基于WAP的移動(dòng)電子商務(wù)安全研究

寧加豪

（廣東省電子信息高級(jí)技工學(xué)校，廣東 廣州 510000）

基于WAP的移動(dòng)電子商務(wù)安全研究

寧加豪

（廣東省電子信息高級(jí)技工學(xué)校，廣東 廣州 510000）

移動(dòng)電子商務(wù)有傳統(tǒng)電子商務(wù)無法比擬的優(yōu)點(diǎn)，但由于網(wǎng)絡(luò)本身的開放性，移動(dòng)電子商務(wù)面臨著各種各樣的安全威脅，因此其安全問題備受關(guān)注?；诖耍榻B了實(shí)現(xiàn)移動(dòng)電子商務(wù)安全的主要承載技術(shù)WAP，就WAP的協(xié)議結(jié)構(gòu)和安全會(huì)話模型進(jìn)行了分析，并對(duì)于WAP存在的安全威脅，介紹了常用的安全技術(shù)，提出了三種端點(diǎn)到端點(diǎn)文件傳輸安全的解決方案。

移動(dòng)電子商務(wù)；WAP結(jié)構(gòu)；安全傳播；安全技術(shù)

隨著移動(dòng)通信技術(shù)的大力發(fā)展以及移動(dòng)終端的廣泛普及（截至2016-12，手機(jī)網(wǎng)民達(dá)到6.95億，占網(wǎng)民總數(shù)的95.1%），一種新型的商務(wù)模式應(yīng)運(yùn)而生并快速發(fā)展——移動(dòng)電子商務(wù)。它是在移動(dòng)通信技術(shù)和Internet技術(shù)相結(jié)合的基礎(chǔ)上而出現(xiàn)的一種電子商務(wù)形式，相對(duì)于傳統(tǒng)的電子商務(wù)形式具有靈活、簡(jiǎn)單、方便等特點(diǎn)。然而，由于移動(dòng)電子商務(wù)需要在移動(dòng)個(gè)人終端和有線網(wǎng)絡(luò)中進(jìn)行信息通信，這就使得整個(gè)交易過程承受著無線網(wǎng)和有線網(wǎng)通信中的雙重安全風(fēng)險(xiǎn)，因此如何保證交易的安全性則是研究的重點(diǎn)。

1WAP的協(xié)議結(jié)構(gòu)

WAP模式應(yīng)用數(shù)據(jù)系統(tǒng)包括3部分，分別是WEB網(wǎng)絡(luò)服務(wù)器、移動(dòng)終端和WAP網(wǎng)關(guān)。通過大量的實(shí)踐應(yīng)用，人們將移動(dòng)終端簡(jiǎn)稱為客戶端，其可以涵蓋諸多的重點(diǎn)設(shè)備，比如PDA、移動(dòng)手機(jī)等。對(duì)于WEB服務(wù)器來說，其主要的應(yīng)用作用表現(xiàn)在網(wǎng)絡(luò)信息數(shù)據(jù)的傳輸，以此來有效滿足客戶的個(gè)性化需求。就WAP來講，網(wǎng)關(guān)與網(wǎng)絡(luò)用戶以及網(wǎng)絡(luò)服務(wù)器相連接，對(duì)數(shù)據(jù)進(jìn)行分析，并對(duì)數(shù)據(jù)進(jìn)行編譯，翻譯成各種語言，非常輕易地讓SSL與WTLS之間的協(xié)議數(shù)據(jù)進(jìn)行交換。WAP網(wǎng)關(guān)把來自WAP互聯(lián)網(wǎng)服務(wù)器的SSL加密數(shù)據(jù)編譯成與WTLS安全協(xié)議相適應(yīng)的信息，通過安全的無線網(wǎng)絡(luò)傳輸方式，最終傳輸?shù)娇蛻舳?，形成WAP終端，然后再向WEB互聯(lián)網(wǎng)服務(wù)器傳輸對(duì)應(yīng)的數(shù)據(jù)信息；實(shí)際上，這也是利用構(gòu)建的WAP及其網(wǎng)關(guān)轉(zhuǎn)換格式的方式，并且利用SSL格式（加密數(shù)據(jù)）取締WTLS安全數(shù)據(jù)格式。

