重庆邮电大学移通学院毕业设计(论文)任务书
设计(论文)题目 移动电子商务安全分析 学生姓名张亚 系别 电子信息工程 专业 通信技术 班级 6 指导教师 高飞 职称 讲师 联系电话 指导教师所在单位 重庆邮电大学移通学院
主 要 研 究 内 容 、 方 法 和 要 求 进 度 计 划 主 要 参 考 文 献 随着国际互联网事业的发展,电子商务作为一种全新的商业模式已经越来越越深入地影响着人们的生活,人们也很享受电子商务给人们带来的方便。然而,人们享用这些高科技成果的同时,却不得不面对一些社会问题带来的不安和顾虑,这就是商务网站的安全问题。为了让人们更好的理解电子商务安全技术,我们主要概述了网络安全技术和信息安全技术。还介绍了电子商务的应用与实践,使人们在学习电子商务的基本理论之后,对电子商务有一个较实际的认识。还有一些电子商务安全技术的实例,有便于一定的借鉴。 3.10-3.20 查找相关资料,确定题目,与老师交流。 3.21-3.29 写提纲,构思篇章结构。 4.10-4.29 根据确定的论文提纲和论文篇章结构开始写论文。 4.30 完成初稿 周景学 主编 商务网站安全与控制 宁宇鹏 陈昕 著 PKI技术 高阳 主编 网络与电子商务 汪应洛. 中国移动商务研究与应用的回顾与展望 汪应洛. 电子商务学科的理论基础和研究方向 赵干辅. 中国移动电子商务发展初探[J]. 当代通信,2005( 22) 指导教师签字: 年 月 日 系主任签字: 年 月 日 备注:此任务书于第一学期第十六周前由系主任发放给指导教师,指导教师填写完整后于下学期第一周内交回各系,由各系进行统计并组织学生于第二周进行选题,确定选题后,交至辅导员于第三周发放给学生。毕业设计于第四周开始进行。
1
重庆邮电大学移通学院毕业设计(论文)
摘要
B2C商务是企业与消费者之间的电子商务,它是以Internet为02主要服务提供手段,实现奋众消费和提供服务,并保证与其相关的付袄方式电子化的一种模式。B2C电子商务的发展一直被业界所关注。
我国电子商务的环境在不断改善,接受网上购物方式的消费者越来越多。目前我国B2C电子商务市场发展的红红火火,各大企业激烈的竞争,使B2C市场迅速发展并日益完善,国内B2C市场发展持续看好。但综观其发展现状,B2C电子商务发展仍存在着一些问题,国内B2C电子商务网站近几年也都面临着严峻的挑战。
本文分析了当前中国B2C电子商务的困境;针对目前B2C电子商务企业所处的困境,提出了新的可能的发展思路,并对其发展前景进行了分析。
关 键 词
B2C 电子商务 问题 发展思路 发展前景
Abstract
B2C business enterprises and consumers of e - commerce, it is in the Internet service provider as the main means of implementation of the fenzhi unigenmata and consumption and provision of services, and guarantees associated with the way to pay for which the Chienyi electronization.B2C e - commerce development has always been these concerns.
Electronic commerce in China environmental improvements, accept the way consumers online shopping more and more.but China 2001 no B2C and too many gratifying, even had a leading e - commerce Web site had to face the fate of their choice.the status of the reasons for not just e - commerce as a whole, some of the reasons are also included some effects of B2C e - commerce development of specific reasons.market development issues, such as the Internet environment and conditions,
2
重庆邮电大学移通学院毕业设计(论文)
credit improremant, problom, legislative issues, operational problems, etc.these bottlenecks can be resolved, for the development of electronic commerce will be enormous.
This paper analyzes the current Chinese B2C e - commerce; for the plight of B2C e - commerce business plight, has raised new possibilities of development thinking, and on their development prospects.
Key words
B2C e - commerce question environmenet the development prospects
目 录
摘 要.......................................................................................................................Ⅱ
第1章 绪论..............................................................................................................5 1.1 移动电子商务的概论......................................................................................5 1.2 移动电子商务的应用......................................................................................5 1.3 移动电子商务的组成及功能..........................................................................7 1.3.1 移动电子商务的组成................................................................................7 1.3.2 移动电子商务的功能及特征....................................................................8 第2章 电子商务的产生与发展存在的问题.........................................................9 2.1 电子商务的产生和发展..................................................................................9 2.2我国移动电子商务发展中存在的问题与对策...............................................11 第3章 移动电子商务的安全.................................................................................14 3.1 移动电子商务面临的威胁.............................................................................14 3.2 移动电子商务的需求.....................................................................................15 3.3 移动电子商务的安全技术.............................................................................17 3.3.1 对称密码算法...........................................................................................17 3.3.2 非对称密码算法.......................................................................................18
3
重庆邮电大学移通学院毕业设计(论文)
