论文部分内容阅读
摘要:本文主要通过对移动电子商务在我国的具体发展情况进行了详细的分析,并在此基础上对移动电子商务应用的过程中遇到的安全问题进行具体分析。并对短期证书技术在WPKI中应用的问题进行了阐述,介绍了WPKI技术在移动电子商务中的应用方案。
关键字:移动电子商务应用;安全;WPKI
1 移动电子商务发展现状及发展中的安全问题
我国的移动电子商务发展经历过了第一发展阶段,这个发展阶段,移动电子商务主要是以事先支付具体费用才可以获取如股市行情信息、天气预报等服务。但这个发展阶段基本不能通过在线方式购买任何服务,一般也不会牵涉到资金安全和流动的问题。后来,移动电子商务发展到了要存在在线支付服务的第二发展阶段,此时安全问题就成为了一个敏感的话题。在移动电子商务的支付过程中,移动设备终端(手机)与数据交换中心的接口及移动网关与服务提供商之间无加密的网络传输都为移动电子商务的支付的埋下了安全隐患。即使是我们使用的GSM技术可以对数据加密,但移动网络这种开放性的特点也使得破译网络通信密码变得更加容易,所以在移动电子商务通信中,还存在着信息被篡改、截取、丢失等隐患。另外,移动电子商务应用中更要解决我们面临的“不可否认性”的问题。总之,在现实的移动电子商务交易中,保证移动网关的安全是关键的问题。尤其是我们进行移动支付过程中,怎样保证移动网关信息的安全可靠是移动电子商务要解决的根本问题。
2 WPKI技术
大家所接触的移动网络比有线网络更具有开放性,可是却带来了无线网络交易安全隐患问题,当广大用户通过无线进行交易时,只有交易信息不被窃听和篡改,交易的合法性和真实性才可以得倒有效的认可,移动电子商务交易过程才会被更多人接受和使用。在交易传统电子商务的交易过程中, PKI(公钥基础设施)是安全的重要保障。PKI有效解决了信息安全、身份证明、信息完整性和不可抵赖性等具体的问题,这些在保证交易的安全方面得到了使用着的普遍认可。PKI技术是否同样适合解决移动电子商务中的安全问题呢?答案是肯定的,但在移动环境中使用PKI技术时,不能信手拈来,必须要对PKI技术进行相应的改进,这也就是使用WPKI技术。WPKI(WirelessPKI)技术可以从一定程度上解决移动电子商务中对信息保密性、完整性和不可抵赖性这些具体安全要求,也降低了用户对移动电子商务交易安全的担忧。WPKI技术主要包括以下五部分。
(1)CA(CertificateAuthority)认证机构。认证机构(认证中心)是PKI的核心部分,它负责证书发放、撤销及证书发行后证书生命周期各个环节的具体管理。
(2)注册机构(RA)。RA是数字证书注册审批机构。RA是CA证书发放、管理的延伸。RA是CA和用户之间的接口,它不仅接受离线证书申请,而且必须提供在线证书申请服务。
(3)智能卡。智能卡是一种具有存储、加密及数据处理能力的集成电路芯片,智能卡在访问控制方面具有很强的安全保障,它体积小、难于破解等特点使其在各个领域都有广泛应用。
(4)信息加密算法。算法本身的复杂性和加解密密钥长度决定了算法是否安全。但如果算法越复杂,密钥长度会越长,执行运算所需时间也就越长,这对计算能力的芯片要求更高。在所有的算法中,RSA算法是公认安全强度高的算法,但RSA算法需要具有更高处理性能的芯片,会增加智能卡的使用成本。椭圆曲线加密体制(ECC)使用较短的密钥就可以达到RAS算法的加密强度,而且椭圆曲线密码体制(ECC)以其对芯片处理能力要求很低,安全强度也很容易达到,所以广泛应用于智能卡领域。
(5)数字证书。数字证书在WPKI机制尤为重要,如何更加安全、便捷地使用数字证书是WPKI技术必须要解决技术问题,在移动电子商务的实际应用中,可以使用移动证书标识或WTLS证书来解决技术问题。其具有更小、更简化的特点,但因为WTLS证书是一种新型的证书,所以目前必须对CA证书进行升级才可使用使用WTLS证书。
