移动电子商务的信息安全

移动电子商务安全浅析

摘要：本文介绍了应用于移动电子商务的新技术，并分析了其应用前景。

从移动网络本身、移动ad hoc应用、漫游，以及物理安全等方面给出了移动商务所面临的安全威胁。本文还分析了移动电子商务的发展带来的一些隐私和法律问题。

[关键词] 移动电子商务信息安全自组网隐私法律

移动电子商务（M-Commerce），是通过手机、PDA（个人数字助理）、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务：PIM（个人信息服务）、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点，已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。但是对于任何通过无线网路（如:GSM网路）进行金融交易的用户，安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性，移动电子商务的安全问题尤其显得重要。

一、移动电子商务面临的安全性问题

1、终端窃取与假冒

攻击者有可能通过窃取移动终端或SIM卡来假冒合法用户从而非法参与交易活动，给系统和用户造成损失。

2、无线网的窃听

由于无线网络本身的开放性特点以及短消息等数据一般都是明文传输，这使得通过无线空中接口进行窃听成为可能。

3、重传交易信息

截获传输中的交易信息，并把交易信息多次传送给服务网络。

4、中间人攻击

如果攻击者设法使用户和服务提供商间的通信变成生攻击者转发，那么这种中间人攻击将可以完全控制双方的交易过程，并从中非法获利。

5、拒绝服务

故意使Web服务器超载的破坏服务，阻止网络对手机用户提供的相关正常移动业务。

6、交易抵赖

用户有可能对发出的交易指令进行否认也可能对使用的业务费用及业务数据来源进行否认，随着开放程度的加强来自服务提供商的交易抵赖也将成为可能。

7、移动终端遗失

移动终端的移动性，移动终端很容易被破坏或者丢失。势必造成安全影响，甚或安全威胁，也无法依赖于第三方来提供安全性。

8、设备差异

有线网络安全的技术手段不完全适用于无线设备，由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和人侵检测的程序。

9、设备的不安全

大众用户群要求在漫游时保持机密性和私密性，但却不得不面对广泛使用的不安全设备、糟糕的用户鉴权控制、不安全的RF接口。

二、移动电子商务安全技术

1、无线应用协议（WAP）

无线应用协议WAP是无线通信和互联网技术发展的产物，它不仅为无线设备提供丰富的互联网资源，也提供了开发各种无线网路应用的途径。1998年，WAP论坛公布了WAP1.0版本，制定了一套专门为移动互联网而设计的应用协议，具有良好的开放性和互通性。随着移动通信网传输速率的显著提高，WAP 论坛于2001年颁布了WAP2.0版本，该版本增加了对HTTP、TLS和TCP等互联网协议的支持，WAP代理的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性，可以提供TLS隧道。

2、移动IP技术

移动IP技术，是指移动用户可在跨网络随意移动和漫游中，使用基于TCP/IP 协议的网络时，不用修改计算机原来的IP地址，同时，也不必中断正在进行的通信。移动IP通过AAA（Authentication, Authorization, Accounting)机制，实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。

3、第三代（3G）移动通信系统

第三代移动通信系统，简称3G，是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式，提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比，3G产品可提供数

据速率高达2Mbps的多媒体业务。在我国，以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速，我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点，必然会给移动电子商务的应用带来巨大商机。

4、无线局域网（WLAN）技术

美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组，称为IEEE802.11，并在1997年产生了WLAN标准－IEEE802.11，后来又相继推出了IEEE 802.11a, IEEE 802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起，安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密（WEP）机制，为网络业务流提供安全保障，但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准，其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP（Temporal key integrity protocol）加密算法和基于AES高级加密标准的CBC-MAC Protocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法，可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN 国家标准GB15629.11，定义了无线局域网鉴别与保密基础结构WAPI，大大减少了WLAN中的安全隐患。

三、移动电子商务安全策略

1、端到端策略

端到端在移动电子商务中意味着保护每个薄弱环节，确保数据从传输点到最后目的地之间完全的安全性，包括传输过程中的每个阶段。即找出每个薄弱环顾并采取适当的安全性和私密性措施，以确保整个传输过程中的安全性并保护每条信道。移动电子商务带来了许多的设备，它们运行不同的操作系统且采用不同标准，因此安全性已经成为更加复杂的问题。需要实用的安全解决方案，这些解决方案应能够被快速简便的修改以便满足所有设备的要求，除此之外还要考虑全局。安全策略将对一系列商业问题产生影响，单独考虑安全性是远远不够的。实施128位鉴权码也非理想选择，因为程序太长会影响到用户使用的方便。同样，性能、个性化、可扩展性及系统管理等问题都会对安全性产生影响，它们全是制订安全策略时必须考虑的因素。

2、防火墙

与“一直在线”网络相连接的设备需要更高的安全性来防止非法接人。可以在通过GPRS连接与互联网一直连接的电脑上安装个人防火墙。这可以保护电脑本地保存的企业数据和个人数据。但这项技术目前尚不能用于电话或PDA等低功率设备。

3、采用无线公共密钥技术(WPKI)