基于WPKI技术的移动电子商务应用及对策分析.docx
《基于WPKI技术的移动电子商务应用及对策分析.docx》由会员分享,可在线阅读,更多相关《基于WPKI技术的移动电子商务应用及对策分析.docx(12页珍藏版)》请在冰豆网上搜索。
基于WPKI技术的移动电子商务应用及对策分析
摘要
目前,随着移动通信技术的不断发展,电子商务从有线向无线领域的延伸趋势已经显现。
尽管移动电子商务应用前景广泛,但还有一些问题亟待解决,其中最重要的就是安全问题,所有移动电子商务服务都必须建立在一个安全可靠的平台上。
移动平台的安全性已经成为决定移动电子商务发展的主要因素之一。
把有线网的安全解决方案移植到无线环境是解决移动电子商务安全的有效方法,WPKI是近几年逐渐兴起的保障移动电子商务安全的一项技术,它是从有线PKI中发展而来的,即WPKI是在无线环境中提供类似于有线PKI的安全服务体制,是在现行的有线PKI已有机制下做适当的补充和合理的优化,以符合无线通信服务的特点。
本文通过对WPKI在移动电子商务中的研究,可以丰富对WPKI的认识,有助于在理论和实践中对它作进一步的改进和完善,最终建立一个更加高效的网络安全平台
【关键词】移动电子商务安全技术WPKI技术
Abstract
Withthedevelopmentofmobilecommunicationtechnology,thetrendofE-Businessextensionfromwiredenvironmenttowirelessenvironmenthasappeared.AlthoughtheaspectofM-Commerceapplicationisbroad,itstillhaslotsofproblemstobesolved.Themostimportantproblemissecurity.AllM-Commerceservicesmustbeimplementedonasecureandreliableplatform.Themobileplatformsecurityhasbecomethemainfactor,whichdeterminesthedevelopmentofM-Commerce.Transplantingthemethodwhichsolvessecurityproblemsofwiredenvironmenttowirelessenvironmentisanefficientidea.WPKIisanewtechnology,whichusedtoensurethesecurityofM-Commercerecently.ItdevelopedfromwiredPKI,namelyWPKIisasecuritymechanismwhichprovidingthesecurityservicelikingwiredPKIinwirelessenvironment,itrenewsproperlyandoptimizesreasonablyunderthecurrentwiredPKImechanismtoaccordwithcharacteristicofmobilecommunication.
BystudyingWPKIsystemintheMobileElectronicCommerce,wecanenrichthecognitionofWPKI,improveandperfectitsperformanceinpractice.TheultimategoalistoestablishamoreefficientandsafernetworkplatformforMobileElectronicCommerce.
【KeyWords】MobileElectronicCommerce;SecurityTechnology;WPKI
目录
1引言2
1.1选题背景2
1.2国内外研究与发展现状2
1.3本文研究路径及方法2
1.4本文观点及不足3
2移动电子商务概述3
2.1移动电子商务的概念3
2.2移动电子商务技术4
3WPKI技术的分析5
3.1WPKI的概念6
3.2WPKI的主要技术分类6
3.3WPKI技术原理7
4WPKI技术在移动电子商务中的应用8
4.1移动电子商务中WPKI的系统框架8
4.2WPKI技术在移动电子商务中的各种应用10
5WPKI技术应用存在的问题及对策12
5.1WPKI技术应用存在的问题12
5.2解决WPKI技术存在问题的对策12
5.3WPKI技术未来的发展方向13
6结论14
参考文献15
致谢16
基于WPKI技术的移动电子商务应用及对策分析
