移動(dòng)電子商務(wù)模式下安全問(wèn)題的研究

移動(dòng)電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動(dòng)相結(jié)合，隨時(shí)隨地為用戶提供各種個(gè)性化的、定制的在線動(dòng)態(tài)商務(wù)服務(wù)。這種融合了移動(dòng)通信技術(shù)的電子商務(wù)具有巨大的潛力，業(yè)內(nèi)人士普遍看好它的市場(chǎng)前景。電子商務(wù)在我國(guó)能否廣泛應(yīng)用的一個(gè)瓶頸問(wèn)題是安全。在無(wú)線環(huán)境里，由于空中接口的開放，人們對(duì)于進(jìn)行商務(wù)活動(dòng)的安全性的關(guān)注遠(yuǎn)遠(yuǎn)超過(guò)有線環(huán)境。只有當(dāng)所有的用戶確信，通過(guò)無(wú)線方式進(jìn)行的交易不會(huì)發(fā)生欺詐或篡改，進(jìn)行的交易得到法律的承認(rèn)和隱私信息被適當(dāng)?shù)乇Ｗo(hù)，移動(dòng)電子商務(wù)才有可能成功和推廣。

一、移動(dòng)電子商務(wù)通信技術(shù)現(xiàn)狀

作為移動(dòng)電子商務(wù)的最底層，無(wú)線通信技術(shù)，以及由其而構(gòu)成的無(wú)線網(wǎng)絡(luò)是否先進(jìn)，將直接決定這種新興商務(wù)模式的成敗。目前，已經(jīng)商用化的無(wú)線網(wǎng)絡(luò)技術(shù)主要有以下幾種:

1.無(wú)線局域網(wǎng)（Wireless Local Area Network，WLAN)無(wú)線局域網(wǎng)絡(luò)是以無(wú)線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE 802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中，無(wú)線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議（Wired Equivalent Privacy，有線對(duì)等安全協(xié)議）。在數(shù)據(jù)鏈路層用WEP加密數(shù)據(jù)，保證了信道上傳送數(shù)據(jù)的安全。另外，無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個(gè)授權(quán)用戶一個(gè)基于WEP算法的密鑰，這樣就有效阻止了非授權(quán)用戶的訪問(wèn)。

2．WAP（Wireless Application Protocol，無(wú)線應(yīng)用協(xié)議）WAP由一系列協(xié)議組成，用來(lái)標(biāo)準(zhǔn)化無(wú)線通信設(shè)備。例如:移動(dòng)電話、移動(dòng)終端。它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起，事實(shí)上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。

WAP的安全機(jī)制是通過(guò)WTLS（Wireless Transport Layer Security，無(wú)線傳輸層安全）來(lái)實(shí)現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無(wú)線技術(shù)的有限發(fā)送功率、存儲(chǔ)容量及帶寬的條件下，WTLS能夠?qū)崿F(xiàn)鑒定、保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。

二、移動(dòng)電子商務(wù)安全分析

在網(wǎng)絡(luò)安全技術(shù)中，一般根據(jù)不同的網(wǎng)絡(luò)技術(shù)和具體的應(yīng)用環(huán)境來(lái)選擇與適用相應(yīng)的安全手段。

1.IEEE 802.11的安全

IEEE 802.11標(biāo)準(zhǔn)規(guī)定了MAC子層的存取控制規(guī)范，也定義了加密機(jī)制，即WEP。WEP的目的是通過(guò)對(duì)信息流加密并利用WEP認(rèn)證節(jié)點(diǎn)，使無(wú)線通信傳輸像有線網(wǎng)絡(luò)一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問(wèn)和連接到該訪問(wèn)點(diǎn)的所有工作站必須使用同樣的共享密鑰。對(duì)于任意一個(gè)傳遞的數(shù)據(jù)包，傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的校驗(yàn)組合在一起。然后，WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量，后者與密鑰組合在一起，用于對(duì)數(shù)據(jù)包進(jìn)行加密。接收方生成自己的匹配數(shù)據(jù)包密鑰并用其對(duì)數(shù)據(jù)包進(jìn)行解密。在理論上，這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略，應(yīng)該更難于破解。

