|
[摘要] 移动电子商务有传统电子商务无法比拟的优点,同时对安全性也提出了更高的要求。本文介绍了基于WAP标准的移动电子商务安全模型, 针对移动电子商务的信息安全需求分析了WAP的安全机制,给出了由WTLS, WIM, WMISCrypt和WPKI这四种安全机制所组成的安全构架模型,最后分析了基于WAP安全架构模型的移动电于商务的安全实现方式及各自的特点。
[关键词] 移动电子商务 WAP 安全机制
移动电子商务是利用无线通信手段来完成电子商务,它为电子商务的发展创造了更为广阔的发展空间。移动电子商务相对着传统的电子商务形式具有灵活、简单、方便等特点。通过移动电子商务,用户可以任意时间任意地点,使用手机、无线终端或PDA查找、选择及购买商品和服务。安全是移动电子商务的关键,也是移动电子商务的核心技术问题。移动电子商务需要在移动个人终端和有线网络中进行信息通信,这使得整个交易过程承受着无线网和有线网通信中的双重安全风险,因此要求移动电子商务具有特殊的安全机制。其中WAP的安全机制是护航移动电子商务的典范,也是当前绝大多数安全移动电子商务的实现基础。
一、WAP移动电子商务的网络架构
1.WAP简介。WAP协议把因特网扩展到了无线环境,由WAP客户端、无线网、WAP网关、IP网络和Web服务器组成。WAP客户端和WAP网关间通过无线网,使用WML(无线标记语言)来传输数据WAP网关在WML数据和HTML数据之间进行转换,在有线网和无线网之间传递数据并和Web服务器通信。
2.基于WAP的移动电子商务网络模型。WAP在应用上充分借鉴了Internet的思想,并加以一定的改进和简化。WAP安全标准使通过因特网的电子商务扩展到了无线终端设备上。在移动电子商务中WAP的网络模型如图1所示。一个典型的WAP应用系统定义了三类实体:(1)具有WAP用户代理功能的移动终端:典型的终端为WAP手机。在它的显示屏上运行有微浏览器,用户可以采用简单的选择键实现WAP服务请求,并以无线方式发送和接收所需的信息。(2)WAP网关:WAP网关是WAP网络中重要的一个环节,它是连接客户端和服务器的桥梁,使得WAP终端可以访问其中的资源。从WAP终端发送的请求,在网关实现WAP协议栈与Internet协议栈之间的转换后,再向内容服务器传送;而从内容服务器返回的信息,经网关编码后,转换为较紧凑的二进制格式,返回移动终端,以减少网络数据流量,最大限度地利用无线网络较为缓慢的数据传输速率。(3)Web内容服务器:特定资源(内容)存储或生成的地方。旨在为WAP应用提供数据服务支持,如支持WAP的Web网站以及相关的网站服务等。
二、WAP移动电子商务安全模型
WAP定义了一个开放的全球无线应用框架和网络协议标准,将Internet上的应用和服务引入移动电话等无线终端,使移动用户可以不受网络种类、网络结构、运营商的承载业务以及终端设备的限制,通过移动设备方便地访问和获取以统一的内容格式表示的国际互联网或企业内部网的信息和各种服务。基于WAP的移动电子商务安全模型如图1所示:
图2 基于WAP的移动电子商务安全模型
三、WAP的安全机制
WAP的安全机制可以实现移动电子商务所需具有的数据保密性、数据完整性、交易方的认证与授权和不可抵赖性四个方面信息安全特征。
1.WTLS 协议。WTLS协议:WTLS基于IETF小组的SSL/TLS协议,提供了实体鉴别、数据加密和保护数据完整性的功能,所以可以确保在WAP装置和WAP网关之间的安全通信。有三种不同级别的WTLS:WTLS Class1:执行未经证实的Diffie-Hellman密钥交换以建立会话密钥。WTLS Class2:使用与SSL/TLS协议相类似的公开密钥证书机制进行服务器端鉴别。WTLS Class3:客户端和服务器端采用X.509格式证书相互进行鉴别。 |
|