【移动电子商务安全技术概述6800字】

移动电子商务安全技术概述目录TOC\o"1-3"\h\u5803移动电子商务安全技术概述 1167581.1

移动电子商务概述 1140481.2

移动电子商务安全问题分析 2115071.2.1

移动电子商务安全技术框架 2247571.2.2

移动电子商务的终端安全 3308931.2.3

移动电子商务的移动支付问题 5305881.3

移动电子商务安全协议 6178171.3.1

WAP安全架构 7244711.3.2

电子支付协议 863431.4

小结 101.1

移动电子商务概述移动电子商务的概念是在电子商务的基础上提出的，是指利用互联网接入设备或移动终端在互联网上完成电子商务交易的一种新的电子商务模式。移动电子商务作为一种新型的电子商务模式，可以突破时间和空间的限制，解决传统商务中的一些难题。《第47次中国互联网络发展状况统计报告》显示，截至2020年12月，我国网民规模达9.89亿，互联网普及率达70.4%。手机网民规模达9.86亿，网民使用手机上网的比例达99.7%，移动电子商务发展势头强劲，手机用户在互联网用户中占据绝对的数量优势。同时，淘宝、京东、拼多多等电商平台趁互联网发展的东风迅速崛起，也极大地推动了移动电子商务在我国的发展。随着移动电子商务的快速发展，移动支付作为一种新的支付方式，已被人们广泛接受。人们只需一部手机就能享受“即扫即付”的便利。移动支付在生活消费和其他支付领域中发挥着越来越重要的作用。对于我国的移动电子商务来说，当前阶段正是其发展壮大的最佳时期。但因为相对来说我国移动电子商务行业起步并不早，所以说在后续发展的路上会存在某些因素的制约，如相关法律法规仍需健全、安全交易的环境仍需完善、移动支付机制需要改进、移动电子商务安全手段需要提升等，这些问题目前是必须要解决的，所以说我国移动电子商务的发展仍面临着不小的挑战。1.2

移动电子商务安全问题分析1.2.1

移动电子商务安全技术框架为了保证移动电子商务中数据的安全性，移动电子商务的安全技术框架是保证其安全性的最基本的逻辑结构。移动电子商务主要的技术框架如图1-1所示。图1-1移动电子商务安全技术框架在移动电子商务安全技术框架中，下层是上层的基础，为上层提供服务，上层是下层的扩展和延伸。各层之间相互联系、相互依存，形成一个统一的整体，保证了系统的安全性。移动电子商务系统是基于无线网络技术和互联网技术的商务系统，需要借助互联网基础设施和标准来实现。因此，移动电子商务安全框架的底层是由无线和有线两部分构成的移动承载网，主要提供信息传输载体和用户接入方式，为移动电子商务系统提供最基本的网络服务。1.2.2

