（企业管理专业论文）移动电子商务安全问题研究.pdf

沈阳理工大学硕士学位论文 摘要 大力推进信息化建设是党的十五届五中全会明确提出的事关经济发展全局的 重大战略举措。移动电子商务作为一种新兴的商务模式，已经成为国民经济和社 会信息化的重要组成部分。但是，我国的移动电子商务仍处在起步阶段，安全是 制约这一新兴商务模式发展的主要瓶颈。因此，深入探讨移动电子商务的安全问 题，促进移动电子商务的健康发展具有重要的理论价值和实际意义。 解决移动电子商务的安全问题，提高移动电子商务的安全性能，一方面能够 吸引更多的社会公众投身移动电子商务、运用移动电子商务和发展移动电子商务； 另一方面可以促进国家经济的高效运行，是实现国家经济活动在数字化、网络化 环境中顺利开展的有效保障。 论文首先分析了移动电子商务安全的特点，对移动电子商务安全与传统电子 商务安全进行了详细区分，并分析了移动电子商务的安全需求。其次论文对我国 移动电子商务的安全现状进行了详细调查，从技术和管理两个角度深入分析了我 国移动电子商务存在的安全问题。在此基础上，论文研究并借鉴了国外先行国家 移动电子商务采用的先进技术和安全管理经验，在技术上分析了现有的w a p 应用 模型的安全风险，提出一种新的基于w a p 的端到端安全解决方案，方案借助两个 重要过程，即安全会话密钥的生成过程和使用数字签名的数据传输过程来提高端 到端数据传输的安全性，同时论文分析了现有s m s 系统应用模型的安全漏洞，提 出一种基于s m s ( s t k ) 的安全解决方案，利用短消息网关和安全接入服务器之间的 c m p p 代理模块实现二者之间的数据通信，并采用相应的认证机制来实现移动终端 到短消息服务中心的端到端安全。在安全管理角度上，论文结合我国实际，提出 了切实可行的安全管理策略，同时注重法律法规在移动电子商务安全管理中的重 要作用，并针对我国国情提出了有关移动电子商务安全立法的建议。 关键词：移动电子商务；移动电子商务安全；身份认证；安全管理 沈阳理工大学硕士学位论文 a b s t r a c t v i g o r o u s l yp r o m o t i n gt h ei n f o r m a t i o n i z a t i o nc o n s t r u c t i o ni s am a j o rs t r a t e g i c i n i t i a t i v ei n f l u e n c i n gt h eo v e r a l le c o n o m i cd e v e l o p m e n t ，w h i c hi sp r o p o s e dc l e a r l yi n t h ef i f t hp l e n u mo ft h e15 t hc p cc e n t r a lc o m m i t t e e a san e wb u s i n e s sm o d e l ，m o b i l e e - c o m l l l e r c eh a sb e c o m ea ni m p o r t a n tc o m p o n e n to ft h en a t i o n a le c o n o m ya n ds o c i a l i n f o r m a t i o n h o w e v e r , m o b i l ee - c o m m e r c ei nc h i n ai ss t i l li ni t si n f a n c y , a n ds e c u r i t yi s t h em a i nb o t t l e n e c kc o n s t r a i n i n gt h ed e v e l o p m e n to ft h i se m e r g i n gb u s i n e s sm o d e l t h e r e f o r e ，i th a sa ni m p o r t a n tt h e o r e t i c a la n dp r a c t i c a ls i g n i f i c a n c et os t u d ys e c u r i t y p r o b l e m so fm o b i l ee - c o m i n e r c ef u r t h e ra n dp r o m o t et h eh e a l t h yd e v e l o p m e n to f s o l v i n gs e c u r i t yp r o b l e m so fm o b i l ee - c o m m e r c e ，a n de n h a n c i n gt h es a f e t yo f m o b i l ee - c o m m e r c e ，o nt h eo n eh a n dc a l la t t r a c tm o r eo ft h ep u b l i ct od e v o t ei n t o m o b i l ee - d ：o m m e r c e ，a p p l y i n ga n dd e v e