3G時代移動電子商務安全研究——移動電子商務安全技術與通訊網(wǎng)絡無縫、高質量的集成

1、本科畢業(yè)論文3g時代移動電子商務安全研究移動電子商務安全技術與通訊網(wǎng)絡無縫、高質量的集成姓 名: 學 號: 班級: 信息管理與信息系統(tǒng) 指導老師: 職 稱: 完成時間: 摘 要在商場里看中了一件衣服，看好了，也試好了，但是覺得價格太貴，不如上淘寶搜一搜，上網(wǎng)店搜一搜，但是想要上網(wǎng)還得回家才能上網(wǎng)，萬一網(wǎng)上價格跟商場的是一樣，豈不是還要再來商場一趟。移動電子商務的出現(xiàn)，讓購物更方便，用戶只需現(xiàn)場掏出移動設備即可滿足自己關于購物、查詢等方面的問題，隨時、隨地都可以遠程操作。3g時代的移動電子商務更是為用戶提供了更為便捷、快速的網(wǎng)絡平臺，但是同時也會出現(xiàn)諸多的安全隱患問題，身份如何識別、信息是否加密

2、、交易是否正確、交易是否可靠、垃圾短信如何避免等安全問題如何能夠有效的解決？讓用戶可以放心、安全的選擇移動電子商務，同時也是為了移動電子商務更好的發(fā)展。就這些問題展開課題討論與研究，通過多種途徑的辯證與實踐，并搜集大量有關信息，最終得到的結論是移動電子商務的安全問題并不是完全避免不了，想要避免在使用移動電子商務中出現(xiàn)的安全問題，不僅在于你使用的網(wǎng)絡平臺是否安全有保障，同時用戶本身在使用時也可有效的避免一部分安全威脅。關鍵詞：移動電子商務, 支付安全，信息安全，安全威脅, 策略目 錄一、引言.2二、移動電子商務支付安全分析及解決方案.3 （一）、加密和及時性問題.4（二）、身份識別缺乏 .4（三

3、）、信息被惡意攔截.5（四）、移動電子商務安全支付方案.5三、針對移動電子商務信息交換安全分析.6（一）、移動電子商務信息交換前期安全性.6 信息保密、身份驗證、信息正確、交易可靠（二）、移動電子商務信息交換過程安全性.7 不安全因素、安全威脅（三）、移動電子商務信息交換安全方案.8四、移動電子商務隱私和法律安全分析.10（一）、垃圾短信.10（二）、隱私威脅.10（三）、法律保障.10五、結論.12參考文獻.13致謝.14一、引 言移動電子商務(m-commerce)，它由電子商務(e-commerce)的概念衍生出來，現(xiàn)在的電子商務以pc機為主要界面，是“有線的電子商務”，而移動電子商務，

4、則是通過手機、pda(個人數(shù)字助理)這些體型較小，方便攜帶的終端與我們見面，無論何時、何地都可以使用。這給我們提供了許多便捷，幫助我們減少很多不必要的麻煩和時間，同時不少移動電子商務也幫我們節(jié)省了很多金錢。 傳統(tǒng)電子商務通過臺式pc電腦、筆記本電腦，用戶使用并不方便，因此用戶很不穩(wěn)定，而移動電子商務的用戶相對更為廣泛且穩(wěn)定。據(jù)中國國務院新聞辦公室、國家互聯(lián)網(wǎng)信息辦公室主任王晨今年9月29日在京介紹，中國互聯(lián)網(wǎng)用戶已突破5億，互聯(lián)網(wǎng)普及率接近40，中新網(wǎng)7月25日電工業(yè)和信息化部今日公布了2011年第二季度電信服務情況，數(shù)據(jù)顯示，截至二季度末移動電話用戶快速增長，達到9.2億戶，截至今年4月份，

