基于WAP的移動(dòng)電子商務(wù)安全研究

1、2008年第12期福建電腦1.1、移動(dòng)電子商務(wù)概念移動(dòng)電子商務(wù)(M-commerce 是指通過(guò)手機(jī)、傳呼機(jī)、掌上 電腦、筆記本電腦等移動(dòng)通訊設(shè)備與無(wú)線上網(wǎng)技術(shù)結(jié)合所構(gòu)成的一個(gè)電子商務(wù)體系。相對(duì)于傳統(tǒng)的電子商務(wù)而言,移動(dòng)商務(wù)可以真正使任何人在任何時(shí)間、任何地點(diǎn)得到整個(gè)網(wǎng)絡(luò)的信息和服務(wù)。隨著無(wú)線通信技術(shù)的迅速發(fā)展,移動(dòng)電子商務(wù)的條件日益成熟,安全問(wèn)題作為移動(dòng)電子商務(wù)發(fā)展的弊端,急需解決。移動(dòng)電子商務(wù)需要在移動(dòng)個(gè)人終端和有線網(wǎng)絡(luò)中進(jìn)行信息相互通信,這使得整個(gè)交易過(guò)程承受著無(wú)線網(wǎng)和有線網(wǎng)通信中的雙重安全風(fēng)險(xiǎn),因此要求移動(dòng)電子商務(wù)具有特殊的安全體系。其中的WAP 安全體系是護(hù)航移動(dòng)電子商務(wù)的典范,也是當(dāng)

2、前絕大多數(shù)安全移動(dòng)電子商務(wù)的實(shí)現(xiàn)基礎(chǔ)。1.2、WAP 移動(dòng)電子商務(wù)的網(wǎng)絡(luò)模型 圖1持設(shè)備的顯示屏上。多種網(wǎng)絡(luò),也就是說(shuō),它不依賴某種網(wǎng)絡(luò)而存在,今天的WAP 服務(wù)在3G 到來(lái)后仍然可能繼續(xù)存在,不過(guò)傳輸速率更快,協(xié)議標(biāo)準(zhǔn)也會(huì)隨之升級(jí)。它把因特網(wǎng)擴(kuò)展到了無(wú)線環(huán)境,要真正應(yīng)用,需要三個(gè)環(huán)節(jié),由WAP 客戶端、WAP 網(wǎng)關(guān)、和Web 內(nèi)容服務(wù)器組成。WAP 網(wǎng)關(guān)的建設(shè)一般由運(yùn)營(yíng)商(移動(dòng)通訊公司或與大的ISP 等有關(guān)的企業(yè)來(lái)建設(shè),WAP 終端由通訊硬件生產(chǎn)廠家來(lái)制造,有了可以上網(wǎng)的移動(dòng)終端和無(wú)線互聯(lián)網(wǎng)基礎(chǔ),還需建立WAP 內(nèi)容服務(wù)器,為移動(dòng)用戶提供可以瀏覽的內(nèi)容。為移動(dòng)用戶提供可以瀏覽的內(nèi)容WAP 客

3、戶端和WAP 網(wǎng)關(guān)間通過(guò)無(wú)線網(wǎng),使用WML (無(wú)線標(biāo)記語(yǔ)言來(lái)傳輸數(shù)據(jù);WAP 網(wǎng)關(guān)用于在WML 數(shù)據(jù)和HTML 數(shù)據(jù)之間進(jìn)行轉(zhuǎn)換,在有線網(wǎng)和無(wú)線網(wǎng)之間傳遞數(shù)據(jù)并和Web 服務(wù)器之間進(jìn)行相互通信。WAP 是無(wú)線終端和互聯(lián)網(wǎng)之間進(jìn)行通信時(shí)使用的開放性全球標(biāo)準(zhǔn),可以支持目前己廣泛使用的絕大多數(shù)無(wú)線設(shè)備,包括移動(dòng)電話、尋呼機(jī)、雙向無(wú)線電通信設(shè)備等等。WAP 也可以支持目前存在的各種移動(dòng)網(wǎng)絡(luò),比如GSM 、CDMA 、PHS 、GPRS 等等,并充分考慮了對(duì)未來(lái)第三代移動(dòng)通信系統(tǒng)的支持。通過(guò)WAP終端,人們能進(jìn)行查詢信息,股票交易、銀行業(yè)務(wù)、產(chǎn)品定購(gòu),移動(dòng)辦公等電子商務(wù)活動(dòng)。WAP 移動(dòng)電子商務(wù)服務(wù)模型

