以保证用户身份的可识别性。（2）身份认证：系统应该能够通过密码、标识或数字认证等来对用户的身份标识进行认证，来确保这一身份标识的确是代表了合法的用户。（3）接入控制：通过授权等安全机制来保证有合适权限的用户才能访问相应的数据、应用和系统，使用相应的功能。（4）数据完整性：利用信息分类和校验等手段保证数据在整个交易过程中没有被修改，所收到的数据正是对方发送的数据。（5）不可否认性：通过数字签名等手段保证交易的参与方对整个交易过程中的指令和活动不得抵赖。（6）数据保密性：通过一些加密手段来保证数据在交易过程中不得被未经授权的人员读取。

1.2.2 移动电子商务的主要安全技术

（1）MAC地址访问控制：MAC地址是网络设备在全球的唯一编号，就是我们说的物理地址、硬件地址、适配器地址或网卡地址。（2）WEP加密：WEP（有线等效保密协议）是为保证数据能通过无线网络安全传输而制定的一个加密标准，实用了共享密钥RC4加密算法。（3）WAP：WAP（无线应用协议）是Wi-Fi联盟制定的过渡性无线网络安全标准。WAP有两个主要内容，一个是代替WEP的、设计更好的加密系统，另一个是用户身份认证系统。（4）WAPI：WAPI（无线局域网鉴别与保密基础结构），它是经多方参加，反复论证，充分考虑各种应用模型，在中国无线局域网标准中提出的WLAN安全解决方案。

2 移动电子商务安全性分析

2.1 移动终端安全问题分析

移动商务所用的终端设备主要包括个人数字助理、智能手机、便携式计算机、平板电脑、GPS导航设备等，它们主要面临以下安全问题：（1）加密和认证等安全措施难以使用。总体来说，移动终端设备具有计算能力和存储能力有限、电池寿命短等特点。而许多安全性相对较好的加密的认证措施都需要客户端有比较强大的运算能力和存储能力支撑。移动设备能够使用的移动终端体积小功能较弱，这就限制了复杂加密认证程序的使用，从而带来安全隐患。（2）移动终端设备中的机密资料容易丢失和被盗用。移动设备体积较小，使用中很容易不小心跌落而造成损坏，而现在手机和PDA失窃的现象也是屡见不鲜。（3）企业缺乏终端相关的安全制度和安全技术。虽然现在的移动终端已经存储了大量的公司机密信息，可还是很少有公司对移动终端的安全问题纳入公司IT安全考虑的范围，相关的安全制度和安全技术也很少。（4）手机SIM卡等身份识别设备易于被克隆而造成欺诈。目前手机SIM卡和其它一些移动设备逐渐开始成为移动商务中身份识别的一个重要部分，一旦这些设备被恶意克隆，在其它身份识别措施还不健全的情况下，用户的个人身份很容易被假冒。

2.2 无线局域网安全问题分析

无线局域网（WLAN）也有许多的安全问题，这些问题包括：（1）WLAN的设备容易为黑客所控制和盗用来向网络传送有害数据；（2）网络操作容易受到堵塞传输通道的拒绝服务攻击；（3）许多WLAN在跨越不同层子网的时候往往不需要第二次的登陆检查；（4）802.11标准使用的WEP（有线等效加密）安全机制存在安全缺陷，容易造成数据被拦截和窃取。

2.3 WTLS安全性分析

WTLS（无线传输层）：WTLS主要提供WAP安全性协议，主要提供了下列功能：（1）数据完整性（确保传输的数据未被更改并且未损坏）；（2）保密性（确保传输的数据是加密的）；（3）身份验证（建立终端及应用服务器的真实身份）；（4）拒绝服务保护（检测和拒绝未成功验证的数据）。

3 移动电子商务安全的思考

3.1 终端设备安全问题

在移动设备的选择使用上，移动用户可以选择一些拥有加密措施的终端设备，现在市场上已经有很多设备中添加了指纹识别系统、卫星定位系统、文件加密系统，这些设备有效的将因设备丢失而引起的安全隐患降到了最低。还有就是对于一些公司成员，移动用户制定相应的规章制度，增强安全意识。

3.2 病毒黑客问题

在移动电子商务的实际应用中采取有效措施来防范和降低病毒给移动商务带来的威胁，由于移动用户手里的移动设备由于本身的计算量有限，所以很难在移动设备中建立相对完善的防病毒软件，那么移动商务安全措施就应该寄希望于移动运营商，在移动运营商提供的交互服务器上建立完善的病毒检测，病毒查杀体系，并且在移动运营商的服务器上建立防火墙，对用户传来的信息进行首次审查，再将审查后的信息导入总服务器进行二次查杀，用户在使用移动设备时也要安装针对移动设备的最新的杀毒软件，并且及时更新自己设备上的病毒库。

3.3 无线技术面临的一些安全问题

3.3.1 双协议安全的完善

（1）移动用户将自己的公开密钥PKa交给内容服务器；内容服务器则将自己的公开密钥PKb反交给移动用户。（2）移动用户将自己的设备中的信息用对称加密算法加密后，再用内容服务器给的加密算法PKb进行加密，最后将加密好的数据传送给内容服务器。（3）内容服务器接受了用户的加密数据后，自动选择自己的对应解密算法，选择一组对称加密算法、公钥加密算法、信息摘录算法。对用户的数据加密算法进行再加密最后传给用户。（4）移动用户接收到内容服务器发来的信息后对其私钥解密，得出的数据信息来确定自己与内容服务器之间的对应的加密算法。移动用户对自己的信息进行一个摘录处理，得出摘录信息，在进行私钥处理最后得到一个数字签名，将这个数字签名附着在数据信息上。移动用户使用设备再随机地出一个密钥，使用这个密钥与先前的数字签名共同加密数据信息，形成一个密文，将这个双加密的密文再次发送给内容服务器。（5）内容服务器接收到了信息后先用自己的私钥对其解密，得到与用户协商好的的对称密钥，用这个密钥对用户传来的信息进行二次解密得到数字签名，至此将先前的对称密钥删除以免被不法利用。内容服务器再对得到的数字签名使用公开密钥解密得到信息摘錄。内容服务器对得到的信息招录进行再处理得到新的信息摘录将两次的摘录进行对比，如果双方一致则该传输的数据未被写改过。内容服务器就把这个安全信息作为安全协商密钥。

3.3.2 无线应用技术设计

（1）移动用户将要传输的数据准备好后用安全协商密钥Ke对数据进行加密处理，在使用移动设备与WAP网关之间共享的WTLS密钥Ke1进行二次加密，这样就可以发送给WAP网关了。（2）WAP网关对接收的加密信息使用自己的Ke1解密，因为用户的数据还被安全协议密钥加密着，所以WAP解密后的用户数据还是密文，这样就不会使数据在传输过程中泄漏了。（3）WAP网关再把已经用Ke解密后的信息再用WAP网关与内容服务器之间共享的TLS密钥Ke2进行加密，然后再发送给内容服务器。（4）内容服务器接收到WAP网关发过来的加密信息后，先用Ke2对其解密，再用Ke进行二次解密，得到用户发来的信息。