探析移動電子商務信息安全系統

[摘要] 本文在移動電子商務信息系統安全相關概念的論述基礎上，以Bent函數和Hash函數為例探討了移動電子商務信息系統安全問題，并探討了通過利用這兩類函數技術如何增加商務信息系統安全系數的問題。

[關鍵詞] 移動電子商務 信息系統 Bent函數 Hash函數

現代計算機網絡技術和電子計算機技術的迅猛發展及普遍使用，使得社會前進愈來愈依賴電子技術和信息技術的發展，信息經濟席卷全球，成為經濟運行的主流。電子商務近年來發展速度越來越快，應用的環境越來越好，但同時產生了商務信息系統安全問題。商務信息系統安全的核心是密碼理論與技術，密碼技術的研究一直收到廣泛重視，密碼理論與技術發展很快。應對層疊而出的商務信息系統安全問題，設計能抵抗安全攻擊的布爾函數不僅有理論價值，同時還有巨大的商業應用價值。

由Rothaus教授提出的Bent函數是一類重要的密碼函數，還有Hash函數。它在密碼、編碼理論、序列設計，以及組合設計理論中有廣泛而重要應用。筆者在本文將主要探討移動電子商務信息系統安全，以及如何采用bent函數、hash函數技術如何增加移動商務信息系統安全系數的問題。

一、移動電子商務信息系統安全簡述

1.電子商務與移動電子商務概念

電子商務（Electronic Commerce，簡稱E-commerce）是在因特網開放的網絡環境下，基于瀏覽器或服務器應用方式，買賣雙方不謀面地進行各種商貿活動，實現消費者的網上購物、商戶之間的網上交易和在線電子支付，以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。

移動電子商務(M-Commerce)，它由電子商務(E-Commerce)的概念衍生出來，是通過手機、PDA（個人數字助理）、呼機等移動通信設備與因特網有機結合所進行的電子商務活動。移動電子商務能提供以下服務：PIM（個人信息服務）、銀行業務、交易、購物、基于位置的服務、娛樂等。移動電子商務因其快捷方便、無所不在的特點，已經成為電子商務發展的新方向。因為只有移動電子商務才能在任何地方、任何時間，真正解決做生意的問題。

截至2008年4月，中國移動電話用戶合計5.84億，移動電話用戶數與固定電話用戶數的差距拉大到2.24億戶，移動電話用戶在電話用戶總數中所占的比重達到61.9%。移動電話普及率已達41.6%。

移動電子商務與傳統的主要通過桌面電腦網絡平臺而運行和開展的電子商務相比，擁有更為廣泛的潛在用戶基礎。當前，中國互聯網用戶雖然已經超過2億，但同時手機用戶卻相比多了3億多用戶，此外根據資料還有數量龐大的PDA用戶群，因此，移動電子商務具有比非移動電子商務更為廣闊的市場前景。

2.移動電子商務信息系統安全概念

移動電子商務信息系統安全問題是動態發展的，如防范病毒的措施，往往不可能一次成功更不可能一勞永逸。由于移動電子商務信息系統是以移動通信網絡與計算機網絡共同構建的平臺為商務活動平臺，因此它不可避免面臨著一系列的由移動通訊網絡和計算機網絡相關的安全問題。移動電子商務給商務活動帶來了諸多便利，如縮短了商務活動時間、降低了商務成本、提高了響應市場的效率等等。計算機網絡為主體的有線網絡安全的技術手段并不能完全適用于無線的移動網絡環境，由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序，因此，有效抵制手機病毒的防護軟件目前還不是很成熟。

3.移動電子商務信息系統安全類型

移動電子商務信息系統安全威脅種類繁多，可以有多種可能的潛在面，既有蓄意違法而致的威脅；也有無意疏忽造成的安全漏洞。另外還有如：非法使用移動終端、移動通訊公司工作人員不慎泄露客戶信息而致、竊聽等均有可能導致不同程度和后果的移動電子商務安全威脅。大體我們可以分為以下幾個情況：

第一，移動通訊網絡本身導致重要商務信息外泄：移動無線信道是一個開放性的信道，它給移動無線用戶帶來通訊的自由和靈活性的同時，同時也伴隨著很多不安全因素：如通訊雙方商務內容容易被竊聽、通訊雙方的身份容易被假冒，以及通訊內容容易被篡改等。在移動無線通訊過程中，所有通訊內容（如：通話信息，身份信息，數據信息等）都是通過移動無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取移動無線信道上傳輸的內容。這對于移動無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。在移動電子商務信息系統中商業機密的泄漏表現，主要有兩個方面：商務活動雙方進行商務活動的核心機密內容被第三方意外獲得或竊取;交易一方提供給另一方使用的商務文件被第三方非正常使用。

第二，移動通訊設備傳播的病毒的侵犯：病毒是目前威脅移動電子商務用戶的主要因素之一，隨著移動網絡應用的深入擴展，移動電子商務的規模愈趨增大，移動電子商務用戶也越來越多地面臨著各類病毒黑客攻擊風險。與病毒齊名的是黑客侵擾和攻擊，由于各種網絡黑客應用軟件工具的傳播，黑客與黑客行為己經大眾化了，他們利用操作系統和網絡的漏洞、缺陷，從網絡的外部非法侵入，進行侵擾和不法行為，對移動電子商務安全造成很大隱患。

第三，移動通訊網路漫游而致的威脅：無線網路中的危害安全者不需要尋找攻擊對象，攻擊對象在某種條件下會漫游到攻擊者所在的小區。在終端用戶不知情的情況下，信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統引入風險，沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立，使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書，攻擊者可以利用該漏洞來獲利。

