電子商務(wù)安全模型管理
前言:本站為你精心整理了電子商務(wù)安全模型管理范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
[摘要]移動(dòng)電子商務(wù)有傳統(tǒng)電子商務(wù)無(wú)法比擬的優(yōu)點(diǎn),同時(shí)對(duì)安全性也提出了更高的要求。本文介紹了基于WAP標(biāo)準(zhǔn)的移動(dòng)電子商務(wù)安全模型,針對(duì)移動(dòng)電子商務(wù)的信息安全需求分析了WAP的安全機(jī)制,給出了由WTLS,WIM,WMISCrypt和WPKI這四種安全機(jī)制所組成的安全構(gòu)架模型,最后分析了基于WAP安全架構(gòu)模型的移動(dòng)電于商務(wù)的安全實(shí)現(xiàn)方式及各自的特點(diǎn)。
[關(guān)鍵詞]移動(dòng)電子商務(wù)WAP安全機(jī)制
移動(dòng)電子商務(wù)是利用無(wú)線通信手段來(lái)完成電子商務(wù),它為電子商務(wù)的發(fā)展創(chuàng)造了更為廣闊的發(fā)展空間。移動(dòng)電子商務(wù)相對(duì)著傳統(tǒng)的電子商務(wù)形式具有靈活、簡(jiǎn)單、方便等特點(diǎn)。通過(guò)移動(dòng)電子商務(wù),用戶可以任意時(shí)間任意地點(diǎn),使用手機(jī)、無(wú)線終端或PDA查找、選擇及購(gòu)買商品和服務(wù)。安全是移動(dòng)電子商務(wù)的關(guān)鍵,也是移動(dòng)電子商務(wù)的核心技術(shù)問(wèn)題。移動(dòng)電子商務(wù)需要在移動(dòng)個(gè)人終端和有線網(wǎng)絡(luò)中進(jìn)行信息通信,這使得整個(gè)交易過(guò)程承受著無(wú)線網(wǎng)和有線網(wǎng)通信中的雙重安全風(fēng)險(xiǎn),因此要求移動(dòng)電子商務(wù)具有特殊的安全機(jī)制。其中WAP的安全機(jī)制是護(hù)航移動(dòng)電子商務(wù)的典范,也是當(dāng)前絕大多數(shù)安全移動(dòng)電子商務(wù)的實(shí)現(xiàn)基礎(chǔ)。
一、WAP移動(dòng)電子商務(wù)的網(wǎng)絡(luò)架構(gòu)
1.WAP簡(jiǎn)介。WAP協(xié)議把因特網(wǎng)擴(kuò)展到了無(wú)線環(huán)境,由WAP客戶端、無(wú)線網(wǎng)、WAP網(wǎng)關(guān)、IP網(wǎng)絡(luò)和Web服務(wù)器組成。WAP客戶端和WAP網(wǎng)關(guān)間通過(guò)無(wú)線網(wǎng),使用WML(無(wú)線標(biāo)記語(yǔ)言)來(lái)傳輸數(shù)據(jù)WAP網(wǎng)關(guān)在WML數(shù)據(jù)和HTML數(shù)據(jù)之間進(jìn)行轉(zhuǎn)換,在有線網(wǎng)和無(wú)線網(wǎng)之間傳遞數(shù)據(jù)并和Web服務(wù)器通信。
2.基于WAP的移動(dòng)電子商務(wù)網(wǎng)絡(luò)模型。WAP在應(yīng)用上充分借鑒了Internet的思想,并加以一定的改進(jìn)和簡(jiǎn)化。WAP安全標(biāo)準(zhǔn)使通過(guò)因特網(wǎng)的電子商務(wù)擴(kuò)展到了無(wú)線終端設(shè)備上。在移動(dòng)電子商務(wù)中WAP的網(wǎng)絡(luò)模型如圖1所示。一個(gè)典型的WAP應(yīng)用系統(tǒng)定義了三類實(shí)體:(1)具有WAP用戶功能的移動(dòng)終端:典型的終端為WAP手機(jī)。在它的顯示屏上運(yùn)行有微瀏覽器,用戶可以采用簡(jiǎn)單的選擇鍵實(shí)現(xiàn)WAP服務(wù)請(qǐng)求,并以無(wú)線方式發(fā)送和接收所需的信息。(2)WAP網(wǎng)關(guān):WAP網(wǎng)關(guān)是WAP網(wǎng)絡(luò)中重要的一個(gè)環(huán)節(jié),它是連接客戶端和服務(wù)器的橋梁,使得WAP終端可以訪問(wèn)其中的資源。從WAP終端發(fā)送的請(qǐng)求,在網(wǎng)關(guān)實(shí)現(xiàn)WAP協(xié)議棧與Internet協(xié)議棧之間的轉(zhuǎn)換后,再向內(nèi)容服務(wù)器傳送;而從內(nèi)容服務(wù)器返回的信息,經(jīng)網(wǎng)關(guān)編碼后,轉(zhuǎn)換為較緊湊的二進(jìn)制格式,返回移動(dòng)終端,以減少網(wǎng)絡(luò)數(shù)據(jù)流量,最大限度地利用無(wú)線網(wǎng)絡(luò)較為緩慢的數(shù)據(jù)傳輸速率。(3)Web內(nèi)容服務(wù)器:特定資源(內(nèi)容)存儲(chǔ)或生成的地方。旨在為WAP應(yīng)用提供數(shù)據(jù)服務(wù)支持,如支持WAP的Web網(wǎng)站以及相關(guān)的網(wǎng)站服務(wù)等。