5、中國手機上網(wǎng)用戶達到了3.03億，手機上網(wǎng)用戶在全國互聯(lián)網(wǎng)用戶中比重不斷提升，占到66.2 。隨著3g牌照的發(fā)放，移動寬帶用戶數(shù)更將極具上升。 在移動計算和信息訪問需求日益增加的今天，移動安全必將成為一個熱點問題。各種各樣的網(wǎng)絡安全威脅給用戶帶來了許多煩惱，由于移動商務要經(jīng)過運營商的移動網(wǎng)絡，這就很有可能發(fā)生用戶信息泄密、信息丟失或引入黑客攻擊等問題。所以移動商務應用必須首先解決好移動接入的安全問題，如今移動電子商務已進入3g時代，更多的用戶選擇移動電子商務平臺，這就對移動電子商務的安全性能的要求更為苛刻，移動電子商務的安全主要包括移動接入安全和移動商務系統(tǒng)的安全。 3g時代的移動電子商務的安

6、全技術將會是無線通訊網(wǎng)絡與有線通訊網(wǎng)絡緊密且良好的合成品，不僅支持任何wap兼容手機的訪問，wap客戶端之間的安全性問題也能有效的解決，讓移動商務用戶在操作過程中更簡單，且透明，同時也更有利于更多的信息內容開發(fā)者提供量的服務與信息。伴隨著移動通信技術和計算機的發(fā)展，移動電子商務也已經(jīng)更新?lián)Q代，到目前為止已出了第3代移動電子商務。最早的一代移動電子商務系統(tǒng)訪問技術建立在短訊息基礎之上，這種訪問技術存有很多嚴重的弱點，最嚴重的問題之一是實時性差，信息傳送不夠及時，用戶所查詢的信息或者請求無法及時得到答復。而且，由于短訊信息內容長短有限制，在查詢過程中用戶仍是得不到詳細且完整的答案。為了能夠讓更多用

7、戶更好更方便的使用移動電子商務，很多最初使用移動商務系統(tǒng)的一些部門和用戶都先后提出了盡早改進和升級移動商務系統(tǒng)的心聲，短訊移動商務系統(tǒng)帶來的諸多不便讓他們的使用很不順暢。因此由最初的基于短訊息的移動電子商務而延伸發(fā)展的新一代電子商務誕生了，它在訪問技術上較上一代有很大的改進與突破，新的一代移動電子商務將wap技術很好的運用，開辟了手機瀏覽器，通過手機瀏覽器對wap網(wǎng)頁進行訪問，并對想要查詢的信息進行查詢。但是很快，問題又出現(xiàn)了，移動電子商務系統(tǒng)所具備的方便性與靈活性在這一代移動電子商務系統(tǒng)中得不到實現(xiàn)，并且在wap網(wǎng)頁上進行訪問的時候信息交互能力較差。而且，政府部門對于wap網(wǎng)頁訪問的安全性要

8、求極為嚴苛，這些問題不能被很好的解決，導致這一代的移動電子商務也很快被淘汰。更為安全且更為便捷的移動電子商務是廣大用戶最最想要的也是最迫切需要的，融合了智能移動終端、數(shù)據(jù)庫同步、3g移動技術、vpn、web service、身份認證等多種移動通訊、計算機最前沿的網(wǎng)絡技術、信息處理的移動電子商務系統(tǒng)是廣大用戶最好的選擇，它采用了智能移動終端和移動vpn技術，讓其很好的結合，以無線通訊技術和專網(wǎng)為基礎，將快速且安全的現(xiàn)代化移動電子商務辦公系統(tǒng)給移動電子商務使用人員。 二、移動電子商務支付安全分析及解決方案移動商務就是在交易活動中用手機、掌上電腦、筆記本電腦作為支付手段通過短信、wap、ivr等方式

9、，使用移動話費或使用信用卡作為支付資金，完成購物、繳費、銀行轉賬等一些商務活動。隨著移動電子商務迅速發(fā)展，使得移動商務逐漸走進了普通百姓的生活，用戶可以通過手機隨時隨地進行購物和支付，不再受時間和地域限制，被認為會成為今后消費方式的一大主流。但是，在移動電子商務發(fā)展過程中，由于中國網(wǎng)絡環(huán)境的特殊，移動電子商務除了存在傳統(tǒng)電子商務未能解決的障礙，如支付、配送、費用高等問題外，同時存在很多安全性問題，且安全性問題對于用戶來說尤為重要，這也成為制約電子商務一個主要問題。（一）、加密和及時性問題 手機支付普遍的主要障礙是加密問題和及時性問題，雖然wap功能的手機在支付過程中能夠采用移動的加密技術，很有

