本文關(guān)鍵詞：3G時代移動電子商務(wù)安全問題研究，由筆耕文化傳播整理發(fā)布。

第28卷第10期2010年10月

情報科學

Vol.28,No.10October,2010

3G時代移動電子商務(wù)安全問題研究

田迎華1，楊敬松2，周

敏3

（1.長春理工大學計算機科學技術(shù)學院，吉林長春130022；2.防災(zāi)科技學院防災(zāi)儀器系，

河北三河065201；3長春理工大學經(jīng)濟管理學院，吉林長春130022）

摘

要：3G時代的到來，為移動電子商務(wù)的發(fā)展提供了更加廣闊的發(fā)展前景與技術(shù)基礎(chǔ)。目前，3G時代下的移動電子商務(wù)面臨移動終端、無線服務(wù)網(wǎng)絡(luò)的安全威脅，信用體系不健全以及安全控制技術(shù)不成熟等問題。針對這些問題，本文提出了相關(guān)解決對策，形成了移動電子商務(wù)安全框架體系。只有解決了安全問題，3G時代下移動電子商務(wù)才能凸現(xiàn)其優(yōu)勢，讓用戶體驗其帶來的便利。關(guān)鍵字：移動電子商務(wù)；3G；安全對策中圖分類號：G350

文獻標識碼：A

文章編號：1007-7634（2010）10-1487-04

ResearchontheSecurityofMobileE-commerceintheEraof3G

TIANYing-hua1,YANGJing-song2,ZHOUMin3

(1.CollegeofComputerScienceandTechnology,ChangchunUniversityofScienceandTechnology,Changchun130022,China；2.DepartmentofDisasterPreventionInstrumentofInstituteofDisasterPrevention，Sanhe065201,China；3.CollegeofEconomicsandManagement,ChangchunUniversityofScienceandTechnology,Changchun130022,China)

Abstract:Inthelastfewyears,advancesinandwidespreaddeploymentof3GhavetriggeredrapidprogressinM-commerce.ThesecuritythreatsofM-commercesuchasmobilecommunicationterminal,thethreatsfromwirelessnetwork,creditsystemimperfectionandimmaturesecuritycontroltechnologyaretherelatedissuesthatconstraintthedevelopmentofM-commerce,in3Gtimes.WeputforwardthesecuritystrategyandintroducethesecurityframeworkaimatthesecuritythreatsofM-commerce.Onlybythisway,M-commercecanhighlightitsadvantageswhichallowuserstoenjoytheconveniencein3Gtimes.

Keywords:m-commerce;3G;securitystrategy3G時代的電子商務(wù)是以計算機網(wǎng)絡(luò)和電子工

具的應(yīng)用為基礎(chǔ)，由移動通訊設(shè)備和無線上網(wǎng)技術(shù)為支撐所構(gòu)成的移動電子商務(wù)體系【1】。作為一種新的電子商務(wù)模式，3G時代的移動電子商務(wù)引起了國內(nèi)外學者的廣泛關(guān)注。移動網(wǎng)絡(luò)的開放性和終端設(shè)備的移動性給移動電子商務(wù)發(fā)展帶來了諸多優(yōu)勢，但是安全問題仍是移動電子商務(wù)推廣應(yīng)用的瓶頸

【2】

務(wù)的安全要求越來越高。有學者認為，安全是移動電子商務(wù)核心技術(shù)問題,各種應(yīng)用有不同的安全要求,主要包括身份驗證、數(shù)據(jù)加密、數(shù)據(jù)完整性、不可抵賴性等【3】。目前，在3G時代的移動電子商務(wù)安全方面己經(jīng)有了一些探索性的成果，但仍有許多不完善的地方，有些方案根本無法實現(xiàn)，有些方案代價太大，無法實際應(yīng)用【4】。因此，在保證移動電子商務(wù)安全方面還需要進一步地探索和研究。

敏（1986-），女，山西

。隨著移動電子商務(wù)的進一步發(fā)展，對移動電子商

收稿日期：2010-09-12

作者簡介：田迎華(1969-),女,吉林人，，碩士研究生；楊敬松（1975-），女，吉林人，博士研究生；周

太原人，碩士研究生.

