1、移动电子商务的发展现状及其安全问题
我国的移动数据网络(移动Internet)服务可以追溯到2000年。在发展的过程中,移动电子商务的发展经历了以提供信息服务为主的第一个阶段。在这个阶段,移动电子商务主要以提供一些需要预先支付一定费用才可获得的诸如天气预报、股市行情等资讯信息服务。在这个阶段基本不需要通过在线方法购买服务,一般不牵涉到资金的流动安全问题。当移动电子商务发展到需要提供在线支付服务的第二个阶段时,安全问题就变得极为敏感。然而,在移动环境中,手机等移动设备终端与数据交换中心的开PKI技术在移动电子商务中的应用研究文/陈衍毅放的空中接口,以及移动网关与应用服务提供商之间的无加密的传输网络都为移动支付的应用创设了安全隐患。虽然GSM技术本身可以对数据进行加密,但是移动网络的开放性使得破译网络通讯密码变得容易。而且信息必须在移动运营商的网络中才能得到加密保护,一旦离开,就不再安全,因此在移动通信中依然存在信息被截取、篡改、丢失等安全隐患。另外,在移动电子商务中更应该解决“不可否认性”问题。因为在移动网络不同于有线网络,有相对固定的用户连接,使用移动网络进行交易时,就存在用户否认已经发生业务的行为,这些都是移动电子商务急需解决的安全问题。在移动电子商务交易中,如何保证移动网关的安全也是一个关键的问题。移动网关用来完成移动信息交换时的格式转换,但无法实现对信息的加密,这就为移动电子商务的开展埋下了安全隐患,尤其是在进行移动支付时,如何确保移动网关在进行信息交换时对信息的保密是进行安全移动电子商务的关键问题。
2、WPKI技术
移动环境要比有线环境有更高的开放性,由此带来人们对通过无线环境进行交易时的安全问题的担心,在人们通过无线的方式进行交易时,只有当所有用户都确信交易信息不会被窃听和篡改,交易的真实性和合法性得到有效的保护,移动电子商务才会被更多人接受和推广。在有线网络电子商务交易中,PKI(公钥基础设施)是一个重要的安全保障。PKI有效解决了信息安全、身份证明、信息完整性和不可抵赖性等问题,在有线电子商务交易中起着不可替代的作用,其在保障交易安全方面的意义得到了普遍的认可。PKI中的一些有关电子商务交易安全的概念和操作流程同样适用于解决移动电子商务中面临的安全问题。但在移动通信环境中应用PKI时,需要进行有针对性的技术改进,即开发和使用WPKI技术。WPKI(WirelessPKI)技术的出现在一定程度上解决了移动电子商务应用中对信息的保密性、完整性和不可抵赖性的安全要求。消除了用户在应用移动电子商务时对交易安全的顾虑,是安全开展移动电子商务的有效保障。一般来说WPKI技术主要包括以下几个部分。(1)CA(CertificateAuthority)认证机构。认证机构(认证中心)是PKI的核心部分和信任基础,负责证书的发放、撤销及证书发行后证书生命周期中各个环节的管理工作。(2)注册机构(RA)。RA是数字证书注册的审批机构。RA是CA证书发放、管理的延伸。RA是用户和CA之间的接口,它不仅要接受离线的证书申请,还必须提供在线的证书申请服务。(3)智能卡。智能卡是一种镶嵌于塑料基片中的具有存储、加密及数据处理能力的集成电路芯片,智能卡在访问控制方面具有有很强的安全保障,加上其体积小、难于破解的特点,使得其在各个领域都得到了广泛的应用。很多种需要客户端认证的应用都可以使用智能卡来实现。GSM移动运营商的SIM卡就采用了智能卡技术,SIM卡主要用于存放移动用户识别号(IMSI)和身份认证密钥(Ki)。
同样智能卡也可以在移动电子商务中用于存储用户密钥及数字证书,从而实现交易中的身份认证和信息机密。(4)信息加密算法。算法的复杂性和加解密密钥的长度决定了算法的安全性。但是算法越复杂,密钥长度越长,执行运算所需的时间也就越长,就越需要计算能力更强的芯片。在所有的算法中,RSA算法是公认的安全强度高的算法,但由于RSA算法需要具有更高处理性能的芯片,所以增加了智能卡的使用成本。椭圆曲线加密体制(ECC)以有限域上椭圆曲线离散对数问题作为数论基础,使得其使用很短的密钥就可以达到RAS算法的加密强度。同时ECC相比其他公钥密码算法具有更高的安全强度,它的这种算法简单,密钥长度占用空间小的特点使得其非常适合由于受到CPU处理能力和RAM大小的限制而不能直接采用RSA算法的智能卡中使用。椭圆曲线密码体制(ECC)以其对芯片的处理能力要求不高且可以达到同样的安全强度的特点,被广泛应用于智能卡领域。(5)数字证书。数字证书在WPKI机制中具有非常重要的地位,如何安全、便捷地交换用户的数字证书是WPKI所必须解决的问题,尤其鉴于无线信道和移动终端的限制。在实际应用中,可以通过移动证书标识或WTLS证书解决。WTLS证书有更小、更简化的特点,不仅可以实现X.509证书的功能同时又非常适合于在移动终端中处理安全问题。由于WTLS证书为新型证书,所以目前必须对CA证书进行升级才可使用使用WTLS证书。移动证书标识通常被嵌入在移动设备终端中,然后与一个标准的X.509证书唯一对应,用户在使用时将移动证书标识和一个包含有自己的签名数据的证书一起发给对方,对方根据用户提交的移动证书标识到CA中心查询数字证书,完成对用户的身份认证。使用移动证书标识不需要更改X.509证书,并且只需占用很小的存储空间,一般仅仅需要几个字节。
