探析移动电子商务信息安全系统.docx

探析移动电子商务信息安全系统摘要 本文在移动电子商务信息系统安全相关概念的论述基础上，以Bent函数和Hash函数为例探讨了移动电子商务信息系统安全问题，并探讨了通过利用这两类函数技术如何增加商务信息系统安全系数的问题。 关键词 移动电子商务 信息系统 Bent函数 Hash函数 现代计算机网络技术和电子计算机技术的迅猛发展及普遍使用，使得社会前进愈来愈依赖电子技术和信息技术的发展，信息经济席卷全球，成为经济运行的主流。电子商务近年来发展速度越来越快，应用的环境越来越好，但同时产生了商务信息系统安全问题。商务信息系统安全的核心是密码理论与技术，密码技术的研究一直收到广泛重视，密码理论与技术发展很快。应对层叠而出的商务信息系统安全问题，设计能抵抗安全攻击的布尔函数不仅有理论价值，同时还有巨大的商业应用价值。 由Rothaus教授提出的Bent函数是一类重要的密码函数，还有Hash函数。它在密码、编码理论、序列设计，以及组合设计理论中有广泛而重要应用。笔者在本文将主要探讨移动电子商务信息系统安全，以及如何采用bent函数、hash函数技术如何增加移动商务信息系统安全系数的问题。 一、移动电子商务信息系统安全简述 1.电子商务与移动电子商务概念 电子商务（Electronic Commerce，简称E-commerce）是在因特网开放的网络环境下，基于浏览器或服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付，以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。 移动电子商务(M-Commerce)，它由电子商务(E-Commerce)的概念衍生出来，是通过手机、PDA（个人数字助理）、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务：PIM（个人信息服务）、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点，已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。 截至2008年4月，中国移动电话用户合计5.84亿，移动电话用户数与固定电话用户数的差距拉大到2.24亿户，移动电话用户在电话用户总数中所占的比重达到61.9%。移动电话普及率已达41.6%。 移动电子商务与传统的主要通过桌面电脑网络平台而运行和开展的电子商务相比，拥有更为广泛的潜在用户基础。当前，中国互联网用户虽然已经超过2亿，但同时手机用户却相比多了3亿多用户，此外根据资料还有数量庞大的PDA用户群，因此，移动电子商务具有比非移动电子商务更为广阔的市场前景。 2.移动电子商务信息系统安全概念 移动电子商务信息系统安全问题是动态发展的，如防范病毒的措施，往往不可能一次成功更不可能一劳永逸。由于移动电子商务信息系统是以移动通信网络与计算机网络共同构建的平台为商务活动平台，因此它不可避免面临着一系列的由移动通讯网络和计算机网络相关的安全问题。移动电子商务给商务活动带来了诸多便利，如缩短了商务活动时间、降低了商务成本、提高了响应市场的效率等等。计算机网络为主体的有线网络安全的技术手段并不能完全适用于无线的移动网络环境，由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序，因此，有效抵制手机病毒的防护软件目前还不是很成熟。 3.移动电子商务信息系统安全类型 移动电子商务信息系统安全威胁种类繁多，可以有多种可能的潜在面，既有蓄意违法而致的威胁；也有无意疏忽造成的安全漏洞。另外还有如：非法使用移动终端、移动通讯公司工作人员不慎泄露客户信息而致、窃听等均有可能导致不同程度和后果的移动电子商务安全威胁。大体我们可以分为以下几个情况： 第一，移动通讯网络本身导致重要商务信息外泄：移动无线信道是一个开放性的信道，它给移动无线用户带来通讯的自由和灵活性的同时，同时也伴随着很多不安全因素：如通讯双方商务内容容易被窃听、通讯双方的身份容易被假冒，以及通讯内容容易被篡改等。在移动无线通讯过程中，所有通讯内容（如：通话信息，身份信息，数据信息等）都是通过移动无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取移动无线信道上传输的内容。这对于移动无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。在移动电子商务信息系统中商业机密的泄漏表现，主要有两个方面：商务活动双方进行商务活动的核心机密内容被第三方意外获得或窃取;交易一方提供给另一方使用的商务文件被第三方非正常使用。 第二，移动通讯设备传播的病毒的侵犯：病毒是目前威胁移动电子商务用户的主要因素之一，随着移动网络应用的深入扩展，移动电子商务的规模愈趋增大，移动电子商务用户也越来越多地面临着各类病毒黑客攻击风险。与病毒齐名的是黑客侵扰和攻击，由于各种网络黑客应用软件工具的传播，黑客与黑客行为己经大众化了，他们利用操作系统和网络的漏洞、缺陷，从网络的外部非法侵入，进行侵扰和不法行为，对移动电子商务安全造成很大隐患。 第三，移动通讯网路漫游而致的威胁：无线网路中的危害安全者不需要寻找攻击对象，攻击对象在某种条件下会漫游到攻击者所在的小区。