l o p i n gm o b i l ee - c o m m e r c e ；o nt h eo t h e rh a n d c a ne f f e c t i v e l ye n s u r et h es m o o t hi m p l e m e n t a t i o no ft h en a t i o n a le c o n o m i ca c t i v i t i e si n t h ed i g i t a l ，n e t w o r k e de n v i r o n m e n t f i r s t l y , t h ep a p e ra n a l y z e st h ef e a t u r e so f m o b i l ee - c o m m e r c es e c u r i t y , c a r r i e so u ta d e t a i l e dd i s t i n c t i o no ft h e s e c u r i t yb e t w e e nm o b i l ee - c o m m e r c ea n dt r a d i t i o n a l e - c o m m e r c e ，a n da n a l y z e ss e c u r i t yn e e d so fm o b i l ee - c o m m e r c e s e c o n d l yt h ep a p e r c o n d u c t sad e t a i l e di n v e s t i g a t i o ni n t ot h es t a t u so nt h es e c u r i t yo f m o b i l ee - c o m m e r c ei n c h i n a , i n d e p t ha n a l y z i n gt h ee x i s t i n gs e c u r i t yp r o b l e m so fm o b i l ee - c o m m e r c ei n c h i n a 舶mt e c h n i c a la n dm a n a g e m e n tp e r s p e c t i v e o nt h i sb a s i s ，t h r o u g hr e s e a r c ha n d a d o p t i o n a d v a n c e d t e c h n o l o g y a n d s a f e t ym a n a g e m e n te x p e r i e n c e i nm o b i l e e - c o m m e r c ef x o mo t h e rd e v e l o p e dc o u n t r i e s ，t h ep a p e ra n a l y z e st h es e c u r i t yr i s k so ft h e e x i s t i n gw a pa p p l i c a t i o nm o d e la n dp r o p o s e san e ww a p - b a s e de n d t o e n ds e c u r i t y s o l u t i o nm e t h o d i nv i r t u eo ft w oi m p o r t a n tp r o c e s s ，n a m e l yt h es e c u r i t ys e s s i o nk e y g e n e r a t i o np r o c e s sa n dt h eu s eo fd i g i t a ls i g n a t u r ed a t ae n d - t o e n dp r o c e s s ，t h es o l u t i o n 沈阳理工大学硕士学位论文 m e t h o di m p r o v e st h es e c u r i t yo fd a t at r a n s m i s s i o n a tt h es a m et i m et h ep a p e ra n a l y z e s t h es e c u r i t yf l a w so f e x i s t i n gs m sa p p l i c a t i o nm o d e ls y s t e m ，a n dp r o p o s e sas o l u t i o n m e t h o db a s e do ns m s ( s t k ) s e c u r i t y , u s i n gt h ec m p p a c t i n gm o d u l e sb e t w e e n s h o r t m e s s a g eg a t e w a ya n ds a f ea c c e s st os e r v e rt or e a l i z et h ed a t ac o m m u n i c a t i o nb e t