移动商务的安全问题研究
作者:董纪阳
来源:《中国管理信息化》2011年第21期
[摘要] 本文从移动电子商务面临的安全问题出发,就移动电子商务的安全技术做了详细的阐述,提出我国开展移动商务的安全对策。 [关键词] 移动商务; 安全问题; 对策研究 doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 21. 045
[中图分类号]F713.36 [文献标识码]A [文章编号]1673 - 0194(2011)21- 0077- 03
1移动电子商务所面临的安全挑战
移动商务使用便携式终端设备,通过移动电话网络或无线局域网实现一种不受时间和空间限制的商务模式。移动商务在给我们的商务活动带来便捷的同时,也带来了更多安全方面的挑战。
1.1移动终端的安全问题
首先,由于移动终端的计算能力和存储能力有限,电池寿命短,许多安全性比较好的加密和认证技术措施不能很好地应用在这些移动设备上,从而带来了安全隐患。其次,由于移动设备体积较小,使用中很容易造成损坏或丢失。很多用户将比较机密的个人资料或商业机密存储在移动设备上,如果在没有备份的情况下丢失数据或者被他人恶意盗用,都将会造成很大的损失。另外,手机卡作为识别移动商务中用户身份的一个重要部分,在其他身份识别措施还不健全的情况下,一旦被恶意克隆,用户的个人身份被假冒,将成为犯罪分子进行欺诈的一种手段。
1.2来自外部的攻击
同互联网一样,移动通信网络及终端也时刻受到病毒和黑客的威胁,而这些威胁由于移动网络特殊的性质而变得更加严重。移动商务的发展使得黑客攻击的收益大大增加,尤其是一些金融服务,一旦让黑客得以入侵将给其带来巨大的回报,黑客的目标肯定向这些对象转移。由于无线用户间的交互频率很高,病毒可以通过无线网络快速传输。一些跨平台的病毒可以通过固定网络传播,这使得病毒传输速度进一步加快。 1.3无线技术的安全问题
龙源期刊网 http://www.qikan.com.cn
在公共场合使用移动终端设备时,使用者的信息容易被临近的人偷看或偷听。此外,无线信号是一个开放性信道,很容易受到窃听和假冒身份攻击,出现信息篡改等问题。许多普遍使用的网络协议已明文的方式传送用户名和密码等敏感信息,攻击者可以使用捕获的这些数据取得对无线网络的访问权。即使通信是以加密的形式进行的,窃听者仍然可以获得密文的通信内容。许多加密强度不高的加密算法可能会被破译。此外,通信链路的正常发送还有可能受到人为或其他因素的干扰而无法使用,甚至会被攻击者冒名顶替。 2移动商务的主要安全技术
移动商务中采用了多种安全技术,以下本文将对这些安全技术作相应的介绍。 2.1WAP的安全
WAP的产生是为了使移动设备能够直接访问互联网上的资源。它负责将互联网和移动通信网连接到一起,客观上已成为移动终端上网的标准。WAP将移动网络和互联网以及Intranet紧密联系起来,提供一种与网络种类、承运商和终端设备都无关的移动增值业务。目前,WAP已经成为移动通信业中的一大热点。
WAP安全构架(如图1所示)由WTLS(无线传输层安全)、WIM(无线身份识别模块)、WMLScript(无线标记语言脚本)、WPKI(无线公钥基础设施)4部分组成,其中无线标记语言脚本针对窄带宽设备做了优化。它可以与WML集成,可以在WMLScript文档中增加处理逻辑,支持更高级的用户接口行为,减少与源服务器之间的交互。无线个人身份模块WIM是一个防篡改设备,存储着用户个人身份、公钥证书和私钥等信息,并参与WTLS握手协议中的身份认证与密钥交换操作,以及与用户私钥有关的密码操作,如数字签名和对用公开密钥加密的密文进行解密等。WTLS的作用是保证传输层的安全,作为WAP协议栈的一个层次向上层提供安全传输服务接口。WTLS是以安全协议TLS 1.0标准为基础发展而来的,提供通信双方数据的机密性、完整性和通信双方的鉴别机制。WTLS在TLS的基础上,根据无线环境特点增加了一些新的特性,如对数据报的支持、握手协议的优化和动态密钥刷新等。 2.2WPKI安全体系
