张传娟

(福建船政交通职业学院，福建福州350007)

浅析移动电子商务网络安全问题与对策＊

张传娟

(福建船政交通职业学院，福建福州350007)

3G技术、4G技术的不断完善使移动电子商务迅速发展起来，针对无线网络及移动电子商务所存在的网络安全问题，从信息保密的方式入手，主要从无线公钥设施和基于身份的密码学两方面，提出移动电子商务网络的解决方案和安全对策。

无线网络安全;移动电子商务;WPKI;IBC

随着移动网络在生活中的应用日益广泛，电子商务竞争的日益白热化，企业为了追求更高的经济效益，开始转战，移动网络渗透电子商务中愈发显著。可是移动网络发展时间较短，各方面还在不断完善，而电子商务涉及的经济利益甚大，移动电子商务的安全性问题显得尤为重要，如何用比较少的代价安全完成网络交易是现今企业最关心的问题之一［1］。

一、移动网络与电子商务

移动网络是基于浏览器的应用万维网、WAP等WEB服务，使用手机、掌上电脑或其它便携式工具移动设备连接到公共网络没有固定连接。现今3G技术即高速数据传输的蜂窝移动通讯技术使多媒体数据在无线网络中的传输无障碍，而集3G与WLAN于一体并能够传输高质量视频图像以及图像传输质量的4G技术，使得无线网络的多元化发展更为丰富。

对图、声、视频要求较高的电子商务就可以借此契机介入无线网络，广泛地渗入人们的生活。于是移动电子商务应运而生，通过使用移动终端如笔记本电脑、手机、个人数据助手，连接公共和专用网络进行的商品交易或服务交易，来实现经营、管理、交易、娱乐等。而3G技术和即将广泛运用的4G技术使移动电子商务更灵活，方便和快捷，可以不受时间、空间限制;及时网上支付便捷，成本低。但是伴随着无线网络技术的高速发展和广泛应用，安全问题便成为移动电子商务能否取得成功的关键因素［2］。

二、移动网络在移动电子商务应用中存在的隐患

移动电子商务是基于移动通信技术的，所有通信内容如交易通话信息、交易双方身份信息、交易数据信息等，通过一个开放的信道进行通信，任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这样方便移动电子商务实时通信，但同时基于开放的信道，信息无法像依靠信道的安全来保护信息，于是交易通信内容容易被窃听、被篡改、通信双方的身份容易被假冒攻击等［3］，也容易造成服务后抵赖和受到阻止网络正常运行的攻击。

在移动终端方面如手机、笔记本电脑等的移动性带来的容易被破坏或者丢失更容易造成安全隐患。于是就有了移动终端设备的物理安全问题、移动终端被攻击、数据破坏等等。

在网络协议方面，无线装置组成ad hoc网络不依赖于任何固定的网络设施，只是通过移动节点间的相互协作来进行网络互联。其网络决策是分散的，网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点［4］。

由于介入时间较短，企业的移动商务平台运营管理也存在各种漏洞，企业移动平台只是把手机的功能从简单的通话扩展到了电子邮件等功能在内的互动沟通形式，使用户能够方便地进行各种多媒体信息的交流。但是移动运营平台的管理、安全等级的划分无法完整从传统电子商务汇总直接移植，故需要在运营实践中进行修正和完善，整合，这需要一段时间的测试修改完善。

三、移动电子商务安全对策

要想在移动电子商务中取得成功，安全性是关键。因此，要保证其安全，技术上要能够提高防范和保障机制，管理上也要完善相关机制。

对于开放信道和移动终端的问题，在移动电子商务安全领域常可通过简化无线网络环境中的证书管理及随后相应的处理，使基于公钥的密码技术能够在无线环境中得到很好的应用，促进无线网络安全应用的进一步发展。企业的移动商务平台运营管理只有在不断运行中发现问题解决问题。

在无线网络中，企业通讯交易信息具有希望除了消息参与人之外，别人无法了解信息含义的保密性;确保只有授权用户材料访问网络资源和服务的身份认证;检查数据是否被篡改的数据完整性;保护通信用户避免遭到来自于系统内部其它合法用户的欺诈的服务不可否认性。当然在具体应用中，有些安全业务还可以进一步细化［2］。在这其中，公钥基础设施可提供加密和数字签名的密码服务;基于身份的密码学可简化体系中繁琐证书的处理，能较好应用于难以支持证书管理的无线应用环境。

