移動電子商務范文

移動電子商務范文移動電子商務范文

移動電子商務范文第1篇

隨著無線通信技術的進展,移動電子商務已經成為電子商務討論熱點。移動電子商務是將現代信息科學技術和傳統(tǒng)商務活動相結合,隨時隨地為用戶供應各種共性化的、定制的在線動態(tài)商務服務。

但在無線世界里,人們對于進行商務活動平安性的考慮比在有線環(huán)境中要多。隨著移動電子商務的進展,其平安問題倍受人們的關注。只有當全部的用戶確信,通過無線方式所進行的交易不會發(fā)生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當的愛護時,移動電子商務才有可能蓬勃開展。

移動電子商務通信平安的現狀

由于無線通訊接入方式特別敏捷,所以其對平安的要求更高。實際上,主要的無線通信技術都有各自的措施、協議和方法來保證各自體制下的通信平安。這里我們將從無線網絡和電子商務應用兩個方面作簡要爭論。

無線局域網

無線局域網絡是以無線連接至局域網絡的通訊方式。它采納的是IEEE802.11系列標準。在該標準中,無線局域網的平安機制采納的是WEP協議(有線對等平安協議)。在數據鏈路用WEP加密數據,保證了信道上傳送數據的平安。另外,無線局域網的網絡管理員安排給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻擋了非授權用戶的訪問。

WAP(無線應用協議)技術

WAP由一系列協議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網連接到一起,客觀上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。

WAP的平安機制是通過WTLS(無線傳輸層平安)協議來實現的。WTLS協議類似于互聯網傳輸層平安協議。在無線技術的有限的發(fā)送功率、存儲容量及帶寬的條件下,WTLS能夠實現鑒定,保證數據的完整性和供應保密服務的目標。

數字認證技術

對諸如移動電子商務和有重要使命的合作通信等活動,其平安性的一個關鍵方面是能否對信息發(fā)送者的身份進行論證,通常都要利用有線平安的公開密鑰基本構架(PKI)。

PKI供應與加密和數字證書有關的一系列技術。但在無線通信環(huán)境中,PKI是很難實現的。在只有有限計算力量和低數據流通率的設備上實現PKI中的服務始終是一個有挑戰(zhàn)性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協議是要將標準的PKI進行修正和簡化,使其在無線通信的環(huán)境下達到最優(yōu)。

移動電子商務平安分析

IEEE802.11的平安

IEEE802.11標準規(guī)定了MAC層的存取掌握規(guī)范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節(jié)點,使無線通信傳輸像有線網絡一樣平安。

WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的全部工作站必需使用同樣的共享密鑰。對于往任一方向發(fā)送的數據包,傳輸程序都將數據包的內容與數據包的檢驗組合在一起。然后,WEP標準要求傳輸程序創(chuàng)建一個特定于數據包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數據包進行加密。接收器生成自己的匹配數據包密鑰并用之對數據包進行解密。在理論上,這種方法優(yōu)于單獨使用共享私鑰的顯式策略,應當使對方更難于破解。

但是,IEEE802.11中用于平安的WEP算法只是供應相當于有線局域網基本平安的平安級別,根本不是一種全面的平安方案。越來越多的平安專家和討論人員發(fā)覺IEEE802.11存在平安漏洞,有閱歷的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不供應自動修改密鑰的方法。

最早的WEP實施只供應40位加密,這使得它抗暴力攻擊力量差?，F代的系統(tǒng)供應128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證肯定平安。最好的解決方法是把無線網絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。

所以,WEP應當與其他平安機制一起應用才能供應較強的平安。

WAP的平安

WAP規(guī)范的平安特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協議:WTLS基于IETF小組的SSL/TLS協議,供應了實體鑒別、數據加密和愛護數據完整性的功能,所以可以確保在WAP裝置和WAP網關之間的平安通信。有三種不同級別的WTLS:

