薛睿，蔡艷

(1.鄭州大學信息工程學院，河南鄭州 450001;2.河南教育學院信息技術(shù)系，河南鄭州 450046)

目前我國移動電子商務安全問題及解決途徑

薛睿1，2，蔡艷2

(1.鄭州大學信息工程學院，河南鄭州 450001;2.河南教育學院信息技術(shù)系，河南鄭州 450046)

通過對我國移動電子商務所面臨的發(fā)展現(xiàn)狀進行描述，探討了信號衰退與干擾等9種影響移動電子商務安全的主要因素，從技術(shù)、立法等層面提出了解決途徑.

移動電子商務;安全;WAP;解決途徑

0 引言

CNNIC(中國互聯(lián)網(wǎng)絡信息中心)于2012年3月發(fā)布了《中國移動互聯(lián)網(wǎng)發(fā)展狀況調(diào)查報告》［1］，據(jù)該報告顯示，截至2011年12月底，中國手機網(wǎng)民規(guī)模已達到3.56億，同比增長17.5%，其中，智能手機網(wǎng)民規(guī)模達到1.9億，占手機網(wǎng)民的比例達到53.4%.在智能手機用戶中，Symbian、Android以及iOS占據(jù)95%以上的市場份額，市場集中度較高.我國網(wǎng)絡購物用戶規(guī)模已達19 395萬，網(wǎng)絡購物用戶占網(wǎng)民總數(shù)的比例達到37.8%.與網(wǎng)絡購物的高滲透率相比，我國移動電子商務的滲透率卻較低，只占智能手機用戶的6.6%，比上年提高1.7個百分點.移動電子商務滲透率較低的主要原因為，一方面，用戶對于大部分電子商務產(chǎn)品需要進行比較、咨詢后才會購買，而手機較小的屏幕使得電子商務產(chǎn)品的展示相對較差，很難激發(fā)用戶的購物欲望;另一方面，大部分用戶還未建立起對手機支付的信任和使用習慣，擔心移動網(wǎng)絡購物安全.

1 影響移動電子商務安全的主要因素

1.1 信號衰退與干擾

一方面，目前移動電子商務的網(wǎng)絡狀態(tài)依賴于通信公司的塔臺信號傳輸，在城市中不可避免會存在信號衰退與干擾問題，如圖1所示.另一方面，當用戶手持終端在移動過程中，會有信號衰退現(xiàn)象，目前3G網(wǎng)絡理想狀態(tài)下終端設備高速運動時最高傳輸速率為128 kb/s，而室內(nèi)環(huán)境則可以達到2 Mb/s.而目前很多用戶喜歡在高速列車、公交車等環(huán)境下使用手持移動通信設備，這就使得移動電子商務的業(yè)務開展會受到數(shù)據(jù)傳輸速度慢的限制.

圖1 無線信號傳輸?shù)乃ネ薋ig.1The recession of the wireless signal transmission

1.2 無線信道帶寬的有限性，影響電子商務的PKI認證效率

傳統(tǒng)的電子商務的PKI的基礎技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等，處理PKI的請求必須依靠ASN.1標準的Basic Encoding Rules(BER)以及Distinguished Encoding Rules(DER)，但是這種編碼規(guī)則需要占用很多資源［2］，在目前無線信道帶寬有限的情況下，使得PKI檢驗速度非常緩慢.

1.3 WAP體系存在漏洞

WAP(Wireless Application Protocol)為無線應用協(xié)議，類似于Internet的HTTP體系結(jié)構(gòu)，移動通信設備采用的是WAP1.X體系結(jié)構(gòu)，如圖2.

圖2 WAP1.X協(xié)議棧Fig.2 Protocol stack of WAP1.X

如果在無線通信服務中使用普通Internet協(xié)議，則會導致速度慢、成本高且難以大規(guī)模應用等問題，而且無線電傳輸?shù)难訒r還會造成其他問題，因此，為了提高效率，WAP進行了很多優(yōu)化處理.在WAP的安全會話模式中，WAP應用的安全由WTLS實現(xiàn)，而Internet則是由SSL實現(xiàn)，由于SSL是以明文形式存在，而WTLS與SSL是不兼容的，必須由WAP網(wǎng)關(guān)進行翻譯，因此，WAP瀏覽器與內(nèi)容服務器之間的通信數(shù)據(jù)在WAP網(wǎng)關(guān)上會有一段時間以明文形式存在，這就成為其安全漏洞.

1.4 無線竊聽與偽裝

在無線通信網(wǎng)絡中，需要傳輸?shù)臄?shù)據(jù)信息，如用戶的身份注冊信息、服務密碼信息、金融信息等，都是通過無線電波傳送的，這種傳輸具有無方向性的特點.攻擊者只要有適當?shù)臒o線接收設備，就可以竊取并解碼用戶的個人信息，而且這一過程很難被發(fā)現(xiàn).無線竊聽可以導致用戶的信息泄露，可能造成無法挽回的損失.當攻擊者通過無線竊聽截獲到一個合法用戶的個人信息后，他就可以利用這個信息冒充該合法用戶的身份從事非法活動.