4、圖如圖1所示圖2一個(gè)典型的WAP 應(yīng)用系統(tǒng)核心有三個(gè)角色:1.具有WAP 用戶代理功能的移動(dòng)終端:典型的終端為WAP 手機(jī),它相當(dāng)于Internet 中的PC 機(jī)。在它的顯示屏上運(yùn)行有微瀏覽器(Microbrowser,用戶可以采用簡(jiǎn)單的選擇鍵實(shí)現(xiàn)WAP 服務(wù)請(qǐng)求,并以無(wú)線方式發(fā)送和接收所需的信息。2.WAP 網(wǎng)關(guān):WAP 網(wǎng)關(guān)是WAP 網(wǎng)絡(luò)中重要的一個(gè)環(huán)節(jié),它是連接客戶端和服務(wù)器的橋梁,使得WAP 終端可以訪問(wèn)其中的資源。從WAP 終端發(fā)送的請(qǐng)求,在網(wǎng)關(guān)實(shí)現(xiàn)WAP 協(xié)議棧與Internet 協(xié)議棧之間的轉(zhuǎn)換后,再向內(nèi)容服務(wù)器傳送;而從內(nèi)容服務(wù)器返回的信息,經(jīng)網(wǎng)關(guān)編碼后,轉(zhuǎn)換為較緊湊的二進(jìn)制格

5、式,返回移動(dòng)終端,以減少網(wǎng)絡(luò)數(shù)據(jù)流量,最大限度地利用無(wú)線網(wǎng)絡(luò)較為緩慢的數(shù)據(jù)傳輸速率。3.Web 內(nèi)容服務(wù)器:特定資源(內(nèi)容存儲(chǔ)或生成的地方。旨在為WAP 應(yīng)用提供數(shù)據(jù)服務(wù)支持,如支持WAP 的Web 網(wǎng)站以及相關(guān)的網(wǎng)站服務(wù)等。WAP 的Web 服務(wù)器中通常采用WMLScript 編寫的WAP 具體應(yīng)用,這些應(yīng)用不僅可以根據(jù)WAP 移動(dòng)終端的需要被隨時(shí)下載,而目還可以在不需要的時(shí)候從WAP 終端中全部卸除。1.3基于WAP 的移動(dòng)電子商務(wù)安全模型圖3基于WAP 的移動(dòng)電子商務(wù)安全研究呂福春1,2,陳特放1(1、中南大學(xué)信息科學(xué)與工程學(xué)院湖南長(zhǎng)沙4100832、福建工程學(xué)院福建福州350014【摘

6、要】:移動(dòng)電子商務(wù)具有傳統(tǒng)商務(wù)無(wú)法比擬的優(yōu)點(diǎn),其安全問(wèn)題是移動(dòng)電子商務(wù)發(fā)展的核心問(wèn)題。本文從WAP 服務(wù)模型,WAP 網(wǎng)絡(luò)模型開始介紹,然后在此基礎(chǔ)上了提出和分析了WAP 安全模型以及WPKI 安全體系結(jié)構(gòu)?！娟P(guān)鍵詞】:移動(dòng)電子商務(wù);WAP;WPKI基金項(xiàng)目:福建工程學(xué)院科研發(fā)展基金(GY-Z0686152008年第12期福建電腦(上接第26頁(yè)!6、總結(jié)隨著大量的移動(dòng)設(shè)備上網(wǎng),無(wú)線通信的低帶寬、高延遲與移動(dòng)設(shè)備的低計(jì)算能力之間的矛盾越來(lái)越尖銳,海量的Internet數(shù)據(jù)需要更智能化的處理手段,復(fù)雜多變的應(yīng)用需求需要更靈活的個(gè)性化定制。而移動(dòng)Agent技術(shù)在解決這些問(wèn)題方面有著天然的優(yōu)勢(shì)。因此,

