淺析移動電子商務(wù)網(wǎng)絡(luò)安全問題與對策＊

張傳娟

(福建船政交通職業(yè)學院，福建福州350007)

淺析移動電子商務(wù)網(wǎng)絡(luò)安全問題與對策＊

張傳娟

(福建船政交通職業(yè)學院，福建福州350007)

3G技術(shù)、4G技術(shù)的不斷完善使移動電子商務(wù)迅速發(fā)展起來，針對無線網(wǎng)絡(luò)及移動電子商務(wù)所存在的網(wǎng)絡(luò)安全問題，從信息保密的方式入手，主要從無線公鑰設(shè)施和基于身份的密碼學兩方面，提出移動電子商務(wù)網(wǎng)絡(luò)的解決方案和安全對策。

無線網(wǎng)絡(luò)安全;移動電子商務(wù);WPKI;IBC

隨著移動網(wǎng)絡(luò)在生活中的應用日益廣泛，電子商務(wù)競爭的日益白熱化，企業(yè)為了追求更高的經(jīng)濟效益，開始轉(zhuǎn)戰(zhàn)，移動網(wǎng)絡(luò)滲透電子商務(wù)中愈發(fā)顯著?？墒且苿泳W(wǎng)絡(luò)發(fā)展時間較短，各方面還在不斷完善，而電子商務(wù)涉及的經(jīng)濟利益甚大，移動電子商務(wù)的安全性問題顯得尤為重要，如何用比較少的代價安全完成網(wǎng)絡(luò)交易是現(xiàn)今企業(yè)最關(guān)心的問題之一［1］。

一、移動網(wǎng)絡(luò)與電子商務(wù)

移動網(wǎng)絡(luò)是基于瀏覽器的應用萬維網(wǎng)、WAP等WEB服務(wù)，使用手機、掌上電腦或其它便攜式工具移動設(shè)備連接到公共網(wǎng)絡(luò)沒有固定連接?，F(xiàn)今3G技術(shù)即高速數(shù)據(jù)傳輸?shù)姆涓C移動通訊技術(shù)使多媒體數(shù)據(jù)在無線網(wǎng)絡(luò)中的傳輸無障礙，而集3G與WLAN于一體并能夠傳輸高質(zhì)量視頻圖像以及圖像傳輸質(zhì)量的4G技術(shù)，使得無線網(wǎng)絡(luò)的多元化發(fā)展更為豐富。

對圖、聲、視頻要求較高的電子商務(wù)就可以借此契機介入無線網(wǎng)絡(luò)，廣泛地滲入人們的生活。于是移動電子商務(wù)應運而生，通過使用移動終端如筆記本電腦、手機、個人數(shù)據(jù)助手，連接公共和專用網(wǎng)絡(luò)進行的商品交易或服務(wù)交易，來實現(xiàn)經(jīng)營、管理、交易、娛樂等。而3G技術(shù)和即將廣泛運用的4G技術(shù)使移動電子商務(wù)更靈活，方便和快捷，可以不受時間、空間限制;及時網(wǎng)上支付便捷，成本低。但是伴隨著無線網(wǎng)絡(luò)技術(shù)的高速發(fā)展和廣泛應用，安全問題便成為移動電子商務(wù)能否取得成功的關(guān)鍵因素［2］。

二、移動網(wǎng)絡(luò)在移動電子商務(wù)應用中存在的隱患

移動電子商務(wù)是基于移動通信技術(shù)的，所有通信內(nèi)容如交易通話信息、交易雙方身份信息、交易數(shù)據(jù)信息等，通過一個開放的信道進行通信，任何擁有一定頻率接收設(shè)備的人均可以獲取無線信道上傳輸?shù)膬?nèi)容。這樣方便移動電子商務(wù)實時通信，但同時基于開放的信道，信息無法像依靠信道的安全來保護信息，于是交易通信內(nèi)容容易被竊聽、被篡改、通信雙方的身份容易被假冒攻擊等［3］，也容易造成服務(wù)后抵賴和受到阻止網(wǎng)絡(luò)正常運行的攻擊。

在移動終端方面如手機、筆記本電腦等的移動性帶來的容易被破壞或者丟失更容易造成安全隱患。于是就有了移動終端設(shè)備的物理安全問題、移動終端被攻擊、數(shù)據(jù)破壞等等。