3.4 数字签名.........................................................................................................18 3.5 CA....................................................................................................................20 3.5.1 数字证书..................................................................................................21 3.5.2 CA的结构与层次.....................................................................................21 3.6 安全协议.........................................................................................................21 第4章 WPKI的移动商务.................................................................................22 4.1 PKI结构.........................................................................................................22 4.1.1 PKI的原理和组成..................................................................................23 4.1.2 PKI主要部分功能简介...........................................................................23 4.1.3 PKI证书...................................................................................................25 4.2 WPKI技术....................................................................................................26 4.2.1 WPKI的提出...........................................................................................26 4.2.2 WPKI的组成...........................................................................................26 4.2.3 WPKI系统相对于PKI的改进...............................................................27 4.2.4 WPKI的结构...........................................................................................28 4.2.5 WPKI的证书格式...................................................................................28 4.2.6 基于WPKI框架的移动电子商务应用.................................................29 第5章 WAP协议...................................................................................................29 5.1 WAP结构.......................................................................................................30 5.2 WAP协议的安全方式...................................................................................30 结 论 ......................................................................................................................31 致 谢 ......................................................................................................................32 参考文献 ...................................................................................................................33 附 录.........................................................................................................................34
4
重庆邮电大学移通学院毕业设计(论文)
第1章 绪 论
1.1 移动电子商务的概论
移动电子商务(M-commerce)是指通过手机、传呼机、掌上电脑、笔记本电脑等移动通讯设备与无线上网技术结合所构成的一个电子商务体系。相对于传统的电子商务而言,移动商务可以真正使任何人在任何时间、任何地点得到整个网络信息和服务。
在国际会议与国际组织的定义,它是指整个贸易活动的电子化。从覆盖方面可以定义为,交易个各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易,具体包括信息交换、售前售后服务、销售。电子支付、运输、组建虚拟企业、公司和贸易伙伴、共同拥有运营的商业方法等。从技术方面可以定义为电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件),获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。
1.2 移动电子商务的应用
移动电子商务(M-Commerce)应用,它由电子商务(M-Commerce)的概念衍生出来,现在的电子商务以PC机为主要界面,是“有线的电子商务”;而移动电子商务,则是通过手机、PDA(个人数字助理)这些可以装在口袋里的终端与我们谋面,无论何时、何地都可以开始。有人预言,移动电子商务将决定21世纪新企业的风貌,也将改变生活与旧商业的地形地貌。
移动电子商务是通过手机、PDA、掌上电脑等手持移动终端从事的商务活动。与传统通过电脑(台式PC、笔记本电脑)平台开展的电子商务相比,拥有更为广泛的用户基础。目前,推动移动电子商务发展的技术不断涌现,主要包括:无线应用协议(WAP)、移动IP技术、蓝牙技术(Bluetooth)、通过分组无线业务(GPRS)、移动定位系统(MPS)、第三代移动通信系统(3G)、移动电子商务提供的服务。
目前,移动电子商务主要提供以下服务。
(1)银行业务:移动电子商务使用户能随时随地在网上安全地进行个人财务管理,进一步完善因特网银行体系。用户可以使用其移动终端核查其账户、支付账单、进行转账以及接受付款通知等。
5
重庆邮电大学移通学院毕业设计(论文)
(2)交易:移动电子商务具有即时性,因此非常适用于股票等交易应用。移动设备可用于接受实时财务新闻和信息,也可确认订单并安全地在线管理股票交易。
(3)订票:通过因特网一顶机票,车票或入场券已经发展成为一项主要业务,其规模还在继续扩大。因特网有助于方便核查票据的有无,并进行购票和确定。移动电子商务使用户能在票价优惠或航班取消时立即得到通知,也可支付票费或在旅行途中临时更改航班或火车。借助移动设备,用户可以浏览电影剪辑、阅读
评论,然后定购邻近电影院的电影票。
(4)购物:借助移动电子设备,用户能通过其移动通信设备进行网上购物。即兴购物是一大增长点,如订购鲜花、礼物、食品或快餐等。传统购物也可通过移动电子设备得到改进。例如用户可以使用“无线电子钱包”等具有安全支付功能的移动设备,在商店里或自动售货机上进行购物。
(5)娱乐:移动电子商务将带来一系列娱乐服务。用户不仅可以从他们的移动设备上收听音乐,还可以订购、下载或支付特定的曲目,并且可以再网上与朋友们玩互式游戏,还可以游戏支付,并进行快速、安全的博弈和游戏。