7、移動(dòng)Agent技術(shù)有著廣闊美好的應(yīng)用前景。參考文獻(xiàn):1.吳躍,王軍,周明天等.基于移動(dòng)Agent及RDF的網(wǎng)絡(luò)數(shù)據(jù)挖掘系統(tǒng)體系結(jié)構(gòu)J.計(jì)算機(jī)科學(xué),2002,29(1:3941.3.aspx.3.譚湘,顧毓清,包崇明.移動(dòng)Agent系統(tǒng)安全性研究綜述J.計(jì)算機(jī)研究與發(fā)展,2002,40(7:984993.5.楊鯤,劉大有,郭欣.一個(gè)具有高安全性的移動(dòng)Agent系統(tǒng)模板結(jié)構(gòu)J.軟件學(xué)報(bào),2002,13(1:130135.6.胡慶華,吳剛,簡(jiǎn)宋全.Mobile Agent的通信模型研究J.微型電腦應(yīng)用, 2001,17(3:912.7.楊公平,曾廣周,盧朝霞.移動(dòng)Agent系統(tǒng)中的排隊(duì)機(jī)制研究J.計(jì)

8、算機(jī)學(xué)報(bào),2005,28(11:18171822.8.周龍?bào)J,劉添添.移動(dòng)Agent綜述J.計(jì)算機(jī)應(yīng)用與軟件,2003,20(11:19 23,27.J.微型機(jī)與應(yīng)用,2004,23(10:3940,46.10.史豪斌,韋鐵,李偉華等.基于移動(dòng)Agent的Web信息智能過(guò)濾算法及其實(shí)現(xiàn)J.計(jì)算機(jī)應(yīng)用研究,2006,23(3:240241,244.WAP安全架構(gòu)由WTLS(無(wú)線傳輸層安全、WIM(無(wú)線鑒別模塊、WPKI(無(wú)線公共密鑰系統(tǒng)、WMLScript(無(wú)線標(biāo)記語(yǔ)言腳本四部分組成?；赪AP的安全構(gòu)架體系的組成如圖3所示。各個(gè)部分在實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)應(yīng)用的安全中起著不同的作用,其中, WPKI作為

9、安全基礎(chǔ)設(shè)施平臺(tái),是安全協(xié)議能有效實(shí)行的基礎(chǔ),一切基于身份驗(yàn)證的應(yīng)用都需要WPKI的支持,它可與WTLS、TCP/IP、WMLScriptSign相互結(jié)合,實(shí)現(xiàn)身份認(rèn)證、私鑰簽名等功能。網(wǎng)絡(luò)安全協(xié)議平臺(tái)包括WTLS協(xié)議及有線環(huán)境下的安全協(xié)議TLS、SSL和TCP/IP。安全的參與實(shí)體作為底層安全協(xié)議的實(shí)際應(yīng)用者,相互之間的關(guān)系也由底層的安全協(xié)議決定。當(dāng)該安全構(gòu)架運(yùn)用于實(shí)際移動(dòng)電子商務(wù)時(shí),這些安全參與實(shí)體之間的關(guān)系即體現(xiàn)為交易方(移動(dòng)終端、Web服務(wù)器和其他受信任方(WAP網(wǎng)關(guān)、代理和無(wú)線認(rèn)證中心。圖3基于WAP的安全架構(gòu)模型1.無(wú)線傳輸層安全WTLS是根據(jù)工業(yè)標(biāo)準(zhǔn)TLS Protocol而制定

