移動電子商務安全機制探討

[摘要] 文章分析了目前移動電子商務業務所面臨的安全性問題，并結合移動電子商務的技術體系結構，從移動通信網絡的角度出發，對影響移動電子商務發展前景的有關安全機制進行了探討。

[關鍵詞] 移動電子商務 安全機制 移動通信

移動電子商務（M-Commerce）是指通過手機、PDA、筆記本電腦等移動通信設備與無線上網技術結合所構成的一個電子商務體系。相對于傳統的電子商務體系而言，移動電子商務可以使使用者在任何時間、任何地點都能夠得到整個網絡的信息與服務，增加了商務活動的靈活性、便利性、隨時性，為企業帶來了更多的商業機會。但由于電子商務本身存在的安全問題以及移動設施引發的新的商務安全隱患，使得移動電子商務的安全成為業內人士關注的熱點，直接關系到移動電子商務模式的運行前景。

一、移動電子商務面臨的安全性問題

1.來自移動通信終端的安全威脅

與有線終端相比，移動通信終端的資源狀況非常有限，CPU的處理能力、內存的容量、數據傳輸速率等都與有線終端存在很大的差距，使得在有限的資源中開展的業務受到很大的限制。移動通信終端體積小、重量輕，便于隨身攜帶使用，但也容易丟失和被竊。這使得攻擊者可以通過所獲取來的移動終端上的數據資源如數字證書、機密數據等，非授權訪問企業內部網絡的系統資源，或破壞移動通信終端中的數據完整性。目前手持移動設備最大的問題就是缺少對特定用戶的實體認證機制。

2.無線通信網絡本身的威脅

移動電子商務是基于移動通信系統的無線數據通信技術的。無線通信網絡是通過一個開放的信道進行通信，無法像有線網絡那樣依靠信道的安全來保護信息，這就使得它在給無線用戶帶來通信自由和靈活性的同時，也帶來了諸多不安全因素。這對于使用無線網絡的用戶信息安全、個人安全等都構成了潛在的威脅。

3.移動Ad-hoc網絡存在的安全問題

Ad-Hoc網絡是一種沒有有線基礎設施支持的移動網絡，在不依賴基礎網絡設施的前提下由一定范圍內的移動終端動態的建立可以互聯的網絡。由于移動Ad-Hoc網絡所固有的開放的媒質、分布式的合作、動態的拓撲結構、受限的網絡能力及缺乏中心授權機制等特點，使這種網絡特別容易遭受攻擊。

二、移動電子商務安全機制

目前，推動移動電子商務發展的技術主要包括有WAP(無線應用協議)技術、藍牙技術、移動IP技術、無線局域網技術等。下面就這幾個方面所實施的安全機制進行探討。

1.無線應用協議(WAP)

無線應用協議是移動電子商務的核心技術之一，它由一系列協議組成，提供了一套開放、統一的技術平臺，用來標準化無線通信設備，負責將Internet和移動通信網連接到一起，客觀上已成為移動終端上網的標準。WAP的安全機制是由WTLS(無線傳輸層安全)協議、WIM(無線身份識別模塊)、WPKI(無線公共密鑰系統)、WMLScript(無線標記語言腳本)4部分組成。WTLS協議類似于互聯網傳輸層安全協議，可以確保在WAP裝置和WAP網關之間的安全通信;WIM是安裝在WAP設備中的一個WAP身份識別模塊，將安全功能從移動終端轉移到抗損害設備中;WPKI是將互聯網電子商務中PKI的安全機制優化延伸引入到移動電子商務中，提供身份認證的機制;WMLScript是一種能夠提高編程功能的語言，可以用在基于WAP的應用開發中。

2.藍牙技術

藍牙技術是一種低成本、低功率的無線局域網技術。其為保護通信安全而采用的安全機制包括：采用跳頻技術，提供一定的安全保障；使用字管理機制，作為藍牙系統鑒權和加密的基礎；嚴謹的鏈接字產生機制，以申請者的藍牙設備地址、一個PIN碼、PIN碼的長度和一個隨機數作為參數，通過E22 算法產生初始化字Kunit，并以此為基礎進行相應的加密及鑒權操作；高安全性的藍牙鑒權機制，以雙鑒權的做法保證通信雙方的身份認定；有效的數據加密技術，不僅對數據包加密，而且對加密過程的中間數據進行加密，防止系統被攻擊和數據被竊取。

3.移動IP技術

移動IP技術通過在網絡層改變IP協議，允許移動節點在不重新啟動、不中斷任何進行中的通信的前提下，移動自己的位置，從而實現移動通信終端在網絡中的無逢漫游。但此項技術雖給用戶提供一個方便快捷的信息交互環境，卻也為惡意的技術闖入大開便捷之門，因此移動IP技術采用了隧道技術、安全路由、切換外地代理時的認證機制、采用IPSEC安全協定及數據加密、身份認證等多項安全措施，以確保可靠通信。

4.無線局域網(WLAN)技術

WLAN的安全機制包括物理措施和協議安全兩個方面。采用擴頻技術、服務集標識符訪問控制、用戶認證口令控制和訪問控制列表等方式實現物理安全。WLAN安全領域的最新標準是IEEE 802.11i標準，其中有對有線等價協議改進的臨時密鑰完整性協議及先進加密標準來保護數據傳輸的安全，有IEEE 802.1x/EAP來達到認證、鑒權和動態密鑰分配，有EAP/SIM (可擴展認證協議/用戶識別卡)、EAP/AKA (可擴展認證協議/認證與密鑰協商)使WLAN與GSM網絡以及未來的3G網絡能夠互通。

隨著移動通信技術的不斷成熟，移動電子商務以其技術領先性與市場適應性體現出明顯的競爭實力。更個性化的移動客戶服務、更精確的移動營銷方法、更高效的移動辦公系統、更快速的移動信息采集與管理、更安全方便的移動支付手段以及更豐富的行業應用將為企業創造更高的商業效率。只有完善移動電子商務的安全技術問題，才能推動移動電子商務的飛速發展。

參考文獻:

[1]唐曉東:電子商務中的信息安全[M].北京交通大學出版社，2006，9

[2]倪源:增強的無線局域網安全技術分析[J].中興通訊技術，2003，6

[3]汪紅松:移動電子商務的安全問題研究[J].電子商務， 2006，18

[4]賈曉蕓:無線通信的安全機制[J].中國計算機報， 2007，7

qhdmv@163.com