(6)无线医疗(Wireless Medical)医疗产业的显著特点是每一秒钟对病人都非常关键,在这一行业十分适合于移动电子商务的开展。在紧急情况下,救护车可以作为进行治疗的场所,而借助无线技术,救护车可以再移动的情况下同医疗中心和病人家属建立快速、动态、实时的数据交换,这对每一秒都很宝贵的紧急情况来说至关重要。无线医疗的商业模式中,病人、医生、保险公司都可以获益,也会愿意为这项服务付费。这种服务是在时间紧迫的情况下,向专业医疗人员提供关键的医疗信息。由于医疗市场的空间非常巨大,并且提供这种服务的公司为社会创造了价值,同时,这项服务有非常容易扩展到全国乃至世界,我们相信在这整个流程中,存在着巨大的商机。
(7)移动应用服务提供商(MASP):一些行业需要经常派遣工程师或工人到现场作业。在这些行业中,移动MASP将会有巨大的应用空间。MASP结合定位服务技术、信息服务、WAP技术,以及Call Center技术,为用户提供及时的服务,提高用户的工作效率。
移动电子商务作为一种新型的电子商务方式,利用了移动无线网络的优点,
6
重庆邮电大学移通学院毕业设计(论文)
是对传统的电子商务的有益补充。尽管目前移动电子商务的开展还存在安全与带宽等很多问题,但是相比于传统的电子商务方式,移动电子商务具有诸多优势,得到了世界各国普遍重视,发展和普及速度很快。 目前中国移动电子商务市场可以分为两个部分: 一:虚拟商品
主要是依附于各运营商旗下的SP所提供的,收费图铃、游戏下载或其他资讯类业务。 二:实体商品
目前国内主要有立即购移动商城在涉足这一领域。
1.3 移动电子商务的组成及功能
1.3.1 移动电子商务的组成
电子商务的组成如图1-1所示。
部门 计算机 网络 认证中心 企业 消费者 配送中心 网上银行 图1-1 电子商务的组成
电子商务的组成要素不仅包括各类直接参与者,如企业、消费者;还包括各种中介结构,如,CA以及技术基础。
1.企业和消费者
企业建立内部网、外部网和企业管理信息系统,可以对产、销、人事、财务、客户进行科学管理,然后利用Internet站点发布产品信息,接受定单,进行商业交易。消费者在接入Internet以后,可以利用浏览器获取各种信息。
2.CA
7
重庆邮电大学移通学院毕业设计(论文)
CA(Certification Authority),即认证中心,是法律承认的权威机构,负责发放和管理电子证书,使网上交易的各方能相互确认身份。
3.
负责建立完善的法律法规体系,从宏观角度使电子商务运行规范化,另外还负责征税等工作。
4.Intranet及Extranet和Internet
Intranet是企业内部商务活动的场所;Extranet是企业与企业及企业与个人之间进行商务活动的纽带;Internet是整个电子商务活动的基础,是商务、业务信息传送的载体。
5.网上银行
它为用户提供24小时实时在线服务,解决电子商务中的支付问题。 6.配送中心
它在接到商家的送货要求后,组织运送已经成交的商品,并确保将商品在规定时间内送到买着手中。
1.3.2 电子商务的功能及特征
1.电子商务的功能
电子商务主要有交易服务管理、内容管理、协同处理等功能,三者相互配合,互为补充。
(1)交易服务。交易服务是指提供交易前、交易中、交易后的各种服务来完成网上交易。主要包括向客户提供交易的商品或服务目录;接受客户订货、签订交易合同、进行网上支付;提供售后服务。
(2)内容管理。内容管理即管理网上发布的各种信息。主要包括提供产品和服务的相关信息;提供Web上的信息发布,不断刷新Web站点上的主页,增加网民的访问次数;对公司信息实行分类管理及传播,将有关信息及时传递给职工、客户、供货方和商业伙伴。
(3)协同处理。协同处理能支持群体人员的协同工作,通过自动处理业务流程以减少公司运营成本和产品开发周期。具体包括企业内部资源管理,如人力资源、资金、设备、材料等;通信系统的管理,如电子邮件和信息系统;企业内
8
重庆邮电大学移通学院毕业设计(论文)
部网和企业外部网管理,内部网主要管理联接公司的各部门、各分厂,外部网主要联接企业的供应商、经常性的大客户、企业的商业伙伴。
2.电子商务的功能特征
从电子商务的应用来看,电子商务的功能特征主要有商业性、服务性、安全性、协调性、集成性和可扩展性。
第2章 电子商务的产生与发展中存在的问题
电子商务是经济发展的内在动力和科技进步在外在可能性共同作用的产
物。它顺应新经济的发展要求,成为未来经贸易发展的基本方向。电子商务的产生和发展有其历史客观性和必然性。它是在当代计算机技术和Internet广泛应用的基础上,以Internet为依托而发展起来的,是人类信息技术发展导致传统商务活动发生巨大改变的一种商务形式。如果说电子商务的产生和发展顺应了时代的需要,那么现代自然科学和社会科学的发展推动着电子商务的成长,并将对人类未来的经济生活产生巨大的影响。作为发展中国家的中国,在发展电子商务方面还面临着巨大的困难和挑战。如果能很好的解决这些问题,使我国的电子商务得以繁荣昌盛,那么数字经济就将加速我国经济与世界经济的融合,使中国以崭新的姿态迎接未来的挑战,为我国未来经济发展奠定坚实的基础。
2.1 电子商务的产生和发展
一、 电子商务是社会历史发展的必然产物
20世纪70年代以来,随着计算机网络技术、WWW技术的成功应用和人类
进入信息化的步伐加快,企业开始利用一种新型经营方式,即通过电子网络环境来进行加速有效的商业活动。这种经营方式包括销售到市场的运作、信息处理和知识管理等一系列技术,是一种既包括基于网站的在线服务和各种贸易,又包括利用Internet、Intranet和Extranet来解决问题,降低成本,增加价值并创造商机的商务活动方式,这种方式称为电子商务。电子商务的兴起既是生产力发展的客观要求,又是IT业技术发展的必然,更是现代企业经营模式的必然产物。
1、电子商务是生产力发展的客观选择
在市场经济条件下,要求全球资源在世界范围内最优化配置,从而形成经济全球化,市场国际化以及全球分工和产业结构的大调整,导致资本的大量转移和公司的大量涌现,推动着国际间业务的往来。此外,由于世界贸易要求无纸
9
重庆邮电大学移通学院毕业设计(论文)
化与规范化以及市场竞争的加剧,提高了商业文件的传送速度,从而刺激了信息技术及其应用的飞速发展。在未来,信息技术以Internet为基础的电子商务带来了新的发展动力,推动着电子商务向更高层次发展。
2、电子商务是IT技术发展和应用的主要成果
从技术角度来看,电子商务是计算机网络高速发展与广泛应用的产物。电子商务的本质就是利用网络和多媒体等信息技术,有效地把商品资源管理和人们的商业行为结合起来,实现商务活动的计算机化和网络化。因此,IT技术的发展为电子商务的产生奠定了坚实的基础。Internet技术和WWW技术进一步将EDI电子商务提升为Internet电子商务,实现了网上虚拟的电子化交易;还有数字技术、安全保密技术、电子支付技术、数据库技术等的发展更为电子商务的开展提供了坚实的物质基础。
3、电子商务是现代企业经营模式的必然产物
从企业面临的市场竞争与营销方式变化来看,应用电子商务是为了适应企业经营目标所做的必然选择。经济一体化必然带来生产、市场、销售以及竞争的改变,这就要求企业在新的形式下改变原有的生产和营销方式,同时也要求消费者改变信息获取方式和购物方式,迫使企业和消费者充分利用计算机网络强大的通信能力。客观现实和技术基础是现代市场营销得以形成和发展的根基,现代商务交易所要求的便利交易环境将从根本上改变市场营销理论的基础,从而改变企业的经营模式。电子商务正是顺应了企业的这种发展要求,为企业模式的改变提供了新的机遇。
4、电子商务是经济全球化的要求
通信技术的飞速发展、全球贸易壁垒的减少、公司的大量涌现和投资日益盛行,使国际活动日渐频繁,逐渐汇成了经济全球化的洪流。世界经济全球化必然会带来生产、市场、销售和竞争的全球化。
综上所述,电子商务既是商贸流通领域广泛应用和高速发展的结果,又是以网络技术和多媒体通信技术为代表IT技术应用的结果。它顺应了生产力发展的要求,成为现代企业经营模式发展的必然趋势。
二、电子商务的发展历程
电子商务的发展共经历了三个阶段:基于EDI的电子商务,Internet中的电子商务和E-概念下的电子商务。
1、基于EDI的电子商务阶段
EDI是将业务文件按一个公认标准用电子传输方法在计算机之间传输数据的方式。EDI电子商务的硬件是计算机,软件则包括计算机软件和EDI标准。EDI电子商务阶段是电子商务的初级阶段。
2、Internet中的电子商务阶段
由于EDI通信系统的建立需要大量投资,使用和维护费用较高,因此了EDI电子商务应用范围的扩大,而且EDI减少信息共存,只适合于拥有大量单证
10
重庆邮电大学移通学院毕业设计(论文)
和文件传送的大型公司。随着科技的进步,Internet成为一种大众化信息传播工具,它在全球的普及克服了EDI的不足,满足了小企业对电子数据交换的要求,实现成本低廉和信息共存的需要从而逐渐替代了专门的EDI电子商务系统。
3、E-概念下的电子商务阶段
随着对电子商务认识的加深,是电子商务扩展到E-概念高度。E-概念是指电子信息技术可与有关的应用领域相结合而形成相关电子概念。E-概念促进了电子商务广义范围的形成,促使人类进入了知识经济下的E时代。
三、 移动电子商务在国内外的发展
近年来,全球移动电子商务应用发展非常迅速,据Data-monitor公司提供是调研数据显示,2008年,全球移动商务用户数量达到16.7亿。在国内,国家部署了2006年至2020年全国信息化建设的战略方针和目标,手机支付作为惠及普通大众的信息技术,也代表了国家信息化发展的一项重要内容。
2.2 我国移动电子商务发展中存在的问题与对策
