基于WPKI的移动电子商务安全体系与应用

来源 :商场现代化 | 被引量 : 0次 | 上传用户:dazhonghua988
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  [摘要] 论文阐述了移动电子商务的工作模式,分析了移动电子商务的安全需求和要素,详细分析了WPKI在移动电子商务中对身份认证、数据加密、数据的不可否认性和真实性的应用模式。
  [关键词] 移动电子商务 WPKI 安全
  
  移动电子商务是指利用手机、掌上电脑、呼机等无线通信设备与因特网有机结合,进行电子商务活动。移动电子商务主要包括无线支付、无线CRM、移动银行与无线办公等。与传统的通信比较,移动通信具有终端设备小,不受物理位置限制,使用方便,便于携带等特点,因此利用移动通信技术进行电子商务的活动发展迅猛。
  但无线接入在给我们带来众多便利的同时,存在一个重要的隐患——信息安全问题。众所周知,利用无线信道传递信息时,由于无线信道的开放性,任何人都可以接收无线电波,从而为截取信息提供了可能性,由此存在更多的安全问题,包括截取、窃听、干扰和篡改等,于是为保证电子商务活动的安全,需要建立完善的安全体系和安全措施。
  
  一、移动电子商务工作模式
  
  移动电子商务是通过无线网络应用协议(WAP),将WAP网关、WAP终端(如手机浏览器、PDA或手提电脑)和互联网上的内容服务器连接起来。WAP是一种无线应用协议,是一个全球性的开放协议。WAP协议和基于WEB的协议不能直接互通,需要一个WAP网关来进行协议转换,把目前Internet网上HTML语言的信息转换成用WML描述的信息,显示在移电话或者其他移动设备的显示屏上。
  用户在移动中端输入需要访问的URL,通过无线网络以WAP协议发送至无线网关,无线网关进行协议转换处理,以HTTP协议方式传输至互联网上内容服务器进行交互,最后WAP网关将服务器返回的内容压缩、处理成二进制流,并返回到用户的手机屏幕。用户就可在无线的环境下利用无线终端高速接入互联网,进行电子商务交易活动。见图1。
  
  二、移动电子商务安全要素
  
   移动电子商务虽然是从有线电子商务发展而来,但移动电子商务系统的用户与网络之间不存在固定的物理连接,通信的信道是开放的,信息更容易被窃听和伪造,交易双方如何确认对方的身份,如何防止交易双方否认已经发生的业务行为,都是移动电子商务需要解决的安全问题。移动电子商务的安全要素包括:
  1.身份认证
  由于非法用户可以伪造、假冒用户的身份,电子商务网站如何验证登录到网站上的客户是否是合法用户,假若是非法用户则有可能进行一些在破坏与犯罪行为。传统的"用户名+口令"的认证方式安全性较弱,用户账户和口令易被窃取而导致身份的伪造。
  2.信息的保密性
  由于信道的开放性,无线客户端与WEB服务器之间传输的敏感、机密信息和交易数据,如客户的信用卡号和密码以及其他需要保密的信息等,有可能在传输过程中被非法用户截取。
  3.信息的完整性
  敏感信息和交易数据通过无线电波的方式传送,任何人都可以接收,不法份子可以有可能进行恶意篡改,以及其他原因造成数据错误。
  4.信息的不可否认性
  网上交易行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据。
  
  三、WPKI的在移动电子商务中的应用
  
  WPKI(Wireless Public Key Infrastrcture)即“无线公开密钥体系”,是传统的PKI(Public Key Infrastrcture)技术应用于无线环境的优化扩展。所谓PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI是利用公钥理论和技术建立的提供安全服务的基础设施,其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。
  
  1.WPKI的体系结构
  WPKI并不是一个全新的PKI标准,它是将互联网中PKI安全机制引入到无线网线环境中,用来管理在无线网络环境中使用的公开密钥和数字证书,WPKI与PKI二者具有类似的体系结构,无线终端用户访问数据服务器,必须首先通过无线认证中心,对用户进行认证,经过认证的用户才可以访问数据服务器。见图2。
  
