一种以移动运营商为核心安全支付方案设计.docVIP

一种以移动运营商为核心安全支付方案设计 　　摘要：移动电子商务以其独特的优势近几年发展迅速，安全支付问题在移动电子商务发展过程中至关重要。在介绍了移动电子商务常用安全技术的基础上，提出了一种以移动运营商为核心的移动电子商务安全支付方案。 　　关键词：移动电子商务 安全支付 密钥 认证 　　1 引言 　　移动电子商务（M—Commerce）是一种特殊的电子商务体系，它是指用户通过各种移动通信设备，例如手机、个人数字助理、笔记本电脑等，而后通过移动通信网络来进行电子商务交易。 　　移动电子商务由电子商务发展而来，相对于传统的电子商务模式，移动电子商务突破了时间和地域的限制，具有灵活、便捷、高效的特点，已经成为电子商务发展的新方向，因为目前为止只有移动电子商务才能真正实现在任何地方、任何时间都能进行网上交易[1]。 　　对于有线电子商务用户来说，通常认为物理线缆能保证其传输数据的安全性，由于移动电子商务采用的是无线传输信道，加之其安全技术不够完善，因此安全问题已成为制约移动电子商务发展的瓶颈。 　　具体的问题为： 　　1、交易双方身份的不确认性。现在的移动电子交易是客户在电子商务网站注册之后进行购物，商家和客户的信息真实程度无法保证，容易造成交易的其中一方出现欺诈行为。 　　2、客户资料的保密性以及支付的安全性。首先，现在的移动电子商务采用客户和商家的直接对话，随着次数的增多，客户的资料信息容易被窃听和篡改。其次，大部分客户仍然使用手机等终端利用网上银行进行支付，由于手机的安全性能不如计算机，加之采用无线信道传输，其支付的安全性得不到保证。 　　2 移动电子商务安全需求 　　2.1可靠性 　　可靠性是指保证交易的对象是真实的。在传统的纸面交易中，交易双方通过在交易合同等书面文件上手写签名或印章等确定其合同的可靠性。在无纸化的电子商务方式下，必须保证整个交易过程中参与者具有国家提供的可靠的标识。 　　2.2机密性 　　机密性是指消息内容不被无关者看到。电子商务作为交易的一种手段，其信息直接代表着交易双方的机密。传统的交易都是通过邮寄封装的信件来达到保守机密的目的。移动电子商务是通过无线信道进行数据传输的，维护商业机密是移动电子商务全面推广应用的重要保障。 　　2.3不可否认性 　　不可否认性又称抗抵赖性，是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，防止接收方和发送方更改交易的原始记录。 　　2.4完整性 　　数据的完整性是指数据在传输过程中不会被恶意的改变，即接受者所收到的数据就是发送者所发出的数据，同时，发送者发送的数据能够准确无误的传送到接收者手中。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失、重复并保证信息传送次序的统一[2]。 　　3移动电子商务常用安全技术及存在的问题 　　3.1常用安全技术 　　3.1.1加密技术 　　可应用于移动电子商务环境的加密技术是WPKI，即“无线公开密钥体系”，它是将互联网电子商务中PKI（Public Key Infrastructure）安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。 　　WPKI并不是一个全新的PKI标准，它是传统的PKI技术应用于无线环境的优化扩展。二者之间最主要的区别在于加密算法的不同。在优先环境下PKI一般使用RSA签名算法，在WPKI中采用了优化的ECC椭圆曲线加密算法ECDSA。这是因为与密钥长度为1024Bit的RSA算法相比，椭圆曲线算法以160Bit的密钥长度保持与之相同的安全性且计算速度更快[3]。 　　3.1.2数字签名 　　数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。它的主要方式是，报文的发送方从报文文本中生成一个128位的散列值（或报文摘要）。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值（或数字指纹），接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别[4]。 　　3.1.3数字证书 　　数字证书就是指互联网通讯中标志通讯各方身份信息的一系列数据，它提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照