动电子商务就是通过移动终端进行商品和服务买卖并交易服务的过程。移动终端是可以接入无线网络的设备,在移动电话、无线固定电话、PDA 和带有无线上网功能的笔记本电脑等。主要服务范围包括无线 CRM、移动支付、移动银行与移动办公等。它能提供银行业务、交易、购物、个人信息服务、基于位置的服务、娱乐等服务。也就是通过手机、个人数字助理、呼机等移动通信设备与 因特网有机结合所进行的电子商务活动。
一、移动电子商务在我国的发展现状
近些年来,我国移动互联网发展非常迅速,目前移动电子商务在我国已开始应用。中国移动在国内许多大城市推出了若干商用试验网,手机用户可在这些大城市中使用漫游业务。无线互联网服务陆续被电商网 ToeCom.com. cn、搜狐、阿里巴巴、诺基亚公司等大型电子商务公司推出。个别城市的移动通信公司还同步推出了 WAP门户站点,并成功地为梅林正广和、华印科技等电子商务企业建立了移动电子商务系统。所涉及到的商务领域有书籍、音像制品、软件、门票销售、旅游服务和网上证券交易等。随着 2. 5G 在全球投入大规模使用以及 3G 局部商用乃至大规模使用,使用移动电子商务的人数将有大幅度上升。
二、我国移动电子商务发展中存在的问题
11
重庆邮电大学移通学院毕业设计(论文)
1. 理论研究不够深入
涉及移动电子商务的理论研究比较欠缺,依据消费
者认可的影响因素是国内的一些学者和专家对移动电子商务的研究领域和焦点。然而,这种研究没有将这种影响因素进一步扩展,深入剖析各类因素对移动电子商务的影响,而是仅仅停留在少数几个影响因素的层次上。同时,随着消费者对移动电子商务的认识程度的不断加深,消费者对移动电子商务采纳的影响因素更需要充分深入地研究,扩大新领域的理论研究,如对移动教育、移动医疗、移动应急行动等。由于这些新领域的应用特征又不相同,因此,需要加强将移动电子商务和这些领域的服务特征相结合。
2. 安全保障不够
尽管移动电子商务给工作效率的提高带来了诸多优势,但安全问题仍是移动商务推广应用的瓶颈。因此,安全问题是移动电子商务的基石,更是移动电子商务能否取得成功最关键的因素。由于有线网络安全的技术手段不完全适用于无线设备,无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。且我国移动电子商务的发展应用还处于起步阶段,如法律规范不完善,信用意识淡薄、移动终端了安全性能的提高和无线网络本身的开放性降低了安全性等原因导致移动电子商务应用过程中存在诸多安全威胁。
3. 诚信缺失
与传统电子商务的诚信问题一样,主要体现在交易的安全性和不可抵赖性方面。在移动电子商务活动中,消费者通过移动网络进行商品或服务的消费,这势必要披露个人信息,诸如电话号码、身份证号码、工作、地理位置等,个人的隐私极易被一些商家进行利用,给消费者带来了不少的困扰,如垃圾短信,垃圾邮件和骚扰电话等。目前,在我国个人隐私保护不是很完善的情况下,个人隐私问题也成为移动电子商务发展的一个急待解决的重要问题。
4. 支付手段缺乏安全保障
在电子商务交易过程中,丰富而又合适的支付手段,只是保证电子商务得以顺利发展的基础条件,是保证网上交易安全的一个方面。现在,担心银行信用卡等被窃已经成了影响人们通过互联网进行交易的最大障碍。据报道,在网络经济高度发达的美国,每年因信息与网络安全问题造成的经济损失达 8 亿美元左右,电子商务安全受到侵犯的比例也逐年上升。目前,我国移动电子商务的支付手段主要有: 手机与银行的支付业务绑定,利用移动服务商那里建立的专门账户,或者直接从话费中扣除。但是从移动电子商务的支付手段上来看,我国移动电子商务的移动支付还存在着许多的安全问题,缺乏用户基础、产品服务单一等问题需要进一步完善。从电子商务的发展来看,在互联网上进行交易,必须通过银行信用卡等金融电子支付手段来完成资金的收付流程。如果没有丰富的、合适的电子支付手段相配合,电子商务就成了真正意义上的“虚拟商务”,只能是电子商情、电子合同,无法实现网上成交。因此,在互联网上,既要保证电子商务的安全和保密,必须强化网上认证程序,完善电子支付系统和网上安全机制,还要保证电子商务的方便快捷和资源共享。否则,必将阻碍电子商务在我国的广泛应用。
5. 使用成本较高
12
重庆邮电大学移通学院毕业设计(论文)
虽然目前中国的手机的价格大多数人都能接受,但上网条件较差,速度很慢,使用网络条件较好的 3G 业务,则需要使用专门的 3G 手机或上网本。而目前市场上的3G 手机价格大多在 3000 元以上,上网本的价格也在2000 元以上,对于中低收入者来说显得过高。目前的移动营运商都是按流量或小时收取上网费用的,不管采用哪种方式费用都较高。从各运营商推出的 3G 业务套餐来看,月租基本上都在百元以上。目前中国的上网费用远远高于国外的水平,据《光明日报》报道,发达国家互联网使用价格不到其收入水平的 1%,而我国的比例远远超过了这个水平。
三、完善我国移动电子商务发展的对策
1. 加强理论研究
在对理论研究的同时,要注重理论的研究深度和方法。根据我国移动电子商务发展状况,全面开展对电子商务的理论研究。随着中国移动电子商务的不断发展,在对移动电子商务研究采取实证方法的同时,还要加强对移动电子商务经济学、消费行为,战略和商务模式,安全技术,应用服务接纳模型,以及移动电子商务跨文化的研究。
2. 加强安全保障维护
借鉴国外的安全保障方法,我国可以采取无线公共密钥技术,端到端的安全策略等技术手段来保证我国移动电子商务在安全、可靠的环境下健康发展。在技术手段的前提下,还要通过法律法规、规范等安全机制来确保移动电子商务的安全。比如加强移动电子商务安全规范管理; 完善相关法律和制度,规范产业发展,构建安全交易环境等。在移动电子商务中移动安全技术具有十分重要的地位,它保护着商家和客户的商业机密和财产,同时也为服务方和被服务方提供极大的便利。事实证明,只有将安全技术和安全机制有机结合起来才能营造一个安全的移动电子商务环境。
3. 规范交易中的诚信机制
借鉴传统电子商务的一些做法,帮助解决目前我国移动电子商务交易中的诚信问题。可以在移动电子商务的交易过程中通过强化主体资格的身份认证管理的方式。比如可以通过第三方认证或者是数字签名的技术手段来确保交易双方身份的真实和准确性; 同时,还可以采取交易实名制的做法,这在移动电子商务中也是切实可行的。在移动电子商务中,终端号码是惟一的,可以和真实的身份一一对应,这样就可以通过最终端的有效管理,降低移动电子商务交易的诚信风险。这样交易过程中安全性和不可抵赖性随之大大加强了。
4. 完善移动支付手段和机制
完善移动电子商务的商业模式还需要一个过程,因为这在我国属于新生事物,其中支付机制的完善是一个关键的环节。首先,要加强各运营商之间的联系和合作,消除支付障碍,从移动通信的运营商入手,不断增强移动客户端的功能和数据传输的速度。然后,鼓励移动终端客户使用移动支付功能,对各移动通信的运营商要降低移动支付的相关费用。最后,整合各移动通信运营商的异构支付
13
重庆邮电大学移通学院毕业设计(论文)
平台,从而建立一个多元化良性发展的移动支付平台和选择空间。
5. 有效降低运营费用
资费的降低、终端的丰富和应用的精准化都不是某个企业能够单独实现的,需要整个产业链的协作。运营商具有最强大的产业链整合能力,因为它们拥有最多的市场资源。但这种合力要以开放共赢的模式来体现。营运商应该在移动网络的发展过程中,避免重复建设,开源节流,降低营运成本,降低业务资费。同时针对不同的消费群体,推出不同的优惠套餐业务,吸引各层收入者使用。当确定利润分配模式后,整合者可将主要精力放在平台建设和服务上,包括市场调研和推广、加速内部信息传递、建立协调机制等。整合者不可过多干涉移动互联网内容细节,应该将决定权交给竞争机制。这样既保证了各方利益合理分配,又调动了设备商、终端商、软件商、内容服务商以及传统行业的合作积极性。
第3章 移动电子商务的安全
从全球电子商务的安全性上看,一般要满足四个要求:一是安全可靠的电信
网络;二是保护有关网络的信息系统的有效方法;三是证实及确保电子信息的机密性,防止信息未经授权而使用的有效方法;四是电子商务交易的安全性,包括电子支付的安全和商品的安全。
3.1 移动电子商务面临的安全威胁
随着移动网络从2.5G到3G的演进和移动数据传输速率的提高,面向移动电子商务的业务领域得到了快速发展。无线信道是一个开放性的信道,它给移动电子商务带来通信自由和灵活性的同时,也带来了诸多不安全因素。
一、技术方面的安全威胁
1.网络本身的安全威胁。
传统的有线网络是利用通信电缆作为传播介质,这些介质大部分处于地下等比较安全的场所,因此中间的传输区域相对是受控制的。而在无线通信网络中,所有的通信内容(如移动用户的通话信息、身份信息、位置信息等)都是通过无线信道传送的,无线信道是一个开放性信道,是利用无线电波进行传播的,任何个人和组织不需要申请就可以进行通信。在无线网络中的信号很容易受到拦截并被解码,只要具有适当的无线接收设备就可以很容易实现无线窃听,而且很难被发现。无线窃听可以导致信息泄露,移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟踪。这对于移动电子商务的信息安全构成了潜在威胁。在无线通信网络中,移动站与网络控制中心以及其它移动站之间不存在固定的物理连接,移动站必须通过无线信道传送用户的身份信息。由于无线信道信息传送过
14
重庆邮电大学移通学院毕业设计(论文)