  2.WPKI在移动电子商务中的应用
  (1)完整性应用
  数据完整性服务就是确认数据没有被修改。在WPKI系统中主要运用数字签名方式实现数据完整性服务,它既可以提供实体认证,又可以保障被签名数据的完整性,这是由密码哈希算法和签名算法提供的保证。哈希算法的特点是输入数据的任何变化都会引起输出数据不可预测的极大变化,而签名是用自己的私钥将该哈希值进行加密,然后与数据一道传送给接受方。如果敏感数据在传输和处理过程中被篡改,接受方就不会收到完整的数据签名,验证就会失败。反之,如果签名通过了验证,就证明接收方收到的是未经修改的完整数据。见图3。
  
  (2)保密性(Confidentiality)应用
  保密性服务就是确保数据的私秘性,除了指定的实体外,其他没经授权的人不能读出或看懂该数据。WPKI的保密性服务采用“数字信封”机制,发送方先产生一个对称密钥,并用该对称密钥将数据进行加密。同时,为了保证对称密钥在传送过程的安全,发送方需要用私钥加密对称密钥,就好象把对称密钥放在一个电子信封里一样。然后,将被加密的对称密钥(“数字信封”)和被加密的数据一起传送给接收方。接收方用公钥拆开“数字信封”,得到对称密钥,用对称密钥解开被加密的数据。其他没经授权的人,因为没有拆开“数字信封”的私钥,看不见或读不懂原数据,起到了数据保密性的作用。
  
  (3)不可否认性服务
  不可否认性是证实消息发送方是惟一可能的发送者,WPKI系统提供的不可否认性与完整性的方式基本相同。发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。在理论上只有发送者才惟一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。
  (4)真实性服务
  身份识别与鉴别,是移动电子商务安全中非常重要的一环,WPKI采用认证的方法来进行身份识别。认证是甲乙双方都具有第三方CA所签发的证书。
  如图5所示,无线终端首先将证书与数字签名通过WAP网关发送给WEB服务器。WEB服务器在收到无线终端传来的证书后,首先要验证其证书的真伪,通过后向无线认证中心请求根证书公钥验证该证书的签名,无线认证中心将验证结果返回WEB服务器,如果验证通过说明该证书是第三方CA签发的有效证书,否则证书为伪造。接着检查证书的有效期及检查该证书是否已被作废而进入黑名单。最后WEB服务再利用从无线认证中心获得或其证书上的无线终端的公钥验证数字签名的正确性,如果通过则说明乙的身份是正确无误的可以进行建立通信。如图5
  
  四、结论
  
  有线电子商务的重要安全保障是PKI,PKI在保证信息安全、身份认证、信息完整性和不可抵赖性等方面得到了普遍的认同,在电子商务系统中起着不可替代的作用。PKI的系统概念、安全操作流程等经过改进之后同样也适用于解决移动电子商务的安全问题。WPKI正是针对无线通信环境的特点,对PKI进行了改进,保证了移动电子商务的身份可识别、数据完整性、数据保密性、数据的不可否认性和真实性,使移动电子商务在进行商务活动中消除了安全隐患。
  
