基于ＷＰＫＩ的移動電子商務安全體系與應用

[摘要] 論文闡述了移動電子商務的工作模式，分析了移動電子商務的安全需求和要素，詳細分析了WPKI在移動電子商務中對身份認證、數(shù)據(jù)加密、數(shù)據(jù)的不可否認性和真實性的應用模式。

[關(guān)鍵詞] 移動電子商務 WPKI 安全

移動電子商務是指利用手機、掌上電腦、呼機等無線通信設(shè)備與因特網(wǎng)有機結(jié)合，進行電子商務活動。移動電子商務主要包括無線支付、無線CRM、移動銀行與無線辦公等。與傳統(tǒng)的通信比較，移動通信具有終端設(shè)備小，不受物理位置限制，使用方便，便于攜帶等特點，因此利用移動通信技術(shù)進行電子商務的活動發(fā)展迅猛。

但無線接入在給我們帶來眾多便利的同時，存在一個重要的隱患——信息安全問題。眾所周知，利用無線信道傳遞信息時，由于無線信道的開放性，任何人都可以接收無線電波，從而為截取信息提供了可能性，由此存在更多的安全問題，包括截取、竊聽、干擾和篡改等，于是為保證電子商務活動的安全，需要建立完善的安全體系和安全措施。

一、移動電子商務工作模式

移動電子商務是通過無線網(wǎng)絡應用協(xié)議（WAP），將WAP網(wǎng)關(guān)、WAP終端(如手機瀏覽器、PDA或手提電腦)和互聯(lián)網(wǎng)上的內(nèi)容服務器連接起來。WAP是一種無線應用協(xié)議，是一個全球性的開放協(xié)議。WAP協(xié)議和基于WEB的協(xié)議不能直接互通，需要一個WAP網(wǎng)關(guān)來進行協(xié)議轉(zhuǎn)換，把目前Internet網(wǎng)上HTML語言的信息轉(zhuǎn)換成用WML描述的信息，顯示在移電話或者其他移動設(shè)備的顯示屏上。

用戶在移動中端輸入需要訪問的URL，通過無線網(wǎng)絡以WAP協(xié)議發(fā)送至無線網(wǎng)關(guān)，無線網(wǎng)關(guān)進行協(xié)議轉(zhuǎn)換處理，以HTTP協(xié)議方式傳輸至互聯(lián)網(wǎng)上內(nèi)容服務器進行交互，最后WAP網(wǎng)關(guān)將服務器返回的內(nèi)容壓縮、處理成二進制流，并返回到用戶的手機屏幕。用戶就可在無線的環(huán)境下利用無線終端高速接入互聯(lián)網(wǎng)，進行電子商務交易活動。見圖１。

二、移動電子商務安全要素

移動電子商務雖然是從有線電子商務發(fā)展而來，但移動電子商務系統(tǒng)的用戶與網(wǎng)絡之間不存在固定的物理連接，通信的信道是開放的，信息更容易被竊聽和偽造，交易雙方如何確認對方的身份，如何防止交易雙方否認已經(jīng)發(fā)生的業(yè)務行為，都是移動電子商務需要解決的安全問題。移動電子商務的安全要素包括：

1.身份認證

由于非法用戶可以偽造、假冒用戶的身份，電子商務網(wǎng)站如何驗證登錄到網(wǎng)站上的客戶是否是合法用戶，假若是非法用戶則有可能進行一些在破壞與犯罪行為。傳統(tǒng)的\"用戶名＋口令\"的認證方式安全性較弱，用戶賬戶和口令易被竊取而導致身份的偽造。

2.信息的保密性

由于信道的開放性，無線客戶端與WEB服務器之間傳輸?shù)拿舾?、機密信息和交易數(shù)據(jù)，如客戶的信用卡號和密碼以及其他需要保密的信息等，有可能在傳輸過程中被非法用戶截取。

3.信息的完整性

敏感信息和交易數(shù)據(jù)通過無線電波的方式傳送，任何人都可以接收，不法份子可以有可能進行惡意篡改，以及其他原因造成數(shù)據(jù)錯誤。

4.信息的不可否認性

網(wǎng)上交易行為一旦被進行交易的一方所否認，另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)。

三、WPKI的在移動電子商務中的應用

WPKI（Wireless Public Key Infrastrcture）即“無線公開密鑰體系”，是傳統(tǒng)的PKI(Public Key Infrastrcture)技術(shù)應用于無線環(huán)境的優(yōu)化擴展。所謂PKI是一種遵循標準的利用公鑰加密技術(shù)為電子商務的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。它提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系。PKI是利用公鑰理論和技術(shù)建立的提供安全服務的基礎(chǔ)設(shè)施，其內(nèi)容包括數(shù)字證書、不對稱密鑰密碼技術(shù)、認證中心、證書和密鑰的管理、安全代理軟件、不可否認性服務、時間戳服務、相關(guān)信息標準、操作規(guī)范等。

1.WPKI的體系結(jié)構(gòu)