移动电子商务的终端安全可以把只要能够移动使用、方便携带的相关计算机设备都理解为移动终端，比如智能手机、笔记本电脑等日常常见的一些电子设备。移动终端是进行移动电子商务活动和交易的一个最重要的平台，对其安全性的重视程度自然是不言而喻。一旦移动终端或者安装在移动终端上的应用在哪个环节出现了漏洞或问题，不法分子就会趁机而入，造成重大的损失。根据2020年中国手机安全状况报告显示，相关安全平台在2020年度共截获新增移动终端恶意程序约455万个，相比上年度增长近150%。其中，恶意程序的类型主要是资费消耗，占比达到了惊人的85%；其次是隐私盗取，占比约为8.5%；还包括远程控制、欺诈软件以及流氓行为等类型。以上数据十分直接的点明了移动终端目前面临的风险和威胁：信息泄露随着移动终端的不断升级换代，人们逐渐将自己的生活、工作等各个方面的活动从传统设备上转移到了移动终端上，自己的身份信息、支付信息甚至出行信息等等都会被记录在移动终端上。一方面，这确实方便了人们的生活，提高工作效率，还可以创造巨大的经济效益；但另一方面，大量的个人信息存放在终端设备上，一旦被非法获取，造成的损失可能无法预估。攻击者可以通过在用户终端上安装恶意软件或者木马，从而达到窃取信息的目的；部分移动终端上的应用软件的安全性没有充足保障，在与服务器进行交互时（如登录、注册）均以明文传输消息，极容易被获取，同样也会造成用户信息的泄露，严重的可能会给国家安全和经济造成不可估量的危害。信息骚扰每个人都或多或少的收到过垃圾信息，这些垃圾信息一般是并没有取得用户的同意就给用户推送，内容也多数是商家推销、一般广告或者“中奖”诈骗信息等，一般的途径就是邮箱、手机短信。由于用户的移动终端设备相对来说比较固定，垃圾短信在投放时都会有针对性，甚至会达到以假乱真的目的，严重损害了用户的隐私和财产安全。移动终端系统安全当前市面上的主流系统就是Android系统和iOS系统。Android系统的开放度较高，很容易遭到入侵或者恶意欺骗攻击。iOS虽然安全性相对较高，但仍存在有些用户对系统进行“越狱”操作，使本来较好的防御系统出现了漏洞，也会对系统的安全性产生威胁。近几年，我国国家政府单位以及企业正在逐渐提高对移动终端安全的重视程度，加大了定时检测和防护的力度。在面对移动终端安全问题上，提出了以下解决对策：建立严格的应用上线审核机制市面上有众多五花八门的移动应用市场，里面仍有大量的APP未能经过安全检查却仍能上架。如果用户下载该APP，这些非法应用会对终端造成很多危害，非法获取权限监测用户的信息，访问用户业务，对系统造成破坏，甚者可能会有恶性传播等影响移动终端的非法活动。所以说，应用市场应当健全对APP的监测机制，强化筛查流程，提高APP的准入门槛。国家相关机构也可以出台政策，建立统一的移动应用市场的标准，进一步提高安全性。完善安全检测技术应用动态检测技术，主要对通信层、文件层的信息数据进行跟踪检测，对访问系统资料、向量采集等操作进行验证，从而检验程序中是否有违法行为。另外，基于对权限的监测等技术都需要进一步的完善。在面对安全风险时，可以采用多种技术混合检测的方法，对所需检测对象进行全方位检测，达到最高的安全标准。建立应用检测基础设施联系人、通话记录、短信、备忘录、文件等都是移动终端信息记录的主要位置，但也正是不法分子最感兴趣、最容易获得大量信息的部分，是移动终端目前存在的重大安全隐患。应当加大研究力度，重点研究基础设施的建设，建立关于应用软件的漏洞数据库。在基础设施中收集出现过的安全问题，进行自动化分析，测评安全风险，建立系统防御机制。总而言之，移动终端设备的普及在给人们带来便利的同时，安全问题的出现也是不可避免的。我们应该尽快建立和完善安全保护机制，为广大用户带来更好、更安全的体验。1.2.3