1.5 移動終端丟失和被竊后容易導致重要信息被利用

移動終端易于攜帶，方便使用，但是也容易丟失和被竊.當移動終端丟失，也就意味著移動設備上一些重要信息會被不法分子獲取.任何拿到這個移動終端的人都可以隨意訪問Internet、移動通信工具、電子商務網(wǎng)站等，并偽裝成真正持有者，甚至進行電子商務詐騙活動，目前手持移動終端的最大問題就是缺乏實體認證機制.

1.6 移動電子支付安全問題

為了迅速完成電子商務交易，出現(xiàn)了多種電子現(xiàn)金支付工具如網(wǎng)上銀行、第三方支付平臺等.在傳統(tǒng)的電子商務平臺上，網(wǎng)上銀行為了保證安全需要采用加密狗，但是通過移動終端上網(wǎng)上銀行時卻無法使用加密狗，這樣就無法保證網(wǎng)上支付的安全性.如果直接通過第三方支付平臺，在輸入賬號密碼時，這些信息又極容易被盜竊［3］.

1.7 病毒與黑客造成的安全威脅

目前針對智能手機的病毒泛濫，病毒利用短信、彩信、電子郵件、瀏覽網(wǎng)站、下載鈴聲等方式進行傳播，會導致用戶手機死機、關(guān)機，個人資料被刪、個人信息泄露、發(fā)送垃圾郵件，甚至自動撥打電話、發(fā)短(彩)信等造成惡意扣費.特別是有些用戶在使用移動終端設備進行網(wǎng)絡購物和網(wǎng)銀支付時，由于缺乏使用網(wǎng)絡的安全意識和操作常識，可能在下載所需軟件時下載了含有不安全插件的程序，給自己的移動終端留下了潛在威脅.當條件成熟時，攻擊者會利用依附在軟件的木馬程序、操作系統(tǒng)的漏洞及缺陷等，非法侵入用戶終端，進行干擾和不法行為，給移動電子商務的安全造成很大的安全威脅［4］.

1.8 拒絕服務攻擊

攻擊者會通過對服務器或者通信網(wǎng)絡進行干擾，致使用戶數(shù)據(jù)無法及時傳遞，或者大量地、重復地發(fā)送假冒網(wǎng)絡信息單元，阻塞合法用戶的信令信息、通信數(shù)據(jù)或控制數(shù)據(jù)等，使用戶無法接受正常的網(wǎng)絡服務，從而無法正常進行電子商務活動［5］.

1.9 不法移動商務平臺運營商的惡意欺騙

為適應移動電子商務業(yè)務的快速發(fā)展，終端提供商、軟件開發(fā)商，移動終端系統(tǒng)集成商、移動終端設備制造商和網(wǎng)絡運營商等都加快了相應的手機軟、硬件研發(fā)的速度，不同功能的移動商務平臺比比皆是，使用戶無法辨別真?zhèn)?這些移動電子商務軟件很不完善，或多或少存在一些問題，如推薦系統(tǒng)的商品排名欺騙、軟件購買收費等.

2 移動電子商務安全問題的解決方案

2.1 技術(shù)方案

2.1.1 端到端的解決方案

WAP1.X的缺陷導致很長一段時間WAP業(yè)務開展并不成功，國外許多無線網(wǎng)絡運營商紛紛將目前WAP1.X網(wǎng)關(guān)升級為WAP2.0網(wǎng)關(guān).在WAP1.X中定義的WTLS屬于點到點的加密，因此，在網(wǎng)關(guān)存在潛在的安全隱患.而WAP2.0引入TLS進行加密，直接承載在TCP層之上，在應用上構(gòu)建了端到端的加密機制，提供給用戶良好的安全性.我國無線網(wǎng)絡運營商也可將目前的WAP1.X升級到WAP2.0.

2.1.2 引入WPKI體系

很多學者提出在互聯(lián)網(wǎng)電子商務中建立“無線公開密鑰體系”(WPKI體系)，WPKI是將PKI安全機制引入到無線網(wǎng)絡環(huán)境中.WPKI用優(yōu)化的ECC橢圓曲線加密算法和壓縮的X.509數(shù)字證書進行管理，證書的公鑰管理由第三方可信認證中心CA進行，能夠準確認證用戶身份，從而實現(xiàn)交易數(shù)據(jù)的安全傳輸.用WPKI體系管理在移動網(wǎng)絡環(huán)境中使用的公開密鑰和數(shù)字證書，可以建立有效的、安全的、值得信賴的移動電子商務環(huán)境.