3、WPKI在移动电子商务中的应用
WPKI通过将在有线网络环境中使用的PKI安全机制引入到移动电子商务中的方式来建立安全、可信的移动电子商务交易环境,WPKI可以对在移动网络环境中使用的公开密钥和数字证书进行管理。WPKI是PKI技术在移动电子商务中的扩展,WPKI同样使用证书来实现对公钥的管理,并通过CA认证中心对用户的身份进行验证,其目标是实现信息在无线网络环境中的安全传输。
3.1WPKI的体系结构
WPKI体系机构主要由实体终端(EE)、PKI门户、CA,PKI目录服务器等部分组成。在WPKI的应用模式中,还包括数据提供服务器、WAP网关等服务设备等。WPKI体系的基本结构和数据流向如图1所示。(1)终端实体应用程序EE(无线用户)。终端实体应用程序是为适应在WAP设备中运行WPKI而设计的优化软件,它依赖WMLScryptAPI实现数字签名密钥管理和加密运算功能。(2)PKIDirectory(PKI目录库),证书发布服务器,如LDAP(LightweightDirectoryAccessProtocol轻量目录访问协议)目录服务器,该服务器主要用于对用户的证书进行管理,同时可以提供证书查询等功能。PKI目录库通常包括LDAP服务器和普通数据库。LDAP提供了一种访问PKI存储库的方式,通过该协议来访问LDAP服务器获取自己和其他用户的数字证书。(3)内容服务器(Server)。内容服务器是WPKI体系的资源提供源,任务是向客户提供内容资源,WPKI体系的安全主要围绕内容的安全传输开展。WEB服务器提供的内容是WPKI体系中的核心资源,如果没有内容服务器,WPKI体系就没有任何意义。(4)WAP网关,现在使用的WAP网关可以使用标准的Internet协议实现与客户及源服务器之间的通信问题。通过配置一个WAP代理可以增强移动服务完成与安全通信相关的其他工作。
3.2WPKI在移动电子商务中的应用模型
(1)基于WAP的应用模型在基于WAP的应用模型中,WPKI对安全协议的运行起到了关键的基础性作用。基于WAP的应用通常可以与WTLS(WirelessTransportLayerSecurity)结合来完成身份认证、加密、数字签名等功能。(2)基于STK的短消息应用模型STK(SIMcardToolKit)是一种小型编程语言,为一组开发增值业务的命令。STK卡属于SIM卡的一种,与SIM卡不同的是,STK卡允许移动电话中的用户身份识别模块(SIM卡)运行自己的应用软件。STK卡具有很大的灵活性,只需要在用户STK卡上开发并与服务器配合,就可以推出各种适合用户需求的业务。在使用中通常把STK技术结合OTA(OverTheAir,空中下载)技术,实现随时更新和升级STK卡中的应用程序和各种业务。在本模型中,STK卡用来储存数字证书和私有密钥,同时可以用于信息的加解密、数字签名、身份验证等各种密码计算。SMS(短消息)负责实现移动终端与服务器间的通信。本模型的实现也很简单,只需将手机等移动终端中的SIM卡转换成STK即可。基于STK的应用模型可在移动银行、移动小额支付、移动外汇买卖及移动理财秘书等领域应用。(3)基于J2ME的应用模型J2ME(JavaPlatform,MicroEdition)是SUN公司推出的专门用于移动网络的编程语言,其继承了JAVA的优点,在移动应用领域有非常广阔的发展前景。开展移动电子商务需要的主要功能,J2ME模型都可以提供,以这些功能为基础,然后以满足应用需求为目标,可以开发出满足移动交易安全需求的WPKI应用。J2ME以出自于SUN,以及与JAVA语言的关系,使得其安全性和网络功能等特点日益受到人们的青睐,当前,越来越多的无线终端设备开始支持J2ME。J2ME模型是一种很有前景的模型,但其存在实现复杂,密码算法的效率不高等问题。
4、结论
随着移动互联网和移动电子商务的迅猛发展,人们对其安全问题会越来越关注。基于WPKI的移动电子商务技术,是目前比较完善的且具有很大可行性的方案。WPKI技术结合WAP技术的解决方案,以其高安全性、高稳定性及高可用性等特点,将是以后的发展方向,具有可预见性的美好未来。
上一篇: 企业信息管理网的安全防备