程可能被窃听,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个信息来冒充该合法用户的身份入网,访问网络资源或者使用一些收费通信服务等,这就是所谓的身份冒充攻击。另外,攻击者还可以假冒网络控制中心,冒充网络端基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而冒充合法的移动用户身份。
2.无线网络标准的安全漏洞。
移动电子商务涉及到很多无线网络标准,其中使用 最 广 泛 的 是 实 现 手 机 无 线 访 问 因Internet的WAP 标准和构建WLAN(无线局域网 )的802.11标准。WAP中WTLS(无线传输层安全)协议仅仅加密由WAP设备到WAP 网关的数据,数据通过SSL传送至网关上有短暂的时间处于明文状态;802. 11标准使用的WEP(无线等效协议)安全机制存在密钥容易泄露且难以管理等缺陷;许多WLAN在跨越不同子网时往往不需要第二次的登陆验证。这些缺陷容易造成数据拦截和窃取,给移动电子商务的应用带来了很大的安全隐患 。
3.移动终端的安全。
移动终端因为体积小、重量轻便于随身携带和使用,但是也容易丢失和被窃。对个人而言,移动终端的丢失意味着别人将会看到移动设备上的数字证书,以及其他一些重要数据。利用存储的数据,拿到移动终端的人可以访问企业内部网络,包括E-mail服务器和文件系统等。目前手持移动终端的最大问题就是缺乏对特定用户的实体认证机制。
二、管理方面的威胁
1.手机短信的安全管理。
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,其中垃圾短信成为困扰用户的主要因素。他们一般通过非正常渠道获得一些发送手机短信价格十分低廉的短信卡,利用“短信猫”在短时间内向移动用户密集发送垃圾短信,这类短信显示的发送号码都是正常的11位手机号码,短信中诱惑性的文字可能会间接骗取用户的金融资料。垃圾短信使得人们对移动电子商务充满恐惧,不敢在网络上使用自己的移动设备从事商务活动。目前还没有相关的法律法规 来规范垃圾短信,运营商也只是在技术层面上来垃圾短信的群发。
2.信息安全管理的标准化问题。
目前移动电子商务产业刚刚起步,这个领域还没有国际标准,我国也没有自己的国家标准和统一管理机构。设备厂商在无线局域网设备安全性能的实现方式上各行其道,使得移动用户既不能获得真正等效于有线互联网的安全保证,也难以在保证通讯安全的基础上实现互通互联和信息共享。由于没有安全标准的评测依据,又缺乏有关信息安全的管理法规,主管部门很难对信息安全标准做出规范要求,这也为移动电子商务信息安全的审查和管理工作带来了很大困难。
3.2 移动电子商务的安全需求
15
重庆邮电大学移通学院毕业设计(论文)
由于移动电子商务是基于无线通信技术的网络层应用,在安全性方面还存在一些特殊的威胁,在安全保护方面也存在特殊的困难。例如,无线网络更容易被外部窃听;无线信道带宽有限,认证信息不能太多,否则会影响系统的吞吐量;移动电子商务中通信单元具有移动性,更增加了安全机制的不确定性。移动电子商务的安全威胁主要来源于如下几个方面。
假冒(Easquerade or Spoofing)是指攻击者装扮成另一合法用户来非法访问受害者的资源以获取某种利益或达到破坏的目的。要进行假冒攻击需要一些特殊的工具来处理协议数据单元(PDU),并且可能需要一些特定的访问权限。网络中的结点必须具有非法用户无法模仿的特征,并且能够正确处理合法用户的这些特征,保证系统安全。
窃听(Eavesdropping)是指攻击者通过对传输媒介的监听非法获取传输的信息,是对通信网络最常见的攻击方式。这种威胁完全来源于无线链路的开放性,但是由于无线网络传输距离受到功率与信噪比的,窃听结点必须与源节点距离较近,所以与以太网,FDDI等典型有线网络相比,更容易发现外部窃听结点。
非授权访问(Unauthorized Access)是攻击者违反安全策略,利用安全系统的缺陷非法占有系统资源或访问本应受保护的信息。所以,必须对网络中的通信单元增加认证机制,以防止非法用户使用网络资源。有中心无线网络由于具有核心结点实现认证功能相对容易‘而无中心网络没有固定基点,结点的移动不确定,加之其特有的多跳特点,认证机制比较复杂。
服务拒绝(Denail of service)是指入侵者通过某些手段使合法的网络实体无法获得其应有的网络服务。在移动电子商务中,这种威胁包括阻止合法用户连接的建立,或者,通过向网络或指定网络单元发送大量数据来破坏合法用户的正常通信。对于这种威胁,通过可采取认证机制和流量控制机制来防止。
移动电子商务的安全要素主要体现在以下几个方面:
有效性、真实性即是对信息、实体的有效性、真实性进行鉴别。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业、或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威
16
重庆邮电大学移通学院毕业设计(论文)
胁加以控制盒预防,以保证贸易数据在确定的时刻、确定的地点是有效真实的。
机密性要求即是能保证信息不被泄露给非授权人或实体。在利用网络进行的交易中,必须保证发送者和接收者之间交换的信息的保密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业泄密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。要确保只有合法用户才能看到数据,防止泄密事件。
数据的完整性要求即是能保证数据的一致性,防止数据被非法授权建立、修改和破坏。
3.3 移动电子商务的安全技术
密码学中两种常见的密码算法为对称密码算法(单钥密码算法)和非对称密码算法(公钥密码算法)。
3.3.1 对称密码算法
对称密码算法又叫单钥密码算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加密解密密钥是相同的,这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定以个密钥,对称算法的安全系性依赖于密钥,泄露密钥意味着任何人都能对信息进行加密解密。只要通信需要保密,密钥就必须保密。对称算法的加密解密表示为: EK(M)=C DK(C)=M
对称算法可分为两类。一次只对明文中的单个位运算的算法称为序列算法或序列密码。另一类算法是对明文的一组位进行运算,这些位组称为分组,相应的算法称为分组算法或分组密码。现代计算机密码算法的典型分组长度为位——这个长度大到足以防止分析破译,但又小到足以方便作用。
这种算法具有如下的特性: DK(EK(M))=M
常用的采用对称密码技术的加密方案有5个组成部分
17
重庆邮电大学移通学院毕业设计(论文)
1)明文:原始信息
2)加密算法:以密钥为参数,对明文进行多种置换和转换的规则和步骤,变换结果为密文。
3)密钥:加密与解密算法的参数,直接影响对明文进行变换的结果。 4)密文:对明文进行变换的结果。
5)解密算法:加密算法的逆变换,以密文为输入,密钥为参数,变换结果为明文。
对称密码技术的优点在于效率高,算法简单,系统开销小,适合加密大量数据。
尽管对称密码技术有一些很好的特性,但它也存在着明显的缺陷,包括: 1)进行安全通信前需要以安全的方式进行密钥变换。这一步骤,在某种情况下是可行的,但在某些情况下会非常困难,甚至无法实现。
2)规模复杂
通过应用基于对称密码的中心服务结构,上述问题有所缓解。在这个体系中,团体中的任何一个用户与中心服务器共享一个密钥。因而,需要存储的密钥数量基本上和团体的人数差不多,而且中心服务器也可以为以前互相不认识的用户充当“介绍人”。但是,这个与安全密切相关的中心服务器必须随时都是在线的,因为只要服务器一掉线,用户的通信将不可能进行。这就意味着中心服务器是整个通信成败的关键和受攻击的焦点,也意味着它还是一个庞大组织通信服务的“瓶颈”。
3.3.2非对称密钥算法
非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一样的或者说不能由其中以个密钥推导出另一个密钥。1.加解密时采用的密钥的差异:从上述对对称密钥算法和非对称密钥的算法的描述中可以看出,对称密钥算法具有加密处理简单,加解密速度快,密钥较短,发展历史悠久等特点,非对称密钥算法具有加解密速度慢的特点,密钥尺寸大,发展历史较短的特点。
3.4 数字签名
数字签名是一种类似写在纸上的普通的物理签名。但是使用了公钥加密领域
18
重庆邮电大学移通学院毕业设计(论文)
的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名不是指将你的签名扫描成数字图像,或者用触摸板获取的签名,更不是你的落款。数字签名的文件的完整性是很容易验证的,而且数字签名具有不可抵赖性。
简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人进行伪造。它是对电子形式的信息进行签名的一种方法,一个签名信息能在一个通信网络中传输。基于公钥密码和私钥密码都可以获得数字签名,目前主要是基于公钥密码的数字签名。包括普通数字签名很特殊数字签名。
数字签名技术是不对称加密算法的典型应用。数字签名的应用过程是数据源发送方使用自己的私钥对数据校验和其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确保签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签名”,在技术和法律上有保证。在公钥与私钥管理方面,数字签名应用与加盟邮件PGP技术正好相反。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。