w e e n t h et w o ，a n da d o p t sc o r r e s p o n d i n ga u t h e n t i c a t i o nm e c h a n i s m st oa c h i e v em o b i l e t e r m i n a lt os h o r tm e s s a g es e r v i c ec e n t e r se n d t o e n d s e c u r i t y i n t h es e c u r i t y m a n a g e m e n tp e r s p e c t i v e ，i nl i g h to fc h i n aa c t u a lt h e s i s ，t h ep a p e rp r o p o s e sp r a c t i c a b l e s e c u r i t ym a n a g e m e n ts t r a t e g y , a tt h es a m et i m el a y se m p h a s i so nt h ei m p o r t a n tr o l eo f t h el a w sa n dr e g u l a t i o n si nt h em a n a g e m e n to fm o b i l ee - c o l n m e r c es e c u r i t y , a n dp u t f o r w a r dt h ep r o p o s a lo fm o b i l ee - c o n l m e r c es e c u r i t yl e g i s l a t i o ni nv i e wo ft h en a t i o n a l c o n d i t i o n s k e y w o r d s ：m o b i l ee - c o n l l l l e r c e ，m o b i l ee - c o n l m e r c es e c u r i t y , a u t h e n t i c a t i o n , s e c u r i t y 沈阳理工大学 硕士学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导下，由作者本 人独立完成的。有关观点、方法、数据和文献的引用已在文中指出， 并与参考文献相对应。除文中己注明引用的内容外，本论文不包含任 何其他个人或集体己经公开发表的作品成果。对本文的研究做出重要 贡献的个人和集体，均己在文中以明确方式标明。本人完全意识到本 声明的法律结果由本人承担。 作者( 签字) ：度物 日期：渊g 年易月略日 学位论文版权使用授权书 本学位论文作者完全了解沈阳理工大学有关保留、使用学位论文 的规定，即：沈阳理工大学有权保留并向国家有关部门或机构送交学 位论文的复印件和磁盘，允许论文被查阅和借阅。本人授权沈阳理工 大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可 以采用影印、缩印或其它复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：戌扬指导教师签名：杈夕 日期：加富另，寥日 期：加伊弓f 吕 第l 章绪论 第1 章绪论 1 1 选题背景及现实意义 1 1 1 选题背景 随着计算机和互联网技术日趋成熟，电子商务的发展已渐成大器，全球电子 商务收入逐年迅速增长，成为推动国家生产力水平和经济增长速度的关键因素。 随着移动通讯技术的发展和移动终端的普及，移动电子商务的应用领域也已经非 常广泛，人们逐渐意识到融合移动通信技术的电子商务将具有更大的潜力，并将 更多的关注转向移动电子商务。 移动电子商务是电子商务新的发展方向，是国民经济和社会信息化的重要组 成部分。大力推进信息化建设是党的十五届五中全会明确提出的事关经济发展全 局的重大战略举措。中共中央明确提出：“大力推进国民经济和社会信息化，是 覆盖现代化建设全局的战略举措。以信息化带动工业化，发挥后发优势，实现社 会生产力的跨越式发展。 这次会议把信息化提到了国家战略的高度。党的十六 大进一步做出了以信息化带动工业化、以工业化促进信息化、走新型工业化道路 的战略部署；党的十六届五中全会再一次强调，推进国民经济和社会信息化，加 快转变经济增长方式。十七大报告提出，要大力推进信息化与工业化融合，促进 工业由大变强。 近年来，我国移动电子商务建设在产品创新、产品运营、资源整合等方面取 得了显著成绩，移动电子商务业务得到广泛开展，并创造了巨大的经济效益。同 时，我国庞大的手机用户人群和手机用户的高速度增长为移动电子商务发展提供 了基础，国家信息产业部表示，要抓住机遇大力发展移动电子商务，使我国移动 电子商务整体竞争力得到大幅度提升。 移动电子商务因其快捷方便、无所不在的特点，已经显示出巨大的潜力。但 是，我国的移动电子商务仍处在起步阶段，安全问题仍然令人担忧。国家在推进 信息化建设的同时，对信息安全给予高度重视。