1引言
1.1选题背景
移动电子商务是将现代信息科学技术和传统商务活动相结合,随时随地为用户提供各种个性化的、定制的在线动态商务服务。
随着无线通信技术和互联网技术的发展,以及各行各业对IT技术日渐多样化的需求增多,用户希望能够无时无刻、在任何地点均能上网,无线通信技术在银行、证券、商务、贸易、办公、教育等各方面的需求越来越多,因而移动电子商务已经成为电子商务的研究热点。
1.2国内外研究与发展现状
(1)国外的研究状况
移动电子商务无任是国外还是国内都是处于最近起步,但是基于WPKI技术的移动电子商务的研究,国外还是要先与国内。
NashA,DuaneW,JosephC(2002)详细地阐述公钥基础设施(PKI)实现和管理电子安全,同时也阐述了移动电子商务发展的方向。
Upkar·Varsbney等(2000)探讨了基于WPKI技术的移动电子商务这一前沿问题。
(2)国内的研究状况
我国比起美国移动电子商务略微置后,但我国在这样的研究也是卓有成效。
北京邮电大学电子工程学院的刘杰(2002)老师介绍了移动互联网的现状,并对移动电子商务技术进行了分析,并根据作者的实践及研究成果,介绍了安全移动电子商务系统及基于WAP的移动电子商务系统的解决方案。
先强(2006)针对基于WPKI的移动电子商务安全展开了研究。
沈郁(2003)也是针对基于WPKI的WAP移动电子商务安全进行了研究[J]。
1.3本文研究路径及方法
本文通过网络调查和理论学习对移动电子商务在国内外的发展现状进行研究,并且就移动电子商务的安全问题特别是对WPKI技术和其在移动电子商务中的应用进行了比较全面而具体的研究和认识。
同时,结合移动电子商务概述;WPKI技术的分析;基于WPKI技术移动电子商务的应用;WPKI技术应用存在的问题及对策等几个方面阐述了基于WPKI技术的移动电子商务应用及对策分析。
1.4本文观点及不足
虽然移动电子商务渐渐成为新宠,但在无线世界里,人们对于进行商务活动安全性的考虑比在有线环境中要多。
只有当所有的用户确信,通过无线方式所进行的交易不会发生欺诈或篡改、进行的交易受到法律的承认和隐私信息被适当的保护时,移动电子商务才有可能蓬勃开展。
因此,无线网络安全技术在移动商务中起着非常重要的作用,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,只有采取了必要和恰当的技术手段才能充分提高移动商务的可用性和可推广性。
所以,作为移动电子商务中最受关注的安全技术,基于WPKI技术的移动电子商务很值得研究。
本文对WPKI技术在移动电子商务中的应用进行了系统阐述,同时对该技术在应用中所存在的问题进行了对策分析。
然而,由于WPKI技术还是新兴的网络安全技术,而且各方面的理论研究还处在初级阶段,并没有权威的研究论断。
所以本文所阐述的各种理论只是个人学习研究的成果,在该技术的实际应用中还会产生一些不足。
2移动电子商务概述
电子商务和移动电话技术的发展越来越成熟和迅猛,将电子商务和移动通信相结合实现人们随时随地进行信息交互也不再是不可触及的梦想。
移动运营商、移动业务增值商、银行、商家以及智能卡技术厂商正联手共建一个多功能、多渠道的移动安全交易平台,基于短消息机制和STK技术开发的移动增值应用服务平台,将Internet、移动网络、无线PKI技术有机结合起来,保证了在线业务的安全。
在不久的将来任何人都可以通过手机上网浏览信息、发送邮件、下单购物或调拨自己银行帐户中的资金。
几乎在足不出户的情况下,便可完成一切日常活动。
2.1移动电子商务的概念
移动电子商务(M-Commerce),它由电子商务(E-Commerce)的概念衍生出来,现在的电子商务以PC机为主要界面,是“有线的电子商务”;而移动电子商务,则是通过手机、PDA(个人数字助理)这些可以装在口袋里的终端与我们谋面,无论何时、何地都可以开始,是“无线的电子商务”。
对许多人来说,移动电子商务已经不是一种时髦,而是一种生活和职业需求。
移动电子商务的出现是对有线电子商务的整合与发展。
即将传统的商务和已经发展起来但分散的电子商务整合起来,将各种业务流程从有线网络向无线网络转移。
2.2移动电子商务技术
相对于传统的电子商务模式,移动电子商务的安全性更加薄弱。
无线网络安全技术在移动电子商务中起着非常重要的作用。
如何保护用户的合法信息(账户、密码等)不受侵犯,是一项迫切需要解决的问题。
国际上安全加密的研究主要以有线网络为主,如PKI(PublicKeyInfrastructure),即公开密钥体系,而无线网络的安全技术研究屈指可数。
国内外的研究与应用也正处于探索之中。
