作者：李艳 杨拥 涂伟

来源：《商业时代》2011年第20期

        中图分类号：F623 文献标识码：A

        内容摘要：3G时代的到来为移动电子商务提供了更加广阔的发展前景和技术基础，但是我国的移动电子商务仍处于起步阶段，安全是制约这一新兴商务模式发展的主要瓶颈。本文从移动电子商务的特点和优势出发，分析了移动电子商务的安全威胁，并从技术上和管理上提出了相应的防范措施。

        关键词：移动电子商务 电子商务 信息安全

        近年来，我国移动互联网络环境日渐成熟，配合智能手机和移动终端的快速发展，电子商务应用也有从互联网向无线互联网领域延伸之势。据中国互联网络信息中心发布的调查显示，截止2010年12月我国的手机网民达到3.03亿人，巨大的用户群体促使移动电子商务的普及。据百度统计数据显示，2010年移动互联网日浏览量已达10亿，其中移动电子商务实物交易规模达到26亿元，同比增幅高达370%。我国移动互联网研究中心联合百度无线、易查搜索、Opera、UC浏览器、企业移动应用商店等移动互联网优势产品及服务，成立了中国首个移动互联网联盟（简称移联）。“‘移联’作为一种不断创新和完善的移动商务模式，有利地推动了中国移动电子商务发展”，商务部中国国际电子商务中心总经理丁强对"移联"的成立给予了充分肯定。

        移动电子商务（Mobile-Commerce）是通过手机、PDA（个人数字助理）等移动通信设备与互联网有机结合进行的商务活动，它是无线通信技术和电子商务技术的有机统一体。移动电子商务因其灵活、简单和方便等优势，已经成为电子商务发展的新方向。

        移动电子商务的优势和特点

        移动电子商务是对传统电子商务活动的促进和补充，是电子商务引入移动性后的扩展。移动电子商务作为一种新兴的电子商务模式，利用了移动无线网络的诸多优点，极大的拓展了电子商务应用的范围。

        （一）移动性

        传统电子商务由于受到有线网络和终端设备的，不具有移动服务的功能。而移动电子商务具有广阔覆盖的无线网络和便携的手持设备，消除了距离和地域的，移动供应商几乎可以随时随地为移动用户提供移动服务。对于旅行者和移动工作者而言，移动电子商务比局限于办公室和其他固定位置的电子商务具有更多的商业机会，能够实现随时随地为用户提供个性化服务。

        （二）位置感知

        在传统电子商务中，人们在互联网创造的虚拟世界中进行商务活动，用户可以忘记物理世界的距离，没有位置的概念约束。而在移动电子商务中，位置是被着重强调的因素，位置感知被认为是一个产生价值的新维度。移动电子商务具有地理定位功能，可以确定用户当前所在的位置，建立和加强客户关系，为其提供位置相关的信息和服务。

        （三）信息和交易的简易性

        传统电子商务应用发达的互联网和成熟的Web技术，使得大量信息的分发和搜索不受地理位置的，信息过载和不必要的通信在传统电子商务环境下是可以忍受的。而在移动电子商务中，用户需要高度个性化的信息，对信息和交易的相关性和简易性要求较高。有数据表明，当手持设备每增加一次点击时，交易的可能性将下降50%。

        移动电子商务面临的安全威胁

        随着移动网络从2.5G到3G的演进和移动数据传输速率的提高，面向移动电子商务的业务领域得到了快速发展。无线信道是一个开放性的信道，它给移动电子商务带来通信自由和灵活性的同时，也带来了诸多不安全因素。

        （一）技术方面的安全威胁

        1.无线网络本身的安全威胁。传统的有线网络是利用通信电缆作为传播介质，这些介质大部分处于地下等比较安全的场所，因此中间的传输区域相对是受控制的。而在无线通信网络中，所有的通信内容（如移动用户的通话信息、身份信息、位置信息等）都是通过无线信道传送的，无线信道是一个开放性信道，是利用无线电波进行传播的，任何个人和组织不需要申请就可以进行通信。在无线网络中的信号很容易受到拦截并被解码，只要具有适当的无线接收设备就可以很容易实现无线窃听，而且很难被发现。无线窃听可以导致信息泄露，移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟踪。这对于移动电子商务的信息安全构成了潜在威胁。