2 0 0 6 年3 月1 9 日，中共中央办公 沈阳理工大学硕士学位论文 厅、国务院办公厅印发了2 0 0 6 - - 2 0 2 0 年国家信息化发展战略，指出目前我国信 息化发展存在着一些亟待解决的问题，并强调：“信息安全问题仍比较突出，在全 球范围内，计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害 信息和网络违法犯罪等问题日渐突出，如应对不当，可能会给中国经济社会发展 和国家安全带来不利影响。 同时将“安全可靠 作为战略方针纳入到信息化发展 战略之中，并提出了“全面加强国家信息安全保障体系、增强国家信息安全保障 能力 的战略目标。 移动电子商务实现了移动通信技术和互联网技术的融合，与传统互联网电子 商务相比，其安全问题更为复杂，并成为制约这一新兴商务模式发展的主要瓶颈。 信息传输的安全、移动终端的安全、身份认证的安全等一系列安全问题不能妥善 解决，给企业和个人造成很大的心理障碍，影响移动电子商务活动的顺利进行。 因此，提高移动电子商务的安全性能，消除移动用户的安全隐患，促进移动电子 商务健康发展成为当务之急。 1 1 2 现实意义 对移动电子商务安全问题的研究，具有以下两个方面的重要意义： ( 1 ) 移动电子商务安全是移动电子商务的生存保障 移动电子商务的安全威胁是在电子化、网络化、数字化技术发展的背景下产 生的，许多传统意义上形成的安全解决办法不能被用来简单地照搬照抄。在移动 环境下开展电子商务活动，客户、商家、银行、移动运营商等诸多参与者都会担 心自己的利益是否能够真正得到保障。因此，各国政府、国际组织以及i t 业界人 士都在致力于安全问题的解决方案，期望逐步把网上混沌世界变得有序、可信、 安全。只有保证了移动电子商务的安全，才能够吸引更多的社会公众投身移动电 子商务、运用移动电子商务和发展移动电子商务，才能够保证移动电子商务健康 的生存、高速的发展。 ( 2 ) 移动电子商务安全涉及国家经济安全 商务活动是国家经济生活中的重要环节。在信息化进程中，国家安全与经济 安全密不可分，而经济安全依赖于信息化基础设施的安全程度。面对计算机、通 信、多媒体的广泛应用，国际社会对信息安全空前关注，除了重视传统意义的军 事安全外，越来越重视信息攻击的威胁性。 2 第1 章绪论 保证移动电子商务安全、健康的发展，是维持社会生产和生活的正常秩序、 建立效率与公平兼顾的社会发展机制、促进国家经济高效运行的便捷通道，是实 现国家经济体制与秩序安全、金融与货币安全、产业与市场安全、战略物资与能 源安全、对外贸易与投资安全在数字化、网络化环境中顺利开展的有效保障。因 此，从国家战略的高度上讲，移动电子商务安全是国家经济安全的重要组成部分， 是实现信息社会可持续发展的重要一环。 为此，本论文从现实出发，针对移动电子商务安全上出现的问题及原因展开 深入分析，并提出解决的方案及对策，对移动电子商务的健康发展起到推波助澜 的作用。 1 2 国内外移动电子商务安全的研究状况 1 2 1 国外研究状况 国外对于移动电子商务安全方面的研究，大多是以移动数据加密理论为基础。 从世界上信息安全和数据加密理论的提出和发展的历史来看，最早是1 9 4 9 年美国 的科学家c l a u d es h a n n o n 在他著的保密系统的信息理论一书中提出了“信息 安全一的概念。1 9 7 6 年w d i f f i e 和m h e l l m a n 发表了 请一 弋、 ( ，1 2 、：( 嬲： 微浏览器 ! 三 服，俞丽 q 特征增进 签名的过程 每人自己先生成一组非对称密钥，并将加密用的密钥作为私有密钥自己保 留，而将另一个密钥作为共有密钥放在公开的地方让他人存取； i 对文件签名时，先将文件通过h a s h 函数运算生成一份“信息摘要 ( m e s s a g ed i g e s t ) ； 将该信息摘要与签名者的私有密钥作运算，产生“数字签名，与原信息 一起传送出去。 用签名者的私有密钥加密 图2 4 数字签名的过程 解读签名的文件 沈阳理工大学硕士学位论文 文件接收者在收到该签名文件后作反向运作，即将信息原文通过h a s h 函 数运算产生“信息摘要 ； 用签名者公布的公钥解开数字签名取得其中的信息摘要，两者做比较，若 相同则表示该签名是正确的。 h a s h 运算 用签名者的 公有密钥解密 图2 5 解读签名的过程 数字签名的作用 若数字签名可用签名者的公开密钥正确地解开，则表示该数字签名是由签 ， 名者所产生的； 两者的信息摘要相同表示文件没有被他人篡改过。 ( 2 ) 数字证书 数字证书是网络交易双方真实身份证明的依据，它是一个经证书授权中心数字 签名的、包含证书申请者个人信息及其公开密钥的文件。基于公开密钥体系的数 字证书是移动电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与 验证公众的密钥。数字证书是由可信任的、公正的权威机构c a 颁发，c a 对申请者 所提供的信息进行验证，然后通过向移动电子商务的各参与方签发数字证书来确 认各方的身份，从而保证移动电子商务交易支付的安全性。 数字证书在移动电子商务中有以下作用：证明在电子商务或信息交换中参与者 的身份；授权进入保密的信息资源库；提供网上发送信息的不可否认性的依据； 验证网上交换信息的完整性。 