[摘要]移動電子商務作為一種移動互聯的貿易方式，將成為全球具有戰(zhàn)略意義的貿易手段和信息交換的有效方式。移動網絡的開放性和移動終端的移動性給移動電子商務的發(fā)展和工作效率的提高帶來了諸多優(yōu)勢，如何有效的保證移動互聯的貿易方式中信息交換的安全性和正確性，防御黑客對交換信息的截取和攻擊，以及確認交易數據的可靠性，就成為了移動電子商務發(fā)展中迫切需要解決的問題。

　　[關鍵詞]移動電子商務；信息交換；安全性分析

　　一、引言

　　移動電子商務簡單的說就是指通過手機、個人數字助理（PDA）和掌上電腦等手持移動終端設備與無線上網技術結合所構成的一個電子商務體系。因特網、移動通信技術和其他技術的完善組合創(chuàng)造了移動電子商務。移動電子商務可高效地與用戶接觸，在整個商務體系中用戶可以在任何地方、任何時間進行電子商務活動。移動電子商務由于其快捷方便、無所不在的特點，已經成為電子商務發(fā)展的新方向。移動電子商務的模式目前主要有兩種：SMS模式（Short Message Service）即短消息模式，WAP模式（Wireless Application Protocol無線應用協議）是在數字移動電話、因特網及其他個人數字助理（PDA）、計算機應用之間進行通信的開放式全球標準，它是開展移動電子商務應用的核心技術之一。如何有效的保證信息交換的安全性和正確性，防御黑客對交換信息的截取和攻擊，以及確認交易數據的可靠性，就成為了移動電子商務發(fā)展中迫切需要解決的問題。

　　二、移動電子商務信息交換的安全性要求

　　相對于傳統的電子商務模式，移動電子商務的安全性更加薄弱，傳輸承載的交換信息更易受到竊取和攻擊。移動電子商務信息交換的安全性要求主要表現在以下幾個方面：

　　1.信息的保密性

　　保密性就是要保證雙方電子商務交易有效信息的不被竊取、非法儲存和使用，保證整個交易通道的嚴密性。

　　2.身份的認證性

　　指交易雙方都能正確鑒別對方的身份，能防止他人的假冒行為。身份認證可以鑒別通信中一方或雙方的身份，從而確保只有授權的用戶才能訪問網絡的資源與服務。

　　3.信息的正確性

　　指電子商務的交易數據和雙方認證數據沒有丟失或被篡改。

　　4.交易數據的可靠性

　　指交易雙方對交易的內容包括合同、單據等在事后都能進行有效的確認。進行交易的雙方都要能夠在事后確認進行過的交易，即對交易本身及交易合同、契約、或交易的單據等文件的抗抵賴性。

　　三、信息交換過程安全性分析

　　移動電子平臺的安全性，是決定整個商業(yè)運營整體性能的一個重要因素，如果沒有一個行之有效的安全機制，移動電子商務網中的各種商業(yè)活動將無法順利進行。目前所面臨的各種安全威脅如下：

　　1.信息交換過程中的不安全性因素

　　移動電子商務信息交換涉及到移動終端、信息中心和內容服務器之間的通信和數據傳輸。這一過程存在的不安全因素就有移動無線接口、移動網絡和移動客戶端3方面的不安全性因素。

　　（1）無線接口中的不安全因素。在移動通信網絡中，移動站與固定網絡端之間的所有通信都是通過無線接口來傳輸的。而無線接口是開放的，任何具有適當無線設備的人均可以通過竊聽無線信道而獲得其中傳輸的消息，甚至可以修改、插入、刪除或重傳無線接口中傳輸的消息，以達到假冒移動用戶身份欺騙網絡端的目的。（2）網絡端的不安全因素。網絡端主要是指無線傳輸線路、網關部分、Internet有線傳輸線路。在有些移動通信網絡中，基站系統與移動服務交換中心之間的通信媒質就不盡相同，相互之間的信息轉換就有可能導致移動用戶的身份、位置及身份確認信息的泄漏。（3）移動端的不安全因素。移動端包括移動終端和內容服務器。移動終端的不安全因素主要表現在用戶身份、賬戶信息和認證密鑰等方面。例如不法分子取得用戶的移動終端，并從中讀出移動用戶的資料信息、賬戶密碼等就可以假冒用戶身份來進行一些非法的活動。