数字签名主要的功能是:保证信息传输的完整性、发送者身份认证、防止交易中的抵赖发生。
数字签名技术是将来摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息完整的,在传输过程中美有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
数字签名是个加密的过程,数字签名验证是个解密的过程。
具有数字签名功能的个人安全邮件证书的一种,是指单位用户收发电子邮件时采用证书机制保证安全所必须具备的证书。个人安全电子邮件证书是符合X.509标准的数字安全证书,结合数字证书和S/MIME技术对普通电子邮件做加
19
重庆邮电大学移通学院毕业设计(论文)
密和数字签名处理,确保电子邮件内容的安全性、机密性、发件人身份确认性和不可抵赖性。具有数字签名功能的个人安全邮件证书包括证书持有人的电子邮件地址、证书持有人的公钥、颁发者以及颁发者对该证书的签名。个人安全邮件证书功能的实现决定于用户使用的邮件系统是否支持相应功能。
3.5 CA
CA是PKI系统中通信双方都信任的实体,被称为可信第三方。CA作为可信第三方的重要条件之一就是CA的行为具有非否认性。作为第三方而不是简单的上级,就必须能让信任者有追究自己责任的能力。CA通过证书证实他人的公钥信息,证书上有CA的签名。用户如果因为信任证书为导致了损失,证书可以作为有效的证据用于追究CA的法律责任。正是因为CA愿意给出承担责任的承诺,所以也被称为可信第三方,在很多情况下,CA与用户是相互的实体,CA作为服务提供方,有可能因为服务质量问题而给用户带来损失。证书中绑定了公钥数据和相应的私钥拥有者的身份信息并带有CA的数字签名。证书中也包含了CA的名称,以便于依赖方找到CA的公钥、验证证书的数字签名。验证证书时候需要得到CA公钥。用户的公钥可以通过证书来证明,那么CA的公钥如何获得呢?可以再让另一个CA来发证书,但是总有一个CA的公钥的获得过程缺乏证明.PKI技术并不把这样的一个循环的问题留给自己,而是依赖其它的安全信息来解决。因为CA毕竟不多,可以通过广播、电视或报纸等公开的权威的媒介,甚至通过发布红头文件的方式来公告CA的公钥。
公告CAD 公司可以有多种形式,为了兼容程序处理,人们一般也以证书的形式发布CA公钥。CA给自己签发的一张证书,证明自己拥有这个公钥,这就是自签名证书。
与末端实体的证书不一样,在尚未确定CA公钥时,CA自签名证书其实不是真正的数字证书,而仅仅是拥有证书形式的一个公钥。所以CA自签名证书必须从可信的途径获取。
用户拥有CA自签名证书之后,就可以离线地验证所有其它末端用户证书的有效性,获取其它实体的公钥,进行安全通信。
CA是负责确定公钥归属的组件,所以CA必须得到大家的信任才能充当这样
20
重庆邮电大学移通学院毕业设计(论文)
的角色,其确定公钥归属的技术手段也必须是可靠的。CA通过证书方式用户提供公钥的拥有证明,而这样的在证明可以被用户接受。
在用户验证公钥归属的过程中,有数据起源鉴别、数据完整性和非否认性的安全要求。CA对某公钥拥有人的公钥证明必须实现这些安全要求才能够为公钥的用户所接受。首先,不论用户获得通信对方公钥的途径是什么,他必须确定信息最初始的来源是可信的CA,而不是其它的攻击者。其次,我们要保证在获取信息的过程中,信息没有被篡改、是完整的。最后,公钥的拥有证明是不可否认的,即通过证书验证都能够确保CA不能否认它提供了这样的公钥拥有证明。在PKI中,CA也具有自己的的公私钥对,对每个“公钥证明的数据结构”进行数字签名,实现公钥获取的数据起源鉴别、数据完整性和非否认性。用于公钥证明的数据结构就是数字证书。
CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书,以防止证书被伪造或篡改,以及对证书和密钥进行管理。
3.5.1 数字证书
数字证书实际上是存在于计算机上的一个记录,是由CA签发的一个声明,证明证书主体与证书所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。数字证书的作用是使网上的双方相互验证身份,保证电子商务的安全进行。
3.5.2 CA的结构与层次
它由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次构成,上一级CA负责下一级CA数字证书的申请。签发及管理工作。通过一个完整的CA签名证书相关联,最终通过安全认证链追溯到一个已知的可信赖的机构。由此便可以对各级数字证书的有效进行验证。根CA的密钥由一个自签证书分配,根证书的公开密钥对所有各方公开,它是CA体系中的最高层。
21
重庆邮电大学移通学院毕业设计(论文)
3.6安全协议
目前在移动电子商务中有两种安全认证协议被广泛使用,即安全套链层SSL协议和安全电子交易SET协议。
(1)安全套链层(SSL)协议
安全套链层协议主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为,它是一个保证任何安装了安全套链接层的客户和服务器间事务安全协议。该协议向基于TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。
(2)安全电子交易(SE)协议
安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用与Internet上的安全电子付款协议,它能够将普通应用的信用卡的使用场所从目前的商店扩展到消费者家里,扩展到消费者个人计算机中。
第四章 WPKI的移动电子商务
4.1 PKI架构
WPKI是PKI在无线网络的延伸。因此在介绍WPKI之前系统的了解PKI的结构体系,对我们能很好的理解WPKI有很大的帮助。下面开始PKI的介绍:
公开密匙(PKI:Public key Infrastructure)是一项重要的网络安全技术,PKI是在公钥技术基础上发展起来的一种综合安全平台,包括生成、管理、存储、分发和吊销公钥证书所需要的硬件、软件、人员策略和规程的完整基础设施。使用基于公钥技术系统的用户建立安全通信信任机制的前提条件是网上进行的任何需要安全服务的通信都必须建立在公钥的基础之上,而与公钥成对的私钥只掌握在他们与之通信的另一方。这个信任的基础是通过公钥证书的使用来实现的。公钥证书就是以个用户的身份与他所持有的公钥的结合,在结合之前由一个可信任的权威机构CA来证实用户身份,然后由其对该用户身份及对应公钥相结
22
重庆邮电大学移通学院毕业设计(论文)
合的证书进行数字签名,以证明其证书的有效性。
PKI通过使用公开密匙技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI让个人或企业安全地从事其商业行为。企业员工可以再互联网上安全地发送电子邮件而不必担心其发送的信息被竞争对手等截获。企业可以建立起内部Web站点,只对其信任的客户发送信息PKI采用各参与方都信任同一个CA,由该CA来核对和验证各参与方身份的信任机制。例如,许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构一,因而他们也就信任这些证件。
4.1.1 PKI的原理和组成
从广义上讲提供公钥加密和数字签名服务的系统,都可以叫做PKI/CA系统。PKI/CA系统通过把公钥密码和对称密码结合起来,在互联网上实现密钥和证书的自动管理,为用户建立起一个安全的网络运行环境。用户可以再多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性和有效性。一个有效的PKI/CA系统必须是安全和透明的,用户在获得加密和数字签名服务后,不需要详细地了解PKI/CA是怎样管理证书和密钥的。
PKI/CA系统从功能模块来划分,大致可分为以下几部分:接受用户证书申请的证书受理者RS、证书发放的审核部门RA、证书发放的操作部门CA、以及记录作废证书的证书作废表CRL,如图4.1所示:
图4.1 PKI结构图 证书使用者 CRA 局域网 /Internet 业务受理 CA RS RA 4.1.2 PKI主要部分功能简介
23
重庆邮电大学移通学院毕业设计(论文)
作为一个安全基础设施的全功能的PKI/CA系统由以下一系列组件和服务构成:
(1)证书审批机构(RA)
RA(Registration Authority),数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书的发放等工作。同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、SIM卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营部可缺少的一部分。
(2)证书机构(CA)
电子商务中没有一个足够稳固、健全的CA,一切网上的交易都没有安全保障。CA是保证电子商务安全的关键。CA是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的企业服务机构。在实际运作中,CA由受信任的第三方权威机构担当。
CA主要有以下几种功能
