移动电子商务安全问题及其应对策略

第4卷　第4期贵阳学院学报(自然科学版)　(季刊)　

Vol .4　No.4JOURN AL O F G U I Y ANG COLLEG E 2009年12月Natural Sciences (Quarte rly)

Dec .2009

移动电子商务安全问题及其应对策略

舒　虹

(贵阳学院,贵州　贵阳　550005)

摘　要:在移动通信技术及移动互联网的发展基础上,移动电子商务日渐成为一种重要的服务,其安全倍受关注。对目前移动电子商务的安全问题、安全机制进行分析,提出了解决移动电子商务安全问题的策略。关键词:移动电子商务;信息安全;W PKI ;法律

中图分类号:T N915108 文献标识码:A 文章编号:1673-6125(2009)04-0044-04

Safety P r oble m s of M ob ile E lectr o n i c

Co m m er ce an d Its C oun term ea sur es

S HU Hong

(G uiyang University,Guiyang Guizhou 550005,China)

Ab stra ct:B ased on the mobile co mmunica ti on technique s and internet dev e l opment,mobile elec tronic co mme rce gradu 2a lly become s an i mportant service and its safe ty is greatl y conce rned .The p resent arti c le discusses the problem of mobile e l ec tronic co mm erce,ana l yses its safe ty system and put for wards so me m easure s of s olving the probl em s .Key wor ds:mobile e lectronic co mmerce;infor m ation safe ty ;WPKI ;LA W

移动电子商务(M -Comme r ce)就是利用手机、P DA 及掌上电脑等无线终端进行的B2B 、B 2C 或C2C 的电子商务。它将因特网、移动通信技术、短距离通信技术及其它技术完善的结合,使人们可以在任何时间、任何地点进行各种商贸活动,实现随时随地的线上线下购物与交易、在线电子支付以及各种交易、商务、金融活动和相关的综合服务活动等。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。安全问题仍是移动电子商务推广应用的瓶颈。

1　移动电子商务面临的安全性问题

2009年1月7日,工业和信息化部为中国移

动、中国电信和中国联通发放3张第三代移动通信(3G )牌照,此举标志着我国正式进入3G 时代。3G 带来的高速率、移动性等特点,必然会给移动电子商务的应用带来巨大商机,但同时对移动电子商务的安全提出了更高要求。移动电子商务主要面临着来自移动通信系统和互联网的安全风险,主要包括无线链路威胁、服务网络威胁和终端威胁。主要表现为:

111　终端窃取与假冒

攻击者有可能通过窃取移动终端或SI M 卡来

假冒合法用户从而非法参与交易活动,给系统和用户造成损失。

—

—3收稿日期6

作者简介舒　虹(),女,湖北黄岗人,贵阳学院教师教育学院教师。

44:2009-07-1:1980-

112　无线网的窃听

由于无线网络本身的开放性特点以及短消息等数据一般都是明文传输,这使得通过无线空中接口进行窃听成为可能。

113　重传交易信息

截获传输中的交易信息,并把交易信息多次传送给服务网络。

114　中间人攻击

如果攻击者设法使用户和服务提供商间的通信变成生攻击者转发,那么这种中间人攻击将可以完全控制双方的交易过程,并从中非法获利。115　拒绝服务

故意使W eb服务器超载的破坏服务,阻止网络对手机用户提供的相关正常移动业务。

116　交易抵赖

用户有可能对发出的交易指令进行否认也可能对使用的业务费用及业务数据来源进行否认,随着开放程度的加强来自服务提供商的交易抵赖也将成为可能。

117　移动终端遗失

移动终端的移动性,移动终端很容易被破坏或者丢失。势必造成安全影响,甚或安全威胁,也无法依赖于第三方来提供安全性。

118　设备差异

有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。

119　设备的不安全

大众用户群要求在漫游时保持机密性和私密性,但却不得不面对广泛使用的不安全设备、糟糕的用户鉴权控制、不安全的RF接口。

由于移动电子商务尚处在襁褓之中,所以开发能适应新挑战的战略和解决方案是至关重要的。

2　移动电子商务安全机制

目前,推动移动电子商务发展的技术主要包括有无线应用协议技术、蓝牙技术、移动I技术、无线局域网技术等。下面就这几个方面所实施的安全机制进行探讨。

211　无线应用协议(WAP)

WA P由一系列协议组成,用来标准化无线通信设备,例如移动电话移动终端它负责将I nte r ne t 和移动通信网连接到一起,客观上已成为移动终端上网的标准。WAP协议可以广泛地运用于GS M、CD MA、T D MA、3G等多种网络。WA P的安全机制是由W TLS(无线传输层安全)协议、W I M(无线身份识别模块)、W PK I(无线公共密钥系统) WMLSc ript(无线标记语言脚本)4部分组成。W T LS协议类似于互联网传输层安全协议,可以确保在W A P装置和W A P网关之间的安全通信; W I M是安装在WAP设备中的一个WAP身份识别模块,将安全功能从移动终端转移到抗损害设备中;W PKI是将互联网电子商务中PKI的安全机制优化延伸引入到移动电子商务中,提供身份认证的机制;WMLScri p t是一种能够提高编程功能的语言,可以用在基于W A P的应用开发中。

212　蓝牙技术

蓝牙技术是一种低成本、低功率的无线局域网技术。其为保护通信安全而采用的安全机制包括:采用跳频技术,提供一定的安全保障;使用字管理机制,作为蓝牙系统鉴权和加密的基础;严谨的链接字产生机制,以申请者的蓝牙设备地址、一个P I N码、P I N码的长度和一个随机数作为参数,通过E22算法产生初始化字K unit,并以此为基础进行相应的加密及鉴权操作;高安全性的蓝牙鉴权机制,以双鉴权的做法保证通信双方的身份认定;有效的数据加密技术,不仅对数据包加密,而且对加密过程的中间数据进行加密,防止系统被攻击和数据被窃取。

213　移动I P技术

移动I P技术,是移动技术和I P技术的深层融合,允许移动节点在不重新启动、不中断任何进行中的通信的前提下,移动自己的位置,使用基于T I协议的网络时,不用修改计算机原来的I 地址,实现移动通信终端在网络中的无逢漫游。移

—

5

—

P

CP/P P

4