基于WAP的移动电子商务安全研究

1、2008年第12期福建电脑1.1、移动电子商务概念移动电子商务(M-commerce 是指通过手机、传呼机、掌上 电脑、笔记本电脑等移动通讯设备与无线上网技术结合所构成的一个电子商务体系。相对于传统的电子商务而言,移动商务可以真正使任何人在任何时间、任何地点得到整个网络的信息和服务。随着无线通信技术的迅速发展,移动电子商务的条件日益成熟,安全问题作为移动电子商务发展的弊端,急需解决。移动电子商务需要在移动个人终端和有线网络中进行信息相互通信,这使得整个交易过程承受着无线网和有线网通信中的双重安全风险,因此要求移动电子商务具有特殊的安全体系。其中的WAP 安全体系是护航移动电子商务的典范,也是当

2、前绝大多数安全移动电子商务的实现基础。1.2、WAP 移动电子商务的网络模型 图1持设备的显示屏上。多种网络,也就是说,它不依赖某种网络而存在,今天的WAP 服务在3G 到来后仍然可能继续存在,不过传输速率更快,协议标准也会随之升级。它把因特网扩展到了无线环境,要真正应用,需要三个环节,由WAP 客户端、WAP 网关、和Web 内容服务器组成。WAP 网关的建设一般由运营商(移动通讯公司或与大的ISP 等有关的企业来建设,WAP 终端由通讯硬件生产厂家来制造,有了可以上网的移动终端和无线互联网基础,还需建立WAP 内容服务器,为移动用户提供可以浏览的内容。为移动用户提供可以浏览的内容WAP 客

3、户端和WAP 网关间通过无线网,使用WML (无线标记语言来传输数据;WAP 网关用于在WML 数据和HTML 数据之间进行转换,在有线网和无线网之间传递数据并和Web 服务器之间进行相互通信。WAP 是无线终端和互联网之间进行通信时使用的开放性全球标准,可以支持目前己广泛使用的绝大多数无线设备,包括移动电话、寻呼机、双向无线电通信设备等等。WAP 也可以支持目前存在的各种移动网络,比如GSM 、CDMA 、PHS 、GPRS 等等,并充分考虑了对未来第三代移动通信系统的支持。通过WAP终端,人们能进行查询信息,股票交易、银行业务、产品定购,移动办公等电子商务活动。WAP 移动电子商务服务模型

4、图如图1所示图2一个典型的WAP 应用系统核心有三个角色:1.具有WAP 用户代理功能的移动终端:典型的终端为WAP 手机,它相当于Internet 中的PC 机。在它的显示屏上运行有微浏览器(Microbrowser,用户可以采用简单的选择键实现WAP 服务请求,并以无线方式发送和接收所需的信息。2.WAP 网关:WAP 网关是WAP 网络中重要的一个环节,它是连接客户端和服务器的桥梁,使得WAP 终端可以访问其中的资源。从WAP 终端发送的请求,在网关实现WAP 协议栈与Internet 协议栈之间的转换后,再向内容服务器传送;而从内容服务器返回的信息,经网关编码后,转换为较紧凑的二进制格

5、式,返回移动终端,以减少网络数据流量,最大限度地利用无线网络较为缓慢的数据传输速率。3.Web 内容服务器:特定资源(内容存储或生成的地方。旨在为WAP 应用提供数据服务支持,如支持WAP 的Web 网站以及相关的网站服务等。WAP 的Web 服务器中通常采用WMLScript 编写的WAP 具体应用,这些应用不仅可以根据WAP 移动终端的需要被随时下载,而目还可以在不需要的时候从WAP 终端中全部卸除。1.3基于WAP 的移动电子商务安全模型图3基于WAP 的移动电子商务安全研究吕福春1,2,陈特放1(1、中南大学信息科学与工程学院湖南长沙4100832、福建工程学院福建福州350014【摘

6、要】:移动电子商务具有传统商务无法比拟的优点,其安全问题是移动电子商务发展的核心问题。本文从WAP 服务模型,WAP 网络模型开始介绍,然后在此基础上了提出和分析了WAP 安全模型以及WPKI 安全体系结构。【关键词】:移动电子商务;WAP;WPKI基金项目:福建工程学院科研发展基金(GY-Z0686152008年第12期福建电脑(上接第26页!6、总结随着大量的移动设备上网,无线通信的低带宽、高延迟与移动设备的低计算能力之间的矛盾越来越尖锐,海量的Internet数据需要更智能化的处理手段,复杂多变的应用需求需要更灵活的个性化定制。而移动Agent技术在解决这些问题方面有着天然的优势。因此,