在移动电子商务中最常用到的数字证书是x 5 0 9 ，证书的机构包括： a 版本( v e r s i o n ) ：区分x 5 0 9 证书格式的版本 第2 章移动电子商务安全概述 b 序号( s e r i a ln u m b e r ) ：识别证书的唯一编号 c 算法( a l g o r i t h mi d e n t i f i e r ) ：认证中心用来签发该证书的公开密钥算法 d 发证者( i s s u e r ) , 核发该证书的认证中心 e 发证者识别码( i s s u e ru n i q u ei d e n t i f i e r ) ：用以识别发证机构的识别码 f 使用者( s u b j e c t ) ：拥有此公钥的使用者 g 使用者识别码( s u b j e c tu n i q u ei d e n t i f i e r ) ：用以识别个别使用者的识别 码 h 公钥信息( p u b l i ck e yi n f o r m a t i o n ) ：与使用者对应的公钥与其公开密钥 算法名称 i 有效日期( p e r i o dv a l i d i t y ) ：包括起止日期 3 、防火墙技术 防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以外非法手 段进入内部网络访问内部网络资源，以保护内部网操作环境的特殊网络设备或软 件。目前，防火墙技术主要有分组过滤和代理服务两种类型。 2 3 3 无线公开密钥体系( w p i ( i ) 无线公开密钥体系( w p k i ) 是移动电子商务中应用较多的一种安全体系，它是 将互联网电子商务中p k i 安全机制引入到无线网络环境中的一套遵循既定标准的 密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字 证书，有效建立安全的无线网络环境。 一个完整的w p k i 系统需要包含以下要素： ( 1 ) 注册机构r a ( r e g i s t r a t i o na u t h o r i t y ) ：需要得到证书的用户需在此 注册来申请数字证书，由r a 来校验申请者的信任状况，以及批准或拒绝数字证书 的请求。 ( 2 ) 认证机构c a ( c e r t i f i c a t ea u t h o r i t y ) ：根据注册机构的申请生成并发 布数字证书。 ( 3 ) 终端应用程序e a ( e n de n t i t ya p p l i c a t i o n ) ：即具有p k i 功能的应用 程序，运行于w a p 设备中的w i m 卡上。 ( 4 ) 证书存放目录：在需要的时候可以到这个目录下来访问数字证书。 ( 5 ) p k i 网关：通常情况下其扮演着r a 的角色，一端通过无线网络接受w a p 1 0 沈阳理工大学硕士学位论文 客户向r a 网关发出的请求，另一端通过有线网络和c a 进行交互。 w p k i 系统的主要功能是为基于移动网络的移动终端用户、以及移动数据服务 提供商的业务系统提供基于w p k i 体系的各种安全服务，其系统架构图如下： 图2 6w p k i 安全体系总体架构图 移动终端通过注册机构向证书中心申请数字证书，证书中心经过审核用户身 份后签发数字证书给用户，用户将证书、私钥存放在u i m 卡中，移动终端在无线 网络上进行电子商务操作时利用数字证书保证端对端的安全。服务提供商则通过 验证用户证书确定用户身份，并提供给用户相应的服务，从而实现电子商务在无 线网络上的安全运行。 w p k i 并不是一个全新的p k i 标准，它是传统的p k i 技术应用于无线网络环境 的优化和扩展。它采用了优化的e c c 椭圆曲线加密和压缩的x 5 0 9 数字证书，并 采用证书管理公钥，通过第三方的可信任机构认证中心( c a ) 验证用户的身份， 从而实现信息的安全传输。具体说，w p k i 的优化主要表现在以下方面： ( 1 ) p k i 协议。用于处理p k i 服务请求的方法是依赖于a s n 1b a s i ce n c o d i n g r u l e s ( b e r ) 和d i s t i n g u i s h e de n c o d i n gr u l e s ( d e r ) 的，这种方法需要较多的资 源。w p k i 使用删l 和w 札s c r i p tc r y p t oa p i ( w m l s c r y p t ) ，在编码和提交p k i 服 务请求时能节省大量处理资源。 ( 2 ) 数字证书。由于无线信道和移动终端的限制，在证书的传递中需要对原 来p k i 进行优化，有两种方法： a w t l s 证书 w t l s 证书的功能和x 5 0 9 相同，但尺寸大大减小，以利于在资源受限的移动 2 0 第2 章移动电子商务安全概述 终端中处理。因为w t l s 证书格式是x 5 0 9 证书的子集，所以可以在标准p k i 中保 持互操作性。 b 移动证书标识 将标准x 5 0 9 证书与移动证书唯一对应，并在移动终端中嵌入移动证书标识， 用户需要将移动证书标识与签名数据一起提交对方，对方再根据移动证书标识检 索相应的数字证书即可。