移动电子商务的移动支付问题移动支付作为一种支付方式，是近几年新兴起的基于智能移动终端设备来进行支付的一种支付方式。据一项调查显示，在世界范围内，使用移动支付进行支付占比最高的就是中国，比例高达87%，位列世界第一。随着智能终端设备的普及，移动支付在中国已经遍布大街小巷，从繁华城市到田间地头处处都有它的身影。支付宝和微信这两大移动支付行业的领军企业，占据了国内移动支付市场的90%的份额，不过最近几年云闪付、银联等支付方式也开始慢慢有用户使用。在移动支付中，用户、商家以及银行（第三方金融机构）三者之间相互联系，形成一个全新的支付体系。移动电子支付是移动电子商务的主要支付方式，这是智能终端设备普及和互联网快速发展的必然发展结果。主要分为四种方式：手机银行、移动购物、移动P2P和移动POS四种方式。移动支付有其无法被替代的优势：用户规模大、时空限制小、应用领域广泛；同时，移动支付使用方便，不需要找零，可以避免出现假币等传统支付手段带来的问题，便捷了人们的生活，传统的购物、餐饮等领域已基本被移动支付覆盖。用户可以在移动设备端实时查看交易订单或者自己的余额，当前有些支付软件还提供了类似“花呗”这种先用钱后还钱的服务，这极大地激发了用户使用移动支付的热情。当前的移动支付系统主要分成两类，一类是远程支付，另一类是近距离支付。使用远程支付时，一般是用户在线上购买商品，然后进行交易时使用的，它在使用时需要连接远程钱包服务器进行支付，可以通过互联网或网上银行来进行支付。近距离支付通常是指人们在生活中出示二维码进行支付，一般应用场景为乘坐公交、线下商店购物等等，最近几年出现的NFC移动支付，也可以是近距离支付的一种。但与此同时，移动支付的安全性也存在一些问题，不仅威胁着人们的财产安全，更是制约着移动支付的发展。下面从三个主要方面介绍移动支付中的安全问题：（1）移动终端仍有漏洞由于当前大多数移动终端并没有可靠的安全机制来保障数据机密性，所以在移动支付的过程中可能会出现信息泄露等安全问题。当前的移动支付软件都要用户在使用前进行实名注册，这样一来，用户的身份证号等信息就必须要上传到终端。一旦保护不当，很容易造成隐私信息泄露，轻则收到骚扰信息，重则被恶意使用身份信息，造成自己或他人的财产损失。与此同时，现在各式各类的支付软件，使得用户无法判断该软件是否安全。有些APP会不经过用户的同意就获取到某些权限，盗取个人信息；有些不法分子会利用这部分安全性不高的APP入侵支付系统，进行钓鱼诈骗、篡改应用信息等。（2）支付环境存在隐患商家在网上售卖商品时会进行打折售卖活动，用户通过点击链接或者扫描二维码就可以获取优惠。不法分子在二维码或网页链接中捆绑木马链接，当用户点击链接或者扫描二维码时就会被植入木马，重要信息就会被盗取，包括银行在认证用户的身份时发送的验证码信息等。不法分子可以利用验证码修改用户的个人信息，对用户造成严重的经济损失。另外，不法分子还会通过当今已经普及WiFi网络，入侵支付环境。当前各大商场、餐厅等公共区域基本都有全面覆盖的免费公共WiFi，不法分子通过伪装成商家，搭建一个虚假的WiFi，对用户进行钓鱼攻击，盗取用户的信息，给用户带来巨大损失。法律体系亟待完善现阶段，移动支付行业的需求也随着互联网的高速发展在不断变化。尽管互联网行业在不断发展，但我国相应的法律监管却相对滞后，尚未形成一个统一健全的法律体系。同时，互联网等高新行业与移动支付总是密切关联，这种高科技信息领域立法难度本来就大，再加上行业自律尚未完成，缺乏专业化、规范化的执法监督手段，法律法规的完善速度追不上移动支付的发展速度，用户法律意识淡薄等问题严重制约着移动支付的快速发展。互联网行业仍在飞速发展，移动终端设备也在加速更新换代，5G正在逐渐普及，移动支付一定会迎来崭新的发展局面。我国的移动支付实际上仍处于不断摸索的阶段，存在着较多的风险和挑战，但是只要不断对出现的问题进行改善，完善法律法规体系，移动支付一定会有更进一步的创新和发展。1.3

移动电子商务安全协议想要构建一个安全的移动电子商务环境,保障移动电子商务顺利应用与发展，移动电子商务安全协议是其实现的关键。目前电子支付协议、WAP无线通信协议等协议是国际上移动电子商务行业普遍认可和采用的安全协议。1.3.1

WAP安全架构WAP是一个全球性的、开放性的、标准的应用协议，是专门为无线设备定义应用体制和网络协议而发布的。WAP技术的作用就是可以使在互联网上的信息或者在其上进行的业务全部转移到移动设备上。以短信为基础的第一代电子商务技术存在着许多缺陷，实时性差便是其中的一个致命问题。以WAP技术为主要技术手段的第二代的移动电子商务系统就要好用很多，人们通过手机的浏览器访问WAP网页，进行信息的查询等操作。当前，WAP基本可以支持市面上主流的嵌入式操作系统，包括大多数的无线终端设备。WAP传输数据时采用的是二进制的方式，能够满足低带宽通信，是移动电子商务中一种重要的承载技术，用户可以随时随地接入和访问网络，不受所处地点的限制。WAP在定义相关标准时，要遵循能够将网上的信息进行过滤并且转化为适合移动通信使用的原则，只有这样内容在移动终端上显示的才能更简单方便。与采取WWW通信的传统协议相比，WAP不但采用的是客户/服务器的方式，而且比传统的WWW通信多了一个WAP网关。WAP应用系统中共包含WAP客户端设备、WAP服务器以及WAP网关三个实体。客户机通过WAP网关然后再与资源WAP服务器通信。WAP的应用模型图如图1-2所示，WAP经典通信模型如图1-3所示。图1-2WAP应用模型图1-3WAP通信模型无线网络在带宽方面存在限制，数据在进行压缩处理时，反应时间较长，移动终端处理数据的能力还有待加强。WAP协议的提出，对于克服这些弊端，有了标准的协议依据。1.3.2