同PKI系统相似,WPKI系统由认证中心CA、注册中心RA、证书目录数据库和终端实体组成,如图2所示。WPKI和PKI的区别仅在于WPKI的终端实体是WAP手机,其RA功能由PKI Portal替代完成类似的功能,而WAP网关则是用于连接无线网络和有线网络的接口。
WPKI是在现行的有线PKI已有机制下做适当的补充和合理的优化,以符合无线通信服务的特点,WPKI对PKI系统所做的优化主要表现在采用短期微型证书代替SSL服务
龙源期刊网 http://www.qikan.com.cn
器证书、采用短期证书来简化对WAP服务器和网关的认证、移动客户身份认证、交易的不可抵赖性、无线环境中的加密算法。 2.3移动支付的安全
移动支付可以简单定义为借助移动终端和设备,通过多种方式所进行的银行转账、交费和购物等商业活动,图3为移动钱包的支付模型。在移动支付中包括用户、商家、金融机构和支付网关4种角色,移动支付作为一种支付手段,不仅仅是联系各个实体之间的一种关系,更是一种具有支付功能的复杂系统。从技术的角度来说,支持着支付过程的是一个完整的信息系统,包括网络、数据库、分析工具等,涵盖了事务处理、中层决策、战略决策等功能。由包括网络通信技术和底层基础结构的通信负载层,服务提供商和金融机构建立数据库,部署和传输数据的网络交互和核心应用平台,商业层,运用多种数据分析和数据挖掘软件来分析移动商务支付的决策层组成。
3我国开展移动商务的安全对策 3.1加强网络基础设施建设
端到端在移动电子商务中意味着保护每个薄弱环节,确保数据从传输点到最后目的地之间完全的安全性,找出每个薄弱环节并采取适当的安全性和私密性措施。移动电子商务带来了许多设备,它们运行不同的操作系统且采用不同标准,因此安全性已经成为更加复杂的问题。公司需要实用的安全解决方案,且能被快速简便地修改以便满足所有设备的要求,除此之外还要考虑全局。安全策略将对一系列商业问题产生影响,单独考虑安全性是远远不够的。实施128位鉴权码也非理想选择,因为程序太长会影响用户使用的方便性。同样,性能、个性化、可扩展性及系统管理等问题都会对安全性产生影响,它们都是制定安全策略时必须考虑的因素。 3.2加强安全技术的研究和应用
通过部署无线公共密钥基础设施(WPKI)技术来实现数据传输路径真正的端到端安全性、安全的用户鉴权及可信交易。WPKI使用公共密钥加密及开放标准技术来构建可信的安全性架构,该架构可促使公共无线网络上的交易和安全通信鉴权。可信的PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性,而且能够帮助企业实施非复制功能,使得交易参与各方无法抵赖。在移动商务的交易过程中通过强化主体资格的身份认证管理,保证每个用户的访问与授权的准确,实名身份认证解决方案的应用,可以增强移动商务交易的安全性,保证交易双方的利益不受到侵害。
3.3提高从业人员的技术水平和整体素质,提升企业的管理水平
加强对现有从业人员的培训,提高现有人员的技术水平,提高其安全意识和应对安全问题的能力。大力培养移动电子商务人才。积极构建新型的移动电子商务人才培养体系和人才培养模式,培养移动电子商务技术开发和应用人才。有关部门和单位要采取多种形式,加强对移动
龙源期刊网 http://www.qikan.com.cn
电子商务从业人员的专业培训,及时更新相关知识,提高业务水平;加强移动电子商务人才交流工作,把移动电子商务人才纳入重点引进的人才目录,引进一批素质较高、层次合理、专业配套的移动电子商务人才。