在網(wǎng)絡(luò)協(xié)議方面，無線裝置組成ad hoc網(wǎng)絡(luò)不依賴于任何固定的網(wǎng)絡(luò)設(shè)施，只是通過移動節(jié)點間的相互協(xié)作來進行網(wǎng)絡(luò)互聯(lián)。其網(wǎng)絡(luò)決策是分散的，網(wǎng)絡(luò)協(xié)議依賴于所有參與者之間的協(xié)作。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點［4］。

由于介入時間較短，企業(yè)的移動商務(wù)平臺運營管理也存在各種漏洞，企業(yè)移動平臺只是把手機的功能從簡單的通話擴展到了電子郵件等功能在內(nèi)的互動溝通形式，使用戶能夠方便地進行各種多媒體信息的交流。但是移動運營平臺的管理、安全等級的劃分無法完整從傳統(tǒng)電子商務(wù)匯總直接移植，故需要在運營實踐中進行修正和完善，整合，這需要一段時間的測試修改完善。

三、移動電子商務(wù)安全對策

要想在移動電子商務(wù)中取得成功，安全性是關(guān)鍵。因此，要保證其安全，技術(shù)上要能夠提高防范和保障機制，管理上也要完善相關(guān)機制。

對于開放信道和移動終端的問題，在移動電子商務(wù)安全領(lǐng)域常可通過簡化無線網(wǎng)絡(luò)環(huán)境中的證書管理及隨后相應的處理，使基于公鑰的密碼技術(shù)能夠在無線環(huán)境中得到很好的應用，促進無線網(wǎng)絡(luò)安全應用的進一步發(fā)展。企業(yè)的移動商務(wù)平臺運營管理只有在不斷運行中發(fā)現(xiàn)問題解決問題。

在無線網(wǎng)絡(luò)中，企業(yè)通訊交易信息具有希望除了消息參與人之外，別人無法了解信息含義的保密性;確保只有授權(quán)用戶材料訪問網(wǎng)絡(luò)資源和服務(wù)的身份認證;檢查數(shù)據(jù)是否被篡改的數(shù)據(jù)完整性;保護通信用戶避免遭到來自于系統(tǒng)內(nèi)部其它合法用戶的欺詐的服務(wù)不可否認性。當然在具體應用中，有些安全業(yè)務(wù)還可以進一步細化［2］。在這其中，公鑰基礎(chǔ)設(shè)施可提供加密和數(shù)字簽名的密碼服務(wù);基于身份的密碼學可簡化體系中繁瑣證書的處理，能較好應用于難以支持證書管理的無線應用環(huán)境。

公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)是利用公鑰理論和技術(shù)提供安全服務(wù)的基礎(chǔ)設(shè)施［5］。它的核心技術(shù)就是證書管理問題。它建立了組織信息安全方面的指導方針，也定義了密碼系統(tǒng)使用的處理方法和原則［6－7］。延伸到網(wǎng)絡(luò)的安全保護中，新的優(yōu)化擴展后的通過管理證書和密鑰及各種實體間關(guān)系增加移動電子商務(wù)安全性的解決方法就是無線公鑰基礎(chǔ)設(shè)施(Wireless Public Key Infrastructure，WPKI)。它由注冊中心、認證中心、實體應用和PKI目錄組成［8］。WPKI使用的關(guān)鍵在于將原先的語言進行無線環(huán)境的優(yōu)化，優(yōu)化后形成WPKI協(xié)議、WPKI證書格式、WPKI加密算法和密鑰。但WPKI仍存在著無線資源有限、兩者間互通性不夠，速度慢、需要改變終端設(shè)計等問題。在可控的或靜態(tài)系統(tǒng)中，PKI和WPKI技術(shù)可以有效提供前文所涉及到保密性、完整性、身份認證與授權(quán)和抗抵賴等服務(wù)，因此得到了規(guī)范的應用。

