移动电子商务简介

1 引言

随着计算机和互联网技术日趋成熟，电子商务的发展也非常迅猛，全球电子商务收入逐年迅速增长，成为推动国家生产力水平和经济增长速度的关键因素。随着移动通讯技术的发展和移动终端的普及，移动电子商务的应用领域也已经非常广泛，人们逐渐意识到融合移动通信技术的电子商务将具有更大的潜力，并将更多的关注转向移动电子商务。

移动电子商务是电子商务新的发展方向，是国民经济和社会信息化的重要组成部分。近年来，我国移动电子商务建设在产品创新、产品运营、资源整合等方面取得了显著成绩，移动电子商务业务得到广泛开展，并创造了巨大的经济效益。同时，我国庞大的手机用户人群和手机用户的高速度增长为移动电子商务发展提供了广大的市场基础。

移动电子商务具有很大的应用潜力，但是我国的移动电子商务仍处在起步阶段，其安全问题影响着移动电子商务活动的顺利进行，成为制约移动电子商务发展的重要因素。因此，提高移动电子商务的安全性能，消除移动用户的安全隐患，促进移动电子商务健康发展成为研究和发展的重中之重。2 移动电子商

务概述

2.1移动电子商务概念

电子商务是指通过Internet进行的各项商务活动。然而市场与交易的突变性决定了固定式的网络接入设备并不是各类商务活动的首选，人们把注意力集中在了一种可移动的电子商务平台上来，这便是移动电子商务。移动电子商务（M-Commerce）是指通过手机、个人数字助理(PDA)、笔记本电脑和掌上电脑等手持移动终端设备与无线上网技术结合所构成的一个电子商务体系。移动电子商务是不受用户地理位置的限制，以统一标准提供语音，文本及图像信息等网络服务，并作为企业内外部信息沟通、营销以及客户管理等其他商业的应用。移动电子商务是电子商务从有线通信到无线通信、从固定地点的商务形式到随时随地的商务形式的延伸。在这个商务体系中用户可以在任何地方、任何时间进行电子商务活动。

2.2移动电子商务特点

移动电子商务作为一种新兴的电子商务模式，利用了移动无线网络的诸多优点，极大的拓展了电子商务应用的范围。与传统的电子商务活动相比较，移动电子商务具有以下几个特点：

(1)便捷：无论何时何地，终端用户都可以随时随地的进行商业交易与支付活动； (2)灵活：用户可以根据自己的需求选择灵活的接入与支付方式； (3)高效：移动终端是一种智能化程度非常高的设备；

(4)个性化：移动终端可提供针对不同用户群的个性化的服务信息。

3 移动电子商务的安全体系结构

移动电子商务的安全体系结构由以下五个部分组成：移动承载层、加密技术层、安全认证层、安全协议层、应用系统层。安全体系结构图如图l所示，这由上至下的五个部分中的每一层是其上层的物质基础，为其上层提供服务和技术支持；而每层也都是其下层不同应用的扩展。这五部分之间是相互依赖、相互关联的，它们形成一个统一整体，这就是移动电子商务的安全体系结构。

图1.移动电子商务安全体系结构示意图

4 移动电子商务存在的安全问题

开展移动电子商务主要面临着来自移动通信系统、移动设备的自身隐患和Internet的安全风险，主要包括以下几个方面：

（1）终端窃取与假冒。攻击者有可能通过窃取移动终端或SIM卡来假冒合法用户从而非法参与交易活动，给系统和用户造成损失。

（2）无线网络窃听。由于无线网络具有开放性特点以及短消息等数据一般都是明文传输，这样就给通过无线空中接口进行窃听提供了可乘之机。在无线通信网络中，所有网络通信内容都是通过无线信道传送的，而无线信道是一个开放性信道，任何具有适当无线终端设备的人均可以通过窃听无线信道而获得信息。相比有线信道而言，无线窃听相对来说比较容易，只需要适当的无线接收设备即可，而且很难被发现。

（3）重传交易信息。截获传输中的交易信息并把交易信息多次传送给服务网络。

（4）假冒攻击。在无线通信网络中，移动站必须通过无线信道传送其身份信息，以便网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听，当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份信息来非法冒充该合法用户，这就是所谓的身份假冒攻击。另外，主动攻击者还可以假冒网络控制中心。比如在移动通信网络中，主动攻击者可能假冒网络基站来欺骗移动用户，以此手段获得移动用户的身份信息，从而假冒该移动用户身份。

（5）拒绝服务。入侵者通过物理层或协议层干扰用户数据、信令数据或控制数据在网络中的正常传输，来实现网络中的拒绝服务攻击，还可以通过假冒某一网络单元阻止合法用户的业务数据、信令信息或控制数据，从而使合法用户无法接受正常的网络服务。

