新疆机电职业技术学员毕业设计(论文)
毕业论文报告
移动电子商务中安全问题与解决方案
论文题目: 移动电子商务中安全问题与解决方案 院 系 名 称:新疆机电职业技术学院 专 业 班 级:电子商务-11-1
学 生 姓 名: 钱磊
导 师 姓 名: 曼古丽
摘要
- 1 -
新疆机电职业技术学员毕业设计(论文)
移动电子商务是传统电子商务的一种创新营利模式,移动电子商务除了存在传统电子商务未能解决的障碍,如支付、配送、费用高等问题外,安全性问题尤其显得突出。由于目前产生移动支付行为是基于手机号上绑定的银行卡、信用卡与商家之间完成,或者基于手机 SIM 卡与 POS 机近距离完成,故此类似于密码破解、信息复制、病毒感染等安全问题都有可能对移动支付造成重大的损失。因此,我们有必要对移动支付的安全性进行分析,并通过技术手段来进行解决。针对移动商务的支付现状,提出了以移动支付中心为核心的移动电子商务安全支付方案。
关键词:移动电子商务;支付;安全
ABSTRACT
Mobile e-commerce is an innovative profit model of e-commerce, mobile e-commerce - 2 -
新疆机电职业技术学员毕业设计(论文)
in addition to traditional e-commerce failed to resolve obstacles, such as payment, delivery, cost is high, the safety problem is especially prominent. As the current generation of mobile payment behavior is done between mobile phone number on the binding of bank card, credit card and merchant based on, or mobile phone SIM card and POS distance based, so similar to the password cracking, the duplication of information, HIV infection and other security problems are likely to cause significant loss of mobile payment. Therefore, it is necessary for us to analyze the security of mobile payment, and through technical means to solve. Payment in mobile commerce, and puts forward the scheme of mobile e-commerce security payment with mobile payment center.
Keywords: mobile e-commerce payment; security
目 录
摘要??????????????????????????????????2 ABSTRACT????????????????????????????????3 绪论??????????????????????????????????5 - 3 -
新疆机电职业技术学员毕业设计(论文)
一、现阶段我国移动商务的发展状况??????????????????????6
二、移动电子商务发展中遇到的安全问题????????????????????7
(一) 密码管理不善???????????????????????????7
(二) 网络钓鱼网站的兴起????????????????????????7
(三) 手机加密能力有限?????????????????????????7
(四) 身份识别的缺乏??????????????????????????8
三、移动电子商务安全支付问题解决方法????????????????????9
(一)加强CA认证?????????????????????????????9
(二)完善WPKI体系????????????????????????????9
(三)电子支付安全协议??????????????????????????9
(四) 社会道德的规范??????????????????????????9
四、移动电子商务安全支付方案可行性分析??????????????10
(一)方案优点?????????????????????????????10