在终端用户不知情的情况下，信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险，没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立，使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书,攻击者可以利用该漏洞来获利。 第四，垃圾信息（或称垃圾短信）：在移动通讯系统及设备带给广大人们便利和效率的同时，也带来了很多烦恼，其中尤其难以控制的就是铺天盖地而来的垃圾短信广告打扰着我们的生活、工作和学习。在移动用户进行商业交易时，会把手机号码留给对方。有的移动用户喜欢把手机号码公布在网上。这些都是其他公司获取大量手机用户号码的渠道所在。垃圾短信使得人们对移动电子商务充满不信任和反感，而不敢在网络上使用自己的移动设备从事商务活动。 二、提升移动电子商务信息系统安全的趋势与必然性 1.移动商务是电子商务发展的必然趋势 在未来几年中，伴随着无线网络的日益普及，移动计算设备将变得很普及。计算机技术和无线技术的结合将成为最终趋势，电子商务也将向移动商务过渡。中国在电子商务的发展方面要落后于发达国家，但随着观念的改变和技术的进步，中国越来越多地参与到世界经济发展的各个环节。中国要想在商务模式变革的过程中取得成功，关键是要准确分析市场趋势并把握市场先机。移动商务中关键的一点以用户为中心，如果能成功把握住移动个性化方面的市场先机，则完全有可能成为移动商务的规则制订者，从而摆脱以往的模仿。 2.我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性 2007年，全国电话用户新增8389.1万户，总数突破9亿户，达到91273.4万户。移动电话用户在电话用户总数中所占的比重达到60.0%，移动电话用户与固定电话用户的差距拉大到18183.8万户。 2007年12月中国互联网络信息中心（CNNIC）发布第21次中国互联网络发展状况统计报告。报告显示，截至2007年底，我国网民人数达到了2.1亿，占中国人口总数的16%。调查反映出基于网络的商务安全问题，调查网民对互联网最反感的方面是：网络病毒 29.8%，网络入侵或攻击（有木马） 17.3%等。可以说我国2亿多网民在网络上，信息安全问题是比较普遍的，因此，我国高速发展的互联网络客观上也要求提升商务信息系统安全。 美国安全软件公司McAfee2008年公布的最新调查结果显示，虽然手机病毒和攻击现在还不普遍，但随着越来越多的用户通过手机访问互联网和下载文件，手机病毒出现的概率将越来越大。McAfee公司公布的调查结果显示，只有2.1%的被调查者曾经自己遭遇手机病毒，而听说过其他手机用户遭遇病毒的被调查者也只有11.6%。McAfee在英国、美国和日本共调查了2000名手机用户，结果发现86.3%的用户对于手机病毒没有任何概念。 当前我国移动用户数保持世界第一，网民数为世界第二，我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性。 3.利用加密函数技术加强和完善高效高安全性的移动电子商务信息系统 在这个网络互联技术、移动通讯技术告诉前行的时代，信息安全尤其是电子商务信息的保密工作变得越来越至关重要，这无疑给密码学的研究带来了巨大推动。为提高移动通讯网络与互联网为平台的移动电子商务服务质量，维护移动电子商务信息提供者的权益，信息安全越来越得到人们的关注。笔者认为，研究布尔函数各种性质，特别是研究对抵抗相关攻击的相关免疫函数类、抗线性分析的Hent函数与Hash函数，无疑是具有很强的现实意义的。 (1)Hash函数加密技术概述及应用 Hash函数加密技术主要用于信息安全领域中加密算法，它能把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。Hash就是为了找到一种数据内容和数据存放地址之间的映射关系密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash 函数可用于数字签名、消息的完整性检测、消息的起源认证检测等。安全的Hash函数的存在性依赖于单项函数的存在性。Hash算法被普遍应用于数字安全的几乎所有方面，如登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码；电子签名系统利用它来认证客户及其发来的信息。 (2)bent函数加密技术概述及应用 在密码学中，为了抵抗最佳线性逼近，人们引人了Bent函数的概念，bent函数具有最高非线性度，在密码、编码理论等方面理论中有着重要应用，因而成为当前密码学界研究信息安全保密技术的热点。对Bent函数的构造可以分为间接构造和直接构造。直接构造方法主要有2种：一种是MM类；另一种是PS类，这两种属于直接构造方法。bent函数具有最高的非线性度，但它的相关免疫阶为0，为了使bent具有更好的密码学性质和实际应用价值，学者们提出了bent函数的变种，如Hyper-bent，Semi-bent等。 总之，移动电子商务信息系统安全是个多角度、多因素、多学科的问题，它不单要求从保密安全技术方面，同时也要求我们从技术之外的社会等因素考虑解决。 参考文献： 赵永刚:解析“三角经营商法”J.商场现代化,2004(15) 姬志刚:计算机、网络与