  参考文献:
  [1]李又白唐黎:WAP环境下的信息安全技术浅析[J].高性能计算技术
  [2]见宁宇鹏陈昕等:PKI技术[M].机械工业出版社
  [3]见路纲佘周天明刘家芬:WPKI与PKI关键技术对比[J].计算机应用,2005(11)
其他文献
[摘要] 贸易争端解决机制是WTO不可缺少的一部分,是多边贸易机制的支柱,在经济全球化发展中颇具特色。争端解决机制的基本原则是平等、迅速、有效、双方接受。这个原则是经全体WTO的成员同意,如果他们认为其他成员正在违反贸易规则,受到贸易侵害的成员将使用多边争端解决机制,而不是采取单边行动,这意味着所有WTO的成员将遵守议定的程序和尊重裁决,不管是受到贸易侵害的成还是违反议定的成员。 在关贸总协定及W
期刊
[摘要] 本文以海尔的多元化经营战略为例,介绍了其多元化的进程,分析了其在非相关多元化过程中出现失误的原因,并且对海尔今后的多元化发展提出了若干建议。实施多元化战略必须要以企业自身的核心竞争力为基础,以增强核心竞争力为目的,适度的多元化才是主流。  [关键词] 多元化 战略 海尔 非相关多元化    多元化经营是企业在成长过程中的一种经营战略,是美国经营战略专家H. IgorAnsoff1957年
期刊
[摘要] ERP系统的应用是一项高风险、高投入项目,实施的整个过程存在种种风险。企业要对风险有充分认识,在整个ERP的实施过程中,应注意实施ERP系统前期的可行性分析,避免ERP选型风险,避免ERP实施风险,建立一套行之有效的风险管理机制,从而提高ERP系统的实施成功率。  [关键词] ERP系统 风险控制    ERP系统集成了企业运营的各个方面,一个完整的ERP系统亦即是人力资源、财务、销售、
期刊
[摘要] 本文主要从ASP.NET在网站开发中的性能及其安全性入手,介绍了如何将Web应用程序运行得越来越快,并且能够得到扩展以处理更多的并发用户,以及如何利用ASP.NET的安全系统来实现最高性能的安全代码。  [关键词] ASP.NET 性能优化 安全性    我们用ASP.NET开发网站,无论我们写的ASP.NET应用程序有多么好,无论在Web站点中添加了多少很酷的新特性,如果我们的站点在处
期刊
[摘要] 近年来伴随着中国经济的飞速发展,经济型连锁酒店在中国获得了巨大的发展空间,并随之诞生了如“如家快捷”“汉庭快捷”“MOTEL168”“7 days in”等一批具有代表性的经济型连锁酒店。本文将以“如家快捷”为例,从企业战略愿景、战略环境、战略性计划选择三方面详尽分析企业战略性计划在经济型连锁酒店的应用与实施。  [关键词] 企业战略愿景 战略环境 战略性计划选择 经济型酒店    企业
期刊
[摘要] 情报竞争是现代市场竞争的主要内容,建立CIS可以支撑企业形成优势,CIS是企业创新与发展的强有力保障。本文论述了CIS与企业的创新和发展的关系、构建企业竞争情报系统及其重要性。  [关键词] CIS 企业 竞争情报 系统 网络    在全球经济一体化的时代,企业在获得巨大商机的同时,也面临着巨大挑战和诸多风险。企业竞争的本质是科技竞争,科技竞争的核心是企业的自主创新能力。在企业的自主创新
期刊
[摘要] 自1987年6月我国第一家企业孵化器诞生以来,经过20年的发展,在规模、数量、服务、孵化效果等方面取得了重大突破。随着我国经济的发展,客观分析企业孵化器自身内部优、劣势和发展所面临的外部机会与威胁,提出今后发展的措施,对孵化器的良性发展具有重要的指导意义。本文运用SWOT分析法,结合我国孵化器发展的实际情况,通过对SWOT矩阵中四象限各因素的矩阵分析,进而提出孵化器发展的措施和建议。  
期刊
[摘要] 在当前煤炭行业整体形势较好的情况下,如何借机引入更加切实有效的管理思想自然提上了日程,本文结合6S管理工具在某煤炭企业中的导入,对6S现场管理做了深入浅出的介绍。  [关键词] 6S 管理 煤炭    一、引言    现场管理是任何一个企业管理的工作重点,也是一个难点,一个整齐、规范的工作现场不仅会给客户留下深刻的印象、改善员工的工作环境,更重要的是可以提高工作效率、改进工作作风、保障工
期刊
[摘要] 论文阐述了物流设施布置设计的基本概念和重要性,并对物流设施布置设计方法进行了简要介绍,最后对SLP方法在企业物流设施布置设计方面的具体应用进行了详细分析。  [关键词] 物流设施 布置设计 SLP    一、物流设施布置设计的重要性    物流设施布置设计是通过对系统物流、人流、信息流进行分析,对建筑物、机器、设备、运输通道和场地等做出有机的组合与合理配置,达到系统内部布置最优化。  传
期刊
[摘要] 本文研究了基于软件工程技术UML技术下的企业物流管理信息系统。介绍了利用软件工程设计方法和技术开发物流信息系统的特点和关键技术;并对系统的主要功能结构进行了设计与阐述。  [关键词] UML 物流管理    统一建模语言(Unified Modeling Language,简称UML)是一种用于对软件密集型系统进行可视化、详述、构造和文档化的图形建模语言,主要用于分析与设计阶段的系统建模
期刊