        在无线通信网络中，移动站与网络控制中心以及其它移动站之间不存在固定的物理连接，移动站必须通过无线信道传送用户的身份信息。由于无线信道信息传送过程可能被窃听，当攻击者截获到一个合法用户的身份信息时，他就可以利用这个信息来冒充该合法用户的身份入网，访问网络资源或者使用一些收费通信服务等，这就是所谓的身份冒充攻击。另外，攻击者还可以假冒网络控制中心，冒充网络端基站来欺骗移动用户，以此手段获得移动用户的身份信息，从而冒充合法的移动用户身份。

        2.无线网络标准的安全漏洞。移动电子商务涉及到很多无线网络标准，其中使用最广泛的是实现手机无线访问因Internet的WAP标准和构建WLAN(无线局域网 )的802.11标准。WAP中WTLS（无线传输层安全）协议仅仅加密由WAP设备到WAP 网关的数据，数据通过SSL传送至网关上有短暂的时间处于明文状态；802.11标准使用的WEP（无线等效协议）安全机制存在密钥容易泄露且难以管理等缺陷；许多WLAN在跨越不同子网时往往不需要第二次的登陆验证。这些缺陷容易造成数据拦截和窃取，给移动电子商务的应用带来了很大的安全隐患 。

        3.移动终端的安全。移动终端因为体积小、重量轻便于随身携带和使用，但是也容易丢失和被窃。对个人而言，移动终端的丢失意味着别人将会看到移动设备上的数字证书，以及其他一些重要数据。利用存储的数据，拿到移动终端的人可以访问企业内部网络，包括E-mail服务器和文件系统等。目前手持移动终端的最大问题就是缺乏对特定用户的实体认证机制。

        （二）管理方面的安全威胁

        1.手机短信的安全管理。在移动通信给人们带来便利和效率的同时，也带来了很多烦恼，其中垃圾短信成为困扰用户的主要因素。他们一般通过非正常渠道获得一些发送手机短信价格十分低廉的短信卡，利用“短信猫”在短时间内向移动用户密集发送垃圾短信，这类短信显示的发送号码都是正常的11位手机号码，短信中诱惑性的文字可能会间接骗取用户的金融资料。垃圾短信使得人们对移动电子商务充满恐惧，不敢在网络上使用自己的移动设备从事商务活动。目前还没有相关的法律法规来规范垃圾短信，运营商也只是在技术层面上来垃圾短信的群发。

        2.信息安全管理的标准化问题。目前移动电子商务产业刚刚起步，这个领域还没有国际标准，我国也没有自己的国家标准和统一管理机构。设备厂商在无线局域网设备安全性能的实现方式上各行其道，使得移动用户既不能获得真正等效于有线互联网的安全保证，也难以在保证通讯安全的基础上实现互通互联和信息共享。由于没有安全标准的评测依据，又缺乏有关信息安全的管理法规，主管部门很难对信息安全标准做出规范要求，这也为移动电子商务信息安全的审查和管理工作带来了很大困难。

        移动电子商务的安全防范

        （一） 安全技术防范策略

        1.蓝牙技术的安全使用。蓝牙技术是一种短距离无线通信技术，它能够有效地简化掌上电脑、笔记本电脑、移动电话等移动终端之间的通信，也能够成功地简化以上这些设备与Internet之间的通信，从而使这些现代化通信设备与Internet之间的数据传输变得更加迅速高效。

        蓝牙技术的3种不同的安全模式分别是无安全模式、服务层加强安全模式和链路层加强安全模式，每一个蓝牙设备在特定的时候只能工作在一种安全模式下。蓝牙特殊利益组织（SIG）花了相当多的时间，开发出安全模式作为链路层的保护机制，例如128位元加密、装置认证以及授权等。若要达到最高的信任要求，应用开发商或者IT组织必须在链接层安全上增加应用安全，以便实现端到端的保护。蓝牙装置可以与经过认证的一方进行双边连接，或者永久性链接，这样一来，受信赖的一方就不需要每次都要经过认证流程。