标识一般只有几个字节，远小于w t l s 证书，并且不需要 对标准x 5 0 9 做任何改动。 ( 3 ) 加密算法和密钥。从性能和资源角度上说，传统的签名方案在无线环境 下是不适用的，支持r s a 算法的智能卡要有高性能的芯片，椭圆曲线加密机制( e c c ) 使用较短的密钥就可以达到与r s a 相同的加密强度，为密钥存储、证书大小、内 存使用和对数字签名的处理带来很高的效率。 总之，w p k i 是传统p k i 的扩展，包括了p k i 中大部分的技术和概念，罗p k i 与 移动环境中所有安全和应用服务需要使用更有效的加密和数据传输技术来优化， 以适应个人无线设备和窄带的无线网络。 2 4 移动电子商务的安全需求 2 4 1 移动电子商务安全的特点 移动电子商务融合了移动通信网络和互联网络而实现，在终端上与传统电子 商务也有很大的区别，因此移动电子商务的安全既包括了传统i n t e r n e t 电子商务 系统的安全问题，也包括信息在移动通信网络中传输的安全风险和移动终端本身 的安全。将移动电子商务安全与传统电子商务安全的特点加以对比，用下图加以 描述： 图2 7 移动电子商务与传统电子商务安全的对比图 沈阳理工大学硕士学位论文 从图中我们发现，移动电子商务与传统电子商务在安全问题上既有区别又存 在一定的联系，移动电子商务由于网络环境的特殊性，具有比传统电子商务更多 更复杂的安全问题。因此论文在分析移动电子商务的安全问题时，结合其“二网 融合的特点，进行综合研究。 2 4 2 移动电子商务安全的基本需求 移动电子商务的安全应该确保双方的合法权益所涉及的内容不受非法入侵者 的侵害，为了保证移动电子商务的正常运作，移动电子商务系统必须满足以下安 全需求： ( 1 ) 身份标识( i d e n t i f i c a t i o n ) ：对于每一个用户，应该都授予一个唯一的 用户i d 、识别名称等对其身份进行标识的要素，以保证用户身份的可识别性。 ( 2 ) 身份认证( a u t h e n t i c a t i o n ) ：系统应该能够通过密码、标识或数字认证 等来对用户的身份标识进行认证，以确保这一身份标识的确实代表了合法的用户。 ( 3 ) 接入控制( a c c e s sc o n t r 0 1 ) ：通过授权等安全机制来保证有合适权限的 用户才能访问相应的数据、应用和系统，使用相应的功能。 ( 4 ) 数据完整性( i n t e g r i t y ) ：利用信息分类和校验等手段保证数据在整个 交易过程中没有被修改，所收到的数据正是对方发送的数据。 ( 5 ) 不可否认性( n o n r e p u d i a t i o n ) ：通过数字签名等手段来保证交易各参 与方对整个交易过程中的指令和活动不得抵赖。 ( 6 ) 数据保密性( c o n f i d e n t i a l i t y ) ：通过一些加密手段来保证数据在交易 过程中不得被未经授权的人员所正确读取。 2 4 3 移动电子商务环境的特殊性 移动电子商务由于终端的特殊性，与普通电子商务有着显著的不同。就其安 全与认证技术实施和技术细节，与有线电子商务也存在明显的区别。当前移动设 备的大量普及为移动电子商务的开展提供了必要的前提，但也存在许多问题严重 制约着移动电子商务的发展。 l 、无线环境存在缺陷。下表显示了关于移动设备和固定网络设备的参数差异 ( 表2 1 ) ： 第2 章移动电子商务安全概述 表2 1 移动设备与固定设备对照表 处理器带宽内存 有线无线有线无线有线无线 高性能8 位或1 6 虚拟带宽 9 6 0 0 扩展内存 非常有限 处理器 位处理器无穷大波特无穷大 以上数据表明，与有线终端相比，无线终端运行环境非常有限，无法对资源 进行随意取舍。这种有限的资源状况本身对移动电子商务的安全构成了严重的威 胁：首先，无线终端处理器的能力不能够很好的处理证书有关的事务，使移动认 证业务开展困难；其次，如果采用t c p i p 协议，那么9 6 0 0 波特的传输速率无法 保证稳定的网络连接；另外移动终端内存很小，可用的资源有限。 2 、移动软环境 移动业务开展的软环境与网络电子商务软环境也有着明显的区别，对照如t 表( 表2 2 ) ： 表2 2 有线与无线软环境对照表。 浏览器协议描述语言 有线无线有线无线有线无线 m i c r o s o f te x p l o r e r ，有可用产品，t c p i p ， 弘ph n i l肌i l n e t s c a p e 等 无相应标准f t p 等 g a t e w a y ( 1 ) 浏览器：网络浏览器已经成熟，并有完善的标准；移动浏览器的产品业 已出现，比如微软的m o b i l ee x p l o r e r ，但无统一的国际标准。 ( 2 ) 协议：有线网络协议主要是t c p i p ，f t p 等，已经非常成熟，并成为当 前有线网络协议的标准。但是它们需要占用大量资源，无法用于无线网络；无线 网络采用w a p 网关技术来实现通讯，目前在安全技术方面尚存在不完善的部分， 需要进一步改进。 ( 3 ) 描述语言：有线网络采用h t m l 语言作为描述性语言，而无线网络则用 w m l 语言来描述，用删l 语言所生成的p k i 证书比标准x 5 0 9 证书要小。 综上所述，分析移动电子商务的安全问题，除了要考虑基本的安全需求以外， 还必须针对移动环境的特点，寻找基于移动安全技术的解决方案。 沈阳理工大学硕士学位论文 第3 章移动电子商务安全现状分析 3 1 我国移动电子商务现状分析 3 1 1 移动电子商务发展现状 l 、我国移动通讯服务市场的发展现状 移动网络是实现移动通信的基础设施。近年来，我国的移动通信网络的覆盖 范围已经非常广阔，根据中国移动通信公司( c h i n am o b i l e ) 公布的数据，全球通 网络已经覆盖全国所有地( 市) 和9 8 以上的县( 市) ，并且与中国电信、中国联 通和中国网通等运营公司实现了互通互联，甚至可以和包括美国、日本、韩国在 内的世界五大洲1 4 1 个国家和地区的2 2 0 个移动通信运营商之间进行国际漫游。 随着无线通讯技术的发展，我国移动通讯能力得到进一步加强，这为移动电子商 务的发展奠定了重要的技术基础。 移动通信终端为移动电子商务提供了与用户的接口。随着全球化的信息技术 革命，移动电话对固定电话的替代效应逐渐增强，移动电话成为我国电讯服务中 ， 来势最迅猛、发展最活跃的新秀，为移动电子商务的发展提供了广泛的用户基础。 据信息产业部统计，2 0 0 7 年1 - 1 0 月份，全国移动电话用户新增7 0 3 8 9 万户，达 到5 3 1 7 7 7 万户，其中1 0 月份新增8 1 3 2 万户，刷新单月增长纪录。从发展趋势 来看，移动电话用户增长呈加速趋势： 第3 章移动电子商务安全现状分析 图31 移动电话用户所占比重逐年上升 圄322 0 0 4 2 0 0 7 年移动电话用户各月净增比较 从图中我们可以看到，自2 0 0 0 年以来，我国移动电话用户数呈稳步增长的趋 势，且在电话用户总数中所占的比重逐年上升，成为通信行业业务收入的重要来 源。2 0 0 4 2 0 0 7 年全国移动电话用户各月净增基本呈上涨趋势，尤其在2 0 0 6 年和 2 0 0 7 年，用户各月净增上升趋势显著。据有关部门预测，今后几年内，移动电话 用户将保持稳定增长的态势。 2 、我国移动电子商务的发展现状 我国移动互联网发展势头迅猛，广阔的移动通讯网络和大量的移动用户为移 动电子商务的发展奠定了坚实的基础，另外w a p 业务的推广在移动电子商务的发 沈阳理工大学硕士学位论文 展进程中也起到了不可忽视的作用。2 0 0 0 年1 1 月1 0 日，中国移动携6 0 0 0 万手机 用户，率先启动了“移动梦网创业计划，其核心是“以客户聚集着的身份架起服 务提供商与用户之间的桥梁；现有的w a p 平台、短消息平台均可向合作伙伴开放 。 以移动梦网为中心，聚集起众多的移动电子商务服务提供商，向其手机用户提供 手机增值服务。2 0 0 1 年8 月1 日开始，中国联通在全国2 9 个省市自治区开通以“联 通在信一为品牌的无线数据业务，并联合无线数据内容服务提供商( s p ) 向联通用 户提供各类无线数据业务，这标志着中国第二大移动运营势力也正式加入到移动 电子商务市场的争夺中来。 移动梦网与联通在信的发展相当迅速，2 0 0 4 年时与两大移动运营商合作的服 务提供商数目已经超过了3 0 0 家，其大致可以分成两类：一类是传统的i c p ( 互联 网内容提供商) 通过w a p 技术，实现在移动设备上的移动电子商务服务，搜狐是 较早提供w a p 服务的i c p ( w a p s o h u c o m ) 之一；另一类是专业的w a p 网站，如 y e s m o b i l e ( w w w y e s m o b i l e c o m ，随身网和掌门网 等。 )(wap c w a p com)(wapb y a i rc o m ) 目前，我国已有近3 0 个已经开通的无线互联( w a p ) 业务的网站，但是用户申 请的人数很少，因此我国w a p 业务的发展仍处于初级阶段，而中国移动确定的每 分钟0 1 5 元的w a p 上网费用标准以及正式启动的“移动梦网( m o n t e r n e t ， m o b i l e + i n t e r n e t ) 一计划将有助于中国移动电子商务的进一步发展，因为前者打 消了用户对w a p 收费的疑虑，后者则借鉴日本移动运营商n t t d o c o m o 的经验，为 国内的内容提供商开放短消息( s m s ) 及移动应用w a p 平台，共同开发移动互联网服 务，实行收益共享的合作方式。这样，一方面为收入模式单一的i c p 扩大了收入 来源，中国移动通过它庞大的收费系统，帮助i c p 收取费用( 中国移动向i c p 收 取1 5 9 6 的佣金) ；另一方面也会促进移动互联网服务水平的提高。资费政策的明确 和服务内容的丰富，无疑将会进一步推动移动电子商务的发展。 由摩托罗拉出资主办的中国w a p 市场发展研讨会在京举行；中国移动在深圳 开通g p r s 试验网；中国联通和西门子在北京演示其g p r s 试验网；一度被炒得很 热的w a p 随着g p r s 的开通有望进入一个新的发展时期。