公钥基础设施(Public Key Infrastructure，PKI)是利用公钥理论和技术提供安全服务的基础设施［5］。它的核心技术就是证书管理问题。它建立了组织信息安全方面的指导方针，也定义了密码系统使用的处理方法和原则［6－7］。延伸到网络的安全保护中，新的优化扩展后的通过管理证书和密钥及各种实体间关系增加移动电子商务安全性的解决方法就是无线公钥基础设施(Wireless Public Key Infrastructure，WPKI)。它由注册中心、认证中心、实体应用和PKI目录组成［8］。WPKI使用的关键在于将原先的语言进行无线环境的优化，优化后形成WPKI协议、WPKI证书格式、WPKI加密算法和密钥。但WPKI仍存在着无线资源有限、两者间互通性不够，速度慢、需要改变终端设计等问题。在可控的或静态系统中，PKI和WPKI技术可以有效提供前文所涉及到保密性、完整性、身份认证与授权和抗抵赖等服务，因此得到了规范的应用。

基于身份的密码学(Identity based cryptography，IBC)是一种将用户公开的字符串信息作为公钥的密码技术。它是在维护系统和管理证书状态，在系统中增加新用户中提出的新的机制，即用户之间能安全通信，能验证对方签名，但不用相互交换公钥，不用维护密钥目录，不需使用第三方服务［1］。它能够消除证书管理的负担，通过较低的费用迅速部署在变化的用户环境中。相对于PKI技术需要生成一对随机的公钥并能根据需要来发布，IBC用户可选择自己的名字和网络地址等唯一标识用户身份的字符串作为自己的公钥，以智能卡或其它方式分发至用户手中。同时，IBC取消了第三方证明机构，简捷方便实现加密和身份认证。在实际运行中，IBC以个人标识为公钥，不需要数字证书，与之对应用于揭秘的私钥也只需获取一次［9］。在具体运算过程中，IBC包括了系统的建立和用户密钥的建立，加密运算和解密运算。它可以简化PCI体系中繁琐的证书管理，在实际应用中能够很好利用公钥密码学的理论。其优点有:客户在使用过程中不需要实现进行注册，客户只要知道对方唯一标识(如手机号码或电子邮箱)即可给对方发消息;支持灵活的认证技术，可不通过数字证书来实现;可把消息发给每个人，不论其是否有证书;可提供自动的密钥恢复体质;实施费用不高;支持离线工作等。因此在无线网络中，和PKI相比，IBC技术具有自己独特的优势:即尽量少的在无线通信信道中传输数据和尽可能少的在无线通信终端处理密码运算。在具体运行中，系统包括了负责为整个系统建立安全参数环境的密钥生成中心和管理(KGC)模块、负责存放半私钥的SEM模块和负责对数据进行加密和解密的客户端模块等三个模块。一个密码设备要想真正融入到OpenSSL开发包中，一般要经过密码设备注册到OpenSSL、应用程序加载指定的engine、应用查询调用OpenSSL函数以及OpenSSL通过engine调密码设备这几个流程进行。当然，目前在IBC技术中还存在一些值得关注的问题。如其技术研发还不够深入，尤其是签名算法部分有待提高;在对于不同IBC系统用户中，存在相互信任的问题。今后的趋势应该设计将IBC技术应用于无线网络环境的更优机制，利用KGC的优势把前向安全引入系统中以及寻找更高效的算法等［10］。

综上所述，WPKI和IBC方法各有优劣，两种方法都是解决移动网络安全的有效方法。目前，WPKI没有得到很好的应用和推广，而在今后具体运用发展中，IBC是目前无线网络信息安全领域研究的方向和热点，但仍存在如签名算法和不同用户系统相互信任问题需要改进的问题。

［1］张惠媛．移动互联网与WAP技术［M］．北京:电子工业出版社，2002．

［2］冯登国．计算机通信网络安全［M］．北京:人民邮电出版社，2004．

［3］韩景灵．移动电子商务安全问题探析［J］．电脑知识与技术，2010，6(1):31－33．

［4］徐胜波，马文平，王新梅．无线通信网中的安全技术［M］．北京:人民邮电出版社，2003．

［5］谢冬青，冷健．PKI原理与技术［M］．北京:清华大学出版社，2003．

［6］Andrew Nash．公钥基础设施(PKI)实现和管理电子安全［M］．北京:清华大学出版社，2002．

［7］宁宇鹏，陈昕．PKI技术［M］．北京:机械工业出版社，2004．

［8］许剑勇，邵世煌，魏亮．无线公开密匙基础设施(WPKI)的构建［J］．网络安全技术研究与发展，2003，(3):57－60．

［9］张聚伟，张立文．基于身份密码学的异构传感网络密钥管理方案［J］．计算机工程与运用，2011，47(5):7－9．

［10］谭波，王建新．基于身份密码学算法研究［J］．电脑知识与技术，2010，6(9):2147－2149．

2011－09－20

张传娟(1967－)，女，山东日照人，讲师。