1488情報科學28卷

中國電信和中國聯(lián)通發(fā)放3張第三代移動通信牌

13G時代下的移動電子商務(wù)

⑴第三代移動通信系統(tǒng)（3G）。1995年問世的第一代模擬制式手機（1G）只能進行語音通話；1996到1997年出現(xiàn)的第二代GSM、TDMA等數(shù)字制式手機（2G）便增加了接收數(shù)據(jù)的功能，如接受電子郵件或網(wǎng)頁。3G是指將無線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)

合的新一代移動通信系統(tǒng)，有人簡稱之為無線互聯(lián)網(wǎng)。3G能夠處理圖像、語音、視頻流等多種媒體形式，提供包括網(wǎng)頁瀏覽、電話會議、電子商務(wù)等多種信息服務(wù)，主要目標定位于實時視頻、高速多媒體和移動互聯(lián)網(wǎng)訪問業(yè)務(wù)。第三代與前兩代的主要區(qū)別是在傳輸聲音和數(shù)據(jù)的速度上的提升，它能夠在全球范圍內(nèi)更好地實現(xiàn)無縫漫游。

第三代移動通信系統(tǒng)（3G）經(jīng)過2.5代發(fā)展到

照,此舉標志著中國正式進入3G時代。3G技術(shù)帶來的高速率、移動性等特點,必然會給移動電子商務(wù)的應(yīng)用帶來巨大商機,但同時對移動電子商務(wù)的安全提出了更高要求。中國移動電子商務(wù)面臨的安全風險主要表現(xiàn)為以下幾個方面。

⑴移動終端威脅。終端遺失，竊取與假冒。移動

終端是用戶與業(yè)務(wù)之間連接的關(guān)鍵接口，移動終端特有的威脅就是容易丟失和被竊，移動終端的丟失意味著別人將會看到電話、數(shù)字證書等重要數(shù)據(jù)，拿到移動終端的人就可以進行移動支付、訪問內(nèi)部網(wǎng)絡(luò)和文件系統(tǒng)。另外，攻擊者有可能通過竊取移動終端或SIM卡來假冒合法用戶從而非法參與交易活動,給系統(tǒng)和用戶造成損失。

設(shè)備的差異。由于移動設(shè)備的差異，很可能有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無線設(shè)備,由于無線設(shè)備的內(nèi)存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序。3G設(shè)備的移動特點決定了其工作要依靠設(shè)備電池而工作，若持續(xù)向無線設(shè)備傳輸大量數(shù)據(jù)導(dǎo)致網(wǎng)絡(luò)帶寬飽和及設(shè)備電池耗盡，從而造成性能降級或可用性喪失依然是設(shè)備需要考慮的問題。

3代之后，無線通信產(chǎn)品可提供速率高達2Mbp/s的寬帶多數(shù)據(jù)業(yè)務(wù)，3G作為寬帶移動通信，將手機變

為集語音、圖像、數(shù)據(jù)傳輸?shù)戎T多功能于一身的通信終端�；ヂ�(lián)網(wǎng)的一切應(yīng)用已經(jīng)具備了可以在移動網(wǎng)絡(luò)上運行的基礎(chǔ)，這將進一步促進全方位移動電子商務(wù)的實現(xiàn)和廣泛開展。

⑵移動電子商務(wù)。移動電子商務(wù)(M-commerce)

是由電子商務(wù)(E-commerce)的概念衍生出來的，是指通過連接公共和專用網(wǎng)絡(luò)，使用移動終端來實現(xiàn)各種活動，包括經(jīng)營、管理、交易、娛樂等。概括來講，移動電子商務(wù)是基于無線網(wǎng)絡(luò)，運用移動通信設(shè)備，如筆記本電腦、手機、個人數(shù)據(jù)助手，進行的商品交易或服務(wù)交易。從另一角度，移動電子商務(wù)也可以定義為移動通信絡(luò)為用戶提供的網(wǎng)絡(luò)交易的增值服務(wù)。

