3G时代移动电子商务安全研究——移动电子商务安全技术与通讯网络无缝、高质量的集成.doc

本科毕业论文3G时代移动电子商务安全研究移动电子商务安全技术与通讯网络无缝、高质量的集成姓 名: 学 号: 班级: 信息管理与信息系统 指导老师: 职 称: 完成时间: 摘 要在商场里看中了一件衣服，看好了，也试好了，但是觉得价格太贵，不如上淘宝搜一搜，上网店搜一搜，但是想要上网还得回家才能上网，万一网上价格跟商场的是一样，岂不是还要再来商场一趟。移动电子商务的出现，让购物更方便，用户只需现场掏出移动设备即可满足自己关于购物、查询等方面的问题，随时、随地都可以远程操作。3G时代的移动电子商务更是为用户提供了更为便捷、快速的网络平台，但是同时也会出现诸多的安全隐患问题，身份如何识别、信息是否加密、交易是否正确、交易是否可靠、垃圾短信如何避免等安全问题如何能够有效的解决？让用户可以放心、安全的选择移动电子商务，同时也是为了移动电子商务更好的发展。就这些问题展开课题讨论与研究，通过多种途径的辩证与实践，并搜集大量有关信息，最终得到的结论是移动电子商务的安全问题并不是完全避免不了，想要避免在使用移动电子商务中出现的安全问题，不仅在于你使用的网络平台是否安全有保障，同时用户本身在使用时也可有效的避免一部分安全威胁。关键词：移动电子商务, 支付安全，信息安全，安全威胁, 策略目 录一、引言.2二、移动电子商务支付安全分析及解决方案.3 （一）、加密和及时性问题.4（二）、身份识别缺乏 .4（三）、信息被恶意拦截.5（四）、移动电子商务安全支付方案.5三、针对移动电子商务信息交换安全分析.6（一）、移动电子商务信息交换前期安全性.6 信息保密、身份验证、信息正确、交易可靠（二）、移动电子商务信息交换过程安全性.7 不安全因素、安全威胁（三）、移动电子商务信息交换安全方案.8四、移动电子商务隐私和法律安全分析.10（一）、垃圾短信.10（二）、隐私威胁.10（三）、法律保障.10五、结论.12参考文献.13致谢.14一、引 言移动电子商务(M-Commerce)，它由电子商务(E-Commerce)的概念衍生出来，现在的电子商务以PC机为主要界面，是“有线的电子商务”，而移动电子商务，则是通过手机、PDA(个人数字助理)这些体型较小，方便携带的终端与我们见面，无论何时、何地都可以使用。这给我们提供了许多便捷，帮助我们减少很多不必要的麻烦和时间，同时不少移动电子商务也帮我们节省了很多金钱。 传统电子商务通过台式PC电脑、笔记本电脑，用户使用并不方便，因此用户很不稳定，而移动电子商务的用户相对更为广泛且稳定。据中国国务院新闻办公室、国家互联网信息办公室主任王晨今年9月29日在京介绍，中国互联网用户已突破5亿，互联网普及率接近40，中新网7月25日电工业和信息化部今日公布了2011年第二季度电信服务情况，数据显示，截至二季度末移动电话用户快速增长，达到9.2亿户，截至今年4月份，中国手机上网用户达到了3.03亿，手机上网用户在全国互联网用户中比重不断提升，占到66.2 。随着3G牌照的发放，移动宽带用户数更将极具上升。 在移动计算和信息访问需求日益增加的今天，移动安全必将成为一个热点问题。各种各样的网络安全威胁给用户带来了许多烦恼，由于移动商务要经过运营商的移动网络，这就很有可能发生用户信息泄密、信息丢失或引入黑客攻击等问题。所以移动商务应用必须首先解决好移动接入的安全问题，如今移动电子商务已进入3G时代，更多的用户选择移动电子商务平台，这就对移动电子商务的安全性能的要求更为苛刻，移动电子商务的安全主要包括移动接入安全和移动商务系统的安全。 3G时代的移动电子商务的安全技术将会是无线通讯网络与有线通讯网络紧密且良好的合成品，不仅支持任何WAP兼容手机的访问，WAP客户端之间的安全性问题也能有效的解决，让移动商务用户在操作过程中更简单，且透明，同时也更有利于更多的信息内容开发者提供量的服务与信息。伴随着移动通信技术和计算机的发展，移动电子商务也已经更新换代，到目前为止已出了第3代移动电子商务。最早的一代移动电子商务系统访问技术建立在短讯息基础之上，这种访问技术存有很多严重的弱点，最严重的问题之一是实时性差，信息传送不够及时，用户所查询的信息或者请求无法及时得到答复。