移动电子商务交易安全研究
发表时间:2014-11-21T13:35:40.200Z 来源:《价值工程》2014年第4月上旬供稿作者:杜亚敏
[导读] 信用问题移动电子商务交易过程中有多个交易主体参与,其信用就转化为参与各方的信用。
Research on Mobile E-commerce Transaction Security
杜亚敏DU Ya-min(淮南师范学院,淮南232001)(Huainan Normal University,Huainan 232001,China)
摘要院移动电子商务带来便利的同时也带来了新的安全问题,设备的多样性和移动网络环境的复杂性使得确保移动电子商务交易安全更加困难,本文通过分析现阶段移动电子商务的交易模式,提出现有移动电子商务交易过程中存在的安全问题与安全隐患,最后提出了较为可行的解决方案。
Abstract: The convenience of mobile e -commerce also brings new security issues, diversity of mobile devices and networkenvironment cause safety of mobile e-commerce transaction more complex. This paper analyzes the mobile e-commerce transaction in thepresent, finding out the security problems and safety risks, and proposes some feasible solutions.
关键词院移动电子商务;交易安全;电子商务安全Key words: mobile e-commerce;transaction security;e-commerce security 中图分类号院F713.36 文献标识码院A 文章编号院1006-4311(2014)10-0196-021
移动电子商务发展背景在基础网络建设上,随着3G 移动网络的建设和4G牌照的发放(2013 年12 月4 日),中国移动、中国联通、中国电信建成了较为成熟的3G 网络,4G 网络也正式商用且发展迅速,为使用者提供了便利、快速的移动上网体验。在网民数量上,截止2013 年末中国网民数量6.04 亿,手机网民达到4.64 亿,手机超越台式电脑成为第一大上网终端,中国互联网已进入移动互联网时代。
据中国电子商务研究中心监测数据显示,截止到2013 年12 月,中国移动电子商务市场交易规模达到2325亿元,较去年的965 亿元同比增141%,依然保持快速增长的趋势。预计到2014 年这一数字有望达4124 亿元。在庞大的交易规模和使用人群的前提下,移动电子商务交易安全研究有着重要的现实意义。
2 移动电子商务交易主要存在的安全威胁2.1 无线链路威胁由于移动通信过程中数据包大都采用明文或安全性较弱的加密传输方式,造成对无线设备进行窃听或破解较为容易,窃听或破解的成本也较低。在移动电子商务交易过程中传输的商品信息、支付信息、支付账号和密码、基于GPS 的位置信息等易于被潜在攻击者通过适当的无线设备来窃听,由于无线信号的发散性和移动通信中的移动特征,攻击者的攻击行为也很难被发现。
2.2 通过公共场所WiFi 联网造成的威胁很多公共场所都提供免费的WiFi 热点服务,考虑到数据流量费用和上网速度,消费者倾向于使用这类服务。绝大多数的公共WiFi 环境缺少甚至毫无安全防护措施,任何人都可以加入,攻击者进入该免费WiFi 以后,就会对网络中的其他用户进行嗅探,并截取网络中传输的数据,在这种情况下,移动用户在网络中传输的任何信息都完全暴露在攻击者眼前,攻击者通过专业软件可截获到各种用户名、密码、上网记录、交易记录、聊天记录及邮件内容。同时攻击者可以恶意篡改WiFi 路由器的DNS 地址,当用户访问正常网站时,浏览器会被指向非法恶意网址,甚至还会遭遇钓鱼网站及病毒的威胁。
2.3 移动硬件设备本身的问题一方面,移动设备输入信息的效率较低,在使用过程中用户习惯选择记住密码,移动设备为了便携都设计的较为小巧且价值较高,容易丢失和被窃取,一旦设备被他人取得,就很容易在移动商务活动中伪装成真正的用户,并通过交易非法获得别人的财物;另一方面,电源续航时间成为移动设备使用的瓶颈,移动设备不适合进行大量计算,长时间传输大量数据会造成移动网络的拥堵,所以移动设备上不适宜长时间进行加密强度较大的通信。
2.4 移动设备病毒的威胁目前,不论是笔记本电脑、上网本、Pad 还是手机,安全性都受到病毒的威胁,在移动设备中,手机病毒的危害是最大的,手机病毒不仅破坏系统、损坏硬件、诈骗欺诈、恶意传播、流氓行为、远程控制、盗取支付账号、网银密码、游戏或社交网络中的虚拟财产或虚拟货币,甚至会消耗手机资费,窃取用户短信、通讯录、GPS 位置数据等隐私信息,给手机用户造成财产或感情上的伤害。手机病毒传播途径主要为:第三方应用商店、手机论坛、ROM 内置、手机资源站、网盘传播、二维码传播。
2.5 信用问题移动电子商务交易过程中有多个交易主体参与,其信用就转化为参与各方的信用。相对于欧美较为完善的信用体系,我国还未建成方便查询、覆盖全国人口的个人信用数据库。
2.6 法律、法规问题电子商务给消费者购物带来方便的同时,也带来了消费欺诈、质量低劣等问题,网上侵犯知识产权和制售假冒伪劣商品、恶意欺诈、违法犯罪等问题不断发生,网络交易纠纷处理难度较大,产品、服务质量难以得到保证,没有良好的售后环节,网上购物维权困难等问题,在一定程度上影响了人们对移动电子商务发展的信心。
3 解决方案3.1 采用WPKI 技术PKI(公钥基础设施)技术是保障有线通信中电子商务交易的重要手段,是一个包括硬件、软件、人员、政策和手续的集合,用来实现基于公钥密码体制的公钥身份证书产生、管理、存储、发行和作废等功能。WPKI(wireless PKI)技术满足移动电子商务交易安全的要求:真实性、完整性、保密性、不可否认性,消除了用户在交易中的风险。WPKI 技术主要有:认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统,应用程序接口(API)。
3.2 运用端到端策略移动电子商务中客户端设备种类较多,如笔记本电脑、上网本、Pad、手机等,各种设备上的操作系统、应用软件也不同,所以移动商务中的客户端环境复杂,造成安全性问题更加复杂,安全控制更加困难。
移动电子商务中的端到端意味着保护数据传输中的每个环节,确保数据从发送点到最后目的地之间的传输通道是安全的,包括传输过程中的每个环节。
3.3 移动设备采用生物识别认证技术生物识别技术就是,通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性(如指纹、脸象、虹膜等)和行为特征来进行个人身份的鉴定。移动设备的特性导致了输入效率较低,如使用安全性较高的强密码会给使用者带来不便,强密码也不易于记忆。现阶段,人脸识别和指纹识别技术已非常成熟并应用到移动设备中。生物识别极大的提高了账户的安全性,同时减少了用户输入密码的次数,减轻了记忆强密码的负担。如果让更多更安全的生物识别功能成为移动设备的标配,将大大提高移动电子商务的安全性。
3.4 完善法律、法规,加大对移动电子商务违法行为的打击力度要加快对移动商务行业的监管,建立部门间电子商务监管协调配合机制,督促网络经营主体特别是网络交易平台切实履行责任,守法经营,加强自律,维护移动商务市场秩序。加大对利用移动网络平台进行商业欺诈、侵犯个人隐私、侵犯商业机密、发布虚假违法广告、制造病毒、入侵计算机系统、入侵移动商务平台的打击力度。