10、效的保證安全，但手機支付的雙重確認方式由于短信中繼問題，有可能造成不能及時到達，一旦出現(xiàn)信號不良斷網(wǎng)等問題就有可能造成支付困難一系列問題。在傳統(tǒng)的基于有線網(wǎng)絡環(huán)境的電子商務應用中，已經(jīng)有許多相對成熟的安全技術，如vpn、ssl等。但這些技術一般都對主機/終端資源有較高的要求，而相對于有線終端，無線終端的資源有限，處理能力低，存儲能力小。例如：手機的運算能力低，且內存小，加上帶寬小，容易丟失數(shù)據(jù)，所以無法運行太復雜加密算法造成數(shù)據(jù)保密低，也無法傳遞大量數(shù)據(jù)。 （二）、身份識別缺乏身份識別的缺乏也限制移動信息化應用。手機主要作為即時通話的工具時，密碼保護相對重要性并不顯著，當他融入了移動支付這一概

11、念時，手機的概念需要被重新定義，如同我們的存折、銀行卡一樣，不僅是我們資產(chǎn)的一部分，同時也是動用個人賬戶的途徑之一，一旦出現(xiàn)密碼被攻破，設備丟失，病毒發(fā)作等問題時，將有可能造成損失。移動電子商務使用中，安全問題其實是最需要注意及確保的，但是到目前位置，針對安全、隱私保護、身份認證這些用戶極其關注的問題還沒有制定出標準和法律條款。在我們身邊或者自己身上會經(jīng)常出現(xiàn)移動設備丟失或者被盜，這些都將很有可能為我們帶來很大的麻煩，別人拿到你丟失的移動設備，將會看到設備上的數(shù)字證書、電話信息等重要信息，進而通過這些信息進行移動支付、訪問其公司或者相關部門的內部網(wǎng)站、線上支付。做為開放性的信息通道，無線通信網(wǎng)

12、絡為無線用戶帶來很多通信上的靈活與自由，同時也帶來了許許多多的不安全因素，諸如電子商務用戶的合法身份被竊取、通信的內容被別人竊聽、數(shù)據(jù)接收不完整、通信的雙方身份被假冒、無線通信標準被攻擊、通信內容被篡改等安全隱患。（三）、信息被惡意攔截我們經(jīng)常能看到有人在網(wǎng)上叫賣監(jiān)聽裝置，而這種監(jiān)聽裝置就是多條信息通道移動電話攔截系統(tǒng)，無論是在什么地點，都可以通過車載移動手機進行空中攔截，并且一次性可以同時監(jiān)聽二十多個手機號碼，監(jiān)聽對象的呼出或呼入電話號碼，手機短信息內容等都能一清二楚，這種裝置還能將監(jiān)聽到的信息進行信息錄音且存盤，公安部門經(jīng)常通過這種方式進行證據(jù)收集。雖然這種裝置夠先進，同時能為不少電子商務

13、用戶提供幫助，但也不乏告訴我們，我們的信息隨時都有可能被攔截到，我們利用移動設備進行的支付信息、信用卡信息都有可能被攔截。（四）、移動電子商務安全支付方案 解決移動電子商務安全支付問題，可采用國際上比較成熟的解決方案。目前為了能夠建立一個有效的安全且值得信賴的無線網(wǎng)絡平臺，需要一個非常完善的體系來對公開密鑰和數(shù)字證書進行有效管理，現(xiàn)已有這樣一套遵循既定標準的密鑰和證書管理平臺系統(tǒng)，由有線網(wǎng)絡的公開密鑰體系pki發(fā)展而來的wpki 技術可應用于移動電子商務環(huán)境的加密體系。一個完整的wpki系統(tǒng)是由客戶端、注冊機構(ra)、認證機構(ca)、證書庫以及應用接口五大系統(tǒng)構成，并且其構造也都是圍繞著這