2 WAP的安全傳播模式

事實(shí)上，移動(dòng)電子商務(wù)的出現(xiàn)代表著一次時(shí)代的轉(zhuǎn)變，它既是傳統(tǒng)電子商務(wù)的傳承，又有著獨(dú)具時(shí)代特色的發(fā)展特點(diǎn)，幫助電子商務(wù)更好地順應(yīng)時(shí)代的發(fā)展。移動(dòng)電子商務(wù)的出現(xiàn)標(biāo)志著互聯(lián)網(wǎng)商務(wù)革命的到來，它不僅有機(jī)地結(jié)合了傳統(tǒng)電子商務(wù)技術(shù)和發(fā)達(dá)的互聯(lián)網(wǎng)通信技術(shù)，還指明了電子商務(wù)行業(yè)發(fā)展的一個(gè)新方向。

然而，移動(dòng)電子商務(wù)的發(fā)展也涌現(xiàn)出了許多安全隱患，2016年70.5%的網(wǎng)民發(fā)生過安全事件。截至2016-12，1.08億臺(tái)安卓智能手機(jī)感染過惡意程序。這些安全隱患制約著移動(dòng)電子商務(wù)的發(fā)展，那么如何去建立一個(gè)安全的、便捷的電子商務(wù)應(yīng)用環(huán)境，以保證整個(gè)電子商務(wù)活動(dòng)中的信息數(shù)據(jù)安全性，對(duì)于促進(jìn)移動(dòng)電子商務(wù)發(fā)展有著十分重要的理論價(jià)值和實(shí)際的參考意義。

3 移動(dòng)電子商務(wù)的安全技術(shù)

移動(dòng)電子商務(wù)的出現(xiàn)在一定程度上改變和發(fā)展了電子交易方式，因?yàn)橐苿?dòng)電子商務(wù)獨(dú)特的低成本、高安全性能、共享性等特點(diǎn)而被人們廣泛接受。

3.1 加密技術(shù)

隨著移動(dòng)電商技術(shù)應(yīng)用的不斷深化，加密技術(shù)也得以應(yīng)用和推廣，這也在很大程度上實(shí)現(xiàn)了數(shù)據(jù)信息的快速傳輸以及交易數(shù)據(jù)的準(zhǔn)確完整，加密技術(shù)可以清晰地分辨出交易兩方的身份真實(shí)性，確保不會(huì)發(fā)生數(shù)據(jù)傳輸?shù)陌踩[患。加密技術(shù)是通過密碼學(xué)領(lǐng)域的知識(shí)把數(shù)據(jù)和信息轉(zhuǎn)變成為編譯的文字或者其他類型的密碼形式進(jìn)行傳輸，到了傳輸終端以后，再把編譯的密碼形式翻譯成為原本的數(shù)據(jù)信息，保證整個(gè)傳輸過程的信息安全。

3.2 身份認(rèn)證

身份認(rèn)證技術(shù)指的是網(wǎng)絡(luò)設(shè)備系統(tǒng)及計(jì)算機(jī)系統(tǒng)通過各種技術(shù)手段的有效利用來識(shí)別使用者的身份信息，內(nèi)容類別包括數(shù)字證書、隨機(jī)口令以及生物體貌特征等技術(shù)。對(duì)于隨機(jī)口令而言，主要包括靜態(tài)、USBKEY以及動(dòng)態(tài)密碼口令等幾種認(rèn)證方式；并且由證書發(fā)行機(jī)構(gòu)所頒布的數(shù)字認(rèn)證證書可以對(duì)各個(gè)使用者的身份信息進(jìn)行標(biāo)記；生物體貌特征身份認(rèn)證指的是通過臉部、人體掌紋和指紋、視網(wǎng)膜、人體氣味、虹等來進(jìn)行使用者身份信息的識(shí)別。

3.3 防火墻技術(shù)

