黄江玲 陈福集

【摘要】

指出移动电子商务作为一种新型的电子商务形式，有着不可比拟的优势。我国的移动电子商务正处于发展的起步阶段，还存在很多问题，其中安全问题最为突出。主要通过文献研究的方法对移动电子商务面临的安全问题及相应的解决对策进行综述。

【关键词】

移动电子商务 安全问题 对策

随着互联网和通讯技术的迅猛发展，电子商务已经走进人们生活的各个领域。但这还远远不能满足人们日益增长的需求，一种新型的电子商务形式——移动电子商务应运而生。在“十一五”期间，移动电子商务被列为国家重点引导工程。2008年2月，国务院信息化工作办公室授予湖南省“国家移动电子商务试点示范省”称号，这标志着我国移动电子商务试点示范工程正式启动[1]。

易观智库的数据表明：2011年中国移动电话用户达98 625万人，同比增长14.81%，手机普及率超过70%，3G用户超过12 000万人[2]，中联网络信息中心的数据也显示，中国手机网民规模达到3.56亿，同比增长17.5%[3]。由此可以看出我国移动电子商务有着巨大的潜在用户市场。艾瑞咨询预计2012年我国移动电子商务用户将接近2.5亿[4]。根据《中国第三方支付市场趋势预测2011-2014》的报告，2011年我国移动支付市场全年交易额达742亿元，比2010年增长67.8%；移动支付用户达1.87亿，比2010年增长26.4%[5]，我国移动电子商务发展势头锐不可挡。

移动电子商务在吸引业界眼球的同时，也吸引了国内外众多学者的注意，他们对移动电子商务做了诸多研究。其中E.W.T.Ngai和A.Gunasekaran（2007年）对73个杂志中关于移动电子商务的149篇文献进行了回顾和总结，认为当前有关移动电子商务的研究可以分为案例应用研究、无线网络基础设施、移动中间件、无线用户基础设施、移动商务理论研究这5个方面[6]。我国对移动电子商务的研究起步较晚，大约始于2000年，目前还没有学者对移动电子商务存在的安全问题及其相应的解决策略进行系统描述。本文对我国2000年至今的有关移动电子商务安全问题的核心期刊论文进行简要综述，并提出移动电子商务中所存在的问题及相应的解决策略。

我国移动电子商务概述

1.1 移动电子商务的概念

不同学者对于什么是移动电子商务有不同的看法，至今还没有形成统一的移动电子商务的概念。黄兴红（2000年）把移动电子商务简单地概括为电子商务在移动因特网上进行的商务活动[7]。随着移动电子商务的发展与学者们对其认识的加深，移动电子商务概念的界定得到了完善。邱峰（2002年）提出移动电子商务是利用移动通信网和Internet的有机结合来进行的一种电子商务活动。用户可以通过手机、PDA等移动通信设备在无线上网技术的支撑下随时随地地进行电子商务活动[8]，也就是说，它是在交易主体能够移动的情况下进行的电子商务活动。

1.2 移动电子商务的发展阶段

根据不同的划分标准，可以把移动电子商务的发展分为不同的发展阶段。匡亚洁和张澄（2011年）根据3G网络的发展情况与及移动电子商务的应用范围把移动电子商务分为导入阶段1999年-2001年）、成长阶段（2001-2005年）、发展阶段（2005-2010年）、成熟阶段（2010年-）[9]4个阶段。这个划分未充分考虑移动电子商务的相关技术、被接受程度等多个方面，“移动电子商务已经进入成熟阶段”之说还为时尚早。笔者认为现阶段我国的移动电子商务还处于发展阶段。

1.3 移动电子商务的优势

美国冠群电脑公司移动电子商务产品管理总监谢涛玲认为：“只有移动电子商务能在任何地方、任何时间，真正解决做生意的问题”，移动电子商务以其“随时随地”这一大优势获得了人们的热捧，被誉为“下一个掘金之地” [10]。此外，移动电子商务还有诸多优点，徐春娇（2011年）认为移动电子商务有5大优点：便捷快速；无时间和空间的限制；市场潜力巨大；实现定制化的服务；个性化营销方式[11]。

1.4 移动电子商务面临的问题

现阶段，移动电子商务在蓬勃发展的同时也受到了诸多因素的限制。储节旺、郭春侠和鲍克忠（2002年）主要从宽带不足问题、安全问题、资费问题、电信市场对外发展面临的问题以及服务模式的不完全确定[12]这5个方面阐述了移动电子商务在发展过程中存在的问题。其中以安全问题最为突出，因为这关系到消费者和服务提供商的切身利益。安全问题能否有效解决是移动电子商务能否获得长远发展的关键。