而且，由于短讯信息内容长短有限制，在查询过程中用户仍是得不到详细且完整的答案。为了能够让更多用户更好更方便的使用移动电子商务，很多最初使用移动商务系统的一些部门和用户都先后提出了尽早改进和升级移动商务系统的心声，短讯移动商务系统带来的诸多不便让他们的使用很不顺畅。因此由最初的基于短讯息的移动电子商务而延伸发展的新一代电子商务诞生了，它在访问技术上较上一代有很大的改进与突破，新的一代移动电子商务将WAP技术很好的运用，开辟了手机浏览器，通过手机浏览器对WAP网页进行访问，并对想要查询的信息进行查询。但是很快，问题又出现了，移动电子商务系统所具备的方便性与灵活性在这一代移动电子商务系统中得不到实现，并且在WAP网页上进行访问的时候信息交互能力较差。而且，政府部门对于WAP网页访问的安全性要求极为严苛，这些问题不能被很好的解决，导致这一代的移动电子商务也很快被淘汰。更为安全且更为便捷的移动电子商务是广大用户最最想要的也是最迫切需要的，融合了智能移动终端、数据库同步、3G移动技术、VPN、Web service、身份认证等多种移动通讯、计算机最前沿的网络技术、信息处理的移动电子商务系统是广大用户最好的选择，它采用了智能移动终端和移动VPN技术，让其很好的结合，以无线通讯技术和专网为基础，将快速且安全的现代化移动电子商务办公系统给移动电子商务使用人员。 二、移动电子商务支付安全分析及解决方案移动商务就是在交易活动中用手机、掌上电脑、笔记本电脑作为支付手段通过短信、WAP、IVR等方式，使用移动话费或使用信用卡作为支付资金，完成购物、缴费、银行转账等一些商务活动。随着移动电子商务迅速发展，使得移动商务逐渐走进了普通百姓的生活，用户可以通过手机随时随地进行购物和支付，不再受时间和地域限制，被认为会成为今后消费方式的一大主流。但是，在移动电子商务发展过程中，由于中国网络环境的特殊，移动电子商务除了存在传统电子商务未能解决的障碍，如支付、配送、费用高等问题外，同时存在很多安全性问题，且安全性问题对于用户来说尤为重要，这也成为制约电子商务一个主要问题。（一）、加密和及时性问题 手机支付普遍的主要障碍是加密问题和及时性问题，虽然WAP功能的手机在支付过程中能够采用移动的加密技术，很有效的保证安全，但手机支付的双重确认方式由于短信中继问题，有可能造成不能及时到达，一旦出现信号不良断网等问题就有可能造成支付困难一系列问题。在传统的基于有线网络环境的电子商务应用中，已经有许多相对成熟的安全技术，如VPN、SSL等。但这些技术一般都对主机/终端资源有较高的要求，而相对于有线终端，无线终端的资源有限，处理能力低，存储能力小。例如：手机的运算能力低，且内存小，加上带宽小，容易丢失数据，所以无法运行太复杂加密算法造成数据保密低，也无法传递大量数据。 （二）、身份识别缺乏身份识别的缺乏也限制移动信息化应用。手机主要作为即时通话的工具时，密码保护相对重要性并不显著，当他融入了移动支付这一概念时，手机的概念需要被重新定义，如同我们的存折、银行卡一样，不仅是我们资产的一部分，同时也是动用个人账户的途径之一，一旦出现密码被攻破，设备丢失，病毒发作等问题时，将有可能造成损失。移动电子商务使用中，安全问题其实是最需要注意及确保的，但是到目前位置，针对安全、隐私保护、身份认证这些用户极其关注的问题还没有制定出标准和法律条款。在我们身边或者自己身上会经常出现移动设备丢失或者被盗，这些都将很有可能为我们带来很大的麻烦，别人拿到你丢失的移动设备，将会看到设备上的数字证书、电话信息等重要信息，进而通过这些信息进行移动支付、访问其公司或者相关部门的内部网站、线上支付。做为开放性的信息通道，无线通信网络为无线用户带来很多通信上的灵活与自由，同时也带来了许许多多的不安全因素，诸如电子商务用户的合法身份被窃取、通信的内容被别人窃听、数据接收不完整、通信的双方身份被假冒、无线通信标准被攻击、通信内容被篡改等安全隐患。