二、WAP移動(dòng)電子商務(wù)安全模型
WAP定義了一個(gè)開(kāi)放的全球無(wú)線應(yīng)用框架和網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn),將Internet上的應(yīng)用和服務(wù)引入移動(dòng)電話等無(wú)線終端,使移動(dòng)用戶可以不受網(wǎng)絡(luò)種類、網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)營(yíng)商的承載業(yè)務(wù)以及終端設(shè)備的限制,通過(guò)移動(dòng)設(shè)備方便地訪問(wèn)和獲取以統(tǒng)一的內(nèi)容格式表示的國(guó)際互聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng)的信息和各種服務(wù)。基于WAP的移動(dòng)電子商務(wù)安全模型:
三、WAP的安全機(jī)制
WAP的安全機(jī)制可以實(shí)現(xiàn)移動(dòng)電子商務(wù)所需具有的數(shù)據(jù)保密性、數(shù)據(jù)完整性、交易方的認(rèn)證與授權(quán)和不可抵賴性四個(gè)方面信息安全特征。
1.WTLS協(xié)議。WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實(shí)體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信。有三種不同級(jí)別的WTLS:WTLSClass1:執(zhí)行未經(jīng)證實(shí)的Diffie-Hellman密鑰交換以建立會(huì)話密鑰。WTLSClass2:使用與SSL/TLS協(xié)議相類似的公開(kāi)密鑰證書機(jī)制進(jìn)行服務(wù)器端鑒別。WTLSClass3:客戶端和服務(wù)器端采用X.509格式證書相互進(jìn)行鑒別。
2.WAP身份模塊WIM。WIM(WAPIdentifyModule)是安裝在WAP終端設(shè)備中的一種無(wú)法被篡改的計(jì)算機(jī)芯片,用來(lái)支持WTLS協(xié)議并提供應(yīng)用層面的安全功能:存放和處理使用者的身份認(rèn)證信息(密鑰或證書)。WIM包含了WTI.S3級(jí)的功能,并嵌入了對(duì)公開(kāi)密鑰加密技術(shù)的支持。目前,WIM大多使用智能卡芯片來(lái)實(shí)現(xiàn),帶有WIM的SIM卡由SIM卡的發(fā)行商提供。
3.WMLSCrypt。WMISCrypt(WMLScriptCryptoAPI)是一個(gè)應(yīng)用編程接口,使用該接口可訪問(wèn)WML腳本加密庫(kù)中的安全函數(shù)(如密鑰對(duì)的生成、數(shù)字簽名及處理PKI中常用的一些數(shù)據(jù)對(duì)象的函數(shù))。WMI.腳本加密接口使得WMI,應(yīng)用可以訪問(wèn)和使用其他WAP安全標(biāo)準(zhǔn)管理和使用的安全服務(wù)及安全對(duì)象。WMI,腳本加密接口由WMI.腳本加密庫(kù)來(lái)支持,在WMI.腳本加密庫(kù)中的常用函數(shù)有:生成密鑰對(duì)、存儲(chǔ)密鑰和其他私人數(shù)據(jù)、控制對(duì)存放的密鑰和數(shù)據(jù)的訪問(wèn)、生成和驗(yàn)證數(shù)字簽名、加密和解密數(shù)據(jù)。WMI.腳本加密庫(kù)一般使用WIM模塊來(lái)提供密碼運(yùn)算支持。
4.WPKI無(wú)線公鑰基礎(chǔ)設(shè)施。無(wú)線公共密鑰系統(tǒng)WPKI目前許多有線網(wǎng)絡(luò)已實(shí)現(xiàn)基于PKI(公鑰體系結(jié)構(gòu))的安全服務(wù),而無(wú)線網(wǎng)絡(luò)對(duì)安全服務(wù)的要求更為迫切。WPKI就是根據(jù)無(wú)線網(wǎng)絡(luò)的特點(diǎn),將PKI技術(shù)延伸到無(wú)線安全服務(wù)領(lǐng)域。它為移動(dòng)終端、無(wú)線網(wǎng)關(guān)以及參與移動(dòng)電子商務(wù)的有線Internet內(nèi)的服務(wù)器提供身份認(rèn)證的機(jī)制,包括審核、發(fā)放、管理數(shù)字證書等服務(wù)。
四、WAP安全構(gòu)架模型
由上述WAP的四種安全機(jī)制(WTLS,WIM,WMISCrypt和WPKI)形成的一種WAP的安全構(gòu)架模型,如圖3所示。