移动电子商务面临的安全问题

2000年以来，国内学者对移动电子商务存在的安全问题的相关研究数量虽然不多，但是比较全面。

2.1 移动电子商务安全要求

为明确移动电子商务存在的安全问题，必须了解移动电子商务的安全性要求。姜志、聂志锋（2002年）认为移动电子商务的安全性功能应该包括私有性、确认性、完整性和不可否认性这4个方面[13]，但他们并未提出具体的移动电子商务安全要求。张浩军、李晓雪、祝跃飞（2003年）对其进行了补充，提出移动电子商务应用在不同的地方就有不同的要求，但是主要有4个方面的要求：身份验证、数据加密、数据完整性和不可抵赖性[14]。

2.2 移动电子商务面临的安全问题

移动电子商务面临的安全问题是多方面的，不仅有技术方面的，也有非技术方面的。

2.2.1 技术方面

移动电子商务面临的技术方面的问题主要有无线信道问题。刘杰、王春萌和范春晓（2002年）通过对移动电子商务的网络结构进行充分分析后意识到移动电子商务的安全问题主要存在于移动终端与交换中心之间的空中接口和移动网关与移动服务提供者之间的传输网络这两个较容易受攻击的地方[15]。虽然他们已经意识到了移动电子商务中无线信道存在的问题，但是还不全面。陈平昌（2007年）针对移动电子商务最常用的终端——手机提出了其所面临的三个问题：手机加密能力低、手机信息在空中极容易被拦截、不法分子千方百计地企图偷盗消费者的账号密码[16]。这三个问题也是其他移动终端用户所面临的主要问题。

2.2.2 非技术方面

移动电子商务所面临的非技术方面的问题是多种多样的。田迎华、杨敬松、周敏（2010年）提出非技术方面的4个主要问题是：①来自移动终端的威胁。这主要表现在移动终端容易遗失，不同终端设备之间存在差异，SIM卡容易被复制等。②信用体系不健全。如普遍存在交易抵赖、商家欺诈的行为现象。③相关工作人员职业道德欠缺。④相关法律保障不完善[17]。李艳、杨拥、涂伟（2011年）除了意识到以上所提出的非技术方面的问题外，还意识到管理方面的问题，主要包括手机短信的安全管理和信息安全管理的标准化问题[18]。

解决移动电子商务安全问题的对策

为了发挥移动电子商务的巨大潜力，使其能够在为消费者提供方便的同时，为企业创造巨大的价值。针对以上提出的安全问题，研究人员在努力地寻找着相应的解决方案和对策。

3.1 解决移动电子商务安全问题的对策——技术方面

在技术层上，针对移动电子商务存在的安全问题有许多相应策略。国内学者的研究可以分为以下几个方面：

3.1.1 基于WAP的安全策略

WAP是无线应用协议，它是在数字移动电话、互联网、PDA、计算机应用乃至未来的信息家电之间进行通讯的全球性开放标准。其应用使得Internet的丰富信息和先进的业务被引入到移动电话等无线终端之中，为移动电子商务的产生和发展提供了保障。姜志、聂志锋（2002年）认为可以利用WAP 2.0中的一套在无线环境中应用的安全策略，有效地通过认证技术和合理的组织策略使移动用户与他的通信伙伴之间建立起信任关系[13]。但他们并未认识到WAP 2.0协议中的WTLS层对数据进行加解密和签名验证，会使整个安全链条在Wap gateway形成断点的缺陷。刘杰、王春萌和范春晓（2002年）发现了上述缺陷，并对此提出改进措施，提出了与基于WAP2.0不同的安全体系——基于WAP的移动商务模型，该模型将WTLS层的功能转移到了安全服务器，实现了端到端的安全。此外，他们还提出了基于SMS的移动电子商务系统——安全移动电子商务系统，为移动电子商务的安全提供了更好的保障[15]。李翀（2007年）提出了利用WAP网关来实现不同安全服务的一般安全模式——双区安全模式[19]。

3.1.2 基于WPKI的安全策略

WPKI是指无线公开密钥体系，我们通过其来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。沈郁（2003年）在WAP中引入了WPKI技术，这个技术能够保证交易参与方在端到端安全不再适用的情况下进行操作的相互认证和信息的安全传输[20]。先强（2006年）也提出了WPKI安全机制，介绍了WPKI的结构和基于WPKI的安全移动电子商务的安全框架，还具体介绍了基于WPKI的安全移动电子商务实现的4种方法：①基于无线证书标志的无线数字证书的实现，②无线认证中心（Wireless CA）的建立，③无线应用协议识别模块（WIM）的设计，④加密算法的选择[21]。但是移动电子商务应用环境并不尽相同，同一种技术在不同的地方并不一定完全适用。徐春桥（2011年）意识到了这一点，提出应该根据移动电子商务所处的环境特点，改进无线公共密钥技术来满足移动电子商务的安全需求，建立起包括从基础通信、密钥管理到整个支付流程的整体安全体系，最大限度地保障交易安全[11]。