14、幾大系統(tǒng)展開工作。 壓縮的x.509數(shù)字證書和優(yōu)化的ecc橢圓曲線加密在wpki體系中得以很好的采用。移動計算一般不會采用傳統(tǒng)的pki x.509，拿一個1024位的加密算法來說，用手機至少需要半分鐘才能完成，很耗時。ecc算法的數(shù)學理論單位安全強度相對較高，但是也非常復雜和深奧，也很難實現(xiàn)在在工程應用中。橢圓曲線密碼體制在目前已知的公鑰體制中，是對每bit提供加密強度最高的一種體制。ecc最明顯的一個優(yōu)勢就是其密鑰短，密鑰長度不會隨著加密強度的提高而有所改變。2003年，我國頒布的無線局域網(wǎng)國家標準中，數(shù)字簽名采用的就是ecc算法。在原本存儲空間就不大且運算能力比較有限的移動用戶端中，ecc

15、算法的應用前景將是十分廣闊。在移動電子商務用戶使用過程中，銀行將會采取各種有效的方式以確保用戶的資金安全問題。首先是銀行對手機支付用戶設定了一個支付額度，嚴格控制對外轉賬金額，其次是在手機銀行信息傳輸過程中，安全傳輸與處理好移動通信公司與銀行之間數(shù)據(jù)，防止數(shù)據(jù)被竊取與破壞，采用高強度的加密傳輸方式，此外，銀行還特別讓用戶選用一個手機號碼用來和銀行賬戶進行綁定，一旦有支付或更改信息，用戶將會收到短信通知，此綁定手機號將設置設置專用支付密碼。移動電子商務用戶現(xiàn)有的安全措施主要通過是通過用戶的pin進行識別，其實用戶安全識別也是相當重要的，可以從多個方面來將安全問題變得更高級。1、 用戶在確認交易的

16、同時，支付數(shù)據(jù)確保不會被更改，更具完整性；2、 如果沒有被授權，用戶將不能獲取支付數(shù)據(jù)，讓信息更具保密性；3、 由被支付一方對用戶進行鑒定，確認其身份，看其是否為授權用戶；4、 交易完成后要避免交易者不承擔交易后果，不給于對方否認的機會。3、 移動電子商務信息交換安全分析及解決方案3g時代的移動電子商務與傳統(tǒng)的電子商務模式相比，其的安全性更加不夠穩(wěn)定，在移動電子商務快速發(fā)展的當下，信息交換過程中更易出現(xiàn)信息被竊取和攻擊的問題。（一）、移動電子商務信息交換前期安全性 1.信息是否能夠得到保密在雙方電子商務進行交易時，交易的有效信息是否得到報名，確保沒有被盜取，使用和非法儲存。 2.交換的信息是否

17、正確在雙方電子商務交易過程中，交易數(shù)據(jù)和各自的認證信息確保沒有被篡改或者丟失。3.交易數(shù)據(jù)是否可靠性為了在雙方交易后，對之前進行過的交易，即交易本身和簽署的交易合同或者單據(jù)等交易文件沒有可抵賴性，必需在前期就要對雙方所交易的的內容包括合同、單據(jù)進行詳細確認，確保時候不會出現(xiàn)抵賴的問題。4.身份是否進行認證平日里，我們在一個網(wǎng)站上注冊賬號時，也會經(jīng)常出現(xiàn)認證信息，這也是為用戶提供保障服務，交易雙方都能正確鑒別交易對方的身份。在確保只有授權的用戶才能訪問網(wǎng)絡的資源與服務的時候，身份證能夠起到很大的作用，它可以鑒別通信中一方或雙方的身份。（二）、移動電子商務信息交換過程安全性分析 1、信息交換過程中

18、的存在的不安全因素 移動終端、信息中心和內容服務器之間的通信和數(shù)據(jù)傳輸都跟移動電子商務信息交換息息相關。移動無線接口、移動網(wǎng)絡和移動客戶端都有可能存在不安全因素。 （1）無線接口中會出現(xiàn)不安全因素。無線接口是移動站與固定網(wǎng)絡端的通信通道，而無線接口是對外開放的，只要具有匹配的無線設備，不管是誰都可以通過無線接口竊聽無線信道，以獲得傳輸信息，這就很有可能讓不法分子假冒移動用戶身份進行欺騙行為，也有可能對無線接口傳輸?shù)男畔⒂枰圆迦?、修改、刪除或者重傳，為用戶帶來麻煩和損失。（2）網(wǎng)絡端也會存在不安全因素。在移動通信網(wǎng)絡中，固定網(wǎng)絡戰(zhàn)系統(tǒng)與移動服務交換中心之間經(jīng)常會采取不同的交換載體，在信息相互轉換

