基于ＷＡＰ的移動電子商務安全的探討

[摘要] 移動電子商務有著傳統電子商務無法比擬的優點，其安全問題倍受人們的關注。本文介紹了基于WAP標準的移動電子商務安全組成，給出了由WTLS、WIM、WMLSCrypt和WPKI這四種安全機制所組成的安全構架模型，并對各安全機制的安全特性作了詳細介紹。

[關鍵詞] 移動電子商務 WAP 安全機制

一、引言

隨著無線通信技術的發展，移動電子商務的條件日益成熟，安全問題作為移動電子商務發展的門檻，急需解決。移動電子商務需要在移動個人終端和有線網絡中進行信息通信，這使得整個交易過程承受著無線網和有線網通信中的雙重安全風險，因此要求移動電子商務具有特殊的安全機制。其中的WAP安全機制是護航移動電子商務的典范，也是當前絕大多數安全移動電子商務的實現基礎。

二、WAP移動電子商務的網絡組成

1.WAP

WAP是無線終端和互聯網之間進行通信時使用的開放性全球標準，可以支持目前己廣泛使用的絕大多數無線設備。WAP也可以支持目前存在的各種移動網絡，如GSM、CDMA、PHS、GPRS等，并充分考慮了對未來第三代移動通信系統的支持。通過WAP終端，人們能進行股票交易、銀行業務、產品定購等電子商務。

2.基于WAP的移動電子商務網絡組成

WAP在應用上充分借鑒了Internet的思想，并加以一定的改進和簡化。WAP安全標準使通過因特網的電子商務擴展到了無線終端設備上。一個典型的WAP應用系統定義了三類實體：

(1)具有WAP用戶代理功能的移動終端:典型的終端為WAP手機，它相當于Internet中的PC機。在它的顯示屏上運行有微瀏覽器，用戶可以采用簡單的選擇鍵實現WAP服務請求，并以無線方式發送和接收所需的信息。

(2)WAP網關：WAP網關是WAP網絡中重要的一個環節，它是連接客戶端和服務器的橋梁，使得WAP終端可以訪問其中的資源。從WAP終端發送的請求，在網關實現WAP協議棧與Internet協議棧之間的轉換后，再向內容服務器傳送;而從內容服務器返回的信息，經網關編碼后，轉換為較緊湊的二進制格式，返回移動終端，以減少網絡數據流量，最大限度地利用無線網絡較為緩慢的數據傳輸速率。

(3)Web內容服務器：特定資源存儲或生成的地方。旨在為WAP應用提供數據服務支持，如支持WAP的Web網站以及相關的網站服務等。WAP的Web服務器中通常采用WMLScript編寫的WAP具體應用。

三、基于WAP的移動電子商務安全架構

WAP安全架構由WTLS(無線傳輸層安全)、WIM(無線鑒別模塊)、WPKI(無線公共密鑰系統)、WMLScript(無線標記語言腳本)四部分組成。基于WAP的安全構架體系的組成如圖2所示。各個部分在實現無線網絡應用的安全中起著不同的作用，其中，WPKI作為安全基礎設施平臺，是安全協議能有效實行的基礎，一切基于身份驗證的應用都需要WPKI的支持，它可與WTLS、TCP/IP、WMLScriptSign相互結合，實現身份認證、私鑰簽名等功能。網絡安全協議平臺包括WTLS協議及有線環境下的安全協議TLS、SSL和TCP/IP。安全的參與實體作為底層安全協議的實際應用者，相互之間的關系也由底層的安全協議決定。當該安全構架運用于實際移動電子商務時，這些安全參與實體之間的關系即體現為交易方(移動終端、Web服務器)和其他受信任方(WAP網關、代理和無線認證中心)。

圖 基于WAP的安全架構模型

1.無線傳輸層安全WTLS

WTLS將Internet的安全擴展到了無線環境，對于SSL在Internet上所實現的安全在無線環境中給予了實現，從而帶來了今天的移動電子商務的繁榮。WTLS是WAP協議棧的可選層，工作于運輸層之上，它是模塊化的，使用取決于所要求的安全層次。目前WTLS為WAP提供了鑒別、加密、完整性三大安全服務。

2.應用層安全WMLScript Sign

WMLScript是一種能夠提供編程功能的語言，它屬于WAP的應用層，可以用在基于WAP的應用開發之中。它是類似于JavaScript的輕型腳本語言，能夠支持窄帶通信和瘦客戶端。它可以用于移動商務在線支付過程中，用戶對自己的購物清單確認無誤后，使用自己的私鑰對該清單數據簽名，授權在線商店有權在交易完成后從用戶的銀行賬戶劃轉相應金額的款項。

3.身份識別模塊WIM

WIM(WAP Identity Module)即WAP身份識別模塊，是安裝在WAP終端設備中的一種無法被篡改的計算機芯片，用來支持WTLS協議并提供應用層面的安全功能:存放和處理使用者的身份認證信息(密鑰和證書)。目前，WIM大多使用智能卡芯片來實現，帶有WIM的SIM卡有SIM卡的發行商提供。

4.無線公共密鑰系統WPKI

WPKI適合于移動計算，可以為移動電子商務和移動電子政務提供安全解決方案，WPKI有效地解決了具有有限計算資源的移動設備的身份認證問題。

移動電子商務中，實現客戶端與服務端之間端到端的安全連接是非常重要的問題，在基于WAP的應用系統中，結合本文所討論的安全架構模型的各個組成部分，移動運營商可以構建一個滿足用戶要求的端到端安全傳輸模型，并且可以保證傳輸過程中數據的保密性、完整性、不可否認性，并完成通信雙方的身份認證。

四、結束語

解決了安全性問題，移動電子商務的發展才談得上具有可持續性前景。相對于傳統的電子商務模式，移動電子商務的安全性更加薄弱，如何保護用戶的合法信息(賬戶、密碼)不受侵犯，是一項迫切需要解決的問題。

參考文獻：

[1]王影于凌云:安全電子支付協議研究.微機發展，2005，15

[2]陸佩忠平湖:無線電子商務安全性的幾個關鍵技術[J].中國科學院研究生院學報，2002，(3)

[3]趙影:基于WAP的移動電子商務安全研究[J].內蒙古科技與經濟，2005(12)