但是，IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級(jí)別，根本不是一種全面的安全方案。越來(lái)越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞，有經(jīng)驗(yàn)的黑客可以利用這些漏洞進(jìn)行攻擊。早期的WEP只提供40位加密，這使得它抗暴力攻擊能力差?，F(xiàn)今的系統(tǒng)提供128位的WEP，128位的密鑰長(zhǎng)度減去24位的初始化向量后，實(shí)際上有效的密鑰長(zhǎng)度為104位。盡管如此，128位的WEP版本也不能保證絕對(duì)安全。最好的解決辦法是把無(wú)線網(wǎng)絡(luò)放在網(wǎng)絡(luò)防火墻之外，這種防范措施會(huì)強(qiáng)制要求將無(wú)線聯(lián)接當(dāng)作不受信任的連接來(lái)看待，就像看待其他任何來(lái)自Internet的聯(lián)接一樣。所以，WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全。

2.WAP的安全

WAP規(guī)范的安全特性包括幾個(gè)部分:WTLS協(xié)議、用于存儲(chǔ)用戶證書的WAP身份模塊（WIM）和允許WAP交易簽名的SignText功能。

WAP在一定程度上是安全的。但由于WAP網(wǎng)關(guān)暴露在外，而且并不為商務(wù)提供方所有，故而會(huì)成為一個(gè)潛在的安全隱患。對(duì)于安全要求較高的公司可以擁有自己的WAP網(wǎng)關(guān)，從而保障數(shù)據(jù)端到端的安全性。

3.WPKI技術(shù)

在有線環(huán)境中，電子商務(wù)的一個(gè)重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動(dòng)電子商務(wù)的安全問(wèn)題，但在無(wú)線環(huán)境中應(yīng)用PKI的同時(shí)要考慮到移動(dòng)通信環(huán)境的特點(diǎn)，并據(jù)此對(duì)PKI技術(shù)進(jìn)行改進(jìn)。

WPKI和PKI的最主要區(qū)別在于證書的驗(yàn)證和加密算法。WPKI采用優(yōu)化的ECC橢圓曲線加密和壓縮的X.509數(shù)字證書。對(duì)于一個(gè)1024位加密算法，用手機(jī)至少需要半分鐘才能完成，所以傳統(tǒng)的PKI X.509就不適合于移動(dòng)計(jì)算。ECC算法的數(shù)學(xué)理論非常深?yuàn)W和復(fù)雜，在工程應(yīng)用中比較難于實(shí)現(xiàn)，但它的單位安全強(qiáng)度相對(duì)較高。在目前已知的公鑰體制中橢圓曲線密碼體制是對(duì)每比特所提供的加密強(qiáng)度最高的一種體制。即使使用目前解橢圓曲線上的離散對(duì)數(shù)問(wèn)題的最好算法，其時(shí)間復(fù)雜度也是完全指數(shù)階的。ECC的密鑰短這一優(yōu)勢(shì)是非常明顯的，隨加密強(qiáng)度的提高，密鑰長(zhǎng)度的變化也不大。橢圓曲線ECC算法在運(yùn)算能力有限，存儲(chǔ)空間不大的移動(dòng)終端中的應(yīng)用前景十分廣闊。我國(guó)在2003年頒布的無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)中，數(shù)字簽名采用的就是橢圓曲線ECC算法。

作為對(duì)傳統(tǒng)電子商務(wù)的有益補(bǔ)充，移動(dòng)電子商務(wù)在解決了實(shí)現(xiàn)技術(shù)和安全問(wèn)題后，定會(huì)迎來(lái)它的高速發(fā)展和飛快普及，很可能成為未來(lái)電子商務(wù)的主流方式。