WPKI并不是一個全新的PKI標準，它是將互聯(lián)網(wǎng)中PKI安全機制引入到無線網(wǎng)線環(huán)境中，用來管理在無線網(wǎng)絡環(huán)境中使用的公開密鑰和數(shù)字證書，WPKI與PKI二者具有類似的體系結(jié)構(gòu)，無線終端用戶訪問數(shù)據(jù)服務器，必須首先通過無線認證中心，對用戶進行認證，經(jīng)過認證的用戶才可以訪問數(shù)據(jù)服務器。見圖２。

2.WPKI在移動電子商務中的應用

(1)完整性應用

數(shù)據(jù)完整性服務就是確認數(shù)據(jù)沒有被修改。在WPKI系統(tǒng)中主要運用數(shù)字簽名方式實現(xiàn)數(shù)據(jù)完整性服務，它既可以提供實體認證，又可以保障被簽名數(shù)據(jù)的完整性，這是由密碼哈希算法和簽名算法提供的保證。哈希算法的特點是輸入數(shù)據(jù)的任何變化都會引起輸出數(shù)據(jù)不可預測的極大變化，而簽名是用自己的私鑰將該哈希值進行加密，然后與數(shù)據(jù)一道傳送給接受方。如果敏感數(shù)據(jù)在傳輸和處理過程中被篡改，接受方就不會收到完整的數(shù)據(jù)簽名，驗證就會失敗。反之，如果簽名通過了驗證，就證明接收方收到的是未經(jīng)修改的完整數(shù)據(jù)。見圖3。

(2)保密性（Confidentiality）應用

保密性服務就是確保數(shù)據(jù)的私秘性，除了指定的實體外，其他沒經(jīng)授權(quán)的人不能讀出或看懂該數(shù)據(jù)。WPKI的保密性服務采用“數(shù)字信封”機制，發(fā)送方先產(chǎn)生一個對稱密鑰，并用該對稱密鑰將數(shù)據(jù)進行加密。同時，為了保證對稱密鑰在傳送過程的安全，發(fā)送方需要用私鑰加密對稱密鑰，就好象把對稱密鑰放在一個電子信封里一樣。然后，將被加密的對稱密鑰（“數(shù)字信封”）和被加密的數(shù)據(jù)一起傳送給接收方。接收方用公鑰拆開“數(shù)字信封”，得到對稱密鑰，用對稱密鑰解開被加密的數(shù)據(jù)。其他沒經(jīng)授權(quán)的人，因為沒有拆開“數(shù)字信封”的私鑰，看不見或讀不懂原數(shù)據(jù)，起到了數(shù)據(jù)保密性的作用。

(3)不可否認性服務

不可否認性是證實消息發(fā)送方是惟一可能的發(fā)送者，WPKI系統(tǒng)提供的不可否認性與完整性的方式基本相同。發(fā)送方用私鑰產(chǎn)生一個數(shù)字簽名隨消息一起發(fā)送，接收方用發(fā)送者的公鑰來驗證數(shù)字簽名。在理論上只有發(fā)送者才惟一擁有私鑰，也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名，所以只要數(shù)字簽名通過驗證，發(fā)送者就不能否認曾發(fā)送過該消息。

(4)真實性服務

身份識別與鑒別，是移動電子商務安全中非常重要的一環(huán)，WPKI采用認證的方法來進行身份識別。認證是甲乙雙方都具有第三方CA所簽發(fā)的證書。

如圖５所示，無線終端首先將證書與數(shù)字簽名通過WAP網(wǎng)關(guān)發(fā)送給WEB服務器。WEB服務器在收到無線終端傳來的證書后，首先要驗證其證書的真?zhèn)?，通過后向無線認證中心請求根證書公鑰驗證該證書的簽名，無線認證中心將驗證結(jié)果返回WEB服務器，如果驗證通過說明該證書是第三方CA簽發(fā)的有效證書，否則證書為偽造。接著檢查證書的有效期及檢查該證書是否已被作廢而進入黑名單。最后WEB服務再利用從無線認證中心獲得或其證書上的無線終端的公鑰驗證數(shù)字簽名的正確性，如果通過則說明乙的身份是正確無誤的可以進行建立通信。如圖５

四、結(jié)論

有線電子商務的重要安全保障是PKI，PKI在保證信息安全、身份認證、信息完整性和不可抵賴性等方面得到了普遍的認同，在電子商務系統(tǒng)中起著不可替代的作用。PKI的系統(tǒng)概念、安全操作流程等經(jīng)過改進之后同樣也適用于解決移動電子商務的安全問題。WPKI正是針對無線通信環(huán)境的特點，對PKI進行了改進，保證了移動電子商務的身份可識別、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)的不可否認性和真實性，使移動電子商務在進行商務活動中消除了安全隱患。

參考文獻:

[1]李又白唐黎:WAP環(huán)境下的信息安全技術(shù)淺析[J].高性能計算技術(shù)

[2]見寧宇鵬陳昕等:PKI技術(shù)[M].機械工業(yè)出版社

[3]見路綱佘周天明劉家芬:WPKI與PKI關(guān)鍵技術(shù)對比[J].計算機應用，2005(11)