SIM卡被復(fù)制。3GSIM卡依然是芯片存儲方

式，若復(fù)制了3GSIM卡內(nèi)信息可能導(dǎo)致呼叫欺騙。如果應(yīng)用安全性基于到設(shè)備的用戶鑒權(quán)（3GSIM），則非法竊取者還有可能偽裝成真正用戶參與到電子商務(wù)的活動中來。干擾或濫用網(wǎng)絡(luò)服務(wù)使得服務(wù)可用性降低甚至拒絕服務(wù)。

⑵無線網(wǎng)絡(luò)威脅。無線信道是一個開放性的信

道，它給無線用戶帶來通信自由和靈活性的同時，也帶來了諸多不安全因素；無線網(wǎng)路中的攻擊者不需要尋找攻擊目標，攻擊目標會漫游到攻擊者所在的小區(qū)，在終端用戶不知情的情況下，信息可能被竊取和篡改。在3G推出后相當長一段時期內(nèi)，移動通信系統(tǒng)都會出現(xiàn)2G和3G兩種網(wǎng)絡(luò)共存的局面，移動通信系統(tǒng)的安全也面臨著后向兼容的問題。

無線竊聽。在無線通信網(wǎng)絡(luò)中，所有的通信內(nèi)容（如移動用戶的通話信息、身份信息、位置信息、數(shù)據(jù)信息等）都是通過無線信道傳送的，無線信道是一個開放性信道，在無線網(wǎng)絡(luò)中的信號很容易受到攔截并被解碼，只要具有適當?shù)臒o線接收設(shè)備就可以很容易實現(xiàn)無線監(jiān)聽，而且很難被發(fā)現(xiàn)。

病毒與黑客。服務(wù)網(wǎng)絡(luò)的開放性會招致黑客攻擊，手機病毒等一系列問題，現(xiàn)已成為影響用戶安全

3G時代的到來，使得移動電子商務(wù)的應(yīng)用更加

靈活，方便和快捷，3G時代下的移動電子商務(wù)同傳統(tǒng)的電子商務(wù)相比，存在如下優(yōu)勢：不受時間、空間限制；多樣化、個性化服務(wù)；信息的獲取將更為及時；網(wǎng)上支付便捷，成本低；更加安全可靠。中國進入3G時代對移動電子商務(wù)的發(fā)展來講，既是機遇又有挑戰(zhàn)。安全問題是移動電子商務(wù)的基石,更是移動電子商務(wù)能否取得成功的關(guān)鍵因素。

23G時代中國移動電子商務(wù)面臨的安全問題

2009年1月7日,工業(yè)和信息化部為中國移動、

10期3G時代移動電子商務(wù)安全問題研究1489

放心使用3G移動電子商務(wù)的一大障礙。近年以來，針對移動終端的病毒呈現(xiàn)爆發(fā)式增長的態(tài)勢，一些以捆綁暗中扣費軟件、竊取賬號密碼、篡改交易數(shù)據(jù)等為目的的新型網(wǎng)絡(luò)攻擊開始專門針對移動終端進行。另外，移動設(shè)備的多樣化以及使用軟件平臺的多種多樣，使其病毒感染的方式也隨之多樣化，這給采取防范措施帶來很大的困難【5-6】。

子商務(wù)安全框架體系。外部環(huán)境由法律制度和相關(guān)商務(wù)工作人員支撐，在該框架下詳細安全策略如下。

⑶信用體系不健全。交易抵賴。所謂交易抵賴是

指交易雙方中的一方在交易完成后否認其參與了此交易。這種威脅在傳統(tǒng)電子商務(wù)中也很常見。交易抵賴存在兩種情況，一是用戶有可能對發(fā)出的交易指令進行否認也可能對使用的業(yè)務(wù)費用及業(yè)務(wù)數(shù)據(jù)來源進行否認，客戶在選購了商品后否認其選擇了某些或全部商品拒絕付費,二是隨著開放程度的加強來自服務(wù)提供商的交易抵賴也將成為可能。