10、的安全協(xié)議。WTLS是設(shè)計(jì)使用在傳輸層(Transport Layer之上的安全層(Security Layer,并針對(duì)較小頻寬的通訊環(huán)境作修正。WTLS的功能類似全球信息網(wǎng)站所使用的SSL加密傳輸技術(shù),WTLS可以確保資料在傳輸?shù)倪^(guò)程中經(jīng)過(guò)編碼、加密處理,以避免駭客在數(shù)據(jù)傳輸過(guò)程中竊取保敏性數(shù)據(jù)。2.身份識(shí)別模塊WIM(WAP Identity Module即WAP身份識(shí)別模塊,是實(shí)現(xiàn)在SIM卡上為WAP應(yīng)用提供的一個(gè)安全模塊。WIM為WAP應(yīng)用提供安全服務(wù),也允許你使用數(shù)字簽名。帶有安全模塊的SIM卡由SIM卡發(fā)行者提供.3.應(yīng)用層安全WMLScript類似于JavaScript和ECMA

11、Script,但更適用于小型的手持設(shè)備。它只占用很少記憶體和CPU,省略了一部分不需要的功能,它以一種特別有彈性的方式包含在WML中,方便了開發(fā)人員。WMLScript Sign作為該腳本語(yǔ)言的一部分,提供了在應(yīng)用層獲取數(shù)字簽名的功能。它可以用于移動(dòng)商務(wù)在線支付過(guò)程中,用戶對(duì)自己的購(gòu)物清單確認(rèn)無(wú)誤后,使用自己的私鑰對(duì)該清單數(shù)據(jù)簽名,授權(quán)在線商店有權(quán)在交易完成后從用戶的銀行帳戶劃轉(zhuǎn)相應(yīng)金額的款項(xiàng)。4.WPKI即"無(wú)線公開密鑰體系",它是將互聯(lián)網(wǎng)電子商務(wù)中PKI(PublicKeyInfrastrcture安全機(jī)制引入到無(wú)線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書管理平臺(tái)體系,

12、用它來(lái)管理在移動(dòng)網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書,有效建立安全和值得信賴的無(wú)線網(wǎng)絡(luò)環(huán)境無(wú)線證書中心CA是WPKI安全體系的基礎(chǔ),它為所有的交易涉及實(shí)體頒發(fā)證書。WPKI體系建立在公鑰管理體系基礎(chǔ)之上,密鑰的管理主要是證書以及密鑰的產(chǎn)生、更新和交換,WPKI體系結(jié)構(gòu)中的密鑰管理包括:(1為用戶和服務(wù)供應(yīng)商發(fā)放證書;(2移動(dòng)運(yùn)營(yíng)商建立自己的CA安全認(rèn)證體系;(3用戶在交易過(guò)程中利用證書進(jìn)行身份的驗(yàn)證、密鑰的交換以及信息的加密傳送。WPKI適合于移動(dòng)計(jì)算,可以為移動(dòng)電子商務(wù)和移動(dòng)電子政務(wù)提供安全解決方案,WPKI有效地解決了具有有限計(jì)算資源的移動(dòng)設(shè)備的身份認(rèn)證問(wèn)題。圖4是WPKI安全體系架構(gòu)圖。圖4移動(dòng)電子商務(wù)中,實(shí)現(xiàn)客戶端與服務(wù)端之間端到端的安全連接是非常重要的問(wèn)題,在基于WAP的應(yīng)用系統(tǒng)中,結(jié)合本文所討論的安全架構(gòu)模型的各個(gè)組成部分,移動(dòng)運(yùn)營(yíng)商可以構(gòu)建一個(gè)滿足用戶要求的端到端安全傳輸模型,并且可以保證傳輸過(guò)程中數(shù)據(jù)的保密性、完整性、不可否認(rèn)性,并完成通信雙方的身份認(rèn)證。1.4、結(jié)束語(yǔ)安全問(wèn)