（三）、信息被恶意拦截我们经常能看到有人在网上叫卖监听装置，而这种监听装置就是多条信息通道移动电话拦截系统，无论是在什么地点，都可以通过车载移动手机进行空中拦截，并且一次性可以同时监听二十多个手机号码，监听对象的呼出或呼入电话号码，手机短信息内容等都能一清二楚，这种装置还能将监听到的信息进行信息录音且存盘，公安部门经常通过这种方式进行证据收集。虽然这种装置够先进，同时能为不少电子商务用户提供帮助，但也不乏告诉我们，我们的信息随时都有可能被拦截到，我们利用移动设备进行的支付信息、信用卡信息都有可能被拦截。（四）、移动电子商务安全支付方案 解决移动电子商务安全支付问题，可采用国际上比较成熟的解决方案。目前为了能够建立一个有效的安全且值得信赖的无线网络平台，需要一个非常完善的体系来对公开密钥和数字证书进行有效管理，现已有这样一套遵循既定标准的密钥和证书管理平台系统，由有线网络的公开密钥体系PKI发展而来的WPKI 技术可应用于移动电子商务环境的加密体系。一个完整的WPKI系统是由客户端、注册机构(RA)、认证机构(CA)、证书库以及应用接口五大系统构成，并且其构造也都是围绕着这几大系统展开工作。 压缩的x.509数字证书和优化的ECC椭圆曲线加密在WPKI体系中得以很好的采用。移动计算一般不会采用传统的PKI x.509，拿一个1024位的加密算法来说，用手机至少需要半分钟才能完成，很耗时。ECC算法的数学理论单位安全强度相对较高，但是也非常复杂和深奥，也很难实现在在工程应用中。椭圆曲线密码体制在目前已知的公钥体制中，是对每bit提供加密强度最高的一种体制。ECC最明显的一个优势就是其密钥短，密钥长度不会随着加密强度的提高而有所改变。2003年，我国颁布的无线局域网国家标准中，数字签名采用的就是ECC算法。在原本存储空间就不大且运算能力比较有限的移动用户端中，ECC算法的应用前景将是十分广阔。在移动电子商务用户使用过程中，银行将会采取各种有效的方式以确保用户的资金安全问题。首先是银行对手机支付用户设定了一个支付额度，严格控制对外转账金额，其次是在手机银行信息传输过程中，安全传输与处理好移动通信公司与银行之间数据，防止数据被窃取与破坏，采用高强度的加密传输方式，此外，银行还特别让用户选用一个手机号码用来和银行账户进行绑定，一旦有支付或更改信息，用户将会收到短信通知，此绑定手机号将设置设置专用支付密码。移动电子商务用户现有的安全措施主要通过是通过用户的PIN进行识别，其实用户安全识别也是相当重要的，可以从多个方面来将安全问题变得更高级。1、 用户在确认交易的同时，支付数据确保不会被更改，更具完整性；2、 如果没有被授权，用户将不能获取支付数据，让信息更具保密性；3、 由被支付一方对用户进行鉴定，确认其身份，看其是否为授权用户；4、 交易完成后要避免交易者不承担交易后果，不给于对方否认的机会。三、 移动电子商务信息交换安全分析及解决方案3G时代的移动电子商务与传统的电子商务模式相比，其的安全性更加不够稳定，在移动电子商务快速发展的当下，信息交换过程中更易出现信息被窃取和攻击的问题。（一）、移动电子商务信息交换前期安全性 1.信息是否能够得到保密在双方电子商务进行交易时，交易的有效信息是否得到报名，确保没有被盗取，使用和非法储存。 2.交换的信息是否正确在双方电子商务交易过程中，交易数据和各自的认证信息确保没有被篡改或者丢失。3.交易数据是否可靠性为了在双方交易后，对之前进行过的交易，即交易本身和签署的交易合同或者单据等交易文件没有可抵赖性，必需在前期就要对双方所交易的的内容包括合同、单据进行详细确认，确保时候不会出现抵赖的问题。4.身份是否进行认证平日里，我们在一个网站上注册账号时，也会经常出现认证信息，这也是为用户提供保障服务，交易双方都能正确鉴别交易对方的身份。在确保只有授权的用户才能访问网络的资源与服务的时候，身份证能够起到很大的作用，它可以鉴别通信中一方或双方的身份。（二）、移动电子商务信息交换过程安全性分析 1、信息交换过程中的存在的不安全因素 移动终端、信息中心和内容服务器之间的通信和数据传输都跟移动电子商务信息交换息息相关。移动无线接口、移动网络和移动客户端都有可能存在不安全因素。 （1）无线接口中会出现不安全因素。