商家欺詐行為。在移動商務(wù)中,消費者對于產(chǎn)品的了解只能通過圖片和文字的簡單說明了解、去判斷,這就使消費者對商品的產(chǎn)地、規(guī)格、原材料來源、成分等真實情況缺乏全面、深入的了解。

圖1移動電子商務(wù)安全策略框架

⑴防火墻技術(shù)支持，保障無線服務(wù)網(wǎng)絡(luò)安全。防

火墻技術(shù)在無線網(wǎng)絡(luò)服務(wù)層中起著至關(guān)重要的作用。與“一直在線”網(wǎng)絡(luò)相連接的設(shè)備需要更高的安全性來防止非法接入。可以在通過GPRS連接與互聯(lián)網(wǎng)一直連接的電腦上安裝個人防火墻。這可以保護本地電腦保存的企業(yè)數(shù)據(jù)和個人數(shù)據(jù)。但這項技術(shù)目前尚不能用于電話或PDA等低功率設(shè)備，這項技術(shù)有待進一步開發(fā)。

⑵常用的加密技術(shù)。加密技術(shù)層中，數(shù)字簽名技

術(shù)以及身份認證技術(shù)是加密算法的經(jīng)典應(yīng)用。

數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。利用數(shù)字簽名技術(shù)可以實現(xiàn)以下功能:一方面，保證信息傳輸過程中的完整性；另一方面，防止交易中的抵賴發(fā)生，證實某一信息確實由某一人發(fā)出。

身份認證技術(shù)。在移動商務(wù)的交易過程中依賴某個可信賴的機構(gòu)(認證中心-CA)發(fā)放證書,雙方交換信息之前通過CA獲取對方的證書,并以此識別對方。強化主體資格的身份認證管理,保證每個用戶的訪問與授權(quán)的準確,實名身份認證解決方案的應(yīng)用,可以增強移動商務(wù)交易的安全性,保證交易雙方的利益不受到侵害。

⑷相關(guān)工作人員職業(yè)道德風險。未經(jīng)有效的訓(xùn)

練和不具備良好職業(yè)道德的員工本身，對系統(tǒng)的安全是一種威脅。工作人員素質(zhì)和保密觀念是一個不容忽視的問題，確保資料安全以及人員存取合法與保密是安全保障工作的重中之重。

⑸相關(guān)法律保障部不完善。目前，幾乎沒有移動

電子商務(wù)方面的法律、法規(guī)，而傳統(tǒng)商務(wù)和電子商務(wù)的法律、法規(guī)不能完全適用移動電子商務(wù)，盡快完善相關(guān)的法律、法規(guī)是移動電子商務(wù)發(fā)展的重要工作。

33G時代中國移動電子商務(wù)安全問題解決策略與相關(guān)技術(shù)

安全問題是移動電子商務(wù)核心技術(shù)問題，解決移動電子商務(wù)安全問題并很好的與3G技術(shù)結(jié)合應(yīng)用是一項復(fù)雜的系統(tǒng)工程，需要建立系統(tǒng)完整的安全策略框架。只有采取了必要和恰當?shù)氖侄尾拍艹浞痔岣咭苿由虅?wù)的可用性和推廣性。

移動電子商務(wù)的安全控制體系結(jié)構(gòu)是保證電子商務(wù)數(shù)據(jù)安全的完整邏輯的邏輯結(jié)構(gòu)，如圖1所示。電子商務(wù)安全體系由網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認證層、交易協(xié)議層、商務(wù)系統(tǒng)層組成。下層是上層的基礎(chǔ)，為上層提供技術(shù)支持;上層是下層的擴展與遞進，各層次之間相互依賴、相互關(guān)聯(lián)構(gòu)成統(tǒng)整體，各層通過控制技術(shù)的遞進實現(xiàn)電子商務(wù)的安全在電

