移動電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動相結(jié)合，隨時隨地為用戶提供各種個性化的、定制的在線動態(tài)商務(wù)服務(wù)。這種融合了移動通信技術(shù)的電子商務(wù)具有巨大的潛力，業(yè)內(nèi)人士普遍看好它的市場前景。電子商務(wù)在我國能否廣泛應(yīng)用的一個瓶頸問題是安全。在無線環(huán)境里，由于空中接口的開放，人們對于進(jìn)行商務(wù)活動的安全性的關(guān)注遠(yuǎn)遠(yuǎn)超過有線環(huán)境。只有當(dāng)所有的用戶確信，通過無線方式進(jìn)行的交易不會發(fā)生欺詐或篡改，進(jìn)行的交易得到法律的承認(rèn)和隱私信息被適當(dāng)?shù)乇Ｗo(hù)，移動電子商務(wù)才有可能成功和推廣。

一、移動電子商務(wù)通信技術(shù)現(xiàn)狀

作為移動電子商務(wù)的最底層，無線通信技術(shù)，以及由其而構(gòu)成的無線網(wǎng)絡(luò)是否先進(jìn)，將直接決定這種新興商務(wù)模式的成敗。目前，已經(jīng)商用化的無線網(wǎng)絡(luò)技術(shù)主要有以下幾種:

1.無線局域網(wǎng)（Wireless Local Area Network，WLAN)無線局域網(wǎng)絡(luò)是以無線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE 802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中，無線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議（Wired Equivalent Privacy，有線對等安全協(xié)議）。在數(shù)據(jù)鏈路層用WEP加密數(shù)據(jù)，保證了信道上傳送數(shù)據(jù)的安全。另外，無線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個授權(quán)用戶一個基于WEP算法的密鑰，這樣就有效阻止了非授權(quán)用戶的訪問。

2．WAP（Wireless Application Protocol，無線應(yīng)用協(xié)議）WAP由一系列協(xié)議組成，用來標(biāo)準(zhǔn)化無線通信設(shè)備。例如:移動電話、移動終端。它負(fù)責(zé)將Internet和移動通信網(wǎng)連接到一起，事實(shí)上已成為移動終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。

WAP的安全機(jī)制是通過WTLS（Wireless Transport Layer Security，無線傳輸層安全）來實(shí)現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術(shù)的有限發(fā)送功率、存儲容量及帶寬的條件下，WTLS能夠?qū)崿F(xiàn)鑒定、保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。

二、移動電子商務(wù)安全分析

在網(wǎng)絡(luò)安全技術(shù)中，一般根據(jù)不同的網(wǎng)絡(luò)技術(shù)和具體的應(yīng)用環(huán)境來選擇與適用相應(yīng)的安全手段。

1.IEEE 802.11的安全

IEEE 802.11標(biāo)準(zhǔn)規(guī)定了MAC子層的存取控制規(guī)范，也定義了加密機(jī)制，即WEP。WEP的目的是通過對信息流加密并利用WEP認(rèn)證節(jié)點(diǎn)，使無線通信傳輸像有線網(wǎng)絡(luò)一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問和連接到該訪問點(diǎn)的所有工作站必須使用同樣的共享密鑰。對于任意一個傳遞的數(shù)據(jù)包，傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的校驗(yàn)組合在一起。然后，WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量，后者與密鑰組合在一起，用于對數(shù)據(jù)包進(jìn)行加密。接收方生成自己的匹配數(shù)據(jù)包密鑰并用其對數(shù)據(jù)包進(jìn)行解密。在理論上，這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略，應(yīng)該更難于破解。

但是，IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級別，根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞，有經(jīng)驗(yàn)的黑客可以利用這些漏洞進(jìn)行攻擊。早期的WEP只提供40位加密，這使得它抗暴力攻擊能力差?，F(xiàn)今的系統(tǒng)提供128位的WEP，128位的密鑰長度減去24位的初始化向量后，實(shí)際上有效的密鑰長度為104位。盡管如此，128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網(wǎng)絡(luò)放在網(wǎng)絡(luò)防火墻之外，這種防范措施會強(qiáng)制要求將無線聯(lián)接當(dāng)作不受信任的連接來看待，就像看待其他任何來自Internet的聯(lián)接一樣。所以，WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全。

2.WAP的安全

WAP規(guī)范的安全特性包括幾個部分:WTLS協(xié)議、用于存儲用戶證書的WAP身份模塊（WIM）和允許WAP交易簽名的SignText功能。

WAP在一定程度上是安全的。但由于WAP網(wǎng)關(guān)暴露在外，而且并不為商務(wù)提供方所有，故而會成為一個潛在的安全隱患。對于安全要求較高的公司可以擁有自己的WAP網(wǎng)關(guān)，從而保障數(shù)據(jù)端到端的安全性。

3.WPKI技術(shù)

在有線環(huán)境中，電子商務(wù)的一個重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務(wù)的安全問題，但在無線環(huán)境中應(yīng)用PKI的同時要考慮到移動通信環(huán)境的特點(diǎn)，并據(jù)此對PKI技術(shù)進(jìn)行改進(jìn)。

WPKI和PKI的最主要區(qū)別在于證書的驗(yàn)證和加密算法。WPKI采用優(yōu)化的ECC橢圓曲線加密和壓縮的X.509數(shù)字證書。對于一個1024位加密算法，用手機(jī)至少需要半分鐘才能完成，所以傳統(tǒng)的PKI X.509就不適合于移動計(jì)算。ECC算法的數(shù)學(xué)理論非常深奧和復(fù)雜，在工程應(yīng)用中比較難于實(shí)現(xiàn)，但它的單位安全強(qiáng)度相對較高。在目前已知的公鑰體制中橢圓曲線密碼體制是對每比特所提供的加密強(qiáng)度最高的一種體制。即使使用目前解橢圓曲線上的離散對數(shù)問題的最好算法，其時間復(fù)雜度也是完全指數(shù)階的。ECC的密鑰短這一優(yōu)勢是非常明顯的，隨加密強(qiáng)度的提高，密鑰長度的變化也不大。橢圓曲線ECC算法在運(yùn)算能力有限，存儲空間不大的移動終端中的應(yīng)用前景十分廣闊。我國在2003年頒布的無線局域網(wǎng)國家標(biāo)準(zhǔn)中，數(shù)字簽名采用的就是橢圓曲線ECC算法。

作為對傳統(tǒng)電子商務(wù)的有益補(bǔ)充，移動電子商務(wù)在解決了實(shí)現(xiàn)技術(shù)和安全問題后，定會迎來它的高速發(fā)展和飛快普及，很可能成為未來電子商務(wù)的主流方式。