无线接口是移动站与固定网络端的通信通道，而无线接口是对外开放的，只要具有匹配的无线设备，不管是谁都可以通过无线接口窃听无线信道，以获得传输信息，这就很有可能让不法分子假冒移动用户身份进行欺骗行为，也有可能对无线接口传输的信息予以插入、修改、删除或者重传，为用户带来麻烦和损失。（2）网络端也会存在不安全因素。在移动通信网络中，固定网络战系统与移动服务交换中心之间经常会采取不同的交换载体，在信息相互转换过程中也容易出现移动用户的身份、身份确认信息及位置等信息发生泄漏。（3）移动端存在的不安全因素。移动用户信息终端和信息内容服务器都属于移动端。用户身份、账户信息和认证密钥等方面一旦出现安全问题都将是移动终端的不安全因素导致的。例如经常看到电视上曝光有不法分子取得用户的移动终端，从中获取移动电子商务用户的信息资料、账户密码等，然后假冒用户的身份进行非法行为。 2.信息交换过程中产生的安全威胁 通过对以上移动电子商务信息交换过程中会产生的多种不安全因素分析，可知移动电子商务信息交换中也存在着多种安全威胁，必须采取多种有效的安全策略确保信息交换安全。目前存在的安全信息有： （1）信息截流和盗用。用户密码、银行账号被破解？往往就有不法分子利用截获装置截取用户信息，经过分析，获得有用的信息，而导致这一情况的出现源于移动商务用户没有采取加密措施或加密强度不够。（2）信息被篡改。有些攻击者会通过各种技术方法和手段对网络传输的信息截取并进行中途修改，如肆意篡改购买商品的货号、价格等，或删除、插入错误信息，然后再继续发给原来信息要发往的目的地，最终导致信息不完整、信息错误，从而给用户带来巨大的损失。（3）假冒信息。传输数据的规律一旦被侵犯者掌握或商务信息被解密后，攻击者会假冒原合法的用户或商家进行欺骗，从而获得移动终端或企业的机密信息，进行个人牟利。（4）抵赖交易。在网上商城中选购了某样商品后，交易双方在达成共识后，其中的一方在交易结束后又否认了此次交易。卖家极有可能因为交易价格问题不承认原先的交易或者在收到货款后又拒绝交付产品，买家在选购会也会出现已选购后又否认自己选购且拒绝付款等问题。（5）非授权方非法访问。在没有经过授权的情况下进行访问读取用户的商业机密数据，非法享受被授予权利和使用系统资源。（三）、移动电子商务信息交换安全解决方案移动电子商务安全解决方案必须要求安全、实用，针对上述提到的信息被截留或被盗用、信息被篡改、信息假冒、交易抵赖、非授权方非法访问等种种问题出发寻找最佳解决方案。从而达到让用户真正放心且便捷的选择移动电子商务。 1、关于移动电子商务交易安全的解决方案以下将是针对上述谈到的移动电子商务安全危险，所给出的解决方案及策略，与现有的移动电子商务安全结束相结合，为移动电子商务用户提供更有安全性的服务。（1） 信息截流和盗用。现有的安全措施即是通过对交易信息进行加密的方式，以对移动电子商务进行交易数据的保护，从而保证信息不被截流和盗用。 （2）信息被篡改。现有的安全措施即是通过对信息报文进行摘要提取的方式，移动移动电子商务进行交易数据的保护，从而保证信息内容不会被篡改。（3）假冒信息。现有的安全措施即是采取数字证书技术，从而对移动电子商务信息进行验证，确保信息不会被不法分子假冒。（4）抵赖交易。在交易过程中出现交易抵赖的情况往往跟交易师信息认可有关联，即可采用数字签名技术，由于是通过发送方密钥进行加密保护的，因此数字签名技术能够很准群的判断信息的交易发送方，进而解决交易抵赖的安全问题。（5）非授权方非法访问。通过采用防火墙、移动密保等措施来进行对商务交换信息的授权核查，从而有效的解决非授权方非法访问的安全威胁，2、参照移动电子商务信息交换模型，并执行上述阐述了从多个途径针对不同的安全威胁提供多个解决方案以用来解决在移动电子商务信息交换时会出现的一系列安全威胁。除了以上的办法外，也可参照目前不少研究者研究出得一种通过签名和加密的移动电子商务信息安全交换模型。具体的内容如下：（1）移动电子商务用户向移动商务发送注册申请；（2）移动商务中心再对用户的身份进行核实；（3）移动商务中心的身份认证机构会将已认证的用户证书发送给用户，并将用户证书相关的信息保存到移动商务中心的数据库中；（4）信息服务器将会为用户端生成密钥，再将密钥发送给相匹配的移动用户端，且密钥一样是保存在移动商务中心的数据库中；（5）如果用户想要购买某个商品，即可先选择然后在进行交易签名，再将交易相关资料（交易信息、数字签名、用户信息、用户证书、交易摘要等一起发送给移动电子商务中心；（6）移动商务中心将会对用户发来的所有资料进行审核和比较，一旦没有出入，将会向移动商务中心认证机构发出用户交易证书的申请。