防火墻技術(shù)是針對(duì)互聯(lián)網(wǎng)的安全隱患使用的保護(hù)措施，是一道用來抵擋外部危險(xiǎn)因素的虛擬屏障，防止外部未經(jīng)授權(quán)的用戶訪問移動(dòng)數(shù)據(jù)。防火墻技術(shù)主要包括服務(wù)器訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)四個(gè)方面，而防火墻技術(shù)又有著網(wǎng)絡(luò)防火墻技術(shù)和計(jì)算機(jī)防火墻技術(shù)之分，主要差別在于一個(gè)是設(shè)置在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的防火墻，另一個(gè)是設(shè)置在外部網(wǎng)絡(luò)與計(jì)算機(jī)之間的防火墻，都是以計(jì)算機(jī)硬件與軟件結(jié)合為基礎(chǔ)。

3.4 數(shù)字簽名技術(shù)

通過數(shù)字簽名技術(shù)，移動(dòng)電子商務(wù)在數(shù)據(jù)信息傳播過程中可以有效地保護(hù)信息的完整與安全，而且能夠提供發(fā)送信息者的身份。在發(fā)送信息時(shí)，通過個(gè)人私密鑰匙對(duì)數(shù)據(jù)信息簽名，信息接收的一方可以利用信息發(fā)送方的公用鑰匙驗(yàn)證傳輸?shù)臄?shù)據(jù)信息，可以有效判斷這個(gè)數(shù)字簽名是不是信息發(fā)送方的，并且其他的人如果沒有信息發(fā)送方的私密鑰匙是不可以對(duì)這個(gè)私密鑰匙造假的。

3.5 電子協(xié)議

電子安全協(xié)議，主要包括安全電子交易（SET）與安全套階層（SSL）協(xié)議。其中，SSL主要是對(duì)通信內(nèi)容進(jìn)行加密處理，可以提供給用戶還有網(wǎng)絡(luò)服務(wù)器終端進(jìn)行認(rèn)證，用來保障數(shù)據(jù)信息在交互傳播中不會(huì)丟失，保證信息完整。安全電子交易協(xié)議SET具體來講是一種虛擬的電子商務(wù)行業(yè)規(guī)范，其本身的特質(zhì)是應(yīng)用在網(wǎng)絡(luò)中以信用卡為基礎(chǔ)的電子交易系統(tǒng)規(guī)范，它的存在有效地保證了網(wǎng)絡(luò)交易的安全性。

4 WAP的安全解決方案

4.1 透明的網(wǎng)關(guān)模型

透明的網(wǎng)關(guān)模型是通過即將發(fā)送到WAP網(wǎng)關(guān)的數(shù)據(jù)信息經(jīng)過WTLS進(jìn)行提前的加密環(huán)節(jié)，并且同時(shí)間與WEB互聯(lián)網(wǎng)服務(wù)器進(jìn)行連接。在透明的網(wǎng)關(guān)模型下，WPA網(wǎng)關(guān)不僅通過了無線網(wǎng)絡(luò)的連接，而且在互聯(lián)網(wǎng)服務(wù)器中實(shí)現(xiàn)了解析WAP協(xié)議的功能，所以這就要求要根據(jù)實(shí)際情況和需求來及時(shí)更新WEB互聯(lián)網(wǎng)服務(wù)器。

4.2 WAP互聯(lián)網(wǎng)服務(wù)器模型

這種WAP互聯(lián)網(wǎng)服務(wù)器模型是通過WTLS對(duì)移動(dòng)終端和WAP互聯(lián)網(wǎng)服務(wù)器之間傳輸?shù)男畔?shù)據(jù)進(jìn)行加密環(huán)節(jié)，在WEB互聯(lián)網(wǎng)服務(wù)器中，WAP網(wǎng)關(guān)作為重要構(gòu)成要素，在傳播信息數(shù)據(jù)解密后不必再通過網(wǎng)絡(luò)傳到互聯(lián)網(wǎng)服務(wù)器，而是直接傳輸?shù)交ヂ?lián)網(wǎng)服務(wù)器，這一過程完美實(shí)現(xiàn)并且保證了終端到終端的數(shù)據(jù)傳輸安全。在WAP互聯(lián)網(wǎng)服務(wù)器模型的模式下，移動(dòng)終端設(shè)備系統(tǒng)需要進(jìn)行重新組合配置，不過有些因素限制了它的更新，因?yàn)檫@種重新的配置更新所需投入的資金較多，在金融機(jī)構(gòu)領(lǐng)域比較適用，如證券、銀行等。