基于身份的密碼學(Identity based cryptography，IBC)是一種將用戶公開的字符串信息作為公鑰的密碼技術(shù)。它是在維護系統(tǒng)和管理證書狀態(tài)，在系統(tǒng)中增加新用戶中提出的新的機制，即用戶之間能安全通信，能驗證對方簽名，但不用相互交換公鑰，不用維護密鑰目錄，不需使用第三方服務(wù)［1］。它能夠消除證書管理的負擔，通過較低的費用迅速部署在變化的用戶環(huán)境中。相對于PKI技術(shù)需要生成一對隨機的公鑰并能根據(jù)需要來發(fā)布，IBC用戶可選擇自己的名字和網(wǎng)絡(luò)地址等唯一標識用戶身份的字符串作為自己的公鑰，以智能卡或其它方式分發(fā)至用戶手中。同時，IBC取消了第三方證明機構(gòu)，簡捷方便實現(xiàn)加密和身份認證。在實際運行中，IBC以個人標識為公鑰，不需要數(shù)字證書，與之對應用于揭秘的私鑰也只需獲取一次［9］。在具體運算過程中，IBC包括了系統(tǒng)的建立和用戶密鑰的建立，加密運算和解密運算。它可以簡化PCI體系中繁瑣的證書管理，在實際應用中能夠很好利用公鑰密碼學的理論。其優(yōu)點有:客戶在使用過程中不需要實現(xiàn)進行注冊，客戶只要知道對方唯一標識(如手機號碼或電子郵箱)即可給對方發(fā)消息;支持靈活的認證技術(shù)，可不通過數(shù)字證書來實現(xiàn);可把消息發(fā)給每個人，不論其是否有證書;可提供自動的密鑰恢復體質(zhì);實施費用不高;支持離線工作等。因此在無線網(wǎng)絡(luò)中，和PKI相比，IBC技術(shù)具有自己獨特的優(yōu)勢:即盡量少的在無線通信信道中傳輸數(shù)據(jù)和盡可能少的在無線通信終端處理密碼運算。在具體運行中，系統(tǒng)包括了負責為整個系統(tǒng)建立安全參數(shù)環(huán)境的密鑰生成中心和管理(KGC)模塊、負責存放半私鑰的SEM模塊和負責對數(shù)據(jù)進行加密和解密的客戶端模塊等三個模塊。一個密碼設(shè)備要想真正融入到OpenSSL開發(fā)包中，一般要經(jīng)過密碼設(shè)備注冊到OpenSSL、應用程序加載指定的engine、應用查詢調(diào)用OpenSSL函數(shù)以及OpenSSL通過engine調(diào)密碼設(shè)備這幾個流程進行。當然，目前在IBC技術(shù)中還存在一些值得關(guān)注的問題。如其技術(shù)研發(fā)還不夠深入，尤其是簽名算法部分有待提高;在對于不同IBC系統(tǒng)用戶中，存在相互信任的問題。今后的趨勢應該設(shè)計將IBC技術(shù)應用于無線網(wǎng)絡(luò)環(huán)境的更優(yōu)機制，利用KGC的優(yōu)勢把前向安全引入系統(tǒng)中以及尋找更高效的算法等［10］。

綜上所述，WPKI和IBC方法各有優(yōu)劣，兩種方法都是解決移動網(wǎng)絡(luò)安全的有效方法。目前，WPKI沒有得到很好的應用和推廣，而在今后具體運用發(fā)展中，IBC是目前無線網(wǎng)絡(luò)信息安全領(lǐng)域研究的方向和熱點，但仍存在如簽名算法和不同用戶系統(tǒng)相互信任問題需要改進的問題。

［1］張惠媛．移動互聯(lián)網(wǎng)與WAP技術(shù)［M］．北京:電子工業(yè)出版社，2002．

［2］馮登國．計算機通信網(wǎng)絡(luò)安全［M］．北京:人民郵電出版社，2004．

［3］韓景靈．移動電子商務(wù)安全問題探析［J］．電腦知識與技術(shù)，2010，6(1):31－33．

［4］徐勝波，馬文平，王新梅．無線通信網(wǎng)中的安全技術(shù)［M］．北京:人民郵電出版社，2003．

［5］謝冬青，冷?。甈KI原理與技術(shù)［M］．北京:清華大學出版社，2003．

［6］Andrew Nash．公鑰基礎(chǔ)設(shè)施(PKI)實現(xiàn)和管理電子安全［M］．北京:清華大學出版社，2002．

［7］寧宇鵬，陳昕．PKI技術(shù)［M］．北京:機械工業(yè)出版社，2004．

［8］許劍勇，邵世煌，魏亮．無線公開密匙基礎(chǔ)設(shè)施(WPKI)的構(gòu)建［J］．網(wǎng)絡(luò)安全技術(shù)研究與發(fā)展，2003，(3):57－60．

［9］張聚偉，張立文．基于身份密碼學的異構(gòu)傳感網(wǎng)絡(luò)密鑰管理方案［J］．計算機工程與運用，2011，47(5):7－9．

［10］譚波，王建新．基于身份密碼學算法研究［J］．電腦知識與技術(shù)，2010，6(9):2147－2149．

2011－09－20

張傳娟(1967－)，女，山東日照人，講師。