（6）交易抵赖。所谓交易抵赖是指交易双方中的一方在交易完成后否认其参与了此交易。这种威胁在电子商务中很常见，假设客户通过网上商店选购了一些商品，然后通过电子支付系统向网络商店付费。在这个电子商务应用中就存在着两种服务后抵赖的威胁，即客户在选购了商品后否认他选择了某些或全部商品而拒绝付费，商店收到了客户的货款却否认已收到货款而拒绝交付商品。随着开放程度的加大，来自服务提供商的交易抵赖也可能发生。

5 移动电子商务相关安全技术

目前，市场上提供了许多安全性解决方案(以流程、技术和组织模式的方式)来降低移动电子商务的风险及易受攻击性。首先，无线电子商务解决方案要求的安全控制，与用来保护有线电子商务环境中的安全控制完全相同。这些控制方法将包括防火墙、内容、电子邮件过滤、防病毒、用户验证和鉴权、授权、策略管理、入侵检测、强化平台、安全的设备管理等技术。除了这些控制方法外，还需要其他技术为所有无线电子商务信道提供安全性。在这些移动电子商务安全性技术中，有许多正处在开发或演进阶段。系统要考虑的一些主要发展趋势和选项一般包括下列几种。

5.1加密技术

现在有许多加密解决方案可降低数据在无线网络上传输时遭到拦截的风险。由于GSM和GPRS网络采用的加密技术存在许多弱点，所以采用更可靠的加密解决方案是必要的。这些解决方案运行在无线网络运营商提供的现有系统之上，但可以由公司控制并使用经过验证的标准化协议，提供的选项包括IPsec、WTLS和TPKDP。

5.2个人防火墙

防火墙是一种隔离控制技术，通过在内部网络(可信任网络)和外部网络(不可信任网络)之间设置一个或多个电子屏障来保护内部网络的安全。与“一直在线”网络相连接的设备需要更高的安全性来防止非法接入。可以在通过GPRS与因特网一直连接的手提电脑上安装个人防火墙，这可以保护手提电脑本地保存的企业数据和个人数据。这项技术目前尚不能用于电活或PDA等低功率设备。

5.3严格的用户鉴权

出于某些目的，一些重要的交易尤其是金融交易要求有严格的用户鉴权。为了确保移动环境的安全性，必须应用“双钥”鉴权(基于客户所拥有的和所知道的事物的鉴权)。TAN(交易序号)码等传统的双钥技术也可用在无线环境中，可替代的解决方案包括手持设备一次性密码生成器(基于时间)或智能卡(挑战反应)。

5.4单一登入

鉴权支持可实现单一登入功能，用户可以使用该环境中的所有服务和应用，无需进行进一步的用户可视签权。这要求将用户证明从门户网站安全地传输到提供内容服务和应用的其他系统中，包括第三方。

5.5无线PKI技术

可通过部署无线公共密钥基础设施(WPKI)技术来实现数据传输路径真正的端到端的安全性、安全的用户鉴权及可信交易。WPKI使用公共密钥加密及开放标准技术来构建可信的安会性架构，该架构可促使公共无线网络上的交易和安全通信鉴权。可信的PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性，而且能够帮助企业实施非复制功能，使得交易参与各方无法抵赖。

5.6授权

授权解决方案用来管理和集成用户接入控制及授权信息，在必要时也可对用户接入加以限制。授权包括两种方式，即基于功能的授权(根据能使用订购信息接入的资源对每位用户进行授权)和基于接入控制表ACI。的授权(定义用户可以接入的资源)。简单的授权检查可在无线环境中的各种位置完成。

5.7安全交易流程

了解风险、构建正确的结构以及部署适当的安全控制尤为重要，而且必须通过结构化流程加以管理。安全性问题不仅是技术问题，也是个必然存在的事实。若要保证端到端安全性的健全还要求适当的策略、流程和组织。此类流程通常包括风险管理流程、意外事故管理流程、安全性验证保证流程、安全性监控流程、变化管理流程、企业安全性策略、安全性结构、技术标准和策略、专用策略、用户规则、企业安全部门、意外事件响应小组等部分。

6 结束语

综上所述，移动电子商务已成为社会发展的必然趋势，保障商务活动的安全性是移动电子商务研究中急需解决的主要问题之一。无线网络传输媒体的开放性、无线终端的移动性和网络拓扑结构的动态性以及无线终端计算能力和存储能力的局限性，使有线网络环境下的许多安全方案和技术无法直接应用于无线网络环境。因此，需要研究适用于无线网络环境的安全理论与技术，以推动移动电子商务安全的发展。

本文来源：https://www.bwwdw.com/article/6zuh.html