移動電子商務交易安全問題芻議

理論研究

作者：邵洵

【摘要】移動電子商務交易和網絡數據傳輸中存在威脅，采用移動網絡來改進TCP/IP網絡體係安全，以WAP承載方案進行重點分析，從信息加密和數字簽名著手實現端到端的安全傳輸，為移動電子商務數據的安全提供有效的技術保障。

【關鍵詞】移動電子商務 WAP 安全技術

移動電子商務（M-commerce）是指通過手機、傳呼機、掌上電腦、筆記本電腦等移動通訊設備與無線上網技術結合進行B2B、B2C或C2C的電子商務活動。它能夠不受時間和空間的約束展開商務活動，已經為越來越多的企業所接受。移動電子商務的模式目前主要有兩種：SMS 模式和WAP模式。SMS模式（Short Message Service） 短消息模式；WAP模式（Wireless Application Protocol 無線應用協議）在數字移動電話、因特網及其他個人數字助理（DA）計算機應用之間進行通信的開放式全球標準，它是開展移動電子商務應用的核心技術之一。由於移動電子商務采用的是無線信道，同時計算機通訊網絡係統結構原有存在的不安全因素，使得交易過程中存在大量的安全隱患。

一、移動電子商務存在的安全隱患

移動電子商務是傳統電子商務和無線互聯網技術的結合，所以分析移動商務存有的安全威脅，須從電子商務和無線網絡所存有的安全問題進行分析。移動電子商務交易過程中主要存在四個方麵的威脅：

（一）電子商務係統中存在的安全隱患

計算機管理不當。一些電子商務係統內部人員有一定的管理係統權限，若對計算機設備管理不當，很可能會被一些別有用心的人員非法進入，為自己牟利，造成損失。外部攻擊。網上電子交易會吸引黑客進行網絡攻擊，截取或是盜取商戶的交易信息，冒充正常用戶進行非法登錄，侵害交易當事人的正當權益。病毒或木馬。對電子商務係統而言，病毒是常見的威脅，電腦病毒種類繁多，由病毒侵入造成損失的例子也是經常看到。木馬對商務係統的威脅最大，木馬利用計算機程序漏洞侵入係統並竊取文件資料。拒絕服務。拒絕服務通過向服務器發送大量垃圾信息或幹擾信息的方式，導致服務器無法向正常用戶提供服務。

（二）網絡服務係統中的隱患

非授權數據訪問。係統入侵者沒有訪問權限，非法訪問或是竊聽係統數據信息；或是偽造身份冒充合法用戶進行係統網絡接入，對係統進行訪問。完整性威脅。係統入侵者通過相關手段修改或是刪除係統數據信息，對係統完整性形成破壞。拒絕服務。通過向服務器發送大量垃圾信息或幹擾信息的方式，導致服務器無法向正常用戶提供服務。抵賴否認。用戶可對業務費用和數據來源進行否認：網絡單元否認發出信令或者否認接收到了其他數據信息。

（三）無線網絡威脅

無線網絡因其開放性，與有線傳輸網絡相比，安全性稍微差些。與網絡服務係統威脅類似，無線網絡所存在的安全威脅也分為三種情況：對於數據的非授權訪問，對於無線傳輸信息的完整性威脅和拒絕服務。入侵者利用相關技術手段可以竊聽無線鏈路上的數據信息，可以修改或是刪除信息，破壞其完整性。

二、基於WAP的解決方案

基於WAP方式是目前主流，可以通過建立WAP網關的 Web 服務器來解決端到端的問題。WAP使移動因特網有了一個通用標準，把目前Internet上HTML語言標一記的信息轉換成用WML（Wireless Make up Language）描述的信息，顯示在移動電話等終端設備顯示屏上。WAP僅需要移動電話和WAP代理服務器的支持，不需要現有移動通信網絡協議做任何的改動，可以廣泛地應用於GSM、CDMA和3G等多種網絡。

建立一個具有WAP網關的Web服務器來解決端到端的問題。WAP 的安全機製主要包括WTLS協議（Wireless Transport Layer Security） 、WAP身份模塊WIM（ WAP Identify Module）、WML腳本加密接口WMLScrypt（WML Script Crypto API）和 WPKI（Wireless PKI）。這四種安全機製可以實現移動電子商務所需的數據保密性、數據完整性、交易方的認證與授權和不可抵賴性四個方麵的信息安全特征。數據解密出來直接提交給服務器操作，實現了端到端的安全。

WAP應用的工作模式如下：首先WAP終端向服務器發送訪問請求，用戶代理將編碼後的Http請求無線接口傳輸給WAP網關。網關接到終端的請求信息後，對信息進行編碼處理，讀取其中信息，經解析後把標準的Http請求通過網絡發送給WAP服務器。服務器將所請求內容反饋給WAP網關，網關則把接收到的信息內容進行壓縮處理再發至用戶手持終端上，內容由顯示屏進行顯示。