(1)证书的颁发:CA接收、验证用户最终的数字证书的申请,间申请的内容进行备案,并根据申请的内容确定是否受理数字证书申请。如果CA接受该数字证书申请,则进一步确定给用户颁发何种类型的证书。新证书用CA的私钥签名以后,发送到目录服务器供用户下载和查询。
(2)证书的更新:一个证书的有效期是有限的这既可能是理论上的原因,也可能是基于实际估计的因素。因此CA要定期更新所有用户的证书,或者根据用户的请求来更新用户的证书。
(3)证书的作废:当用户由于身份改变或私钥遭到破坏等原因造成用户证书需要申请作废时,用户需要向CA提供证书作废的请求,CA根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过期,CA自动将证书作废。CA通过维护证书作废列表来完成上述功能。
(4)密钥备份和恢复:如果用户丢失了解密数据的密钥,则数据将无法被解密。为避免这种情况的发生,CA提供备份和恢复密钥的机制。密钥备份和恢复只针对解密密钥。
(5)证书的归档:证书具有一定的有效期,证书过了有效期之后就将作废,
24
重庆邮电大学移通学院毕业设计(论文)
但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废证书。基于此类考虑,CA还应当具备管理作废证书和作废私钥的功能。
4.1.3 PKI证书
数字证书又称为数字标识。它提供了一种Internet上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子商务活动时,交易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关交易操作。在使用数字证书的过程中,通过运用对称和非对称密码等密码技术建立一套严密的身份认证系统,能够保证信息除发送方和接收方外部被其它人窃取。信息在传输过程中不被篡改。发送方能够通过数字证书来确认接收方的身份。发送方对于自己发送的信息不能抵赖。
证书的功能和组成
数字证书提供访问目标公钥的方法,同时也确认该证书的公钥属于证书持有者。证书由CA签名,如果CA是受信任的且可以验证用户的证书是由CA发布的,那么证书的接收者就可以相信证书中的公钥是属于哪个用户。典型的证书设施过过程包括签名证书,主要分以下主要步骤:
(1)用户送一个签名证书请求,包括他的姓名、公钥、其他信息给CA。 (2)CA从用户的要求中产生一个信息m。CA用他的私钥签名信息,产生一个基于WPKI的移动电子商务分离的签名信息sig,CA返回信息m和签名sig给用户,和前面的信息一起m和sig组成了用户的证书。
(3)用户把他的证书传给接收者,让接收者来访问他的公钥。
(4)接收者用CA的公钥来校验签名,如果签名有效,则他接受证书中的公钥为用户的公钥。X.509数字证书不仅包括了用户的姓名和公钥,也包括用户的其他信息,X.509数字证书有一个有效期。X.509数字证书与WPKI证书结构的不同我们将在相关章节列表对比。
证书的安全性
数字证书采用PKI公开密钥基础设施技术,利用一对互相匹配的密钥进行加密和解密。每个用户自己设定的私钥,用它进行解密和签名;同时设定公共密钥,并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件
25
重庆邮电大学移通学院毕业设计(论文)
时发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,保证加密解密过程是以个不可逆的过程,即只有用私钥才能解密,这样保证信息安全无误地到达目的地。用户也可以采用自己的私钥对发送信息加以处理,形成数字签名。由于私钥为本人所有,这样可以确定发送者的身份,防止发送者对发信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。即使已知明文、密文和加密密钥,想要推导出解密密钥,在计算机上是不可能的。
4.2 WPKI标准
4.2.1 WPKI的提出
在无线通信环境中,由于无线网络设备是储存量有限,处理速度慢,带宽低,决定了它不能像有线网络那样依靠高强度的密钥及算法来保证安全。WPKI就是为了满足无线通信安全需求,针对无线通信环境的特点,在有线PKI基础上进行了优化拓展,有效地实现了移动电子商务密钥和证书管理、加密等的一系列策略与过程。它可以用于手机等无线装置,为用户提供身份认证。访问控制盒授权、传输机密性和完整性、不可否认性等安全服务。随着无线网络技术的发展和WPKI标准的不断完善,WPKI将被广泛应用于无线网络中各种安全通信服务领域。
无线PKI以WAP的安全机制为基础,从传统的PKI中发展而来。WPKI与PKI一样都是通过管理密钥和证书来执行移动电子商务策略。WPKI主要解决管理移动电子商务的策略问题,并为无线应用环境提供安全服务。WPKI的优化主要包括对证书格式进行了简化,从而减少存储容量。另外WPKI采用了先进的ECC公钥算法,而非传统的RSA算法,这就可以大大提高运算效率,并在相同的安全强度下减少密钥的长度。由于WPKI证书格式是PKIX证书的子集,所以可以在标准PKI中保持互操作性。
4.2.2 WPKI的组成
同PKI系统相似,WPKI系统是由认证中心CA、注册中心RA、证书目录数据库和终端实体。WPKI和PKI区别仅在于终端实体是WAP手机,RA功能由PKI Poreal代替完成类似的功能,而WAP网关则是用于连接无线网络和有线网络的接口,WPKI的组成如下图所示:
WAP协议 WAP网关 源服务器 26
PKI Portal CA 证书数据库 重庆邮电大学移通学院毕业设计(论文)
4.2.3 WPKI系统相对于PKI的改进
WPKI是在现行有线PKI已有机制下做适当的补充和合理的优化,以符合无线通信服务的特点,WPKI对PKI系统的部分优化如下:
(1)采用短期微型证书代替SSL服务器证书:WAP构架中的网关起到了代理服务器的作用,主要实现基于WAP/WTLS的无线环境与基于HTTP/SSL/TCP/IP的有线环境之间的协议和格式转换。由于移动终端受到其资源,所以在携带SSL证书和实现SSL证书的颁发、核查、撤销等功能上具有困难。但是可以通过WAP网关的桥梁功能来实现SSL协议。在这个网关中实现短期微型证书与SSL服务器证书的转换,同时改进客户终端设备,使其能够使用短期微型证书。
(2)采用短期证书来简化对WAP服务器和网关的认证:认证中心定期向对移动终端颁发认证WAP服务器和网关的短期证书,在需要撤销对它们的认证时,不需要采用任何证书撤销行为,只要停止颁发下一张证书就可以了。如果客户定期没收到一个当前有效的证书,也就停止同这个服务器继续对话。
(3)移动客户身份认证:在电子商务应用中,移动客户经常需要向一个无线网关或以好当前服务器证明自己的身份。PKI对于客户认证的支持方式基本上对客户数字签名的支持相同。X.509格式的证书存放在有线基础设施中,通过WAP网关实现客户认证。
(4)交易的不可抵赖性:电子商务中通常采用数字签名的方式来支持交易的不可抵赖性或解决交易的事后纠纷。由于资源的,移动终端部可能存储或处理相应公钥的证书。所以,移动终端只持有自己的私钥和数字签名逻辑地址,而将证书以一定的存储方式放在有线基础设施里。当用户的数字签名需要被确认时,应用服务器可以到有线基础设施里提取和使用。因此,应用服务器就不需分别处理两种不同的数字签名,而移动终端也不用顾虑该证书的大小。
(5)无线环境中的加密算法:在有线因特网环境中,商用化的公钥加密技术主
要都使用基于RSA的加密系统。在无线环境中,一种新的椭圆曲线加密算法具有
27
重庆邮电大学移通学院毕业设计(论文)
很大的前景。由于移动终端的CPU计算能力,存储容量,电池寿命的,有线因特网中的RSA算法不能很好地满足其要求,而ECC可以完成用RSA一样的基于功能,而且由于ECC具有指数级复杂度,正好可以满足移动终端的特殊要求。为了能清楚的表示出PKI和WPKI之间的不同。表4.2列出了它们的区别:
表4.1 PKI和WPKI的区别
类型 应用环境 证书 加密算法 安全连接协议 证书撤销方式 证书保存方式 CA交叉认证 弹性CA WPKI 无线网络 WTLS证书/X.509 ECC WTLS 短时间证书 证书URL 不支持 不支持
PKI 有线网络 X.509证书 RSA SSL/TLS RCL/OCSP 证书 支持 支持 4.2.4 WPKI的结构
WPKI由实体终端(EE),PKI Portal,CA,PKI目录服务器等音IS分组成密钥管理体系。在WPKI的应用模式中,还涉及及数据提供服务器、WAP网关等服务设备。
4.2.5 WPKI的证书格式
WPKI支持WTLS和X.509两种证书。由于WAP设备受存储能力和处理能力的,WPKI为无线环境而改编了IETF PKIX的标准。减少公钥证书存储空间有两种方法,一种方法是定义一种新的证书格式—WTLS证书格式,作为X.509的紧缩版本,其证书格式大小只有PKI证书的40%,另一种方式是在证书的储存上采用椭圆曲线密码机制,它能用较少内存的密钥,使得证书总尺寸缩小。同时,WPKI还了IETF PKIX证书格式中的某些数据区的大小,但由于WPKI是PKIX的子集,保证了这些PKI标准互操作的可能性。另外,相比于在WAP设备的WIM中存放的一个完整证书,一种更好的方法是存放一个指针,该指针指向完整证书的位置,典型的指针是一个URL地址。验证者、网关和服务器都能根据证书的
28
重庆邮电大学移通学院毕业设计(论文)