有了移动运营商的热情参 与，再加上新浪、搜狐、网易等国内著名内容服务商的积极支持和各大手机生产 厂商的合作，我国的移动电子商务必将得到迅速发展。 第3 章移动电子商务安全现状分析 3 1 2 移动电子商务安全现状 l 、移动电子商务安全研究取得的进展 我国致力于移动电子商务安全领域的研究已经有几年的时间，经过我国政府、 移动通信行业和i t 行业以及移动用户等多方面的共同努力，安全工作已经取得了 可喜的进展，主要表现在： 我国移动电子商务的信息安全保障正在逐步完善。2 0 0 5 年4 月，我国首部真 正意义上的信息化法律电子签名法正式实施，规定电子签名与传统的手写签 名和盖章将具有同等的法律效力。随后央行发布了电子支付指引，规定电子支 付指令与纸质支付可以互相转换，两者具有相同的效力。国务院和公安部也相继 发布了有关移动电子商务信息安全的文件，以部署打击网络犯罪行为。信息产业 部和电信总局等相关部门也陆续下发了一系列文件，更多有关移动电子商务的政 策法规即将出台，它们将会更好的保证移动电子商务的信息安全。 在移动电子商务安全技术方面，我国借鉴了国外先进的技术经验，并建立了 自己的网络安全系统，很多企业还根据实际情况制定了相应的安全解决方案，为 企业移动电子商务的发展提供了良好的平台。经过多年的努力，我国成功研制了 多种自己的加密算法，并建立了多个c a 认证中心，大多数银行都开办了网上银行 业务，创造了一个比较安全的移动电子商务环境，从而保证了我国移动电子商务 的健康发展。 在移动通信服务市场的监管方面，目前我国已经制定了：电子认证服务管理 办法，对电子认证服务提供者实施监督管理。为加强移动服务的管理，国家还制 定了通信短信息服务管理规定，并将手机实名制管理办法纳入其中，要求对所 有新入网的手机用户实行实名登记，遏制违法短信、诈骗短信等垃圾短信，从而 减少通过手机短信进行违规违法行为。 2 、移动电子商务安全应用受到的阻碍 虽然我国在移动电子商务安全研究工作上取得了一定的进展，但是在应用市 场上，当前移动电子商务所面临的网络安全现状不容乐观。据公安部数据显示， 我国信息网络安全事件发生比例连续3 年呈上升趋势，今年已达到6 5 7 ，较2 0 0 6 年上升1 1 7 。国家信息中心统计资料显示，在过去一年中，约有6 4 的公司信息 系统受到黑客的攻击，其中金融业占总数的5 7 。 2 7 沈阳理工大学硕士学位论文 国内关于移动电子商务安全事件的报道层出不穷。前不久，新华网哈尔滨专 电发布了一则有关手机中毒的报道，受害人是黑龙江某大学的学生，据他描述： 前些天他通过w a p 上网下载了彩铃，但是收到的回复却是一条不明号码发来的彩 信，当时也没多想就打开运行了，结果手机开始死机，重启后运行速度也明显降 低。而他随后便收到一些定制各种服务的确认短信，更加奇怪的是，手机竟然自 动地向外发送信息。后来经服务人员分析，手机一旦中了这种病毒，不仅会自动 发送定制信息到增值业务运营商，还会将病毒以彩信或短信的形式向手机通信录 中的电话号码群发，造成更大范围的影响。目前还没有专杀这种病毒的软件，因 此最好的解决办法是重新安装手机的操作系统。 像这样的安全事件在我国已经是屡见不鲜，用户对于移动终端的安全和网络 的安全问题越来越担心，安全成为舆论普遍关注和瞩目的话题。不久前信息产业 部电子信息中心和蓝田市场信息公司做了针对移动用户的调查。调查结果显示， 网络安全是最让用户担心的因素，其中对于移动电子商务交易的安全性，担心的 人数超过了8 0 。调查认为，建立一个安全稳定的交易环境，将是推动我国移动电 子商务发展的当务之急。 3 2 移动电子商务存在的安全问题分析 移动电子商务由于利用了很多新兴的设备和技术，因此带来了很多新的安全 问题。在传统电子商务中，很多顾客和企业由于担心因安全问题蒙受损失而一直 对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子 商务所面临的各种安全问题外，由于自身的移动性所带来的一些相关特性又产生 了大量全新的安全问题。总的来说，移动电子商务的安全面临着技术、管理和法 律几个方面的挑战，与传统电子商务相比，其安全问题更加复杂，解决起来难度 更大。 3 2 1 技术上面临的主要问题 移动电子商务由于采用了移动网络通信技术，其无线通信信道是一个开放性 信道，因此移动电子商务的通信过程中存在着比传统有线电子商务更多的不安全 因素： 3 2 1 1 无线窃听 第3 章移动电子商务安全现状分析 传统的有线网络是利用通信电缆作为传播介质，这些介质大部分处于地下等 些比较安全的场所，因此中间的传输区域相对是受控制的。而在无线通信网络 中，所有的通信内容( 如移动用户的通话信息、身份信息、位置信息、数据信息 等) 都是通过无线信道传送的，无线信道是一个开放性信道，是利用无线电波进 行传播的，在无线网络中的信号很容易受到拦截并被解码，只要具有适当的无线 接收设备就可以很容易实现无线监听，而且很难被发现。 对于无线局域网络和无线个人区域网络来说，他们的通信内容更容易被窃听， 因为他们都工作在全球统一公开的工业、科学和医疗频带，任何个人和组织都可 以利用这个频带进行通信。而且，很多无线局域网和无线个人区域网络采用群通 信方式来相互通信，即每个移动站发送的通信信息其他移动站都可以接收，这些 使得网络外部人员也