⑶WPKI技術(shù)，通信安全的保證。在有線網(wǎng)絡(luò)

中，電子商務(wù)一個重要的安全保障是公開密鑰基本構(gòu)架（PKI），通過PKI為用戶建立一個安全的網(wǎng)絡(luò)運行環(huán)境。而對于移動電子商務(wù)，由于其移動設(shè)備以及應(yīng)用環(huán)境不同，因此要對PKI技術(shù)進行適當?shù)难a充和優(yōu)化改進。在無線網(wǎng)絡(luò)環(huán)境安全認證中，無線公共密鑰技術(shù)WPKI(WirelessPKI)是有線PKI的一種擴展,它將互聯(lián)網(wǎng)電子商務(wù)中PKI的安全機制引入到移動電子商務(wù)中。WPKI采用公鑰基礎(chǔ)設(shè)施、證書管理策略、軟件和硬件等技術(shù),有效地建立了安全和值得信賴的無線網(wǎng)絡(luò)通信環(huán)境，滿足了移動電子商務(wù)安全要求。WPKI以WAP的安全機制為基礎(chǔ),通過

1490情報科學28卷

管理實體間關(guān)系、密鑰和證書來增強電子商務(wù)安全�？尚诺腤PKI不僅能夠安全鑒權(quán)用戶、保護數(shù)據(jù)在傳輸中的完整性和保密性而且能夠幫助企業(yè)實施非復(fù)制功能,使得交易參與無法抵賴。

戶、家庭真實住址）注冊、申請數(shù)字證書。第三方移動支付平臺委托第三方信用公司對用戶的身份證信息和銀行賬戶進行核實，審核后發(fā)放數(shù)字證書，用戶將其存放在智能卡中。顧客和商家直接通過第三方移動支付平臺進行雙方身份認證，彼此產(chǎn)生信任【7-9】。

⑷WAP2.0協(xié)議的安全策略。WPKI的安全機制

是建構(gòu)在WAP的安全機制上,WAP是迄今移動通信上的唯一國際標準通信協(xié)議。WAP（無線通訊協(xié)議）是在數(shù)字移動電話、互聯(lián)網(wǎng)或其他個人數(shù)字助理機（PDA）、計算機應(yīng)用乃至未來的信息家電之間進行通訊的全球性開放標準。當前的WAP標準在無線數(shù)據(jù)傳輸中并不能給移動用戶足夠的信心，因為它不提供端到端的加密功能。這意味著在在數(shù)據(jù)進入WAP網(wǎng)關(guān)解密的瞬間，數(shù)據(jù)是完全暴露的。

隨著3G網(wǎng)絡(luò)的推廣與普及,移動商務(wù)用戶的不斷增加，WAP2.0應(yīng)時而生。WAP2.0填補了以往

⑹規(guī)范移動電子商務(wù)環(huán)境，加強工作人員安全

管理。

⑺完善相關(guān)法律制度，加強法律約束。為了保證

移動商務(wù)的正常運作,安全運作,必須加強移動商務(wù)的法制建設(shè),專門制定與移動電子商務(wù)相關(guān)法律，要加快移動電子商務(wù)安全立法進程，在保證所確定的法規(guī)不阻礙未來新技術(shù)發(fā)展的前提下，加強法律對安全管理的約束力量。

4結(jié)語

WAP1.x安全缺口，新的標準第一次提供了公鑰結(jié)構(gòu)（PKI）和先進的無線傳輸層安全（WTLS）功能。結(jié)合

有線網(wǎng)絡(luò)的安全措施，使得移動商務(wù)、移動銀行應(yīng)用和相關(guān)服務(wù)的提供變得更加安全可靠。WAP2.0特有的直接HTTP通信、移動友好技術(shù)、標記語言