第四，垃圾信息（或稱垃圾短信）：在移動通訊系統及設備帶給廣大人們便利和效率的同時，也帶來了很多煩惱，其中尤其難以控制的就是鋪天蓋地而來的垃圾短信廣告打擾著我們的生活、工作和學習。在移動用戶進行商業交易時，會把手機號碼留給對方。有的移動用戶喜歡把手機號碼公布在網上。這些都是其他公司獲取大量手機用戶號碼的渠道所在。垃圾短信使得人們對移動電子商務充滿不信任和反感，而不敢在網絡上使用自己的移動設備從事商務活動。

二、提升移動電子商務信息系統安全的趨勢與必然性

1.移動商務是電子商務發展的必然趨勢

在未來幾年中，伴隨著無線網絡的日益普及，移動計算設備將變得很普及。計算機技術和無線技術的結合將成為最終趨勢，電子商務也將向移動商務過渡。中國在電子商務的發展方面要落后于發達國家，但隨著觀念的改變和技術的進步，中國越來越多地參與到世界經濟發展的各個環節。中國要想在商務模式變革的過程中取得成功，關鍵是要準確分析市場趨勢并把握市場先機。移動商務中關鍵的一點以用戶為中心，如果能成功把握住移動個性化方面的市場先機，則完全有可能成為移動商務的規則制訂者，從而擺脫以往的模仿。

2.我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性

2007年，全國電話用戶新增8389.1萬戶，總數突破9億戶，達到91273.4萬戶。移動電話用戶在電話用戶總數中所占的比重達到60.0%，移動電話用戶與固定電話用戶的差距拉大到18183.8萬戶。

2007年12月中國互聯網絡信息中心（CNNIC）發布《第21次中國互聯網絡發展狀況統計報告》。報告顯示，截至2007年底，我國網民人數達到了2.1億，占中國人口總數的16%。調查反映出基于網絡的商務安全問題，調查網民對互聯網最反感的方面是：網絡病毒 29.8%，網絡入侵或攻擊（有木馬） 17.3%等。可以說我國2億多網民在網絡上，信息安全問題是比較普遍的，因此，我國高速發展的互聯網絡客觀上也要求提升商務信息系統安全。

美國安全軟件公司McAfee2008年公布的最新調查結果顯示，雖然手機病毒和攻擊現在還不普遍，但隨著越來越多的用戶通過手機訪問互聯網和下載文件，手機病毒出現的概率將越來越大。McAfee公司公布的調查結果顯示，只有2.1%的被調查者曾經自己遭遇手機病毒，而聽說過其他手機用戶遭遇病毒的被調查者也只有11.6%。McAfee在英國、美國和日本共調查了2000名手機用戶，結果發現86.3%的用戶對于手機病毒沒有任何概念。

當前我國移動用戶數保持世界第一，網民數為世界第二，我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性。

3.利用加密函數技術加強和完善高效高安全性的移動電子商務信息系統

在這個網絡互聯技術、移動通訊技術告訴前行的時代，信息安全尤其是電子商務信息的保密工作變得越來越至關重要，這無疑給密碼學的研究帶來了巨大推動。為提高移動通訊網絡與互聯網為平臺的移動電子商務服務質量，維護移動電子商務信息提供者的權益，信息安全越來越得到人們的關注。筆者認為，研究布爾函數各種性質，特別是研究對抵抗相關攻擊的相關免疫函數類、抗線性分析的Hent函數與Hash函數，無疑是具有很強的現實意義的。

(1)Hash函數加密技術概述及應用

Hash函數加密技術主要用于信息安全領域中加密算法，它能把一些不同長度的信息轉化成雜亂的128位的編碼里，叫做HASH值。Hash就是為了找到一種數據內容和數據存放地址之間的映射關系密碼學上的Hash函數是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。Hash 函數可用于數字簽名、消息的完整性檢測、消息的起源認證檢測等。安全的Hash函數的存在性依賴于單項函數的存在性。Hash算法被普遍應用于數字安全的幾乎所有方面，如登錄辦公室局域網、進入個人郵箱和安全頁面都要用它來保護用戶的密碼；電子簽名系統利用它來認證客戶及其發來的信息。

(2)bent函數加密技術概述及應用

在密碼學中，為了抵抗最佳線性逼近，人們引人了Bent函數的概念，bent函數具有最高非線性度，在密碼、編碼理論等方面理論中有著重要應用，因而成為當前密碼學界研究信息安全保密技術的熱點。對Bent函數的構造可以分為間接構造和直接構造。直接構造方法主要有2種：一種是MM類；另一種是PS類，這兩種屬于直接構造方法。bent函數具有最高的非線性度，但它的相關免疫階為0，為了使bent具有更好的密碼學性質和實際應用價值，學者們提出了bent函數的變種，如Hyper-bent，Semi-bent等。

總之，移動電子商務信息系統安全是個多角度、多因素、多學科的問題，它不單要求從保密安全技術方面，同時也要求我們從技術之外的社會等因素考慮解決。

參考文獻：

[1]趙永剛:解析“三角經營商法”[J].商場現代化，2004(15)

[2]姬志剛:計算機、網絡與信息社會.科技咨詢導報[J].2006(20)

[3]邱顯杰:關于Bent函數的研究.湘潭大學[D]，2002

[4]戴方虎等:Internet的移動訪問技術研究.計算機科學，2000（3）

[5]肖皇培張國基:基于Hash函數的報文鑒別方法[J].計算機工程， 2007，(06)

[6]蘇桂平劉爭春呂述望:Hash函數在信息安全中隨機序列發生器中的應用[J].計算機工程與應用， 2005，(11)

[7]李世剛劉輝陳標華:超素數法長周期偽隨機數發生器的應用算法[J].北京化工大學學報(自然科學版)， 2003，(06)