2.1.3 安裝防火墻及殺毒軟件

通過引導用戶或強制終端系統(tǒng)集成商在移動終端安裝安全平臺，如360安全衛(wèi)士、瑞星手機殺毒軟件、金山手機衛(wèi)士等，以便優(yōu)化無線電子商務環(huán)境，從而極大降低病毒及黑客造成的威脅.

2.1.4 推進4G網(wǎng)絡的開發(fā)與建設

4G是第四代移動通信的簡稱，是集3G與WLAN于一體的技術(shù)產(chǎn)品，能夠快速傳輸高質(zhì)量、高清晰度的視頻圖像，目前尚處于研發(fā)階段.據(jù)預測，第四代移動通信系統(tǒng)的下載速度最高可以達到100 Mbps，這種速度接近于目前手機的傳輸速度的1萬倍，上傳速度也能達到20 Mbps，能夠滿足幾乎所有移動網(wǎng)絡用戶對無線服務的要求.4G通信并不是在3G通信的基礎上經(jīng)過簡單的升級而來的，所以4G手機更應該稱得上是一臺小型電腦了，其智能性、安全性會得到大幅提升.

2.2 完善立法

構(gòu)建安全的電子商務交易環(huán)境，離不開嚴格的監(jiān)管機制.由于電子商務是在虛擬的網(wǎng)絡環(huán)境下進行的，相對于傳統(tǒng)的交易方式，電子商務的靈活性和不確定性更加突出，這就更需要用有效的規(guī)范和制度來監(jiān)管.有關(guān)部門應盡快制定并完善與移動電子商務相關(guān)的法律和制度，利用法律手段保障電子商務平臺的安全，增加交易雙方的信任感，使用戶愿意通過移動電子商務完成交易.

2.3 推行手機實名制，建立健全個人信用制度

在移動電子商務中，可以推行手機實名制，由公安部、商務部或信息產(chǎn)業(yè)部等權(quán)威機構(gòu)來監(jiān)督、實施.在實名制的實施過程中，為了確保電子商務中交易雙方身份的唯一性與合法性，可以建立相應的用戶信息管理數(shù)據(jù)庫，將用戶的個人信息，如用戶身份證號、手機號碼、手機PIN碼、銀行賬號、指紋等資料存放其中進行管理.在使用過程中，用戶具有訪問數(shù)據(jù)庫的權(quán)限，而權(quán)威機構(gòu)則具有訪問、修改數(shù)據(jù)庫的權(quán)限［6］.建立實名制后，每位參與移動電子商務的用戶的身份將是唯一的而且是可識別的.這樣將移動電子商務從虛擬狀態(tài)推向了實體化.

另外，我國應該建立和完善個人信用制度，由于在電子商務交易最低層次下，交易雙方的身份是可靠的，一旦某一交易方實施詐騙，另一方可以輕而易舉地將其詐騙事實進行公布，并追究其違約責任［7］.

［1］中國互聯(lián)網(wǎng)絡信息中心(CNNIC).中國移動互聯(lián)網(wǎng)發(fā)展狀況調(diào)查報告(2012年3月)［R/OL］.［2012－04－30］.http://www.199it.com/ archives/30327.html.

［2］沈郁.基于WPKI的WAP移動電子商務安全研究［J］.湖南大學學報:自然科學版，2003，30(3):189－192.

［3］李艷，楊擁，涂偉.移動電子商務面臨的安全問題及其防范［J］.商業(yè)時代，2011(20):49－50.

［4］梁少娥，蔡振治.3G時代我國移動電子商務的安全問題與應對策略［J］.肇慶學院學報，2010，31(4):55－58.

［5］徐洪峰，徐曦，曾杰.移動電子商務安全問題研究［J］.計算機技術(shù)與發(fā)展，2011，21(11):236－242.

［6］薛睿，萬三敏.電子商務信任問題及建立途徑［J］.水利電力機械，2007(9):94－99.

［7］萬三敏.有限信用下旅游電子商務的發(fā)展［J］.河南教育學院學報:哲學社會科學版，2008，27(3):103－105.

Current Security Issues and Solution Approaches of Mobile E-Commerce in China

XUE Rui1，2，CAI Yan2

(1.Institute of Information Engineering，Zhengzhou University，Zhengzhou 450001，China;
2.Department of Information Technology，Henan Institute of Education，Zhengzhou 450046，China)

The development of current situation of mobile e-commerce in China was described.The main factors affecting the security of mobile e-commerce such as signal recession and interference were discussed，and the approaches in view of technology and legislation were proposed.

mobile e-commerce;security;WAP;solution approach

F724.6

A

1007－0834(2012)03－0033－04

10.3969/j.issn.1007－0834.2012.03.011

2012－05－29

河南省教育廳自然科學研究項目“旅游電子商務信任機制研究”(2009B630021)研究成果;河南教育學院計算機應用技術(shù)重點學科資助項目

薛睿(1980—)，女，河南鄭州人，河南教育學院信息技術(shù)系講師、鄭州大學電子與信息工程學院在職碩士研究生，研究方向:電子與通信工程.