为了适应无线网络认证和加密的需要,WPKI(WirelessPublicKeyInfrastrcture)技术,即无线公开密钥体系渐渐发展起来,并逐渐在无线数据业务中得到实际应用。
由于无线通讯接入方式非常灵活,所以其对安全的要求更高。
主要的无线通信技术都有各自的措施、协议和方法来保证各自体制下的通信安全。
下面介绍几种无线安全技术。
2.2.1无线局域网
无线局域网络是以无线连接至局域网络的通讯方式。
它采用的是IEEE802.11系列标准。
在该标准中,无线局域网的安全机制采用的是WEP协议(有线对等安全协议)。
在数据链路用WEP加密数据,保证了信道上传送数据的安全。
另外,无线局域网的网络管理员分配给每个授权用户一个基于WEP算法的密钥,这样就有效阻止了非授权用户的访问。
2.2.2WAP(无线应用协议)技术
WAP由一系列协议组成,用来标准化无线通信设备,例如:
移动电话、移动终端;它负责将Internet和移动通信网连接到一起,客观上已成为移动终端上网的标准。
WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。
WAP的安全机制是通过WTLS(无线传输层安全)协议来实现的。
WTLS协议类似于互联网传输层安全协议。
在无线技术的有限的发送功率、存储容量及带宽的条件下,WTLS能够实现鉴定,保证数据的完整性和提供保密服务的目标。
2.2.3数字认证技术
对诸如移动电子商务和有重要使命的合作通信等活动,其安全性的一个关键方面是能否对信息发送者的身份进行论证,通常都要利用有线安全的公开密钥基本构架(PKI)。
PKI提供与加密和数字证书有关的一系列技术。
但在无线通信环境中,PKI是很难实现的。
在只有有限计算能力和低数据流通率的设备上实现PKI中的服务一直是一个有挑战性的难题。
同时在PKI的基础上,要将无线设备与有线设备之间进行互通也是有难度的。
因此无线PKI(WPKI)协议是要将标准的PKI进行修正和简化,使其在无线通信的环境下达到最优。
3WPKI技术的分析
在有线通信中,电子商务交易的一个重要安全保障是PKI。
PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。
这里首先简单介绍一下PKI的概念,PKI(PublicKeyInfrastructure)即公开密钥体系,简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施,它是国际公认的互联网电子商务的安全认证机制,它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。
公钥是目前应用最广泛的一种加密体制,在这一体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。
这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
目前,公钥体系广泛地用于CA认证、数字签名和密钥交换等领域。
3.1WPKI的概念
WPKI即“无线公开密钥体系”,它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。
WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。
它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。
它同样采用证书管理公钥,通过第三方的可信任机构——认证中心(CA)验证用户的身份,从而实现信息的安全传输。
3.2WPKI的主要技术分类
在实际使用中,传统的PKI针对无线环境进行优化后形成了WPKI,即WPKI针对PKI协议、证书格式、加密算法和密钥等关键技术均作了精简和优化。
3.2.1WPKI协议
处理PKI服务请求的传统方法依赖于ASN.1的BER/DER编码规则,但BER/DER编码方法对处理能力要求较高,不适合WAP设备。
WPKI协议用WML语言、WML脚本加密接口和脚本加密库实现,比起用BER/DER编码方法节省了大量处理能力。
3.2.2WPKI证书格式
制定WPKI证书格式规范是为削减公钥证书所占用的存储空间。
其机制之一是为服务器端证书定义一种新的证书格式(即WTLS证书格式)。
与标准的X.509证书相比,该证书大大减少了所占用的存储空间。
WPKI证书上的另一个非常重要的精简就是使用了椭圆曲线加密算法ECC,ECC算法使用的密钥比RSA算法的密钥要短,通过使用ECC算法,可使证书的存储空间比使用其它算法的证书要少100字节左右。