3 WPKI在移动电子商务中的应用
WPKI可以把有线网络中使用的PKI安全机制应用到移动电子商务中,通过PKI建立安全、可信的移动电子商务交易环境,WPKI可以使用公开密钥和数字证书来管理移动网络环境。它是PKI技术在移动电子商务中的功能扩展,WPKI也可以用证书实现公钥的管理,通过CA认证中心对用户的身份进行检验,目的是使信息安全的传输。
3.1 WPKI技术体系结构
WPKI技术的体系结构主要由实体终端(EE)、CA、PKI门户、PKI目录服务器等四部分组成。在其应用模式中,包括WAP网关、数据提供服务器等服务设备等。
(1)终端实体应用程序EE(无线用户)。它是为更好的适应WAP设备、运行WPKI设计的软件,依赖于WMLScryptAPI的数字签名密钥管理与加密运算功能。(2)内容服务器(Server)。它是WPKI体系资源提供者,它的任务就是向客户提供必要的内容资源,而WEB服务器提供的内容又是WPKI体系中资源的核心。(3)PKIDirectory(PKI目录库),证书发布服务器,如LDAP(LightweightDirectoryAccessProtocol轻量目录访问协议)目录服务器,它主要用于对用户证书进行管理,同时可以提供证书查询等功能。 (4)WAP网关,它可以使用标准的网络协议来实现与客户及资源服务器间的通信。通过配置WAP代理服务器来增强移动服务与通信安全等相关工作。
3.2 WPKI在移动电子商务中的应用模型
(1)基于WAP应用模型,在基于WAP应用模型中,WPKI对安全协议的运行起到了关键的基础性作用。基于WAP的应用通常可以与WTLS(WirelessTransportLayerSecurity)结合来完成身份认证、数字签名、加密等功能。(2)基于STK的短消息应用模型,STK(SIMcardToolKit)是一个小型的编程语言,STK卡是SIM卡中的一种,它和SIM卡不同之处是STK卡可以使移动电话中用户身份识别模块(SIM卡)运行它的应用软件。并且STK卡灵活性很强,只需要在用户的STK卡上开发同时与服务器配合,就可以实现各种适合用户需求的服务。在本模型中,STK卡可以用来储存数字证书和私有密钥,同时也可以用来进行信息加解密、数字签名、身份验证等各种密码计算。本模型实现起来很简单,只需将移动终端中的SIM卡变换成STK卡就可以了。(3)基于J2ME的应用模型,J2ME(JavaPlatform,MicroEdition)是SUN公司推出的专门用于移动网络的编程语言,它继承了JAVA语言的优点,在移动应用领域发展前景广阔。开发移动电子商务的主要功能,J2ME模型都能提供,以满足具体的应用需求为目标,就可以开发出满足移动交易安全需求的WPKI应用。由于其安全性和网络得到了诸多用户的认可,目前,越来越多无线终端设备都开始支持J2ME模型。
4 结论
伴随着“互联网+”的提出,移动电子商务不断融入我们的生活,而广大移动电子商务用户对它的安全问题也越来越关注。这种基于WPKI的移动电子商务技术是目前相对比较完善而且具备可行性一种方案。WPKI技术合WAP技术解决方案,因其高稳定性、高安全性及高可用性的优点,将会是以后移动电子商务发展的新方向,具有很好的发展前景。
参考文献:
[1]贾世准;安全中间件在移动电子商务信息交换中的应用[D];西安电子科技大学;2013年
[2]王岩;基于WAPI安全协议下无线局域网证书管理系统的研究与实现[D];北京邮电大学;2014年
[3]汤轶;手机应用客户端发布管理系统设计与实现[D];中南大学;2015年
[4]杨岚;基于RF-SIM卡技术的世博手机票系统构建[D];复旦大学;2013年
