基于WAP的移動電子商務(wù)安全研究

1、2008年第12期福建電腦1.1、移動電子商務(wù)概念移動電子商務(wù)(M-commerce 是指通過手機、傳呼機、掌上 電腦、筆記本電腦等移動通訊設(shè)備與無線上網(wǎng)技術(shù)結(jié)合所構(gòu)成的一個電子商務(wù)體系。相對于傳統(tǒng)的電子商務(wù)而言,移動商務(wù)可以真正使任何人在任何時間、任何地點得到整個網(wǎng)絡(luò)的信息和服務(wù)。隨著無線通信技術(shù)的迅速發(fā)展,移動電子商務(wù)的條件日益成熟,安全問題作為移動電子商務(wù)發(fā)展的弊端,急需解決。移動電子商務(wù)需要在移動個人終端和有線網(wǎng)絡(luò)中進行信息相互通信,這使得整個交易過程承受著無線網(wǎng)和有線網(wǎng)通信中的雙重安全風(fēng)險,因此要求移動電子商務(wù)具有特殊的安全體系。其中的WAP 安全體系是護航移動電子商務(wù)的典范,也是當

2、前絕大多數(shù)安全移動電子商務(wù)的實現(xiàn)基礎(chǔ)。1.2、WAP 移動電子商務(wù)的網(wǎng)絡(luò)模型 圖1持設(shè)備的顯示屏上。多種網(wǎng)絡(luò),也就是說,它不依賴某種網(wǎng)絡(luò)而存在,今天的WAP 服務(wù)在3G 到來后仍然可能繼續(xù)存在,不過傳輸速率更快,協(xié)議標準也會隨之升級。它把因特網(wǎng)擴展到了無線環(huán)境,要真正應(yīng)用,需要三個環(huán)節(jié),由WAP 客戶端、WAP 網(wǎng)關(guān)、和Web 內(nèi)容服務(wù)器組成。WAP 網(wǎng)關(guān)的建設(shè)一般由運營商(移動通訊公司或與大的ISP 等有關(guān)的企業(yè)來建設(shè),WAP 終端由通訊硬件生產(chǎn)廠家來制造,有了可以上網(wǎng)的移動終端和無線互聯(lián)網(wǎng)基礎(chǔ),還需建立WAP 內(nèi)容服務(wù)器,為移動用戶提供可以瀏覽的內(nèi)容。為移動用戶提供可以瀏覽的內(nèi)容WAP 客

3、戶端和WAP 網(wǎng)關(guān)間通過無線網(wǎng),使用WML (無線標記語言來傳輸數(shù)據(jù);WAP 網(wǎng)關(guān)用于在WML 數(shù)據(jù)和HTML 數(shù)據(jù)之間進行轉(zhuǎn)換,在有線網(wǎng)和無線網(wǎng)之間傳遞數(shù)據(jù)并和Web 服務(wù)器之間進行相互通信。WAP 是無線終端和互聯(lián)網(wǎng)之間進行通信時使用的開放性全球標準,可以支持目前己廣泛使用的絕大多數(shù)無線設(shè)備,包括移動電話、尋呼機、雙向無線電通信設(shè)備等等。WAP 也可以支持目前存在的各種移動網(wǎng)絡(luò),比如GSM 、CDMA 、PHS 、GPRS 等等,并充分考慮了對未來第三代移動通信系統(tǒng)的支持。通過WAP終端,人們能進行查詢信息,股票交易、銀行業(yè)務(wù)、產(chǎn)品定購,移動辦公等電子商務(wù)活動。WAP 移動電子商務(wù)服務(wù)模型

4、圖如圖1所示圖2一個典型的WAP 應(yīng)用系統(tǒng)核心有三個角色:1.具有WAP 用戶代理功能的移動終端:典型的終端為WAP 手機,它相當于Internet 中的PC 機。在它的顯示屏上運行有微瀏覽器(Microbrowser,用戶可以采用簡單的選擇鍵實現(xiàn)WAP 服務(wù)請求,并以無線方式發(fā)送和接收所需的信息。2.WAP 網(wǎng)關(guān):WAP 網(wǎng)關(guān)是WAP 網(wǎng)絡(luò)中重要的一個環(huán)節(jié),它是連接客戶端和服務(wù)器的橋梁,使得WAP 終端可以訪問其中的資源。從WAP 終端發(fā)送的請求,在網(wǎng)關(guān)實現(xiàn)WAP 協(xié)議棧與Internet 協(xié)議棧之間的轉(zhuǎn)換后,再向內(nèi)容服務(wù)器傳送;而從內(nèi)容服務(wù)器返回的信息,經(jīng)網(wǎng)關(guān)編碼后,轉(zhuǎn)換為較緊湊的二進制格