        2.WVPN技术。WVPN（Wireless Virtual Private Network）即“无线虚拟专用网”，它可以在移动环境下接入企业的内联网提供安全保证。WVPN能够实现端到端的连接，从用户的角度来看，端到端的WVPN 连接提供了最佳的安全性能。数据在WVPN 客户端进行加密，在WVPN 服务器进行解密，数据在整个传递过程中都进行了加密处理。WVPN是VPN中的高效简便和安全性与无线通信技术结合的产物，在移动电子商务上具有广泛的应用前景。它提供鉴权、保密性、完整性等方面的服务，提供了端到端的最好安全性的连接。

        3.WPKI技术。WPKI即“无线公开密钥体系”，它是将互联网电子商务中PKI（Public Key Infrastructure）安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。WPKI并不是一个全新的PKI标准，它是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥，通过第三方的可信任机构—认证中心（CA）验证用户的身份，从而实现信息的安全传输。

        一个完整的WPKI系统必须具有以下部分：PKI客户端、注册机构（RA）、认证机构（CA）和证书库以及应用接口等，其构建也将围绕着这五大系统进行。CA作为数字证书的签发机构，是WPKI系统的核心。RA提供用户和CA之间的一个接口，作为认证机构的一个校验者，在数字证书分发给请求者之前对证书进行验证，它捕获并认证用户的身份，向CA提供证书请求，认证处理的质量决定了证书中被设定的信任级别。一个完整的WPKI必须提供良好的应用接口系统，使各种各样的应用能够以安全、一致、可信的方式与WPKI交互，确保安全网络环境的完整性和易用性。

        （二） 安全管理防范策略

        1.加强短信息服务的管理。治理不良手机短信是一个系统的工作，只有运营商、短信服务商、手机用户和共同参与，才能取得根本性的治理效果。首先要从准入环节加强管理。经营短信息服务业务，应当按照有关规定取得业务经营许可证。这也是加强短信息服务市场的重要举措之一。各部门应当密切配合，在各自职责权限范围内，对短信息服务加强监管。特别是通信行业主管部门，应当通过制定必要的规则来明确相关各方的权利和义务，加强日常的监督管理，真正保护广大移动用户的合法权益，进而保证移动电子商务活动安全顺利进行。

        2.加快安全管理标准化进程。要尽快制定符合我国国情的安全标准，为移动电子商务的安全管理提供依据。我国的移动电子商务起步较晚，安全技术力量薄弱，因此可以参考借鉴国际信息安全标准化的先进经验，根据我国移动电子商务安全保障体系建设和信息安全标准化的需求，制定出适合我国国情的移动电子商务安全标准，为安全管理提供依据。移动电子商务安全主管部门要以安全标准化应用为主，加强对移动电子商务安全的组织领导，加大无线网络及信息安全标准的宣传贯彻实施力度，切实做好安全标准的推广应用和监督检查工作。同时由于信息安全的特殊性，国家必须强化信息安全标准的实施，保证我国信息安全标准的全面和有效落实。

        综上所述，要实现移动电子商务的安全，单靠纯粹的技术防范是单薄无力的，安全管理策略的有效实施将使整个安全体系达到事半功倍的效果。只有技术和管理“双管齐下”，才能为移动电子商务系统构筑坚不可破的安全防线。 

        参考文献：

        1.秦成德，王汝林.移动电子商务[M].人民邮电出版社，2010

        2.梁少娥，蔡振治.3G时代我国移动电子商务的安全问题与应对措施[J].肇庆学院学报，2010(7)

        3.中国互联息中心CNNIC.第27次中国互联网络发展状况统计报告[EB/R].[2011-01-19].http://www.cnnic.net.cn

        4.梁少娥，蔡振治.3G时代移动电子商务的安全思考[J].现代电信技术，2010(4)下载本文