淺析移動電子商務交易安全性研究

徐洪峰

貴州師范大學經濟與管理學院 貴州 550001

0 引言

移動電子商務(M-commerce)是指通過手機、傳呼機、掌上電腦、筆記本電腦等移動通訊設備與無線上網技術結合所構成的一個電子商務體系。它能夠不受時間和空間的約束展開商務活動，已經為越來越多的企業所接受。移動電子商務的模式目前主要有兩種：SMS模式和WAP模式。SMS模式(hort Message Service)短消息模式；WAP模式(ireless Application Protocol 無線應用協議)在數字移動電話、因特網及其他個人數字助理(DA)計算機應用之間進行通信的開放式全球標準，它是開展移動電子商務應用的核心技術之一。但由于移動電子商務采用的是無線信道，同時計算機通訊網絡系統結構原有存在的不安全因素，使得交易過程中存在大量的安全隱患。

1 存在問題

移動電子商務交易過程中主要面臨著三個方面的威脅：無線鏈路威脅、拒絕服務和交易抵賴。

（1）無線鏈路威脅。由于無線網絡具有開放性特點以及短消息等數據一般都是明文傳輸，這使得通過無線空中接口進行竊聽成為可能。在無線通信網絡中，所有網絡通信內容(如通話信息、身份信息、位置信息、數據信息等)都是通過無線信道傳送的，而無線信道是一個開放性信道，任何具有適當無線終端設備的人均可以通過竊聽無線信道而獲得上述信息。因而無線竊聽相對來說比較容易，只需要適當的無線接收設備即可，而且很難被發現。同時由于通訊過程中，信息需要通過基站之間以及基站和移動服務交換中間來傳遞，信息在轉換過程中容易導致用戶身份、位置的泄露。

（2）交易抵賴。指交易雙方對交易的內容包括合同、單據等在事后都能進行有效的確認。進行交易的雙方都要能夠在事后確認進行過的交易，即對交易本身及交易合同、契約、或交易的單據等文件的抗抵賴性。

（3）假冒攻擊。利用無線網絡信號的漫游性，攻擊者可以利用無線接收設備對信息進行截取和竊聽，當攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個身份信息來假冒該合法用戶，這就是所謂的身份假冒攻擊。

（4）拒絕服務。入侵者通過物理層或協議層干擾用戶數據、信令數據或控制數據在網絡中的正常傳輸，來實現網絡中的拒絕服務攻擊，還可以通過假冒某一網絡單元阻止合法用戶的業務數據、信令信息或控制數據，從而使合法用戶無法接受正常的網絡服務。如：攻擊者可以通過刪除某一網絡上傳送的所有數據包的方法，使網絡拒絕為用戶服務；還可以通過郵件炸彈的方法使系統性能降低或崩潰，從而達到拒絕服務的目的。

2 解決方案

2.1 WEP協議

在無線局域網環境中可以考慮采用 WEP協議(Wired Equivalent Privacy，有線對等安全協議)。對數據層數據在傳輸過程中采用 WEP進行數據加密，保證通信信道上數據傳輸的安全。同時，由網絡管理員對每個授權用戶分配一個基于 WEP算法的密鑰，能夠有效的防止非授權用戶的訪問。但由于早期WEP僅能提供40位長度的加密，及其容易破解和攻擊。現在的WEP有效密鑰長度為104位，仍然不能有效實現網絡攻擊。因此，采用 WEP協議仍然不能保證移動電子商務的安全交易。

2.2 WAP協議框架

考慮到上述的安全性問題及威脅，可以采用WAP體系框架來改進數據傳輸和交易過程中的安全性。通過建立一個具有WAP 網關的Web服務器來解決端到端的問題。因為數據在移動終端與 WAP服務器之間采用 WTLS (Wireless Transport Layer Security)加密，數據通道上不存在協議轉換，而WAP網關作為最終服務器的一部分，就不再是整個過程的一個環節。數據解密出來直接提交給服務器操作，實現了端到端的安全。若采用WAP服務器方式，用戶必須重新配置WAP移動終端設備，建立與之相應的WAP會話，但存在配置費用過高的問題，以及在WAP會話的通訊的過程中，存在明文通訊，這種通訊容易別攻擊者獲取和利用。可以考慮在通訊傳輸的過程中，進行一定的加密，現在用的最多的是橢圓加密ECC，主要考慮的因素是該加密過程中密鑰長度為163位，加密能力和程度可以達到RSA加密密鑰1024位的加密程度(如圖1)。

圖1 WAP體系結構

2.3 加密和認證手段

(1) 加密技術

現在有許多加密解決方案可降低數據在無線網絡上傳輸時遭到攔截的風險。由于GSM和GPRS網絡采用的加密技術存在許多弱點，所以采用更可靠的加密解決方案是必要的。這些解決方案雖然運行在無線網絡運營商提供的現有系統之上，但可以由公司控制并使用經過驗證的標準化協議，提供的選項包括IPSec、WTLS和TPKDP。

(2) MEIP安全協議

采用移動電子商務交互協議(Mobile E-Commerce Interact Protocol, EIP)。該協議從源頭解決了數據重傳問題，它采用端連接的方式，及時攻擊者截獲了數據包，也沒有辦法加以利用來獲取用戶信息。此外該協議能夠實現用戶身份驗證，防止用戶誤操作。

(3) 授權

授權解決方案用來管理和集成用戶接入控制及授權信息，在必要時也可對用戶接入加以限制。授權包括兩種方式，即基于功能的授權(根據能使用訂購信息接入的資源對每位用戶進行授權)和基于接入控制表ACL的授權(定義用戶可以接入的資源)。簡單的授權檢查可在無線環境中的各種位置完成。

(4) WPKI技術

可通過部署無線公共密鑰基礎設施(WPKI-Wireless Public Key Infrastructure)技術來實現數據傳輸路徑真正的端到端的安全性、安全的用戶鑒權及可信交易。WPKI使用公共密鑰加密及開放標準技術來構建可信的安全性架構，該架構可促使公共無線網絡上的交易和安全通信鑒權。可信的PKI不僅能夠安全鑒權用戶、保護數據在傳輸中的完整性和保密性，而且能夠幫助企業實施非復制功能，使得交易參與各方無法抵賴。

3 結論

考慮到WAP存在的缺陷，在相應的認證中心簽發數字簽名和數字證書的過程前，考慮加入相應的加密過程，保證用戶信息的惟一性。此外，利用相應的授權和WPKI技術來進一步保證移動電子商務交易過程的安全性。

[1] 王德仲,孫秀平.移動電子商務發展初具規模[J].通信世界.2007.

[2] 施慶平.移動電子商務中的信息交換安全性分析[J].場現代化.2009.

[3] 代文鋒,王玉珍.我國移動電子商務現狀與問題研究[J].辦公自動化.2008.

[4] 李必云,石俊萍.基于WPKI的移動電子商務研究[J].計算機與現代化.2010.

[5] 李思輝,陳樺.移動電子商務模式下安全問題的研究[J].商場現代化.2008.

[6] 吳章.WAP協議的安全策略在移動電子商務中的應用[J].現代商業.2010.

[7] 范榮真.基于WAP2.0的移動安全支付協議[J].技術研究.2010.

[8] 孫雁飛,張順頤,陸青蓮等.一種基于數據安全保證的移動電子商務系統[J].電信快報.2008.

[9] 傅杰勇.我國移動電子商務應用安全問題探析[J].中國集團經濟.2008.