（7）经移动商务中心认证机构认证后，会将用户证书发送给移动商务中心，再由移动商务中心将此次交易证书进行做出、验证以及存储；（8）移动商务中心还将通过使用用户证书来查证移动用户端发过来的交易内容是否值得信赖；（9）经过核实查证后，移动商务中心会将移动用户的交易订单进行解密工作，并完成此次交易安全审核工作，确保交易安全。四、移动电子商务隐私和法律安全分析（一）、垃圾短信威胁在移动通信给人们带来便利和效率的同时，也带来了很多烦恼，我们经常会收到很多垃圾短信，有卖房信息、有炒股信息也有很多社会活动促销信息，这些垃圾短息给用户们带来了很多潜在威胁。往往垃圾短信的来源还在于用户自己，用户在进行移动交易时、在参加社会活动时，在不轻易间会将自己的电话号码泄漏出去。垃圾短信的日益增多会使得人们对移动商务充满恐惧，从而导致人们而不敢再使用自己的移动设备从事商务活动，这就不利于移动电子商务的发展。目前，国家也没有出台相关的法律法规来规范和约束，使得运营商现在也只能先在有限的技术层面来对广告短信的发放进行控制。（二）、隐私威胁目前，定位系统是移动业务中的新应用，可以利用GPS卫星来精确定位地面上的人和车辆。这种全球定位系统目前很受商家的追捧，在举办某一场大型活动时，针对其目标区域人群通过定位系统锁定，再对其发放活动信息，以确保活动信息能够精准的到达目标人群处。执法部门和政府可以利用这种技术监听信道上的数据，并能够跟踪一个人的物理位置。往往人们只看到了定位有利于他们的一面，而忽略了定位服务在给我们带来便利的同时，同时也影响到了个人隐私。（三）、法律保障为了能够让移动电子商务健康稳步发展，离不开法律法规的辅佐。信息化法律电子签名法于2005年4月1日正式实施，也是中国首部真正意义上信息化法律，不管是传统的手写签名还是电子签名都将具备同等的法律效力。为了促进电子商务和电子政务的发展，是电子签名法立法的重要实施目的，同时也是为了增强用户之间的交易安全性。电子签名法立法的实施同时也标志着我国电子商务发展走向诚信话道路。结论：（总归纳） 随着我国3G业务的大范围推广运行，移动电子商务也在迅速发展，因其应用渠道独特，也让它的安全方面问题成为大众关注的焦点。由于有线通讯电子商务与移动电子商务存在本质区别，因此有线的安全技术并不能解决移动电子商务会遇到的安全问题，必需要有其自己的一套完整的安全系统。无线通讯网络在不断发展，要想满足大众对移动电子商务实际使用的需求，就需要将无线通讯的安技术与其它领域的安全技术相互通与综合完善。本文围绕移动电子商务的支付安全问题、信息交换安全问题、隐私安全及移动电子商务安全法律等课题进行研究分析，并给出一些解决方案。相信随着技术的进步和大众的接受程度增加，只要一部终端，用户即可完成生活中商品交易，缴费，个人理财等金融服务的业务。移动支付技术也向着客户界面越来越友好，交易速度越来越快，安全性逐渐增强的方向发展。参考文献（1）王汝林：移动电子商务理论与实务M.清华大学出版社，2007 。 （2）汪红松、李利强.移动电子商务的安全问题研究.商业时代2006年第18期（3）周慧峰.3G时代的移动支付产业链模式探讨J.移动通信2009。（4）贾晓芸:无线通信的安全机制J.中国计算机报, 2007,7 （5）王京韬.中国电子商务未来M.北京:北京理工大学出版社,2005（6）黄刘生电子商务安全问题M北京：北京理工大学出版社，2005 致 谢转眼间，2年半的南大学习生活走入了尾声，在这里老师给予的帮助与关心让我倍感温馨。对于这次毕业论文的撰写，最需要感谢的是邵波老师。在整个过程中邵波老师都给予了我充分的帮助与支持。邵老师不仅耐心地为我指出论文中的不足之处，对论文的改进提出宝贵的建议，而且还在我遇到困难时尽心地进行指点与解答。在此借论文完成之际，表示由衷的感谢与敬意。 褚 金2011年10月22日