徐洪峰

贵州师范大学经济与管理学院 贵州 550001

0 引言

移动电子商务(M-commerce)是指通过手机、传呼机、掌上电脑、笔记本电脑等移动通讯设备与无线上网技术结合所构成的一个电子商务体系。它能够不受时间和空间的约束展开商务活动，已经为越来越多的企业所接受。移动电子商务的模式目前主要有两种：SMS模式和WAP模式。SMS模式(hort Message Service)短消息模式；WAP模式(ireless Application Protocol 无线应用协议)在数字移动电话、因特网及其他个人数字助理(DA)计算机应用之间进行通信的开放式全球标准，它是开展移动电子商务应用的核心技术之一。但由于移动电子商务采用的是无线信道，同时计算机通讯网络系统结构原有存在的不安全因素，使得交易过程中存在大量的安全隐患。

1 存在问题

移动电子商务交易过程中主要面临着三个方面的威胁：无线链路威胁、拒绝服务和交易抵赖。

（1）无线链路威胁。由于无线网络具有开放性特点以及短消息等数据一般都是明文传输，这使得通过无线空中接口进行窃听成为可能。在无线通信网络中，所有网络通信内容(如通话信息、身份信息、位置信息、数据信息等)都是通过无线信道传送的，而无线信道是一个开放性信道，任何具有适当无线终端设备的人均可以通过窃听无线信道而获得上述信息。因而无线窃听相对来说比较容易，只需要适当的无线接收设备即可，而且很难被发现。同时由于通讯过程中，信息需要通过基站之间以及基站和移动服务交换中间来传递，信息在转换过程中容易导致用户身份、位置的泄露。

（2）交易抵赖。指交易双方对交易的内容包括合同、单据等在事后都能进行有效的确认。进行交易的双方都要能够在事后确认进行过的交易，即对交易本身及交易合同、契约、或交易的单据等文件的抗抵赖性。

（3）假冒攻击。利用无线网络信号的漫游性，攻击者可以利用无线接收设备对信息进行截取和窃听，当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份信息来假冒该合法用户，这就是所谓的身份假冒攻击。

（4）拒绝服务。入侵者通过物理层或协议层干扰用户数据、信令数据或控制数据在网络中的正常传输，来实现网络中的拒绝服务攻击，还可以通过假冒某一网络单元阻止合法用户的业务数据、信令信息或控制数据，从而使合法用户无法接受正常的网络服务。如：攻击者可以通过删除某一网络上传送的所有数据包的方法，使网络拒绝为用户服务；还可以通过邮件炸弹的方法使系统性能降低或崩溃，从而达到拒绝服务的目的。

2 解决方案

2.1 WEP协议

在无线局域网环境中可以考虑采用 WEP协议(Wired Equivalent Privacy，有线对等安全协议)。对数据层数据在传输过程中采用 WEP进行数据加密，保证通信信道上数据传输的安全。同时，由网络管理员对每个授权用户分配一个基于 WEP算法的密钥，能够有效的防止非授权用户的访问。但由于早期WEP仅能提供40位长度的加密，及其容易破解和攻击。现在的WEP有效密钥长度为104位，仍然不能有效实现网络攻击。因此，采用 WEP协议仍然不能保证移动电子商务的安全交易。

2.2 WAP协议框架

考虑到上述的安全性问题及威胁，可以采用WAP体系框架来改进数据传输和交易过程中的安全性。通过建立一个具有WAP 网关的Web服务器来解决端到端的问题。因为数据在移动终端与 WAP服务器之间采用 WTLS (Wireless Transport Layer Security)加密，数据通道上不存在协议转换，而WAP网关作为最终服务器的一部分，就不再是整个过程的一个环节。数据解密出来直接提交给服务器操作，实现了端到端的安全。若采用WAP服务器方式，用户必须重新配置WAP移动终端设备，建立与之相应的WAP会话，但存在配置费用过高的问题，以及在WAP会话的通讯的过程中，存在明文通讯，这种通讯容易别攻击者获取和利用。可以考虑在通讯传输的过程中，进行一定的加密，现在用的最多的是椭圆加密ECC，主要考虑的因素是该加密过程中密钥长度为163位，加密能力和程度可以达到RSA加密密钥1024位的加密程度(如图1)。

图1 WAP体系结构

2.3 加密和认证手段

(1) 加密技术

现在有许多加密解决方案可降低数据在无线网络上传输时遭到拦截的风险。由于GSM和GPRS网络采用的加密技术存在许多弱点，所以采用更可靠的加密解决方案是必要的。这些解决方案虽然运行在无线网络运营商提供的现有系统之上，但可以由公司控制并使用经过验证的标准化协议，提供的选项包括IPSec、WTLS和TPKDP。

(2) MEIP安全协议

采用移动电子商务交互协议(Mobile E-Commerce Interact Protocol, EIP)。该协议从源头解决了数据重传问题，它采用端连接的方式，及时攻击者截获了数据包，也没有办法加以利用来获取用户信息。此外该协议能够实现用户身份验证，防止用户误操作。

(3) 授权

授权解决方案用来管理和集成用户接入控制及授权信息，在必要时也可对用户接入加以限制。授权包括两种方式，即基于功能的授权(根据能使用订购信息接入的资源对每位用户进行授权)和基于接入控制表ACL的授权(定义用户可以接入的资源)。简单的授权检查可在无线环境中的各种位置完成。

(4) WPKI技术

可通过部署无线公共密钥基础设施(WPKI-Wireless Public Key Infrastructure)技术来实现数据传输路径真正的端到端的安全性、安全的用户鉴权及可信交易。WPKI使用公共密钥加密及开放标准技术来构建可信的安全性架构，该架构可促使公共无线网络上的交易和安全通信鉴权。可信的PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性，而且能够帮助企业实施非复制功能，使得交易参与各方无法抵赖。

3 结论

考虑到WAP存在的缺陷，在相应的认证中心签发数字签名和数字证书的过程前，考虑加入相应的加密过程，保证用户信息的惟一性。此外，利用相应的授权和WPKI技术来进一步保证移动电子商务交易过程的安全性。

[1] 王德仲,孙秀平.移动电子商务发展初具规模[J].通信世界.2007.

[2] 施庆平.移动电子商务中的信息交换安全性分析[J].场现代化.2009.

[3] 代文锋,王玉珍.我国移动电子商务现状与问题研究[J].办公自动化.2008.

[4] 李必云,石俊萍.基于WPKI的移动电子商务研究[J].计算机与现代化.2010.

[5] 李思辉,陈桦.移动电子商务模式下安全问题的研究[J].商场现代化.2008.

[6] 吴章.WAP协议的安全策略在移动电子商务中的应用[J].现代商业.2010.

[7] 范荣真.基于WAP2.0的移动安全支付协议[J].技术研究.2010.

[8] 孙雁飞,张顺颐,陆青莲等.一种基于数据安全保证的移动电子商务系统[J].电信快报.2008.

[9] 傅杰勇.我国移动电子商务应用安全问题探析[J].中国集团经济.2008.