3.1.3 基于加密技术的安全策略

加密技术有对称加密技术与非对称加密技术。人们往往仅采用一种加密算法对数据进行加密，可每一种算法都有各自的优缺点，于是能否结合两种算法，取其长避其短，成为了学者们研究的热点。秦佩君、杨学良、常霞（2001年）提出在数据通信之前，用DES方法对消息明文加密，同时又用DES方法对RSA密钥进行加密和实现数字签名。将DES和RSA两种加密技术结合在一起的加密方案，能在综合DES和RSA两个加密算法优点的同时避免它们各自的不足，实现端到端安全的加密技术[22]。在此方法提出以后，吴冬梅（2005年）经过进一步思考研究分析后，提出了新的端到端安全模型——Double Encrypt模型，它不再采用DEA与RSA相结合的加密技术，而是采用会话密钥Key和IDEA相结合的方法。这个应用模型保证了传输过程中数据的保密性、完整性、通信双方的身份认证、不可否认性4个方面的要求[23]。这比2001年的“双加密方案”[22]更进了一步，但学者们并未止步不前，而是继续进行探讨。崔建琪、姚丹霖（2007年）又对双加密模型进行改进，其修改的思路是移动设备与内容服务器之间先进行加密算法和摘要算法的磋商，双方商定加密算法和摘要算法后进行会话密码的协商，然后用协商好的会话密钥加密通信数据。其主体思路仍然是在应用层级对数据进行再次加密，只是对双加密的实现方式提出修改[24]。在签名认证方面，张丽、杨永健（2009年）提出结合移动电子商务的特点，选取基于椭圆曲线密码体制中的ECMR签名方案对消息进行签名认证，这可以防止信息受到攻击[25]，从而有效地保障移动电子商务支付过程中的信息安全。

3.1.4 其他技术策略

基于WAP、WPKI、加密技术是移动电子商务安全策略研究的主流。与此同时，也有其他的解决安全问题的策略。葛波、任伟（2006年）设计并实现了一个基于短信息的电子商务平台，这个平台有效地将短信息服务（SMS）与移动通信技术和网络安全传输技术结合起来[26]。杨武剑、何梦露（2009年）提出了基于语音识别在移动电子商务应用的安全模型——客户端读入的语音信息先由移动电子商务企业接收，然后传输给第三方处理，第三方企业再将处理后的语音特征传输给企业。这个模型充分考虑到语音信息的存储、语音的识别、特征的更新和传输的安全这4个方面来保证电子商务交易过程中的安全[27]。何湘岩、赵克宝（2010年）在先前的基础上进行探讨后，提出通过采用并完善移动IP技术来支持移动电子商务[28]的策略。张海飞、杨宇航（2004年）提出了M-commerce模型，也就是将私钥体系中的Kerberos协议和移动电子商务相结合，在KMSA（Kerberos Mobile Security Architecture）中通过对Kerberos进行进一步的扩展和优化，使系统做到在保证端到端应用安全的前提下降低系统对终端设备的要求，为移动电子商务现阶段的发展提供动力[29]。

3.2解决移动电子商务安全问题的对策——非技术方面

假如移动电子商务面临的技术问题能够得到很好的解决，但非技术方面的问题却无法得到妥善处理的话，也无济于事。田迎华、杨敬松、周敏（2010年）在提出用防火墙技术来保证移动电子商务安全的同时，也提出要规范移动电子商务环境，加强工作人员安全管理，完善相关法律制度，加强法律约束[16]，以期改善电子商务的信用问题和法律空白问题。李艳、杨拥、涂伟（2010年）认为通过蓝牙技术的安全使用和WVPN技术可以进一步解决移动电子商务存在的问题。但是在管理方面也要加强短信息服务的管理和加快安全管理标准化进程[19]。汪红松、李利强（2006年）提出了“智能卡”的概念，认为很多客户端认证的应用可以通过其实现，而且也是存储移动电子商务密钥和数字证书的最佳选择[30]。

结语

由于移动电子商务相对于传统的电子商务而言，具有不可比拟的优势，因此其有着更广阔的发展空间和庞大的潜在市场。但其在发展过程中还存在很多问题和困难，其中安全问题是制约着移动电子商务发展最为关键的因素。无论是业界从业人员还是学者专家都对该问题进行了广泛的研究和探讨，以寻求解决问题的方案。相信在不久的将来，伴随着互联网的不断发展和移动技术的不断完善以及相关法律法规的逐步健全，移动电子商务将会开拓出一片更为广阔的蓝海，给人类生活带来更多便利。

[参考文献]

[1] 赵春燕.我国移动电子商务发展的影响因素及对策[J].经济导报，2011（13）：48-49.