WPKI还限制了IETFPKIX证书格式中某些数据域的大小,由于WPKI证书格式是PKIX证书格式的一个子集,因而可保持与标准PKI之间的互操作性。
3.2.3WPKI加密算法和密钥
在WAP安全标准中,尽管传统的签名机制为可选项,但由于占用资源多和WAP设备处理能力低带来的性能问题,使得在无线环境中实现传统的签名机制是没有实用价值的。
与ECC加密签名算法相比,传统的签名机制(如RSA算法)需要更多的处理资源和更多的存储空间。
ECC加密签名算法是业内公认的目前最精简的签名算法,是支持无线环境下的安全机制的一个最适合的选择。
典型的ECC算法使用的密钥长度为163位,而在同等加密强度的RSA算法密钥长度是1024位,也就是说,ECC算法使用的密钥长度只是同等加密强度的RSA算法密钥长度的1/6。
ECC算法的上述特点使得密钥存储和证书存储占用空间大位减少,数字签名的处理效率得到提高。
3.3WPKI技术原理
基本的WPKI组件包括端实体应用(EE)、注册中心(RA)、认证中心(CA)和PKI目录。
WPKI中,端实体应用(EE)和注册中心(RA)的实现与传统PKI不同,而且需要一个全新的组件--PKI门户。
WPKI中的端实体应用的具体实现是一个运作在WAP终端上的优化软件,它依靠WML脚本加密接口和脚本加密库来作密钥服务和加解密操作,具体函数包括以下几个:
用户公私钥对的生成、存储和访问;首次证书应用的完成、签名和提交;证书更新请求的完成、签名和提交;证书撤消请求的完成、签名和提交;查找证书和撤消信息;生成和验证数字签名。
PKI门户是一个联网的服务器,类似WAP网关,有RA的逻辑功能,并负责转换WAP客户给PKI中RA和CA发的请求。
PKI门户内嵌RA函数,和无线网络中的WAP设备以及有线网络中的CA进行交互。
一次完整的WPKI操作流程如下:
第一步,EE用户向PKI门户申请证书。
第二步,PKI门户审查用户申请,通过后给CA发证书申请。
第三步,CA发行证书并将证书贴到有效证书目录。
第四步,PKI门户创建证书URL,并把URL发送给EE用户。
第五步,Web服务器或其它移动电子商务服务器取回证书或者是撤消信息。
第六步,EE用户和WAP网关使用证书和密钥建立安全的WTLS会话,WAP网关和移动电子商务服务器或者Web服务器建立安全的SSL/TLS会话。
第七步,EE用户用私钥证书对会话内容签名,结合加密保证无线设备和互联网之间的数据安全传输。
在上述操作流程中,WTLS会话的客户端和服务器端在验证CA根证书有效性时有两种方法:
带外HASH验证方法和签名验证方法。
在建立WTLS会话过程中,客户端把证书URL发给服务器端,服务器端使用该URL取证书。
取得证书后,服务器端使用该证书,但不会把证书发给客户端。
客户只接收和存储证书URL,可以节约有限的带宽和存储资源。
URL定义可以有两种机制:
LDAPURL和HTTPURL。
4WPKI技术在移动电子商务中的应用
随着移动通信和互联网逐渐成为信息产业的两大支柱,无线通信技术在银行、证券、商务、贸易、办公、教育等各方面的需求越来越多,无线通信的安全性也显得日益重要,因而WPKI技术也渐渐发展起来,它为解决移动环境下的安全认证和支付奠定了基础。
4.1移动电子商务中WPKI的系统框架
WPKI系统的主要功能是为基于移动网络的各类移动终端用户、以及移动数据服务提供商的业务系统提供基于WPKI体系的各种安全服务,其系统架构图如图:
4.1
图:
4.1WPKI安全体系总体架构图
无线终端通过注册机构向证书中心申请数字证书,证书中心经过审核用户身份后签发数字证书给用户,用户将证书、私钥存放在UIM卡中,无线终端在无线网络上进行电子商务操作时利用数字证书保证端对端的安全。
服务提供商则通过验证用户证书确定用户身份,并提供给用户相应的服务,从而实现电子商务在无线网络上的安全运行。
类似于PKI系统的建设,一个完整的WPKI系统必须具有权威证书签发机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,其构建也将围绕着这五大系统进行。
⑴证书签发机关(CA)。
CA即数字证书的申请及签发机关,CA必须具备权威性的特征。
⑵数字证书库。
用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥。
⑶密钥备份及恢复系统。
为避免用户丢失解密数据的密钥,WPKI提供备份与恢复密钥的机制。