其中,WPKI作為安全基礎(chǔ)設(shè)施平臺(tái),是安全協(xié)議能有效實(shí)行的基礎(chǔ),一切基于身份驗(yàn)證的應(yīng)用都需要WPKI的支持。它可與WTLS,TCP/IP,WMLScriptsign相互結(jié)合,實(shí)現(xiàn)身份認(rèn)證、私鑰簽名等功能。網(wǎng)絡(luò)安全協(xié)議平臺(tái)由WTLS協(xié)議及有線環(huán)境下位于傳輸層上的安全協(xié)議TLS,SSL和TCP/IP協(xié)議組成。安全參與實(shí)體是底層安全協(xié)議的實(shí)際應(yīng)用者,相互之間的關(guān)系也由底層的安全協(xié)議決定。當(dāng)該安全構(gòu)架運(yùn)用于實(shí)際移動(dòng)電子商務(wù),這些安全參與實(shí)體間的關(guān)系即體現(xiàn)為交易方(移動(dòng)終端、Web服務(wù)器)和其他受信任方(WAP網(wǎng)關(guān)、和無(wú)線認(rèn)證中心)。
五、移動(dòng)電子商務(wù)的安全實(shí)現(xiàn)方式分析
基于WAP安全構(gòu)架模型的移動(dòng)電子商務(wù)有不同的實(shí)現(xiàn)方式,雖然使用的基本安全協(xié)議是一樣的,但不同的實(shí)現(xiàn)方式之間的安全級(jí)別卻存在著較大的差異。
1.通過(guò)WPKI的不同認(rèn)證方式來(lái)實(shí)現(xiàn)不同的安全等級(jí)。WPKI針對(duì)WTLS的三種不同的安全級(jí)別,也定義了三種不同等級(jí)和方式的安全通信認(rèn)證模式:WTLSClass2,WTLSClass3和SignText三種功能模式。其中,WTLSClass2提供了移動(dòng)終端對(duì)無(wú)線網(wǎng)關(guān)的認(rèn)證能力,客戶端可以匿名訪問(wèn);WTLSClass3提供雙向認(rèn)證,即WAP網(wǎng)關(guān)和終端相互認(rèn)證,移動(dòng)終端利用自己的私鑰進(jìn)行名;SignText模式與WTLSClass3過(guò)程相同,只是移動(dòng)終端對(duì)一則消息進(jìn)行數(shù)字簽名后用WMLScript發(fā)送給服務(wù)器。
2.利用WAP網(wǎng)關(guān)來(lái)實(shí)現(xiàn)不同的安全服務(wù)一般安全模式(雙區(qū)安全模式)。這種模式將WAP網(wǎng)關(guān)建在無(wú)線網(wǎng)的邊緣,它將有線網(wǎng)和無(wú)線網(wǎng)聯(lián)接起來(lái),并把使用WTLS加密的數(shù)據(jù)轉(zhuǎn)換成使用TIS加密的數(shù)據(jù),數(shù)據(jù)在WTI一和TLS保護(hù)區(qū)是安全的。但由于傳輸?shù)募用軘?shù)據(jù)在WAP網(wǎng)關(guān)是被解密的,這必然存在著安全間隙,這種模式只能解決數(shù)據(jù)傳輸過(guò)程中的安全。端到端安全模式。實(shí)現(xiàn)端到端的安全可以從兩個(gè)方面入手:一是把WAP網(wǎng)關(guān)變成應(yīng)用服務(wù)提供商完全可以控制的(如通過(guò)具有WAP網(wǎng)關(guān)功能的Web服務(wù)器解決);二是將加密數(shù)據(jù)在WAP網(wǎng)關(guān)透明傳輸(這種模式仍需Web服務(wù)器有解析WAP協(xié)議的功能)。另外,對(duì)于WAP2.0標(biāo)準(zhǔn),由于其與有線網(wǎng)絡(luò)協(xié)議的兼容性增強(qiáng),可以直接使用IP、優(yōu)化的TCP協(xié)議,其安全層協(xié)議可以直接使用有線網(wǎng)絡(luò)的TI一協(xié)議來(lái)實(shí)現(xiàn)端到端的安全連接。
由于移動(dòng)電子商務(wù)相對(duì)傳統(tǒng)電子商務(wù)面臨更大的安全威脅,WAP作為移動(dòng)電子商務(wù)的實(shí)現(xiàn)基礎(chǔ)在逐步加強(qiáng)并完善自身的安全機(jī)制。移動(dòng)運(yùn)營(yíng)商們也根據(jù)WAP的基本安全機(jī)制開(kāi)發(fā)出了不同安全級(jí)別的移動(dòng)電子商務(wù)解決方案。移動(dòng)電子商務(wù)的安全性日益受到人們的廣泛關(guān)注。
參考文獻(xiàn):
[1]羅蕾王慶譚羅利:WAP安全構(gòu)架研究及WTIS的實(shí)現(xiàn)[J].電子科技大學(xué)學(xué)報(bào),2002,(4)
[2]儲(chǔ)節(jié)旺郭春俠:移動(dòng)電子商務(wù)研究[J].現(xiàn)代情報(bào),2002,(3)