5、式,返回移動終端,以減少網(wǎng)絡(luò)數(shù)據(jù)流量,最大限度地利用無線網(wǎng)絡(luò)較為緩慢的數(shù)據(jù)傳輸速率。3.Web 內(nèi)容服務(wù)器:特定資源(內(nèi)容存儲或生成的地方。旨在為WAP 應(yīng)用提供數(shù)據(jù)服務(wù)支持,如支持WAP 的Web 網(wǎng)站以及相關(guān)的網(wǎng)站服務(wù)等。WAP 的Web 服務(wù)器中通常采用WMLScript 編寫的WAP 具體應(yīng)用,這些應(yīng)用不僅可以根據(jù)WAP 移動終端的需要被隨時下載,而目還可以在不需要的時候從WAP 終端中全部卸除。1.3基于WAP 的移動電子商務(wù)安全模型圖3基于WAP 的移動電子商務(wù)安全研究呂福春1,2,陳特放1(1、中南大學(xué)信息科學(xué)與工程學(xué)院湖南長沙4100832、福建工程學(xué)院福建福州350014【摘

6、要】:移動電子商務(wù)具有傳統(tǒng)商務(wù)無法比擬的優(yōu)點,其安全問題是移動電子商務(wù)發(fā)展的核心問題。本文從WAP 服務(wù)模型,WAP 網(wǎng)絡(luò)模型開始介紹,然后在此基礎(chǔ)上了提出和分析了WAP 安全模型以及WPKI 安全體系結(jié)構(gòu)?！娟P(guān)鍵詞】:移動電子商務(wù);WAP;WPKI基金項目:福建工程學(xué)院科研發(fā)展基金(GY-Z0686152008年第12期福建電腦(上接第26頁!6、總結(jié)隨著大量的移動設(shè)備上網(wǎng),無線通信的低帶寬、高延遲與移動設(shè)備的低計算能力之間的矛盾越來越尖銳,海量的Internet數(shù)據(jù)需要更智能化的處理手段,復(fù)雜多變的應(yīng)用需求需要更靈活的個性化定制。而移動Agent技術(shù)在解決這些問題方面有著天然的優(yōu)勢。因此,

7、移動Agent技術(shù)有著廣闊美好的應(yīng)用前景。參考文獻:1.吳躍,王軍,周明天等.基于移動Agent及RDF的網(wǎng)絡(luò)數(shù)據(jù)挖掘系統(tǒng)體系結(jié)構(gòu)J.計算機科學(xué),2002,29(1:3941.3.aspx.3.譚湘,顧毓清,包崇明.移動Agent系統(tǒng)安全性研究綜述J.計算機研究與發(fā)展,2002,40(7:984993.5.楊鯤,劉大有,郭欣.一個具有高安全性的移動Agent系統(tǒng)模板結(jié)構(gòu)J.軟件學(xué)報,2002,13(1:130135.6.胡慶華,吳剛,簡宋全.Mobile Agent的通信模型研究J.微型電腦應(yīng)用, 2001,17(3:912.7.楊公平,曾廣周,盧朝霞.移動Agent系統(tǒng)中的排隊機制研究J.計

8、算機學(xué)報,2005,28(11:18171822.8.周龍驤,劉添添.移動Agent綜述J.計算機應(yīng)用與軟件,2003,20(11:19 23,27.J.微型機與應(yīng)用,2004,23(10:3940,46.10.史豪斌,韋鐵,李偉華等.基于移動Agent的Web信息智能過濾算法及其實現(xiàn)J.計算機應(yīng)用研究,2006,23(3:240241,244.WAP安全架構(gòu)由WTLS(無線傳輸層安全、WIM(無線鑒別模塊、WPKI(無線公共密鑰系統(tǒng)、WMLScript(無線標記語言腳本四部分組成?；赪AP的安全構(gòu)架體系的組成如圖3所示。各個部分在實現(xiàn)無線網(wǎng)絡(luò)應(yīng)用的安全中起著不同的作用,其中, WPKI作為

