伴随着internet的蓬勃发展,电子商务正以其高效、低成本的优势,逐步成为新兴的经营模式和理念,b2b、b2c等经营模式的不断优化和成熟更是推动了世界范围内电子商务的发展。人们己不再满足于信息浏览和发布,而是渴望着能够享受网络所带来的更多的便利。为了满足人们的需求,越来越多的网站投身到提供电子商务服务的行列中来,越来越多的企业开始将自己的业务通过internet的形式直接提供给客户,一个基于internet的全球电子商务框架正在形成。而移动电子商务不仅具备电子商务快速、灵活、方便等特点,更是以其随时随地接入互联网进行商务活动的随时性、可移动性,引发其作为信息时代宠儿的“高温”效应。但是,由于电子商务本身存在的安全问题以及移动设施引发的新的商务安全隐患,使得其安全问题成为“高温”下的炸弹,直接关系到移动电子商务模式的运行前景。
移动电子商务虽然诞生于电子商务,但是其通过移动终端上网的特性决定了它存在和普通电子商务不同的安全性。在探讨移动安全的特性时,我们首先要考虑的是移动终端本身的安全性。只有当移动电子商务赖以依存的移动终端安全了,才可能进一步谈其它的移动安全问题。如今用于上网的移动终端主要有手提电脑、手机、pda等等,保障这些设备本身的安全以及在使用这些设备时遵循安全操作规范进行操作是移动电子商务安全保障的一个前提。当设备安全的前提得以保证后,我们就需要保证移动电子商务在应用中的安全,通常我们需要保障以下的一些安全问题:
1、无线应用软件效能监控与系统效能管理;
2、审核和检测针对移动电子商务的存取是否合法或授权;
3、网页做到安全性认证的整合,以确保资料安全以及人员存取合法
与保密;
4、数字证书或加密管理,实现不可否认性与完整性;
5、wireless lan是否有入侵以及数据包中是否隐藏病毒;
6、wireless网络的效能以及预测失败或错误预警事件;
7、pda等设备在与电脑连接存取时的安全(包括wap、wireless等存取方式);
8、gateway主机以及所提供的服务加以监控;
9、实网络环境中加强防火墙、入侵侦测和弱点扫描,使企业交易内部的主机得到完全的保护。[page]
这九点中在前面的论述己经提到了一些解决方法,针对移动的特性,可通过vpn来解决移动上网中的安全问题。vpn一一虚拟专用网就是在公用的internet网络上通过隧道协议建立起安全的私有网络。它可以满足以下三个安全的需要:
1、和你正在通信的人确实是那个你想要通信的人,你可能遇到的安全性问题是,在通信过程中,可能会碰到一个伪装者。
2、没有人能偷听你的通信内容,你的通信信息是保密的。
3、你接收到的通信信息在传输过程中没有被篡改。
这三点用信息的安全术语来说就是第一:认证,确认信息源;第二:信息保密性,传输的信息是加密的;第三:数据完整性,确认数据没有被篡改。只有当我们达到了这三点要求,才有可能保证移动电子商务在交易过程中的安全。
虚拟专用网主要基于以下技术:
1、ipsec,ietf (internet 工程师任务组)制定的ip安全标准;
2、通过认证机构(ca)发放数字证书和进行第二方认证,或使用“共享密钥认证”用于小规模的安全虚拟专用网;
3、隧道技术,允许公司内部专用ip地址穿越internet。通过这些技术,再集成上pki(公共密钥体系)就可以说是最完美最严密的vpn解决方案了,它通过密钥管理、安全交换以及隧道协议来实现上述的移动设备的通讯安全。
移动电子商务还有一个显著的特征就是一般通过无线上网来进行商务交易。目前所用的无线上网技术主要有:无线应用协议(wap)、移动ip技术、蓝牙技术、802.11b协议。无线应用协议是移动电子商务的核心技术之一,通过wap,手机用户就可以随时随地的接入互联网,
真正做到不受时间和地域限制的移动电子商务。移动ip技术通过在网络层改变ip协议,从而实现notebook在网络中的无逢漫游,进行不间断的电子商务交易。蓝牙技术是一种取代线缆、实现数字空间的无线互联的一种技术,它可以很方便的和周围的网络设备进行连接,建立一个基于个人空间的无线网络。
802.11b协议是和蓝牙技术类似的一种技术,它实现的功能和蓝牙一样,但是其传输协议和传输距离都要强于蓝牙,它是基于企业的无线网络。这些无线协议本身的安全直接关系到移动电子商务的安全问题。假如我们使用的是802.11b技术进行移动上网,那么就等于将无线登陆入口公之于众,并“鼓励”所有拥有与之相匹配的网络适配卡的人登录,这时就需要使用wep(一种资料加密的处理方式)和虚拟专用网共同来保障其安全性。如果使用手机上网,那么我们就要注意数据传输过程中的加密问题,wap手机是无法进行端到端的加密,因此使用的是wap网关来保障数据的保密性。但是wap网关在使用过程中极易被黑客攻破,因此要真正实现安全,我们通常把无线传输层协议(wtls)和wap网关配套使用,并针对窄带通信信道进行优化,从而实现以下的功能:[page]
1、数据完整性:确保终端和应用程序服务器之间传送数据的正确性。
2、私有性:确保在终端和应用程序服务器之间传送数据的私有性,任何中途试图截获数据流的设备均无法破译。
3、签权:可以在终端和应用程序服务器之间建立签权机制。
4、拒绝服务保护:可以检测和拒绝那些要求重传的数据或未成功检验的数据。w t l s使许多常见的拒绝服务攻击更难以实现,从而保护了上层协议。
这样我们就可以有效的实现人们在使用手机进行电子商务活动时的安全问题了。目前,由于蓝牙产品本身的安全性没有得到很好的解决,其安全机制很薄弱,因此在移动电子商务交易过程中我们建议暂时不使用蓝牙产品,待其本身的安全机制得以提高后,那么蓝牙技术在移动电在商务中的运用会逐步增多。
随着无线通讯技术的发展,移动电子商务也展示出更加亮丽的前景,它创造的是一种“无论何时何地”的新概念。赛博研究机构最近发布的一份题为《中国移动电子商务的现状及未来发展》专业研究报告称,基于无线互联网的移动电子商务(m-commerce)在国内拥有良好的市场前景,其发展将超过电子商务。在这如此热的领域里,我们还应该清醒的看到移动电子商务中存在的许多安全问题,详细分析其可能出现的情况并加以解决。只有当我们真正解决了移动电子商务中的安全隐患,排除了这枚炸弹,才可能吸引更多的人使用移动电子商务,才能带动移动电子商务的飞速发展。