1級:執(zhí)行未經證明的Diffie-Hellman密鑰交換以建立會話密鑰。

2級:使用與SSL/TLS協議相類似的公開密鑰證書機制進行服務器端鑒別。

3級:客戶端和服務器端采納X.509格式證書相互進行鑒別。

早期WAP裝置僅僅采納了第1級別的WTLS,這種級別的平安不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網上銀行交易和購物等應用的機密性。

WIM:為了便于客戶端的鑒別,新一代的WAP電話供應了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網關建立的全部WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的力量。

SignText功能:這個功能為WAP用戶供應了數字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。

WAP的平安分析:由WAP供應的最好的平安是WTLS3級,多數狀況下WTLS已足以確保WAP的平安。但是,由于WAP網關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了平安問題:WTLS平安會話建立在手機與WAP網關之間,而與終端服務器無關。這意味著數據只在WAP手機與網關之間加密,網關將數據解密后,利用其他方法將數據再次加密,然后經過TLS連接發(fā)送給終端服務器。由于WAP網關可以觀察全部的數據明文,而該WAP網關可能并不為服務器全部者所擁有,這樣,潛在的第三方可能獲得全部的傳輸數據。

目前,針對上述平安性問題,可以采納這樣的措施來提高WAP的平安性:盡力確保WAP網關的平安。假如WAP網關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優(yōu)化以削減數據明文存在的時間、在釋放前掩蓋加密解密進程使用的內存以確保數據的平安性。對于平安要求較高的公司可以擁有自己的WAP網關,從而保障數據端到端的平安性。通過WIM實現數據平安性。

WPKI技術

在有線通信中,電子商務交易的一個重要平安保障是PKI。PKI的系統(tǒng)概念、平安操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的平安問題,但在應用PKI的同時要考慮到移動通信環(huán)境的特點,并據此對PKI技術進行改進。

WPKI技術滿意移動電子商務平安的要求:即保密性、完整性、真實性、不行抵賴性,消退了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:

認證機構(CA)CA系統(tǒng)是PKI的信任基礎,負責分發(fā)和驗證數字證書,規(guī)定證書的有效期,證書廢除列表。

注冊機構(RA)RA供應用戶和CA之間的一個接口。作為認證機構的校驗者,在數字證書分發(fā)給懇求者之前對證書進行驗證。

智能卡智能卡將具有存儲、加密及數據處理力量的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產過程、訪問掌握方面有很強的平安保障。許多種需要客戶端認證的應用都可以使用智能卡來實現。并且智能卡也是存儲移動電子商務密鑰及相關數字證書的最佳選擇。

加密算法加密算法越簡單,密鑰越長則平安性越高,但執(zhí)行運算所需的時間也越長(或需要計算力量更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理力量和RAM大小的限制,因而采納一種運算量小同時能供應高加密強度的公鑰密碼體制對在智能卡上實現數字簽名應用是至關重要的,ECC在這方面具有很大的優(yōu)勢。

綜上所述,在WPKI機制下,數字證書特別重要,但是由于無線信道和移動終端的限制,如何平安、便捷地交換用戶的數字證書是WPKI所必需解決的問題?？梢圆杉{以下2種方法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但全部證書必需含有與密鑰交換算法相全都的密鑰,除非特殊指定,簽名算法必需與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數據一起提交給對方,對方再依據移動證書標識檢索相應的數字證書即可。

目前,大多數移動電子商務采納的平安方式是非PKI的方式,這種方式主要采納對稱加密算法和單向散列函數來供應平安服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統(tǒng),為不同的服務供應商安排不同的密鑰,每次交易過程中,服務供應商與用戶協商產生會話加密密鑰。明顯,采納這種方式構建的系統(tǒng)的平安性主要取決于主密鑰的平安。

盡管非PKI方式對于無線終端有限的處理力量來說尤其適合,而且通過黑名單管理等方法可以使系統(tǒng)的平安得到較好的保障,但是從長遠來說,移動電子商務有必要逐