4.3 WTLS隧道模型

WTLS隧道模型，是在互聯(lián)網(wǎng)時(shí)代發(fā)展下的一種終端到終端的數(shù)據(jù)傳輸安全模型方案，它在WAP網(wǎng)關(guān)里的數(shù)據(jù)信息不是以明文的類型出現(xiàn)存在的。當(dāng)信息數(shù)據(jù)在用戶使用終端和互聯(lián)網(wǎng)服務(wù)器之間進(jìn)行傳輸?shù)倪^程中，利用WAP網(wǎng)關(guān)對(duì)WTLS安全協(xié)議和TLS協(xié)議保護(hù)數(shù)據(jù)進(jìn)行轉(zhuǎn)安全協(xié)議轉(zhuǎn)換。在WTLS隧道模型的模式中，用戶移動(dòng)終端可以先利用WTLS安全協(xié)議來加密信息數(shù)據(jù)，當(dāng)將加密后的信息數(shù)據(jù)傳輸?shù)絎AP網(wǎng)關(guān)之后，其編譯提出環(huán)節(jié)是無法直接進(jìn)行的，而是要經(jīng)過TLS協(xié)議對(duì)加密的信息數(shù)據(jù)進(jìn)行二次加密。待到互聯(lián)網(wǎng)成功接收信息數(shù)據(jù)之后，先是把WAP網(wǎng)關(guān)的TLS協(xié)議加密信息數(shù)據(jù)進(jìn)行一個(gè)解密，之后再對(duì)WTLS安全協(xié)議進(jìn)行解密。當(dāng)WAP互聯(lián)網(wǎng)服務(wù)器把信息數(shù)據(jù)回傳到用戶移動(dòng)終端的時(shí)候，也需要經(jīng)過這樣類似的二次加密與二次解密的過程。

5 設(shè)立WAP的移動(dòng)電子商務(wù)安全維護(hù)基線

WAP的移動(dòng)電子商務(wù)安全保障首先要針對(duì)移動(dòng)電子商務(wù)業(yè)務(wù)系統(tǒng)，并結(jié)合系統(tǒng)的WAP安全特點(diǎn)，找到安全付出成本與所能夠承受的安全風(fēng)險(xiǎn)之間的一個(gè)安全基線，建立有效的安全檢查點(diǎn)與操作指南的基準(zhǔn)安全標(biāo)準(zhǔn)。然后是規(guī)范操作、做好日常的安全巡查，做好日常的賬戶與數(shù)據(jù)保護(hù)、防滲透等基本防護(hù)操作，合理選擇、正確使用好防病毒軟件、防火墻等安全防護(hù)工具。

6 結(jié)束語

綜上所述，我國(guó)無線網(wǎng)絡(luò)普及化極大地促進(jìn)了移動(dòng)電子商務(wù)的蓬勃發(fā)展，但用戶在享受移動(dòng)電子商務(wù)帶來便利的同時(shí)，安全問題成為移動(dòng)電子商務(wù)發(fā)展道路上的制約因素。因此，要保障移動(dòng)電子商務(wù)安全，應(yīng)要逐步完善WAP自身的安全機(jī)制，并根據(jù)WAP的基本安全機(jī)制開發(fā)出不同安全級(jí)別的移動(dòng)電子商務(wù)解決方案。

此外，還要有一個(gè)安全管理環(huán)境作保障，建立一系列健全的法律法規(guī)來約束，相信在各方面的共同努力下，移動(dòng)電子商務(wù)的發(fā)展前景將會(huì)更加廣闊。

［1］徐峰.基于WAP的移動(dòng)電子商務(wù)安全方案［J］.數(shù)字技術(shù)與應(yīng)用，2012（12）：157，159.

［2］劉衛(wèi)，杜治娟，樊麗杰.移動(dòng)電子商務(wù)安全方案與技術(shù)研究［J］.河北省科學(xué)院學(xué)報(bào)，2012（02）：21-26.

〔編輯：張雅麗〕

TN929.5；F713.36

A

10.15913/j.cnki.kjycx.2017.13.085

2095-6835（2017）13-0085-02