19、過程中也容易出現(xiàn)移動用戶的身份、身份確認信息及位置等信息發(fā)生泄漏。（3）移動端存在的不安全因素。移動用戶信息終端和信息內容服務器都屬于移動端。用戶身份、賬戶信息和認證密鑰等方面一旦出現(xiàn)安全問題都將是移動終端的不安全因素導致的。例如經(jīng)?？吹诫娨暽掀毓庥胁环ǚ肿尤〉糜脩舻囊苿咏K端，從中獲取移動電子商務用戶的信息資料、賬戶密碼等，然后假冒用戶的身份進行非法行為。 2.信息交換過程中產(chǎn)生的安全威脅 通過對以上移動電子商務信息交換過程中會產(chǎn)生的多種不安全因素分析，可知移動電子商務信息交換中也存在著多種安全威脅，必須采取多種有效的安全策略確保信息交換安全。目前存在的安全信息有： （1）信息截流和盜用。用戶

20、密碼、銀行賬號被破解？往往就有不法分子利用截獲裝置截取用戶信息，經(jīng)過分析，獲得有用的信息，而導致這一情況的出現(xiàn)源于移動商務用戶沒有采取加密措施或加密強度不夠。（2）信息被篡改。有些攻擊者會通過各種技術方法和手段對網(wǎng)絡傳輸?shù)男畔⒔厝〔⑦M行中途修改，如肆意篡改購買商品的貨號、價格等，或刪除、插入錯誤信息，然后再繼續(xù)發(fā)給原來信息要發(fā)往的目的地，最終導致信息不完整、信息錯誤，從而給用戶帶來巨大的損失。（3）假冒信息。傳輸數(shù)據(jù)的規(guī)律一旦被侵犯者掌握或商務信息被解密后，攻擊者會假冒原合法的用戶或商家進行欺騙，從而獲得移動終端或企業(yè)的機密信息，進行個人牟利。（4）抵賴交易。在網(wǎng)上商城中選購了某樣商品后，交易

21、雙方在達成共識后，其中的一方在交易結束后又否認了此次交易。賣家極有可能因為交易價格問題不承認原先的交易或者在收到貨款后又拒絕交付產(chǎn)品，買家在選購會也會出現(xiàn)已選購后又否認自己選購且拒絕付款等問題。（5）非授權方非法訪問。在沒有經(jīng)過授權的情況下進行訪問讀取用戶的商業(yè)機密數(shù)據(jù)，非法享受被授予權利和使用系統(tǒng)資源。（三）、移動電子商務信息交換安全解決方案移動電子商務安全解決方案必須要求安全、實用，針對上述提到的信息被截留或被盜用、信息被篡改、信息假冒、交易抵賴、非授權方非法訪問等種種問題出發(fā)尋找最佳解決方案。從而達到讓用戶真正放心且便捷的選擇移動電子商務。 1、關于移動電子商務交易安全的解決方案以下將是

22、針對上述談到的移動電子商務安全危險，所給出的解決方案及策略，與現(xiàn)有的移動電子商務安全結束相結合，為移動電子商務用戶提供更有安全性的服務。（1） 信息截流和盜用。現(xiàn)有的安全措施即是通過對交易信息進行加密的方式，以對移動電子商務進行交易數(shù)據(jù)的保護，從而保證信息不被截流和盜用。 （2）信息被篡改。現(xiàn)有的安全措施即是通過對信息報文進行摘要提取的方式，移動移動電子商務進行交易數(shù)據(jù)的保護，從而保證信息內容不會被篡改。（3）假冒信息?，F(xiàn)有的安全措施即是采取數(shù)字證書技術，從而對移動電子商務信息進行驗證，確保信息不會被不法分子假冒。（4）抵賴交易。在交易過程中出現(xiàn)交易抵賴的情況往往跟交易師信息認可有關聯(lián)，即可采