7、移动Agent技术有着广阔美好的应用前景。参考文献:1.吴跃,王军,周明天等.基于移动Agent及RDF的网络数据挖掘系统体系结构J.计算机科学,2002,29(1:3941.3.aspx.3.谭湘,顾毓清,包崇明.移动Agent系统安全性研究综述J.计算机研究与发展,2002,40(7:984993.5.杨鲲,刘大有,郭欣.一个具有高安全性的移动Agent系统模板结构J.软件学报,2002,13(1:130135.6.胡庆华,吴刚,简宋全.Mobile Agent的通信模型研究J.微型电脑应用, 2001,17(3:912.7.杨公平,曾广周,卢朝霞.移动Agent系统中的排队机制研究J.计

8、算机学报,2005,28(11:18171822.8.周龙骧,刘添添.移动Agent综述J.计算机应用与软件,2003,20(11:19 23,27.J.微型机与应用,2004,23(10:3940,46.10.史豪斌,韦铁,李伟华等.基于移动Agent的Web信息智能过滤算法及其实现J.计算机应用研究,2006,23(3:240241,244.WAP安全架构由WTLS(无线传输层安全、WIM(无线鉴别模块、WPKI(无线公共密钥系统、WMLScript(无线标记语言脚本四部分组成。基于WAP的安全构架体系的组成如图3所示。各个部分在实现无线网络应用的安全中起着不同的作用,其中, WPKI作为

9、安全基础设施平台,是安全协议能有效实行的基础,一切基于身份验证的应用都需要WPKI的支持,它可与WTLS、TCP/IP、WMLScriptSign相互结合,实现身份认证、私钥签名等功能。网络安全协议平台包括WTLS协议及有线环境下的安全协议TLS、SSL和TCP/IP。安全的参与实体作为底层安全协议的实际应用者,相互之间的关系也由底层的安全协议决定。当该安全构架运用于实际移动电子商务时,这些安全参与实体之间的关系即体现为交易方(移动终端、Web服务器和其他受信任方(WAP网关、代理和无线认证中心。图3基于WAP的安全架构模型1.无线传输层安全WTLS是根据工业标准TLS Protocol而制定

10、的安全协议。WTLS是设计使用在传输层(Transport Layer之上的安全层(Security Layer,并针对较小频宽的通讯环境作修正。WTLS的功能类似全球信息网站所使用的SSL加密传输技术,WTLS可以确保资料在传输的过程中经过编码、加密处理,以避免骇客在数据传输过程中窃取保敏性数据。2.身份识别模块WIM(WAP Identity Module即WAP身份识别模块,是实现在SIM卡上为WAP应用提供的一个安全模块。WIM为WAP应用提供安全服务,也允许你使用数字签名。带有安全模块的SIM卡由SIM卡发行者提供.3.应用层安全WMLScript类似于JavaScript和ECMA

11、Script,但更适用于小型的手持设备。它只占用很少记忆体和CPU,省略了一部分不需要的功能,它以一种特别有弹性的方式包含在WML中,方便了开发人员。WMLScript Sign作为该脚本语言的一部分,提供了在应用层获取数字签名的功能。它可以用于移动商务在线支付过程中,用户对自己的购物清单确认无误后,使用自己的私钥对该清单数据签名,授权在线商店有权在交易完成后从用户的银行帐户划转相应金额的款项。4.WPKI即"无线公开密钥体系",它是将互联网电子商务中PKI(PublicKeyInfrastrcture安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,

12、用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境无线证书中心CA是WPKI安全体系的基础,它为所有的交易涉及实体颁发证书。WPKI体系建立在公钥管理体系基础之上,密钥的管理主要是证书以及密钥的产生、更新和交换,WPKI体系结构中的密钥管理包括:(1为用户和服务供应商发放证书;(2移动运营商建立自己的CA安全认证体系;(3用户在交易过程中利用证书进行身份的验证、密钥的交换以及信息的加密传送。WPKI适合于移动计算,可以为移动电子商务和移动电子政务提供安全解决方案,WPKI有效地解决了具有有限计算资源的移动设备的身份认证问题。图4是WPKI安全体系架构图。图4移动电子商务中,实现客户端与服务端之间端到端的安全连接是非常重要的问题,在基于WAP的应用系统中,结合本文所讨论的安全架构模型的各个组成部分,移动运营商可以构建一个满足用户要求的端到端安全传输模型,并且可以保证传输过程中数据的保密性、完整性、不可否认性,并完成通信双方的身份认证。1.4、结束语安全问