[2] 易观智库.行业数据：2012年手机用户数或缓增至11亿，3G用户群扩张将超四分之一[EB/OL].[2013-08-06].

http：//www.enfodesk.com/SMinisite/maininfo/articledetail-id-313130.html，2012-02-13.

[3] CNNIC.《第29次中国互联网络发展状况调查统计报告》[EB/OL].[2013-08-06].

http：//www.cnnic.net.cn/dtygg/dtgg/201201/t20120116_23667.html.2012-01-16.

[4] 启言.移动电子商务崛起[J].互联网周刊，2010（22）：72

[5] 易观智库.行业数据：2011年中国移动支付市场交易额规模达742亿[EB/01].[2013-08-06].

http：//www.enfodesk.com/SMinisite/maininfo/articledetail-id-316870.html，2012-03-08.

[6] T NgaiE W， Gunasekaran A. A review for mobile commerce research and applications[J]. Decisi on Support Systems， 2007（1）：3-15.

[7] 黄兴红.GPRS，WAP和移动电子商务[J].电信科学，2000（5）：65-67.

[8] 邱峰.基于个人信任设备的移动电子商务技术模型研究[J].计算机应用与软件，2002（7）：21-23.

[9] 匡亚洁，张澄.关于我国移动电子商务发展的瓶颈及趋势探究[J].中国商贸，2011（14）：98-99.

[10]盖雄雄.移动电子商务：下一块掘金之地[J].市场观察2011（6）：84-86.

[11]徐春桥.3G环境下个人移动电子商务的发展研究[J].中国商贸，2011（17）：105-108.

[12]储节旺，郭春侠，鲍克忠.我国移动电子商务发展研究[J].情报杂志，2002（7）：16-20.

[13]姜志，聂志锋.移动电子商务及其关键技术[J].湖北邮电技术，2002（3）：1-4.

[14]张浩军，李晓雪，祝跃飞.安全移动电子商务研究[J].计算机系统应用，2003（10）：75-78.

[15]刘杰，王春萌，范春晓.移动电子商务及WPKI技术[J].北京邮电大学学报，2002，25（2）：1-7.

[16]陈平昌.移动电子商务安全支付解决方案[J].商场现代化，2007（10）：104-105.

[17]田迎华，杨敬松，周敏.3G时代移动电子商务安全问题研究[J].情报科学2010，28（10）：1487-1490.

[18]李艳，杨拥，涂伟. 移动电子商务面临的安全问题及其防范[J].商业时代，2011（2）：49-50.

[19]李翀. 基于WAp的移动电子商务安全模型研究[J].商场现代化，2007（34）：71-72.

[20]沈郁. 基于WPKI的WAP移动电子商务安全研究[J]. 湖南大学学报（自然科学版），2003，30（3）：189-192.

[21]先强.基于WPKI 的移动电子商务安全研究[J]. 商场现代化，2006（7）：72.

[22]秦佩君，杨学良，常霞.移动电子商务在手机SIM卡中的应用[J].计算机工程与应用，2001，（16）：68-70.

[23]吴冬梅.基于无线应用协议的一种新的端到端安全模型[J]. 长安大学学报（自然科学版），2005（5）：117-120.

[24]崔建琪，姚丹霖.新的基于WAP的移动电子商务安全解决方案[J].计算机工程，2007，24（9）：99-101.

[25]张丽，杨永健.ECMR签名在移动电子商务中的应用[J].电子科技大学学报，2009，38：25-28.

[26]聂捷楠，葛波，任伟.基于手机短信的电子商务平台设计与实现[J].微计算机信息，2006，22（9-3）：220-222.

[27]杨武剑，何梦露.语音识别在移动电子商务安全中的研究[J].电子科技大学学报，2009（38）：68-74.

[28]何湘岩，赵克宝. 移动电子商务安全路径选择思考[J].中国商贸，2011（6）：93-94.

[29]张海飞，杨宇航.基于Kerberos的移动电子商务安全架构[J].计算机工程，2004，30（4）：107-109.

[30]汪红松，李利强.移动电子商务的安全研究问题[J].商业时代，2006，（18）：72-73.