23、用數(shù)字簽名技術，由于是通過發(fā)送方密鑰進行加密保護的，因此數(shù)字簽名技術能夠很準群的判斷信息的交易發(fā)送方，進而解決交易抵賴的安全問題。（5）非授權方非法訪問。通過采用防火墻、移動密保等措施來進行對商務交換信息的授權核查，從而有效的解決非授權方非法訪問的安全威脅，2、參照移動電子商務信息交換模型，并執(zhí)行上述闡述了從多個途徑針對不同的安全威脅提供多個解決方案以用來解決在移動電子商務信息交換時會出現(xiàn)的一系列安全威脅。除了以上的辦法外，也可參照目前不少研究者研究出得一種通過簽名和加密的移動電子商務信息安全交換模型。具體的內容如下：（1）移動電子商務用戶向移動商務發(fā)送注冊申請；（2）移動商務中心再對用戶的身

24、份進行核實；（3）移動商務中心的身份認證機構會將已認證的用戶證書發(fā)送給用戶，并將用戶證書相關的信息保存到移動商務中心的數(shù)據(jù)庫中；（4）信息服務器將會為用戶端生成密鑰，再將密鑰發(fā)送給相匹配的移動用戶端，且密鑰一樣是保存在移動商務中心的數(shù)據(jù)庫中；（5）如果用戶想要購買某個商品，即可先選擇然后在進行交易簽名，再將交易相關資料（交易信息、數(shù)字簽名、用戶信息、用戶證書、交易摘要等一起發(fā)送給移動電子商務中心；（6）移動商務中心將會對用戶發(fā)來的所有資料進行審核和比較，一旦沒有出入，將會向移動商務中心認證機構發(fā)出用戶交易證書的申請。（7）經(jīng)移動商務中心認證機構認證后，會將用戶證書發(fā)送給移動商務中心，再由移動商

25、務中心將此次交易證書進行做出、驗證以及存儲；（8）移動商務中心還將通過使用用戶證書來查證移動用戶端發(fā)過來的交易內容是否值得信賴；（9）經(jīng)過核實查證后，移動商務中心會將移動用戶的交易訂單進行解密工作，并完成此次交易安全審核工作，確保交易安全。四、移動電子商務隱私和法律安全分析（一）、垃圾短信威脅在移動通信給人們帶來便利和效率的同時，也帶來了很多煩惱，我們經(jīng)常會收到很多垃圾短信，有賣房信息、有炒股信息也有很多社會活動促銷信息，這些垃圾短息給用戶們帶來了很多潛在威脅。往往垃圾短信的來源還在于用戶自己，用戶在進行移動交易時、在參加社會活動時，在不輕易間會將自己的電話號碼泄漏出去。垃圾短信的日益增多會使

26、得人們對移動商務充滿恐懼，從而導致人們而不敢再使用自己的移動設備從事商務活動，這就不利于移動電子商務的發(fā)展。目前，國家也沒有出臺相關的法律法規(guī)來規(guī)范和約束，使得運營商現(xiàn)在也只能先在有限的技術層面來對廣告短信的發(fā)放進行控制。（二）、隱私威脅目前，定位系統(tǒng)是移動業(yè)務中的新應用，可以利用gps衛(wèi)星來精確定位地面上的人和車輛。這種全球定位系統(tǒng)目前很受商家的追捧，在舉辦某一場大型活動時，針對其目標區(qū)域人群通過定位系統(tǒng)鎖定，再對其發(fā)放活動信息，以確保活動信息能夠精準的到達目標人群處。執(zhí)法部門和政府可以利用這種技術監(jiān)聽信道上的數(shù)據(jù)，并能夠跟蹤一個人的物理位置。往往人們只看到了定位有利于他們的一面，而忽略了定位服務在給我們帶來便利的同時，同時也影響到了個人隱私。（三）、法律保障為了能夠讓移動電子商務健康穩(wěn)步發(fā)展，離不開法律法規(guī)的輔佐。信息化法律電子簽名法于2005年4月1日正式實施，也是中國首部真正意