隨著3G業(yè)務(wù)在中國的逐漸普及，3G時代所帶來的技術(shù)驅(qū)動力極大地促進了移動電子商務(wù)的發(fā)展。安全問題是制約中國移動電子商務(wù)發(fā)展的瓶頸。解決了安全問題,移動電子商務(wù)的發(fā)展才具有可持續(xù)性。作為傳統(tǒng)電子商務(wù)的有益補充,相信在各方共同努力下,并且在3G技術(shù)的推動下，中國移動電子商務(wù)將會獲得前所未有的發(fā)展機遇。

參考文獻

1張

偉.3G時代電子商務(wù)中的移動支付研究及管理思考

XHTMLMP以及對WML1.0的完全向后兼容等技術(shù)

也使得WAP2.0能有更好的圖形展現(xiàn)及控制能力；更容易針對不同的終端做出相應(yīng)的內(nèi)容優(yōu)化，克服了因終端設(shè)備差異造成的安全隱患。目前市場上主流的手機都已經(jīng)支持WAP2.0版本。WAP2.0中充分考慮了端到端安全的實現(xiàn)和WPKI體制，為移動電子商務(wù)提供了基本安全保證。

——第三方支付⑸建立移動電子商務(wù)安全平臺—

平臺，通過實名論證獲取數(shù)字證書。3G技術(shù)的應(yīng)用使得手機支付成為移動電子商務(wù)的主要交易形式，為防止移動終端（手機）遺失等問題帶來的安全威脅，應(yīng)推廣采用手機用戶實名制，要求移動運營商對現(xiàn)行的放號思路進行重構(gòu)，以明確交易主體的身份。

移動電子商務(wù)目前發(fā)展速度很快，電信企業(yè)可以借助參股銀行等便利，適時與銀行等金融機構(gòu)合作成立第三方支付組織，以在央行監(jiān)管框架下合法經(jīng)營移動支付等業(yè)務(wù)。應(yīng)該打破金融、電信和各行業(yè)在移動電子商務(wù)合作中的政策壁壘，鼓勵采取多種合作方式，鼓勵建設(shè)和發(fā)展第三方支付服務(wù)平臺。

第三方移動支付平臺需先與國家認證中心合作，能頒發(fā)和管理數(shù)字證書。顧客、商家分別在第三方移動支付平臺上以實名（包括身份證、一個銀行賬

[D]．北京：北京郵電大學,2009.6：8-11.

2傅杰勇.我國移動電子商務(wù)安全問題的探析[J].中國集體經(jīng)

濟，2008，（5）：65.

3張浩軍,李曉雪,祝躍飛.安全移動電子商務(wù)研究[J].計算機

系統(tǒng)應(yīng)用，2003，（10）：75.

4張衛(wèi)東.移動電子商務(wù)的安全研究[D].西安：西安電子科技

大學,2005.

5舒6鄧7成8錢

虹.移動電子商務(wù)安全問題及其應(yīng)對策略[J].貴陽學院娟，蔣

磊.3G網(wǎng)絡(luò)時代移動電子商務(wù)安全淺析[J].電

學報,2009,4(4):45-47.腦知識與技術(shù),2009,6(5)：1315.

揚.移動電子商務(wù)的安全問題研究[D].沈陽：沈陽理工偉,談

冉.電子商務(wù)安全架構(gòu)[J].電腦知識與技術(shù),

大學，2008.

2006，（5）：39-40.

9王敬童.移動電子商務(wù)技術(shù)及其安全策略[J].湖南商學院學

報,2009，1(16)：108.

（責任編輯：孫曉明）

五星文庫wxphp.com包含總結(jié)匯報、考試資料、人文社科、黨團工作、辦公文檔、旅游景點、文檔下載、IT計算機、外語學習、教學教材以及3G時代移動電子商務(wù)安全問題研究等內(nèi)容。

  本文關(guān)鍵詞：3G時代移動電子商務(wù)安全問題研究，由筆耕文化傳播整理發(fā)布。