9、安全基礎(chǔ)設(shè)施平臺,是安全協(xié)議能有效實行的基礎(chǔ),一切基于身份驗證的應(yīng)用都需要WPKI的支持,它可與WTLS、TCP/IP、WMLScriptSign相互結(jié)合,實現(xiàn)身份認證、私鑰簽名等功能。網(wǎng)絡(luò)安全協(xié)議平臺包括WTLS協(xié)議及有線環(huán)境下的安全協(xié)議TLS、SSL和TCP/IP。安全的參與實體作為底層安全協(xié)議的實際應(yīng)用者,相互之間的關(guān)系也由底層的安全協(xié)議決定。當該安全構(gòu)架運用于實際移動電子商務(wù)時,這些安全參與實體之間的關(guān)系即體現(xiàn)為交易方(移動終端、Web服務(wù)器和其他受信任方(WAP網(wǎng)關(guān)、代理和無線認證中心。圖3基于WAP的安全架構(gòu)模型1.無線傳輸層安全WTLS是根據(jù)工業(yè)標準TLS Protocol而制定

10、的安全協(xié)議。WTLS是設(shè)計使用在傳輸層(Transport Layer之上的安全層(Security Layer,并針對較小頻寬的通訊環(huán)境作修正。WTLS的功能類似全球信息網(wǎng)站所使用的SSL加密傳輸技術(shù),WTLS可以確保資料在傳輸?shù)倪^程中經(jīng)過編碼、加密處理,以避免駭客在數(shù)據(jù)傳輸過程中竊取保敏性數(shù)據(jù)。2.身份識別模塊WIM(WAP Identity Module即WAP身份識別模塊,是實現(xiàn)在SIM卡上為WAP應(yīng)用提供的一個安全模塊。WIM為WAP應(yīng)用提供安全服務(wù),也允許你使用數(shù)字簽名。帶有安全模塊的SIM卡由SIM卡發(fā)行者提供.3.應(yīng)用層安全WMLScript類似于JavaScript和ECMA

11、Script,但更適用于小型的手持設(shè)備。它只占用很少記憶體和CPU,省略了一部分不需要的功能,它以一種特別有彈性的方式包含在WML中,方便了開發(fā)人員。WMLScript Sign作為該腳本語言的一部分,提供了在應(yīng)用層獲取數(shù)字簽名的功能。它可以用于移動商務(wù)在線支付過程中,用戶對自己的購物清單確認無誤后,使用自己的私鑰對該清單數(shù)據(jù)簽名,授權(quán)在線商店有權(quán)在交易完成后從用戶的銀行帳戶劃轉(zhuǎn)相應(yīng)金額的款項。4.WPKI即"無線公開密鑰體系",它是將互聯(lián)網(wǎng)電子商務(wù)中PKI(PublicKeyInfrastrcture安全機制引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標準的密鑰及證書管理平臺體系,

12、用它來管理在移動網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書,有效建立安全和值得信賴的無線網(wǎng)絡(luò)環(huán)境無線證書中心CA是WPKI安全體系的基礎(chǔ),它為所有的交易涉及實體頒發(fā)證書。WPKI體系建立在公鑰管理體系基礎(chǔ)之上,密鑰的管理主要是證書以及密鑰的產(chǎn)生、更新和交換,WPKI體系結(jié)構(gòu)中的密鑰管理包括:(1為用戶和服務(wù)供應(yīng)商發(fā)放證書;(2移動運營商建立自己的CA安全認證體系;(3用戶在交易過程中利用證書進行身份的驗證、密鑰的交換以及信息的加密傳送。WPKI適合于移動計算,可以為移動電子商務(wù)和移動電子政務(wù)提供安全解決方案,WPKI有效地解決了具有有限計算資源的移動設(shè)備的身份認證問題。圖4是WPKI安全體系架構(gòu)圖。圖4移動電子商務(wù)中,實現(xiàn)客戶端與服務(wù)端之間端到端的安全連接是非常重要的問題,在基于WAP的應(yīng)用系統(tǒng)中,結(jié)合本文所討論的安全架構(gòu)模型的各個組成部分,移動運營商可以構(gòu)建一個滿足用戶要求的端到端安全傳輸模型,并且可以保證傳輸過程中數(shù)據(jù)的保密性、完整性、不可否認性,并完成通信雙方的身份認證。1.4、結(jié)束語安全問