电子支付协议为了保证电子交易过程中信息的机密性和完整性，电子支付协议应运而生。根据不同的阶段可以将电子支付分为以下三类：一是加入可信的第三方。第三方负责维护的是用户、商家的交易信息以及个人信息等。在进行交易的过程中，传输的只有订单的商品信息和确认支付的商品的信息，无用户或商家的机密信息；二是通过银行转账结算。若使用这种方式，当用信用卡支付时，不管是支付方还是收款方，都能获取机密信息；三是电子货币以及数字现金。这种方式与前两种不同，若信息泄露，造成的会是财产的较大损失，因为在这种方式下盗取的是直接的钱财。电子支付协议的出现为解决上述问题提供了较好的解决方法，当前，在国内外的众多协议中，应用最广泛的还是安全套接层（SSL，SecureSocketsLayer）协议和安全电子协议（SET，SecureElectronicTransaction）协议。下面进行具体的介绍。（1）SSL协议SSL协议是Netsacpe在1994年推出的一种基于Web应用的安全通信协议，目的是为电子支付过程中参与者的信息提供安全保障。SSL协议可以同时在客户端和服务器端实现，对双方通信的整个过程加密，确保信息不会被窃听或者篡改。在SSL协议中，通过使用了公、私钥加密的加密方式来对计算机的全部会话过程保密，确保信息的安全传输。公钥密码体制在SSL协议中得到了广泛使用，众多常见的Web浏览器以及服务器当中均被内置。协议位于TCP协议（传输层）与应用层之间，向上能够为应用层的协议（例如HTTP、TELNET等）提供安全保障。同时，密钥协商、消息加密、身份认证等技术，这些与SSL协议密切相关的技术都是在和应用层的协议进行通信前就已经完成了，所以应用层协议若传输消息，消息都是经过加密处理过的，通信过程的安全性有保障。SSL的主要工作流程如下：首先建立与网络的连接；然后选择加密以及压缩的方式；进行双方身份的识别；对本次传输密钥进行确定；加密的数据传输；关闭网络连接。SSL协议中的记录协议是用来给上层提供基于C/S模式的安全传输服务。SSL协议的结构层次如图1-4所示。图1-4SSL协议结构层次SSL协议的安全性是靠加密算法的安全性来保证的，因此一旦加密算法被破解，SSL协议也就不存在什么安全性。因为SSL并没有具备数字签名功能，因此不能为交易的双方提供不可抵赖的证明。一旦交易双方事后对交易行为提出异议，SSL并没有判断孰是孰非的能力，消费者或者商家的利益可能会受到损害。另外，SSL解决的信息传输安全问题是针对点到点之间的，并没有对Web站点的安全问题进行解决，因此在实际应用中，SSL协议使用时通常要与其他安全技术结合起来使用。总体来看，在保护移动电子商务安全方面，SSL协议有一定的贡献。但是如果SSL协议本身使用的加密算法能够不断完善，那么安全性也会随之提高，应对风险的能力就会增强。（2）SET协议SET协议是一个针对安全交易而制定的规范，是由国际两大知名组织VISA、MasterCard以及业内权威厂商共同提出并开发的，主要用于确保移动电子商务中使用信用卡交易时的安全性问题，提供对客户、商家、第三方金融机构之间的认证，在移动支付时通过网上银行进行支付便是其重要应用。在进行电子支付时，基于SET协议交易过程中，参与者主要分为六方：用户（持卡人）、商家（服务提供者）、支付网关、收款银行、发卡银行以及CA。其中，CA是支付信息由