[5]刘璐;基于移动电子商务模式的商场库存管理查询系统的设计与实现[D];山东大学;2014年
关键字:移动电子商务应用;安全;WPKI
1 移动电子商务发展现状及发展中的安全问题
我国的移动电子商务发展经历过了第一发展阶段,这个发展阶段,移动电子商务主要是以事先支付具体费用才可以获取如股市行情信息、天气预报等服务。但这个发展阶段基本不能通过在线方式购买任何服务,一般也不会牵涉到资金安全和流动的问题。后来,移动电子商务发展到了要存在在线支付服务的第二发展阶段,此时安全问题就成为了一个敏感的话题。在移动电子商务的支付过程中,移动设备终端(手机)与数据交换中心的接口及移动网关与服务提供商之间无加密的网络传输都为移动电子商务的支付的埋下了安全隐患。即使是我们使用的GSM技术可以对数据加密,但移动网络这种开放性的特点也使得破译网络通信密码变得更加容易,所以在移动电子商务通信中,还存在着信息被篡改、截取、丢失等隐患。另外,移动电子商务应用中更要解决我们面临的“不可否认性”的问题。总之,在现实的移动电子商务交易中,保证移动网关的安全是关键的问题。尤其是我们进行移动支付过程中,怎样保证移动网关信息的安全可靠是移动电子商务要解决的根本问题。
2 WPKI技术
大家所接触的移动网络比有线网络更具有开放性,可是却带来了无线网络交易安全隐患问题,当广大用户通过无线进行交易时,只有交易信息不被窃听和篡改,交易的合法性和真实性才可以得倒有效的认可,移动电子商务交易过程才会被更多人接受和使用。在交易传统电子商务的交易过程中, PKI(公钥基础设施)是安全的重要保障。PKI有效解决了信息安全、身份证明、信息完整性和不可抵赖性等具体的问题,这些在保证交易的安全方面得到了使用着的普遍认可。PKI技术是否同样适合解决移动电子商务中的安全问题呢?答案是肯定的,但在移动环境中使用PKI技术时,不能信手拈来,必须要对PKI技术进行相应的改进,这也就是使用WPKI技术。WPKI(WirelessPKI)技术可以从一定程度上解决移动电子商务中对信息保密性、完整性和不可抵赖性这些具体安全要求,也降低了用户对移动电子商务交易安全的担忧。WPKI技术主要包括以下五部分。
(1)CA(CertificateAuthority)认证机构。认证机构(认证中心)是PKI的核心部分,它负责证书发放、撤销及证书发行后证书生命周期各个环节的具体管理。
(2)注册机构(RA)。RA是数字证书注册审批机构。RA是CA证书发放、管理的延伸。RA是CA和用户之间的接口,它不仅接受离线证书申请,而且必须提供在线证书申请服务。
(3)智能卡。智能卡是一种具有存储、加密及数据处理能力的集成电路芯片,智能卡在访问控制方面具有很强的安全保障,它体积小、难于破解等特点使其在各个领域都有广泛应用。
(4)信息加密算法。算法本身的复杂性和加解密密钥长度决定了算法是否安全。但如果算法越复杂,密钥长度会越长,执行运算所需时间也就越长,这对计算能力的芯片要求更高。在所有的算法中,RSA算法是公认安全强度高的算法,但RSA算法需要具有更高处理性能的芯片,会增加智能卡的使用成本。椭圆曲线加密体制(ECC)使用较短的密钥就可以达到RAS算法的加密强度,而且椭圆曲线密码体制(ECC)以其对芯片处理能力要求很低,安全强度也很容易达到,所以广泛应用于智能卡领域。
(5)数字证书。数字证书在WPKI机制尤为重要,如何更加安全、便捷地使用数字证书是WPKI技术必须要解决技术问题,在移动电子商务的实际应用中,可以使用移动证书标识或WTLS证书来解决技术问题。其具有更小、更简化的特点,但因为WTLS证书是一种新型的证书,所以目前必须对CA证书进行升级才可使用使用WTLS证书。
3 WPKI在移动电子商务中的应用