URL地址从证书库里访问到完全版本用户X.509证书。
4.2.6基于WPKI构架的移动电子商务应用
在移动电子商务中,如何实现在线、实时。安全的支付是技术实施的核心,尤其在移动环境下,需要准确地认识人员身份、判断账号真伪,并迅速、安全地实现资金处理。WPKI技术在移动电子商务中有如下应用:
(1)网上银行
用户可以用移动设备通过网上银行轻松实现电话缴费、商场购物、缴泊车费、自动售货、公交车付费、投注彩票等手机支付服务。从世界范围看,数字证书技术已经被广泛地应用在国内上银行系统中,至今尚未发现一例由于数字证书被攻破而使网上银行诈骗得逞的案件,由此可见数字证书的安全强度是十分高的。网上银行的应用主要有如下两种,一种是无线电子支付;用户可以利用手机完成实时的支付,在付款过程中用户通过认证后输入相应的银行卡账号,支付系统会从远程账号上自动减掉这笔款项,主要处理交易完成之后回传给用户相应信息并加以确认。另一种是无线电子转账:用户可以通过手机连接到银行,执行登陆操作后进行转账交易。此时,银行的相应服务器必须确认用户的转账交易资源,它会要求用户端做电子简章的确认,也会发给用户一份电子收据。
(2)网上证劵和网上缴税
同样,通过移动终端设备进行无线网上证劵交易和网上缴税也会给用户带来了极大便利,减少了操作时间,提高了办事效率,但是也面临着安全性和可靠性的问题。类似于网上银行系统的实现,采用WPKI体系做为安全技术框架,移动用户可以通过使用个人拥有的数字证书,使信息获得更有效的、端到端的安全保障。
第5章 WAP协议
5.1 WAP结构
WAP安全构架由WTLS(无线传输层安全)、WIM (无线身份识别模块)、
29
重庆邮电大学移通学院毕业设计(论文)
WMLScript (无线标记语言脚本)、WPKI(无线公钥基础设施)4部分组成,其中无线标记语言脚本针 对 窄 带 宽 设 备 做 了 优 化。它 可 以 与WML 集 成,可 以 在WMLScript文档中增加处理逻辑,支持更高级的用户接口行为,减少与源服务器之间的交互。无线个人身份模块WIM是一个防篡改设备, 存储着用户个人身份、公钥证书和私钥等信息,并参与WTLS握手协议中的身份认证与密钥交换操作,以及与用户私钥有关的密码操作,如数字签名和对用公开密钥加密的密文进行解密等。 WTLS的作用是保证传输层的安全,作为WAP 协议栈的一个层次向上层提供安全传输服务接口。 WTLS是以安全协议TLS 1.0标准为基础发展而来的,提供通信双方数据的机密性、完整性和通信双方的鉴别机制。 WTLS在TLS的基础上,根据无线环境特点增加了一些新的特性,如对数据报的支持、握手协议的优化与动态密钥刷新等。
5.2 WAP协议的安全方式
我们可以通过 WAP 协议方式来解决移动支付交易协议的安全问题,WAP 的安全性主要由 WTLS/TLS、以及WMLScript SignText 来实现。
1)WTLS/TLS。 无 线 安 全 传 输 层 WTLS(WirelessTransport Layer
Security)是根据工业标准 TLS Protocol 制定的安全协定,是设计使用在传输层之上的安全层。WTLS 的功能类似全球资讯网站所用的 SSL 加密传输技术,可以确保资料在传输的过程中经过编码、加密处理,以避免黑客在资料传输过程中窃取保密性资料。WTLS 被设计在两个通信应用之间提供私密性、资料一致性和身份认证服务。WTLS 支持不同的安全等级,每一个等级都牵涉到不同的握手(Hand-shake)需求,较高等级的安全性可能需要较复杂的握手程序及较大的频宽。WTLS 支持不同的加密机制,并依据密钥的长度划分不同的安全等级[11]。
2)WMLScript SignText。使用者可以通过输入一些文字决定接受或
拒绝开发者写入的应用。WAP 浏览器提供一个WMLScript 功能,Crypto.signText 用来要求使用者输入一些字串。当呼叫 SignText 方法时,显示使用者输入的字串,要求使用者确认。例如,当使用者接受时,必须输入 PIN 码。资料签署后,签章和资料会传回服务器,服务器在取得数位签章后验证使用者身份。
30
重庆邮电大学移通学院毕业设计(论文)
结 论
移动电子商务随着移动互联网技术的成熟发展迅速,其应用使得其安全问题倍受关注。从技术上看,一方面无线通信的安全处在不断发展和完善中,其应用到移动电子商务中时要与其它的安全机制相结合才能满足实际应用的需要;另一方面有线电子商务的安全技术不能解决移动电子商务的安全问题,所以WPKI技术是一个现实的选择。因此,将这两方面进行改进并进行有机的整合,才能营造一个安全的移动电子商务环境。我们在本文中论述了各种技术和手段来满足安全、便捷的移动电子商务。
安全性作为电子商务的关键问题,是本文主要讨论的重点问题。根据安全性的需求和当前安全技术的发展趋势,我们介绍了WAP协议,分析了现实安全的关键技术WTLS协议。进一步地介绍WPKI的理论基础及现实。
目前,移动电子商务的技术已经日渐成熟,随着网络的飞速发展,人们不再满足于传统的局限在有限空间里的商务交易模式,希望随时随地进行交易,甚至在移动的过程中获得服务。如何保证移动电子商务的安全成为一个重要的研究课题,同时由于种种原因到达其安全需求的困难性,决定看该研究具有很大的挑战性,它需要我们进行更深入细致的研究。
31
重庆邮电大学移通学院毕业设计(论文)
致 谢
这次毕业论文能够得以顺利完成,并非我一人之功劳,是所有指导过我的老师,帮助过我的同学和一直关心支持着我的家人对我的教诲、帮助和鼓励的结果。我要在这里对他们表示深深的谢意!
感谢我的指导老师——高飞老师,没有您的悉心指导就没有这篇论文的顺利完成。
感谢所有教授过我课程的移通学院的老师们,是你们诲人不倦才有了现在的我。
感谢我的父母,没有你们,就没有我的今天,你们的支持与鼓励,永远是支撑我前进的最大动力。
感谢身边所有的朋友与同学,谢谢你们三年来的关照与宽容,与你们一起走过的缤纷时代,将会是我一生最珍贵的回忆。
在此,谨对所有在毕业论文写作中帮助过我的老师、同学表示衷心的感谢和由衷的敬意!
32
重庆邮电大学移通学院毕业设计(论文)
参考文献
[1]汪应洛. 中国移动商务研究与应用的回顾与展望 [J]. 信息系统学报,2008( 3) .
[2]汪应洛. 电子商务学科的理论基础和研究方向 [J]. 中国学科基金,2007( 4) .
[3]赵干辅. 中国移动电子商务发展初探[J]. 当代通信,2005( 22) . [4]叶乃沂,何耀琴,杨莉,王谦. 电子商务[M]. 西南交通大学出版社,2002.
[5]孔伟成,陈水芬. 网络营销[M]. 高等教育出版社,2002. [6]刘杰,王春萌,范春晓 . 移动电子商务及 WPKI技术[J]. 北京邮电大学学报,2002( 2) .
[7]旋奈德( Schneider,G. P. ) . 电子商务———经济教材译丛[M]. 机械工业出版社,2006. [8]史蒂芬·陈. 电子商务战略管理( 第 2 版) [M].北京大学出版社,2006. [9]Wade,M. ,S. Nevo. Development and Validation ofa Perceptual Instrument to Measure E - Commerce Perform-ance [J]. International Journal of Electronic Commerce,2006,10( 2) : 123 - 146.
[10]Belanger,F. . E - Commerce Web Development:Perspective from the Field[J]. Journal of Electronic Com-merce in Organizations,2006,4( 2) : 1 - 4. [11]Fisher,J. ,H. Scheepers,R. Scheepers. E - Com-merce Research in Australia[J]. Scandinavian Journal of In-formation Systems,2007,19( 1) : 39.
附 录
33
重庆邮电大学移通学院毕业设计(论文)
CA Certification Authority,认证中心
CRL Certificate Revoke List,证书撤销列表 Denail Of Service 服务拒绝
ECC Elliptic Curve Cryptography,椭圆曲线加密算法 Eavesdropping 窃听
MPS 移动定位器 WAP 无线应用协议 WEP WIP WTLS WPKI PKI Private Key Public Key RA SET 议
SSL
无线等效协议
无线身份识别模块 无线传输层安全 无线公钥基础设施
Public Key Infrastructure,公钥基础设施 私有密钥或私钥 共开密钥或私钥
Regisrater Authority,注册机构
Secure Electronic Transcation,安全电子交易协 Secure Socket Layer,安全套接层协议 34
重庆邮电大学移通学院毕业设计(论文)
35
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- jqkq.cn 版权所有 赣ICP备2024042794号-4
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务