但密钥的备份与恢复必须由可信的机构来完成,而且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
⑷证书作废系统。
证书作废处理系统是WPKI的一个必备的组件。
与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,如是密钥介质丢失或用户身份变更等。
⑸应用接口。
一个完整的WPKI必须提供良好的应用接口系统,使各种各样的应用能够以安全、一致、可信的方式与WPKI交互,确保安全网络环境的完整性和易用性。
通常来说,CA做为数字证书的签发机关,它是WPKI系统的核心。
数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。
它采用公开密钥体制,即利用一对互相匹配的密钥进行加密、解密。
当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
通过使用数字证书,能够保证数据传输的真实性、机密性,数据的完整性,身份认证以及交易的不可抵赖性。
4.2WPKI技术在移动电子商务中的各种应用
在移动商务中,如何实现在线、实时、安全的支付是技术实施的核心,尤其在移动环境下,需要准确地识别人员身份、判别帐号真伪,并迅速、安全地实现资金转帐处理。
WPKI技术在移动商务中有如下方面的应用:
4.2.1WPKI技术的无线存取电子邮件
由于商业活动信息交换的比较频繁而且实时性较强,商业人士可能会随时用电子邮件交换一些秘密的或是有商业价值的信息,因而用手机无线上网收发电子邮件就成为一种易用、高效的信息交换工具,这同时引出了一些安全方面的问题,例如,消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉,同时,发信者的身份也会被人伪造,可能造成不可挽回的经济损失。
在遵从可以发送加密和有签名邮件的安全电子邮件协议的前提下,采用WPKI技术可以解决这一问题。
当用手机无线上网发送电子邮件给一位或多位接收人时,发送者可以先将邮件加密、签名。
这样,只有指定的接收人才可以在CA中心的服务器上取得公钥并开启邮件,即使该邮件被其他人截获,这些人也会因为得不到公钥而无法阅读邮件。
4.2.2WPKI技术在网上银行的应用
用户可以用移动设备通过网上银行轻松实现电话费缴纳、商场购物、缴泊车费、自动售货机买饮料、公交车付费、投注彩票等手机支付服务。
如果在网上银行系统中采用了WPKI和数字证书认证技术,不法分子即使窃取了卡号和密码,也无法在网上银行交易中实现诈骗。
从世界范围看,数字证书技术已经被广泛地应用在国内外网上银行系统中,至今尚未发现一例由于数字证书被攻破而使网上银行诈骗得逞的案件。
网上银行的应用主要有如下两种:
⑴无线电子支付。
用户可以利用手机完成实时的支付,在付款过程中用户通过认证后输入相应的银行卡帐号,支付系统会从远程帐号上自动减掉这笔账目,主要处理交易完成之后回传给用户相应信息并加以确认。
⑵无线电子转帐。
用户可以通过手机连接到银行,执行登录操作后进行转帐交易。
此时,银行的相应服务器必须确认用户的转帐交易资料,它会要求用户端做电子签章的确认,也会发给用户一份电子收据。
4.2.3WPKI技术在网上证券的应用
客户通过手机短信息输入有关授权信息如股票代码和股票数量,交易信息以加密的短信息进行传输,服务器对这些信息进行解密,当交易完成,结果信息以加密形式返回给客户,客户读取反馈的结果信息。
4.2.4WPKI技术在网上缴税的应用
同样,通过移动终端设备进行无线网上缴税也给用户带来了极大便利,减少了操作时间,提高了办事效率,但是也面临着安全性和可靠性的问题。
类似于网上银行系统的实现,采用WPKI体系做为安全技术框架,移动用户可以通过使用个人拥有的数字证书,使信息获得更有效的、端到端的安全保障。
4.2.5WPKI技术在其他方面的应用
移动电子商务应用内容广泛,比如网上柜台、网上学习、网上游戏等等,对于此些商务活动,共同要求实时可靠。
随着移动电子商务的发展,基于WPKI技术的应用范围将逐步拓展。
5WPKI技术应用存在的问题及对策
虽然WPKI技术在被人们不断的认识和应用,但是其还是在发展阶段,还存在一些应用方面的问题。
5.1WPKI技术应用存在的问题
5.1.1无线终端的处理能力相对较低且价格较高
移动设备终端价格需要降低,功能还需要改进,应用内容有待于拓宽。
相对于有线终端,无线终端的资源有限,它处理能力低,存储能力小,比如手机,它的存储容量小、处理速度慢。
需要尽量减少证书的数据长度和处理难度。
5.1.2通信模式互通不够,线信道资源短缺
无线网络和有线网络的通信模式不同,如何使这两种通信