2018基于ＷＰＫＩ的移动电子商务安全体系与应用

3773339

　　　[摘要] 论文阐述了移动电子商务的工作模式，分析了移动电子商务的安全需求和要素，详细分析了WPKI在移动电子商务中对身份认证、数据加密、数据的不可否认性和真实性的应用模式。
　　[关键词] 移动电子商务 WPKI 安全
　　
　　移动电子商务是指利用手机、掌上电脑、呼机等无线通信设备与因特网有机结合，进行电子商务活动。移动电子商务主要包括无线支付、无线CRM、移动银行与无线办公等。与传统的通信比较，移动通信具有终端设备小，不受物理位置限制，使用方便，便于携带等特点，因此利用移动通信技术进行电子商务的活动发展迅猛。
　　但无线接入在给我们带来众多便利的同时，存在一个重要的隐患——信息安全问题。众所周知，利用无线信道传递信息时，由于无线信道的开放性，任何人都可以接收无线电波，从而为截取信息提供了可能性，由此存在更多的安全问题，包括截取、窃听、干扰和篡改等，于是为保证电子商务活动的安全，需要建立完善的安全体系和安全措施。
　　
　　一、移动电子商务工作模式
　　
　　移动电子商务是通过无线网络应用协议（WAP），将WAP网关、WAP终端(如手机浏览器、PDA或手提电脑)和互联网上的内容服务器连接起来。WAP是一种无线应用协议，是一个全球性的开放协议。WAP协议和基于WEB的协议不能直接互通，需要一个WAP网关来进行协议转换，把目前Internet网上HTML语言的信息转换成用WML描述的信息，显示在移电话或者其他移动设备的显示屏上。
　　用户在移动中端输入需要访问的URL，通过无线网络以WAP协议发送至无线网关，无线网关进行协议转换处理，以HTTP协议方式传输至互联网上内容服务器进行交互，最后WAP网关将服务器返回的内容压缩、处理成二进制流，并返回到用户的手机屏幕。用户就可在无线的环境下利用无线终端高速接入互联网，进行电子商务交易活动。见图１。
　　
　　二、移动电子商务安全要素
　　
　　 移动电子商务虽然是从有线电子商务发展而来，但移动电子商务系统的用户与网络之间不存在固定的物理连接，通信的信道是开放的，信息更容易被窃听和伪造，交易双方如何确认对方的身份，如何防止交易双方否认已经发生的业务行为，都是移动电子商务需要解决的安全问题。移动电子商务的安全要素包括：
　　1.身份认证
　　由于非法用户可以伪造、假冒用户的身份，电子商务网站如何验证登录到网站上的客户是否是合法用户，假若是非法用户则有可能进行一些在破坏与犯罪行为。传统的"用户名＋口令"的认证方式安全性较弱，用户账户和口令易被窃取而导致身份的伪造。
　　2.信息的保密性
　　由于信道的开放性，无线客户端与WEB服务器之间传输的敏感、机密信息和交易数据，如客户的信用卡号和密码以及其他需要保密的信息等，有可能在传输过程中被非法用户截取。
　　3.信息的完整性
　　敏感信息和交易数据通过无线电波的方式传送，任何人都可以接收，不法份子可以有可能进行恶意篡改，以及其他原因造成数据错误。
　　4.信息的不可否认性
　　网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。
　　
　　三、WPKI的在移动电子商务中的应用
　　
　　WPKI（Wireless Public Key Infrastrcture）即“无线公开密钥体系”，是传统的PKI(Public Key Infrastrcture)技术应用于无线环境的优化扩展。所谓PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI是利用公钥理论和技术建立的提供安全服务的基础设施，其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。