(二) 方案缺点?????????????????????????????11 结论?????????????????????????????????????12 致谢?????????????????????????????????????12 参考文献???????????????????????????????????13
绪论
移动商务就是在交易活动中用手机、掌上电脑、笔记本电脑作为支付手段,通过短信、WAP、IVR等方式,使用移动话费或使用信用卡做为支付资金,完成购物、缴费、银行转账等商务活动。经过手机投注、网上购买游戏卡、移动梦网和手机支付水电费燃气费等商务活动,移动商务逐渐走进了普通百姓的生活。由于手机用户可以随时随地进行购物和支付,不再受时间和地域限制,被认为将成为今后消费方式的一大主流。目前我国银行系统的发卡量累计已超过7. 6 - 4 -
新疆机电职业技术学员毕业设计(论文)
亿,移动电话用户数量己接近4亿,而且大部分移动手机用户拥有一张或多张银行卡。根据CCNIC20xx年调查报告,我国上网用户总数为1. 23亿人,其中使用手机上网的网民大概有1500万。而且,中国网民70%集中在收入1500元以下、年龄30岁以下的人群中,而手机用户中基本包含了消费群体中高端用户,如早期使用一万多元大哥大的手机用户;另一个原因,无线网络覆盖面广,从城市到乡村,都可以使用手机。因此,不论用户数量还是用户资金实力,移动电子商务都远远高于传统电子商务。如此巨大的手机消费群体和银行卡持有者数量,对于移动商务来说无疑是一个巨大的“金矿”。 手机 已不再是单纯的语音通信工具,目前大部分的手机都还可以集手机音乐、手机游戏 、手机 阅读 、手机报 纸、手机 电视 、手机钱 包等多种应用功能于一身,手机 支付 也成为了一种满足 用户需要 的重要应用功能。同时,急速 增长的移动 电子商务 交易作为手机 支付发 展的根本动力,促使手机 支付 的产业链 日益成 熟。
一、现阶段我国移动商务的发展状况
随着全球化的信息技术革命,移动电话成为中国电信服务中来势最迅猛、发展最活跃的新秀,移动通信能力进一步加强,中国已成为世界移动电话第三大国。所以中国的移动电子商务具有非常大的市场前景。便携式电脑、手机、PDA等各种移动终端的大量出现,为移动电子商务的发展打下了良好的基础。特别是我国使用手机的用户规模正在扩大。手机用户已达世界第一的规模。据信息产业部数据,到20xx年5月,全国的手机用户数达仅到0.3亿人;到了20xx年5月全国手机用户数就达到了0.7亿人;而到20xx年5月末为止国内手机用户数已达1.7亿人,每月平均有530万人加入到手机用户中来虽然我国已经开始了移动电子商务服务,但是这些服务主要还是试验或试用性
质的,不是完全成熟的服务。
- 5 -
新疆机电职业技术学员毕业设计(论文)
在这个阶段,移动电子商务在很大程度上还是个新兴的市场。因此,发展移动电子商务不仅要注重企业应用,注重大众化的应用也是启动移动电子商务市场的关键。同世界其它地区的情况一样,我国的移动电子商务服务仍然还有很长的路要走。据IDC公司调查,在澳大利亚和新西兰只有42%的公司采用了无线服务或计划采用无线服务。这个比例在亚洲的南亚地区为35%,而在中国和韩国地区仅为32%。移动电子商务也具有很多得天独厚的优势,具有随时随地的特点。与传统的电子商务相比,移动电子商务的最大特点是“随时随地”和“个性化”。传统电子商务已经使人们感受到了网络所带来的便利和乐趣,但它的局限在于台式电脑携带不便,而移动电子商务则可以弥补传统电子商务的这种缺憾,可以让人们随时随地购买彩票、炒股或者购物,感受独特的商务体
验
用户规模大。到去年底,我国互联网用户已达到9400万,上网计算机数达到4160万台。而相比之下,目前我国的移动电话用户已接近4亿,是全球之最。显然,从电脑和移动电话的普及程度来看,移动电话远远超过了电脑。而从用户群体来看,手机用户中基本包含了消费市场中的中高端用户,而传统的上网用户中以缺乏支付能力的年轻人为主。由此我们不难看出,在某种程度上说,以移动电话为载体的移动电子商务不论在用户规模上,还是在用户消费能力上,都优于传统的电子商务。有较好的身份认证基础。对传统的电子商务而言,用户的消费信用问题是影响其发展的一大“瓶颈”,而移动电子商务在这方面显然拥有一定的优势。这是因为手机号码具有唯一性,手机SIM卡上存贮的用户信息可以确定一个用户的身份。对于移动商务而言,这就有了信用认证的基础。此外,与西方国家相比,目前我国银行卡的使用率不高,商业信用体系尚不健全,个人信用体系缺位。银行卡使用率低、使用网点少等现实问题的存在,都给移动电子商务发展提供了机遇。一些专家认为,在我国,以移动终端为载体的移动小额支付,有可能代替信用卡,弥补整个社会消费信用制度的缺位,成为人们较为容易接受的新型电子支付
方式。
