移动电子商务有着传统电子商务无法比拟的优点,其安全问题倍受人们的关注。本文介绍了基于WAP标准的移动电子商务安全组成,给出了由WTLS、WIM、WMLSCrypt和WPKI这四种安全机制所组成的安全构架模型,并对各安全机制的安全特性作了详细介绍。一、引言随着无线通信技术的发展,移动电子商务的条件日益成熟,安全问题作为移动电子商务发展的门槛,急需解决。移动电子商务需要在移动个人终端和有线网络中进行信息通信,这使得整个交易过程承受着无线网和有线网通信中的双重安全风险,因此要求移动电子商务具有特殊的安全机制。其中的WAP安全机制是护航移动电子商务的典范,也是当前绝大多数安全移动电子商务的实现基础。二、WAP移动电子商务的网络组成1.WAPWAP是无线终端和互联网之间进行通信时使用的开放性全球标准,可以支持目前己广泛使用的绝大多数无线设备。WAP也可以支持目前存在的各种移动网络,如GSM、CDMA、PHS、GPRS等,并充分考虑了对未来第三代移动通信系统的支持。通过WAP终端,人们能进行股票交易、银行业务、产品定购等电子商务。2.基于WAP的移动电子商务网络组成WAP在应用上充分借鉴了Internet的思想,并加以一定的改进和简化。WAP安全标准使通过因特网的电子商务扩展到了无线终端设备上。一个典型的WAP应用系统定义了三类实体:(1)具有WAP用户代理功能的移动终端:典型的终端为WAP手机,它相当于Internet中的PC机。在它的显示屏上运行有微浏览器,用户可以采用简单的选择键实现WAP服务请求,并以无线方式发送和接收所需的信息。(2)WAP网关:WAP网关是WAP网络中重要的一个环节,它是连接客户端和服务器的桥梁,使得WAP终端可以其中的资源。从WAP终端发送的请求,在网关实现WAP协议栈与Internet协议栈之间的转换后,再向内容服务器传送;而从内容服务器返回的信息,经网关编码后,转换为较紧凑的二进制格式,返回移动终端,以减少网络数据流量,最大限度地利用无线网络较为缓慢的数据传输速率。(3)Web内容服务器:特定资源存储或生成的地方。旨在为WAP应用提供数据服务支持,如支持WAP的Web网站以及相关的网站服务等。WAP的Web服务器中通常采用WMLScript编写的WAP具体应用。三、基于WAP的移动电子商务安全架构WAP安全架构由WTLS(无线传输层安全)、WIM(无线鉴别模块)、WPKI(无线公共密钥系统)、WMLScript(无线标记语言脚本)四部分组成。基于WAP的安全构架体系的组成如图2所示。各个部分在实现无线网络应用的安全中起着不同的作用,其中,WPKI作为安全基础设施平台,是安全协议能有效实行的基础,一切基于身份验证的应用都需要WPKI的支持,它可与WTLS、TCP/IP、WMLScriptSign相互结合,实现身份认证、私钥签名等功能。网络安全协议平台包括WTLS协议及有线环境下的安全协议TLS、SSL和TCP/IP。安全的参与实体作为底层安全协议的实际应用者,相互之间的关系也由底层的安全协议决定。当该安全构架运用于实际移动电子商务时,这些安全参与实体之间的关系即体现为交易方(移动终端、Web服务器)和其他受信任方(WAP网关、代理和无线认证中心)。图基于WAP的安全架构模型1.无线传输层安全WTLSWTLS将Internet的安全扩展到了无线环境,对于SSL在Internet上所实现的安全在无线环境中给予了实现,从而带来了的移动电子商务的繁荣。WTLS是WAP协议栈的可选层,工作于运输层之上,它是模块化的,使用取决于所要求的安全层次。目前WTLS为WAP提供了鉴别、加密、完整性三大安全服务。2.应用层安全WMLScriptSignWMLScript是一种能够提供编程功能的语言,它属于WAP的应用层,可以用在基于WAP的应用开发之中。它是类似于JavaScript的轻型脚本语言,能够支持窄带通信和瘦客户端。它可以用于移动商务在线支付过程中,用户对自己的购物清单确认无误后,使用自己的私钥对该清单数据签名,授权在线商店有权在交易完成后从用户的银行账户划转相应金额的款项。3.身份识别模块WIMWIM(WAPIdentityModule)即WAP身份识别模块,是安装在WAP终端设备中的一种无法被篡改的hr芯片,用来支持WTLS协议并提供应用层面的安全功能:存放和处理使用者的身份认证信息(密钥和证书)。目前,WIM大多使用智能卡芯片来实现,带有WIM的SIM卡有SIM卡的发行商提供。4.无线公共密钥系统WPKIWPKI适合于移动计算,可以为移动电子商务和移动电子政务提供安全解决方案,WPKI有效地解决了具有有限计算资源的移动设备的身份认证问题。移动电子商务中,实现客户端与服务端之间端到端的安全连接是非常重要的问题,在基于WAP的应用系统中,结合本文所讨论的安全架构模型的各个组成部分,移动运营商可以构建一个满足用户要求的端到端安全传输模型,并且可以保证传输过程中数据的保密性、完整性、不可否认性,并完成通信双方的身份认证。四、结束语解决了安全性问题,移动电子商务的发展才谈得上具有可持续性前景。相对于传统的电子商务模式,移动电子商务的安全性更加薄弱,如何保护用户的合法信息(账户、密码)不受侵犯,是一项迫切需要解决的问题。