3.4加强法律法规建设
要积极开展立法的各项准备工作,循序渐进、突出重点、先易后难,先单项后综合,在实践中摸索,在发展中完善,针对不同的法律问题,提出新的解决方案,制定相应的法律法规。不具备制定法律法规条件的,可以先制定“条例”、“细则”等规范性法律文件,逐步强化电子商务立法。当前一项重要的任务是要抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,应尽快制定出可以具体操作的电子商务法。 3.5加强诚信建设
首先移动电子商务网站的运营者和会员有责任有义务去保证自己所上传信息的真实性和有效性,而作为运营者来说,更应该承担发布信息的审核工作。其次要尊重客户,为客户提供最大化满足其需求的移动电子商务服务,与客户建立良好的互动关系和信任关系,逐渐培养客户的使用习惯和消费习惯。再次是加强舆论监督、法制等大环境的建设。建立诚信评价机制,加强行业监管和企业自律。中国互联网协会制定的信用评价体系可以延伸至移动互联网行业,业内企业也可以自发成立一些诚信联盟,相互监督,共同推动行业诚信建设。 4移动商务安全的未来发展趋势
(1) 随着移动技术的发展,3G和4G网络允许用户有持续的网络连接能力,这样的能力给移动商务带来了新的应用前景,如流媒体、视频会议、视频电话等。但同时带宽的增加和不间断连接也带来更多的安全问题。由于在线时间的增长,病毒和蠕虫将可能迅速蔓延。而且黑客的攻击也变得更加便利,很多无线设备拥有连接公司核心网络的权限,这为公司的管理带来了更多的问题,公司的网络安全人员将面临更大的挑战。另外,为了保证漫游用户的持续在线,安全和通信措施将会更加复杂。
(2) 目前的大多数手机都可以采用WIM卡来进行用户的身份识别并存储一些重要的信息,未来的发展趋势是移动设备中增加智能卡插槽,用来插入像信用卡一样的智能卡。这种卡不仅可以用于无线交易,还可以用于有线交易。智能卡移动支付通过将手机与智能IC卡有机结合,利用集成在移动终端上具有非接触功能的智能IC卡作为支付信息载体,通过NFC(近距离通信)技术和移动通信网络分别实现非接触现场支付和远程支付功能。智能卡手机现场支付的交易流程与金融IC卡的传统金融交易(非接触式)模式基本一致。远程支付功能可以通过手机客户端软件与用户交互,操作更加便捷。
龙源期刊网 http://www.qikan.com.cn
(3) 虽然PKI技术可以实现高级别的网络安全,但是这些安全措施可能会受到设备级的安全攻击。如移动终端、智能卡等带来的致命的安全问题。为了防止这种安全问题,生物特征识别技术将发挥越来越大的作用。指纹识别、视网膜识别、面部识别等一系列生物特征识别技术将成为保护移动设备访问,进而保护设备上数据的一种越来越重要的方式。 5总结
移动商务由于使用了无线通信技术,这就不可避免地带来比电子商务更多的安全问题。针对这些安全问题,相应的机构和企业都制定了一系列安全原则和解决方案。然而,无线领域的安全问题依然十分突出。随着移动设备计算能力的提高,网络带宽的逐渐加大,以及新兴的安全解决方案不断出现,这一困扰移动商务发展的安全问题将逐渐得到解决。
主要参考文献
[1] 李洪心. 电子商务安全[M]. 大连:东北财经大学出版社,2008. [2] 袁宇飞. 移动商务[M]. 北京:清华大学出版社,2008.
[3] 肖荣,张云华. 基于WAP的移动商务支付系统安全性改进[J]. 计算机系统应用,2010(3).
[4] 邓娟,蒋磊. 3G网络时代移动电子商务安全浅析[J]. 电脑知识与技术,2009(2).
[5] 田迎华,杨敬松. 3G时代移动电子商务安全问题研究[J]. 情报科学, 2010(10).
因篇幅问题不能全部显示,请点此查看更多更全内容