WPKI可以把有线网络中使用的PKI安全机制应用到移动电子商务中,通过PKI建立安全、可信的移动电子商务交易环境,WPKI可以使用公开密钥和数字证书来管理移动网络环境。它是PKI技术在移动电子商务中的功能扩展,WPKI也可以用证书实现公钥的管理,通过CA认证中心对用户的身份进行检验,目的是使信息安全的传输。
3.1 WPKI技术体系结构
WPKI技术的体系结构主要由实体终端(EE)、CA、PKI门户、PKI目录服务器等四部分组成。在其应用模式中,包括WAP网关、数据提供服务器等服务设备等。
(1)终端实体应用程序EE(无线用户)。它是为更好的适应WAP设备、运行WPKI设计的软件,依赖于WMLScryptAPI的数字签名密钥管理与加密运算功能。(2)内容服务器(Server)。它是WPKI体系资源提供者,它的任务就是向客户提供必要的内容资源,而WEB服务器提供的内容又是WPKI体系中资源的核心。(3)PKIDirectory(PKI目录库),证书发布服务器,如LDAP(LightweightDirectoryAccessProtocol轻量目录访问协议)目录服务器,它主要用于对用户证书进行管理,同时可以提供证书查询等功能。 (4)WAP网关,它可以使用标准的网络协议来实现与客户及资源服务器间的通信。通过配置WAP代理服务器来增强移动服务与通信安全等相关工作。
3.2 WPKI在移动电子商务中的应用模型
(1)基于WAP应用模型,在基于WAP应用模型中,WPKI对安全协议的运行起到了关键的基础性作用。基于WAP的应用通常可以与WTLS(WirelessTransportLayerSecurity)结合来完成身份认证、数字签名、加密等功能。(2)基于STK的短消息应用模型,STK(SIMcardToolKit)是一个小型的编程语言,STK卡是SIM卡中的一种,它和SIM卡不同之处是STK卡可以使移动电话中用户身份识别模块(SIM卡)运行它的应用软件。并且STK卡灵活性很强,只需要在用户的STK卡上开发同时与服务器配合,就可以实现各种适合用户需求的服务。在本模型中,STK卡可以用来储存数字证书和私有密钥,同时也可以用来进行信息加解密、数字签名、身份验证等各种密码计算。本模型实现起来很简单,只需将移动终端中的SIM卡变换成STK卡就可以了。(3)基于J2ME的应用模型,J2ME(JavaPlatform,MicroEdition)是SUN公司推出的专门用于移动网络的编程语言,它继承了JAVA语言的优点,在移动应用领域发展前景广阔。开发移动电子商务的主要功能,J2ME模型都能提供,以满足具体的应用需求为目标,就可以开发出满足移动交易安全需求的WPKI应用。由于其安全性和网络得到了诸多用户的认可,目前,越来越多无线终端设备都开始支持J2ME模型。
4 结论
伴随着“互联网+”的提出,移动电子商务不断融入我们的生活,而广大移动电子商务用户对它的安全问题也越来越关注。这种基于WPKI的移动电子商务技术是目前相对比较完善而且具备可行性一种方案。WPKI技术合WAP技术解决方案,因其高稳定性、高安全性及高可用性的优点,将会是以后移动电子商务发展的新方向,具有很好的发展前景。
参考文献:
[1]贾世准;安全中间件在移动电子商务信息交换中的应用[D];西安电子科技大学;2013年
[2]王岩;基于WAPI安全协议下无线局域网证书管理系统的研究与实现[D];北京邮电大学;2014年
[3]汤轶;手机应用客户端发布管理系统设计与实现[D];中南大学;2015年
[4]杨岚;基于RF-SIM卡技术的世博手机票系统构建[D];复旦大学;2013年
[5]刘璐;基于移动电子商务模式的商场库存管理查询系统的设计与实现[D];山东大学;2014年