二、移动电子商务发展中遇到的安全问题 随着移动电子商务的迅速发展,衍生出来的问题也有许许多多,就从移动电子商务安全上来看移动支付现在就存在着许许多多的问题。尽管移动支付,特别是手机支付手段备受专家及商户、银行、运营商等青睐,但是在它带来方便快捷的同时,人们也在担心它的安全性究竟有多高 。在一项调查中,国内40%的消费者对移动支付的安全性缺乏信任,只有低于15%的手机用户完全信任移动支付,而65%的手机用户拒绝通过移动网络发送自己信用卡资料。超过90%的手机用户都收到过诈骗短信。中国金融认证中心副总经理曹小青评价道,“安全问题将成为制约移动应用发展的主要因素之一”。除了担心支付安全问题,担心个人资料泄漏也是很多用户的共识。
(一) 密码管理不善
- 6 -
新疆机电职业技术学员毕业设计(论文)
大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件强力破解一些安全性弱的密码。这使得不法分子有机可乘以非法手段窃取、篡改、删除、插人数据或者对用户信道信息进行破译分析,使得用户数据传输中出现错误、丢失、乱序,可能导致用户数据的完整性被破坏,使机密的内容泄漏给未被授权的用户。
(二) 网络钓鱼网站的兴起
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造信息或者假冒合法商户的身份进行欺骗,伪造用户地址,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,进行非法连接,截获合法用户的信息,受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等,占有或者支配合法商家的资源,然后传送给非法使用者。
(三) 手机加密能力有限
由于手机的运算能力低内存小,加上带宽小容易掉失数据,所以无法运行太复杂加密算法,造成数据保密低,也无法传递大量数据。1其次,手机信息在空中极容易被被拦截。网上经常有人叫卖”监听王(GSM/CDMA多信道移动电话拦截系统)装置”,喧称:”监听地点没有限制能在任何地点,包括车载移动手机空中拦截;监听数量多,可以同时监听20个手机号码;监听范围广,可以显示手机的短信息内容和来电号码;并且可以将监听到的信息录音并存于硬盘以做证据之用。”这种宣传有水分,但明白不误地告诉我们,手机信息可被拦截;我们使用手机支付的信用卡数据同样也可被拦截。
再加上不法分子千方百计企图偷盗消费者的账号密码。例如冒充银行发诈
骗短信。“您好!你的信用卡于XXX商城刷卡消费XX元,此笔消费将从您
账上扣除。如有疑问请拨X XX银联联合管理局。”不法分子用此类短信
告知用户无中生有的消费,要求用户确认。用户情急之中查询,结果把自己的
账号密码泄露,造成信用卡里的钱被不法分子盗取。
因此,当移动商务流行时,不法分子极有可能使用移动电话拦截器,监听
移动手机使用信用卡支付信息,想方设法加以破解。
(四) 身份识别的缺乏
当手机仅仅当作通话工具时,密码保护并不是很重要。但作为支付工具时,移动信息化提高了手机等手持终端的重要程度,设备丢失、密码被攻破、病毒发作等问题都会造成重大损失。
- 7 -
新疆机电职业技术学员毕业设计(论文)
三、移动电子商务安全支付问题解决方法
(一)加强CA认证
CA(CecateAuthority)认证中心,作为一个权威的第三方机构,通过对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同移动电子商务的参与群体联系在一起,利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,建立起安全程度极高的加解密和身份认证系统,确保电子交易有效、安全地进行,从而使信息除发送方和接收方外,防止电子商务交易中一些重要数据、文件在传输过程中被窃取篡改、网络欺诈、网络攻击等问题的威胁,保障电子商务的网络支付安全。 - 8 -
新疆机电职业技术学员毕业设计(论文)
(二)完善WPKI体系
公钥基础结构是由数字证书、证书颁发机构(以)以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。WPKI的基础技术包括加巨密、数字签名、数据完整性机制、数字信封、双重数字签名等。通过WPKI体系,移动电子商务的交易双方,可以共同信任签发其数字证书的认证中心(CA),采用数字证书的应用软件和CA信任的机制,促成网络支付的安全。例如,要进行在线交易时,或者是在线支付,如果有相同客户端浏览器中根证书列表中包含了它所信任CA的根证书,当浏览器需要验证一个数字证书的合法性的时候,这个浏览器从根证书列表发布数字证书认证中心的根证书,如果认证中心的根证书在浏览器的根证书列表和验证通过承认这个网站,浏览器就有了一个合法的身份显示该网站的网页。
(三)电子支付安全协议