　　2.信息交換過程中的安全威脅

　　通過對以上各種方面的不安全因素的分析，可知對于移動電子商務信息交換的安全威脅可以分為多種可能，需要采取不同的安全策略。目前存在的安全威脅主要有以下幾種：

　　（1）信息的截取和竊聽。如果沒有采取加密的措施或加密的強度不夠，攻擊者就可能通過截獲裝置截取數據、獲取信息，經過分析，獲得有用的信息，如銀行賬號、用戶密碼等。（2）信息的篡改。當攻擊者熟悉了過程的網絡信息格式后，會通過各種技術方法和手段對網絡傳輸的信息進行中途的修改，再發(fā)往目的地，從而破壞信息的完整性，如肆意篡改購買商品的貨號、價格等，或刪除、插入錯誤信息。（3）非授權方的非法訪問。訪問者未經授權，即可讀取主機的敏感商業(yè)數據，使用系統得資源，享受為被授予的權利等。（4）信息的假冒。攻擊者掌握了傳輸數據的規(guī)律或解密了商務信息后，就可假冒合法的用戶或假冒商家來欺騙服務主機，從而獲得用戶或商家的機密信息。（5）交易的抵賴。交易雙方中的一方在交易完成后否認其參與了此交易。比如用戶在選購了商品后否認選擇了某些商品而拒絕付費，商家賣出的商品因為價格差的原因而不承認原有的交易或收到貨款后拒絕交付商品等。（6）拒絕服務的威脅。此種威脅以網絡癱瘓為目標的攻擊破壞性很大，造成危害的范圍很廣，而攻擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤。攻擊者可以通過刪除某一網絡上傳送的所有數據包的方法，使網絡拒絕為用戶服務；還可以通過郵件炸彈的方法使系統性能降低或崩潰，從而達到拒絕服務的目的。

　　3.安全移動商務解決方案實現目標

　　要達到一個安全實用的移動電子商務解決方案，必須解決以上的種種問題，竭力滿足如下幾方面的要求和目的：具有身份認證功能、能夠識別信息的完整性、能夠監(jiān)測出重傳攻擊、可以保留交易證據、保證信息的機密性、）較低的通信費用、較好的端到端信息傳輸的保密和較高的容錯能力。

　　四、移動電子商務信息交換安全性設計

　　1.移動電子商務交易模型安全性解決措施

　　針對以上電子商務系統在安全上所面臨的種種問題，為了實現移動電子商務所提供的服務，同時保證其上信息交換的安全性，結合現有的移動電子商務安全技術，現將就各安全要素及其可能的安全威脅提出如下安全性解決措施：

　?。?）信息的截取和竊聽。其關系到的安全要素是交易數據的保密性原則?，F有的移動電子商務的安全措施可以采用交易信息加密的方式來進行處理。（2）信息的篡改。信息的篡改牽涉到的安全要素是信息的完整性原則?；诂F有的安全技術可以采用報文摘要的方法來解決此種的安全威脅。（3）非授權方的非法訪問。訪問未經授權而可以獲取重要的商務信息所關系到的安全要素是信息的授權性原則。要解決此種安全威脅，所采用的安全技術就包括防火墻、動態(tài)密碼等。（4）信息的假冒。其關系到的安全要素是移動電子商務信息的可驗證性。針對這種威脅所采取的解決措施有數字證書技術。（5）交易的抵賴。其與安全要素信息的認可性相關。數字簽名技術就是用來解決商務交易中的抵賴性問題。數字簽名技術可以有效地判斷出信息的發(fā)送方，因為它是通過發(fā)送方私鑰進行加密的，因而可以解決交易抵賴的安全威脅。

　　2.移動電子商務的安全模型

　　針對移動商務交易安全性解決措施，將其應用到移動電子商務，可總結出一種基于簽名和加密方法的安全移動電子商務信息交換的模型。模型主要是針對移動電子商務中的商務信息交換。其對照安全交易體系主要是實現信息傳輸安全和安全信息認證的功能。模型的具體執(zhí)行流程如下：

　?。?）移動終端向內容服務器發(fā)送注冊要求；（2）信息中心對用戶身份進行驗證；（3）信息中心的認證機構生成用戶證書發(fā)送到移動終端，并將用戶證書按移動終端標識保存到數據庫中；（4）內容服務器為移動終端產生公私密鑰，并將私鑰按用戶標識發(fā)送給移動終端，用戶標識和私鑰保存到數據庫中；（5）用戶通過移動終端選擇相應的商品，并對交易進行簽名，隨后將用戶標識、交易信息、摘要信息、數字簽名和證書一起發(fā)送給內容服務器；（6）內容服務器依據移動終端發(fā)送過來的標識號，先和數據庫保存的用戶標識進行比較，如果一致，則向信息中心的認證機構請求用戶證書，否則拒絕服務；（7）信息中心的認證機構根據標識號將用戶證書發(fā)送給內容服務器，用戶證書由信息中心來進行產生、存儲和驗證；（8）內容服務器使用用戶證書鑒別移動終端發(fā)送過來的交易信息是否可信；（9）核實后，內容服務器用公鑰將用戶的交易訂單進行解密工作，判斷摘要是否正確，以確保給移動終端。

　　五、移動電子商務安全技術的展望

　　伴隨著移動計算和信息訪問需求的日益增加，移動安全必將成為一個熱點問題。下一代移動電子商務的安全技術必將與無線和有線通訊網絡實現無縫、高質量的集成，支持任何WAP兼容的手機的訪問，有效解決WAP網絡端到端的安全性問題，為用戶的交互提供簡單、透明的操作方法，以有利于內容開發(fā)者為無線因特網提供更多的服務。

　　參考文獻：

　　[1]黃劉生：電子商務安全問題[M].北京理工大學出版社，2005

　　[2]沈郁：基于WPKI的WAP移動電子商務安全研究。湖南大學學報，2003，6：30-33

　　[3]王宏：移動商務中的安全技術。信息安全與通信保密，2001，3：17-18

　　[4]王汝林：移動電子商務理論與實務[M].清華大學出版社，2007