移动电子商务交易安全问题刍议.docVIP

移动电子商务交易安全问题刍议【摘要】移动电子商务交易和网络数据传输中存在威胁，采用移动网络来改进TCP/IP网络体系安全，以WAP承载方案进行重点分析，从信息加密和数字签名着手实现端到端的安全传输，为移动电子商务数据的安全提供有效的技术保障。 【关键词】移动电子商务 WAP 安全技术 移动电子商务（M-commerce）是指通过手机、传呼机、掌上电脑、笔记本电脑等移动通讯设备与无线上网技术结合进行B2B、B2C或C2C的电子商务活动。它能够不受时间和空间的约束展开商务活动，已经为越来越多的企业所接受。移动电子商务的模式目前主要有两种：SMS 模式和WAP模式。SMS模式（Short Message Service） 短消息模式；WAP模式（Wireless Application Protocol 无线应用协议）在数字移动电话、因特网及其他个人数字助理（DA）计算机应用之间进行通信的开放式全球标准，它是开展移动电子商务应用的核心技术之一。由于移动电子商务采用的是无线信道，同时计算机通讯网络系统结构原有存在的不安全因素，使得交易过程中存在大量的安全隐患。 一、移动电子商务存在的安全隐患 移动电子商务是传统电子商务和无线互联网技术的结合，所以分析移动商务存有的安全威胁，须从电子商务和无线网络所存有的安全问题进行分析。移动电子商务交易过程中主要存在四个方面的威胁： （一）电子商务系统中存在的安全隐患 计算机管理不当。一些电子商务系统内部人员有一定的管理系统权限，若对计算机设备管理不当，很可能会被一些别有用心的人员非法进入，为自己牟利，造成损失。外部攻击。网上电子交易会吸引黑客进行网络攻击，截取或是盗取商户的交易信息，冒充正常用户进行非法登录，侵害交易当事人的正当权益。病毒或木马。对电子商务系统而言，病毒是常见的威胁，电脑病毒种类繁多，由病毒侵入造成损失的例子也是经常看到。木马对商务系统的威胁最大，木马利用计算机程序漏洞侵入系统并窃取文件资料。拒绝服务。拒绝服务通过向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务。 （二）网络服务系统中的隐患 非授权数据访问。系统入侵者没有访问权限，非法访问或是窃听系统数据信息；或是伪造身份冒充合法用户进行系统网络接入，对系统进行访问。完整性威胁。系统入侵者通过相关手段修改或是删除系统数据信息，对系统完整性形成破坏。拒绝服务。通过向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务。抵赖否认。用户可对业务费用和数据来源进行否认：网络单元否认发出信令或者否认接收到了其他数据信息。 （三）无线网络威胁 无线网络因其开放性，与有线传输网络相比，安全性稍微差些。与网络服务系统威胁类似，无线网络所存在的安全威胁也分为三种情况：对于数据的非授权访问，对于无线传输信息的完整性威胁和拒绝服务。入侵者利用相关技术手段可以窃听无线链路上的数据信息，可以修改或是删除信息，破坏其完整性。 二、基于WAP的解决方案 基于WAP方式是目前主流，可以通过建立WAP网关的 Web 服务器来解决端到端的问题。WAP使移动因特网有了一个通用标准，把目前Internet上HTML语言标一记的信息转换成用WML（Wireless Make up Language）描述的信息，显示在移动电话等终端设备显示屏上。WAP仅需要移动电话和WAP代理服务器的支持，不需要现有移动通信网络协议做任何的改动，可以广泛地应用于GSM、CDMA和3G等多种网络。 建立一个具有WAP网关的Web服务器来解决端到端的问题。WAP 的安全机制主要包括WTLS协议（Wireless Transport Layer Security） 、WAP身份模块WIM（ WAP Identify Module）、WML脚本加密接口WMLScrypt（WML Script Crypto API）和 WPKI（Wireless PKI）。这四种安全机制可以实现移动电子商务所需的数据保密性、数据完整性、交易方的认证与授权和不可抵赖性四个方面的信息安全特征。数据解密出来直接提交给服务器操作，实现了端到端的安全。如图1 所示。 WAP应用的工作模式如下：首先WAP终端向服务器发送访问请求，用户代理将编码后的Http请求无线接口传输给WAP网关。网关接到终端的请求信息后，对信息进行编码处理，读取其中信息，经解析后把标准的Http请求通过网络发送给WAP服务器。服务器将所请求内容反馈给WAP网关，网关则把接收到的信息内容进行压缩处理再发至用户手持终端上，内容由显示屏进行显示。 WAP系统是由用户终端，WAP网关以及WEB服务器组成，WAP会话的建立就是在上述