目前,SSL安全协议和SET安全协议已经被广泛地应用在电子商务活动中的安全支付环节。SET采用公钥机制、信息摘要和认证体系,基于协议之上的应用程序,用于提高应用程序之间数据的安全系数。SSL中也采用了公钥机制、信息摘要和MAC检测,可以提供信息保密性、完整性和一定程度的身份鉴别功能。
(四) 社会道德的规范
由于电子商务交易双方不直接面对面的特点,传统的交易过程中经常出现欺诈将对电子商务安全产生消极的影响。因此,电子商务的健康发展取决于建立和完善社会道德规范。目前,信息系统建设刚刚起步,有待进一步改进,同时,需要进一步拓宽信息来源,信用评级进一步的科学分析。
- 9 -
新疆机电职业技术学员毕业设计(论文)
四、移动电子商务安全支付方案可行性分析
(一)方案优点
移动支付中心为纽带的安全性高。在整个支付过程中,移动支付中心 的支付管理系统是一个核心纽带,它完成对顾客商家身份确认、监督商家发货、 代扣顾客货款等业务。
当顾客发出确认合同和交易成功信息时,顾客的短信只传到移动支付中心, 而不是商家系统。移动支付中心只能知道顾客账户的话费可用金额,用于判断 顾客是否有足够的余额进行购买。
顾客的开户行账号详细信息只由金融机构进行管理。当移动话费不足时,顾客 发送转账指令到银行。根据顾客指令,由银行进行银行账户转账、支付和清算。 移动支付中心不能处理顾客的银行账户,商家更不可以进行顾客的银行账户处 理。这样,避免了顾客信用卡账号被欺骗的可能性。同时,由于顾客的个人重 要资料不是存放在商家系统中,也保护了顾客的隐私。
另外,交易过程中,移动支付中心首先暂替商家扣下货款,保障了商家的 权益;所暂扣话费没有直接交给商家,而是等顾客验收完货物后,才转给商家, 同样也保障了顾客权益。
(2) 重要数据的机密性。为防止重要数据被非法用户所截获,使用了加密 的手段实现保密,从而确保在传递过程中,只有顾客、商家、移动支付中心知 道交易的内容。使用加密技术,手机在传送顾客证书,传送顾客的银行账号和 口令,以及传送各种个人的机密敏感信息,不会被轻易破译或盗用。
(3) 完整性。使用加密技术和以移动支付中心为纽带,可以防止其他方或 非法入侵者对交易的内容进行修改,同时保障交易双方权益。
(4)身份可确认性。通过数字证书验证,确保交易双方身份认证,防止欺 诈行为的产生。顾客的身份还可以通过手机卡号确认。手机卡可以做到惟一和 专属又不受时空限制,除移动通信服务商之外的其他机构或个人无法复制有效 的同号手机卡。退一步讲,即便同号手机卡被人复制,通过移动网络控制中心 也是很容易被发现的。何况还有账号和密码的保护。因此,该方案是安全可靠 的。 (1)
2.方案缺点
(1) 步骤复杂。由于方案中采用商家发订单合同到移动支付中心,移动支
付中心把订单合同再转发给顾客手机,然后经过顾客使用手机确认订单合同后,移动中心才能告诉商家:货款己扣。还需要双方对购物对方评价,这对想马上支付的交易来说:步骤多,过程复杂。
(2) 传递数据比较多。本来手机速度慢带宽小,容易丢失数据,现在需要对
传递指令和证书进行加密,并把它们传送到移动支付中心,对手机的处理能力是一个考验。
- 10 -
新疆机电职业技术学员毕业设计(论文)
多余的内容可以不要,排版有严重问题,需要改过来,套用新疆工程学院毕业论文格式,打印一式二份明天交到管理系办公室。排版要整齐,不要有错别字,准备答辩。
结论
与我国传统电子商务整体发展水平偏低的状况相比,中国移动电子商务的 前景乐观得多,在移动电子商务发展过程中,如果解决商务安全和费用高的问 - 11 -
新疆机电职业技术学员毕业设计(论文)
题,让人们对既安全又快捷还实惠的移动商务有充分认识,就会喜欢使用移动 商务,那么4亿多中高端手机用户是多么大的消费能力。
所以,对于移动商务,虽然前面有艰难险阻,但希望在前面不远处。
致谢
本论文是在曼古丽导师悉心指导下完成的。导师渊博的专业知识,严谨的治学态度,精益求精的工作作风,诲人不倦的高尚师德,严以律己、宽以待人的崇高风范,朴实无华、平易近人的人格魅力对我影响深远。不仅使我树立了远大的学术目标、掌握了基本的研究方法,还使我明白了许多待人接物与为人处世的道理。本论文从选题到完成,每一步都是在导师的指导下完成的,倾注了导师大量的心血。在此,谨向导师表示崇高的敬意和衷心的感谢!
本论文的顺利完成,离不开各位老师、同学和朋友的关心和帮助。在此感谢各位师兄师姐的关心、支持和帮助。在三年的学习期间曾得到师兄师姐师弟师妹的关心和帮助,在此表示深深表示深深的感谢。没有他们的帮助和支持是没有办法完成我的论文地,同窗之间的友谊永远长存。
- 12 -
新疆机电职业技术学员毕业设计(论文)
参考文献
[l]林立鑫,龚慧华.浅谈移动电子商务的发展[J].经营管理者,2009(11).
[2]张敏锋,颜展眉.3G时代我国移动电子商务现状与发展策略[J].通信管理与技术,2009(3)
13 7
新疆机电职业技术学员毕业设计(论文)
14 8