導語：移動電子商務安全研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

內容摘要:隨著移動電子商務的發展,其安全問題倍受人們的關注。本文對移動電子商務技術的安全現狀作了簡要討論,然后對IEEE802.11標準、WAP技術、WPKI技術等從安全角度進行了分析,并針對不安全的因素提出了改進建議。

關鍵詞:移動電子商務IEEE802.11WAPWPKI

隨著無線通信技術的發展,移動電子商務已經成為電子商務研究熱點。移動電子商務是將現代信息科學技術和傳統商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態商務服務。

但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當的保護時,移動電子商務才有可能蓬勃開展。

移動電子商務通信安全的現狀

由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協議和方法來保證各自體制下的通信安全。這里我們將從無線網絡和電子商務應用兩個方面作簡要討論。

無線局域網

無線局域網絡是以無線連接至局域網絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網的安全機制采用的是WEP協議(有線對等安全協議)。在數據鏈路用WEP加密數據,保證了信道上傳送數據的安全。另外,無線局域網的網絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。

WAP(無線應用協議)技術

WAP由一系列協議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網連接到一起,客觀上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。

WAP的安全機制是通過WTLS(無線傳輸層安全)協議來實現的。WTLS協議類似于互聯網傳輸層安全協議。在無線技術的有限的發送功率、存儲容量及帶寬的條件下,WTLS能夠實現鑒定,保證數據的完整性和提供保密服務的目標。

數字認證技術

對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。

PKI提供與加密和數字證書有關的一系列技術。但在無線通信環境中,PKI是很難實現的。在只有有限計算能力和低數據流通率的設備上實現PKI中的服務一直是一個有挑戰性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協議是要將標準的PKI進行修正和簡化,使其在無線通信的環境下達到最優。

移動電子商務安全分析

IEEE802.11的安全

IEEE802.11標準規定了MAC層的存取控制規范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節點,使無線通信傳輸像有線網絡一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發送的數據包,傳輸程序都將數據包的內容與數據包的檢驗組合在一起。然后,WEP標準要求傳輸程序創建一個特定于數據包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數據包進行加密。接收器生成自己的匹配數據包密鑰并用之對數據包進行解密。在理論上,這種方法優于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發現IEEE802.11存在安全漏洞,有經驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。

最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差。現代的系統提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。

所以,WEP應該與其他安全機制一起應用才能提供較強的安全。

WAP的安全

WAP規范的安全特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協議:WTLS基于IETF小組的SSL/TLS協議,提供了實體鑒別、數據加密和保護數據完整性的功能,所以可以確保在WAP裝置和WAP網關之間的安全通信。有三種不同級別的WTLS:

1級:執行未經證實的Diffie-Hellman密鑰交換以建立會話密鑰。

2級:使用與SSL/TLS協議相類似的公開密鑰證書機制進行服務器端鑒別。

3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。

早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網上銀行交易和購物等應用的機密性。

WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。

SignText功能:這個功能為WAP用戶提供了數字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數情況下WTLS已足以確保WAP的安全。但是,由于WAP網關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網關之間,而與終端服務器無關。這意味著數據只在WAP手機與網關之間加密,網關將數據解密后,利用其他方法將數據再次加密,然后經過TLS連接發送給終端服務器。由于WAP網關可以看見所有的數據明文,而該WAP網關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數據。

目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網關的安全。如果WAP網關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優化以減少數據明文存在的時間、在釋放前覆蓋加密解密進程使用的內存以確保數據的安全性。對于安全要求較高的公司可以擁有自己的WAP網關,從而保障數據端到端的安全性。通過WIM實現數據安全性。

WPKI技術

在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環境的特點,并據此對PKI技術進行改進。

WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:

認證機構(CA)CA系統是PKI的信任基礎,負責分發和驗證數字證書,規定證書的有效期,證書廢除列表。

注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數字證書分發給請求者之前對證書進行驗證。

智能卡智能卡將具有存儲、加密及數據處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現。并且智能卡也是存儲移動電子商務密鑰及相關數字證書的最佳選擇。

加密算法加密算法越復雜,密鑰越長則安全性越高,但執行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現數字簽名應用是至關重要的,ECC在這方面具有很大的優勢。

綜上所述,在WPKI機制下,數字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數據一起提交給對方,對方再根據移動證書標識檢索相應的數字證書即可。

目前,大多數移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統,為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協商產生會話加密密鑰。顯然,采用這種方式構建的系統的安全性主要取決于主密鑰的安全。

盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。

移動電子商務隨著移動互聯網技術的成熟發展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環境。

參考文獻:

1.儲節旺,郭春俠.移動電子商務研究[J].現代情報,2002,3(3)

2.姜志,聶志鋒.移動電子商務及其關鍵技術[J].湖北郵電技術,2002,9(3)

3.陸佩忠,平湖.無線電子商務安全性的幾個關鍵技術[J].中國科學院研究生院學報,2002,9(3)

4.劉杰,王春萌等.移動電子商務及WPKI技術[J].北京郵電大學學報,2002,2(2)