❶ 為什麼說無線技術的發展使移動商務成為常態
移動電子商務?(M-Commerce)是通過可信任的移動終端進行商品買賣和交易服務過程。
狹義的講是通過手機、PDA(個人數字助理)、呼機等移動通信設備與網際網路有機結合所進行的電子商務活動,移動終端是可以接入無線網路的設備,包括行動電話、無線固定電話、PDA和帶有無線MOKEM的筆記本電腦等等。它包括移動支付、無線CRM、移動股市、移動銀行與移動辦公等。它能提供以下服務:PIM(個人信息服務)、銀行業務、交易、購物、基於位置的服務(Lo-cationbasedservice)、娛樂等。
移動電子商務的主要特點是靈活、簡單、方便。它能完全根據消費者的個性化需求和喜好定製,設備的選擇,以及提供服務與信息的方式完全由用戶自己控制。通過移動電子仔晌商務,用戶可隨時隨地獲取所需的服務、應用、信息和娛樂。可以使用智能電話或PDA查找、選擇及購買念擾鋒商品和服務。
移動電子商務因其快捷方便、無所不在的特點,已經成為電子商務發展的新方向。
我國移動電子商李腔務之所以會迅速發展,原因在於社會化大生產和市場經濟,以及全球經濟一體化的發展,需要電子商務尤其是不受地點和時間、不受氣候和環境限制的移動電子商務。
❷ 基於WPKI技術的移動電子商務解決方案
WPKI技術的發展趨勢及應用展望
前言
隨著移動通信和互聯網技術的發展,以及各行各業對IT技術日漸多樣化的需求增多,用戶希望能夠無時無刻、在任何地點均能上網,因而無線通信技術在銀行、證券、商務、貿易、辦公、教育等各方面的需求越來越多,無線通信領域的安全問題也因此引起了廣泛的重視。
據IDC預測,在2000年至2005年期間,全球的信息安全服務市場將增長三倍之多,達到210億美元,綜合年增長率接近25.5%。IDC信息安全服務調查項目的高級分析師AllanCarey說:「公司對無線接入服務的需要越來越大,是目前對先進的信息安全服務需求的驅動因素之一。要知道,針對網路系統安全的技術始終與破壞網路系統安全的技術發展保持同步。」
無線網路安全技術在移動商務中也起著非常重要的作用,它守護著商家和客戶的重要機密,維護著商務系統的信譽和財產,同時為服務方和被服務方提供極大的方便,因此,只有採取了必要和恰當的技術手段才能充分提高移動商務的可用性和可推廣性。
目前,國際上安全加密的研究主要以有線網路為主,涉及無線網路的安全技術研究屈指可數,國內的研究與應用也正處於探索之中。為了適應無線網路認證和加密的需要,WPKI()技術即無線公開密鑰體系漸漸發展起來,並逐漸在無線數據業務中得到實際應用。
一、WPKI的概念
無線網路的安全性同有線網路一樣,大致可以粗略地分為四個相互交織的部分:保密、鑒別、抗否認和完整性控制。保密是指保護信息在存儲和傳輸的過程中的機密性,防止未授權者訪問;鑒別主要指在揭示敏感信息或進行事務處理前必須先確認對方的身份;抗否認性要求能夠保證信息發送方不能否認已發送的信息,這與簽名有關;完整性控制要求能夠保證收到的信息的確是最初的原始數據,而沒有被第三者篡改或偽造。
目前,國內外的一些組織和公司正在按照上述安全性的需求努力地研究和開發無線網路安全的技術,隨著無線網路安全技術的日益發展和逐步成熟,WPKI技術在無線網路安全領域得到了很多國家的高度重視,其應用也日趨廣泛。
這里首先簡單介紹一下PKI的概念,PKI(PublicKeyInfrastructure)即公開密鑰體系,簡單地說,PKI技術就是利用公鑰理論和技術建立的提供信息安全服務的基礎設施,它是國際公認的互聯網電子商務的安全認證機制,它利用現代密碼學中的公鑰密碼技術在開放的Internet網路環境中提供數據加密以及數字簽名服務的統一的技術框架。公鑰是目前應用最廣泛的一種加密體制,在這一體系中,加密密鑰與解密密鑰各不相同,發送信息的人利用接收者的公鑰發送加密信息,接收者再利用自己專有的私鑰進行解密。這種方式既保證了信息的機密性,又能保證信息具有不可抵賴性。目前,公鑰體系廣泛地用於CA認證、數字簽名和密鑰交換等領域。
WPKI即「無線公開密鑰體系」,它是將互聯網電子商務中PKI(PublicKeyInfrastrcture)安全機制引入到無線網路環境中的一套遵循既定標準的密鑰及證書管理平台體系,用它來管理在移動網路環境中使用的公開密鑰和數字證書,有效建立安全和值得信賴的無線網路環境。
WPKI並不是一個全新的PKI標准,它是傳統的PKI技術應用於無線環境的優化擴展。它採用了優化的ECC橢圓曲線加密和壓縮的X.509數字證書。它同樣採用證書管理公鑰,通過第三方的可信任機構——認證中心(CA)驗證用戶的身份,從而實現信息的安全傳輸。
二、WPKI技術及發展現狀
WPKI系統的主要功能是為基於移動網路的各類移動終端用戶、以及移動數據服務提供商的業務系統提供基於WPKI體系的各種安全服務,其系統架構圖如下:
WPKI安全體系總體架構圖
無線終端通過注冊機構向證書中心申請數字證書,證書中心經過審核用戶身份後簽發數字證書給用戶,用戶將證書、私鑰存放在UIM卡中,無線終端在無線網路上進行電子商務操作時利用數字證書保證端對端的安全。服務提供商則通過驗證用戶證書確定用戶身份,並提供給用戶相應的服務,從而實現電子商務在無線網路上的安全運行。
類似於PKI系統的建設,一個完整的WPKI系統必須具有權威證書簽發機關(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用介面等基本構成部分,其構建也將圍繞著這五大系統進行。
證書簽發機關(CA):CA即數字證書的申請及簽發機關,CA必須具備權威性的特徵。
數字證書庫:用於存儲已簽發的數字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公鑰。
密鑰備份及恢復系統:為避免用戶丟失解密數據的密鑰,WPKI提供備份與恢復密鑰的機制。但密鑰的備份與恢復必須由可信的機構來完成,而且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰為確保其唯一性而不能夠作備份。
證書作廢系統:證書作廢處理系統是WPKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內也可能需要作廢,如是密鑰介質丟失或用戶身份變更等。
應用介面:一個完整的WPKI必須提供良好的應用介面系統,使各種各樣的應用能夠以安全、一致、可信的方式與WPKI交互,確保安全網路環境的完整性和易用性。
通常來說,CA做為數字證書的簽發機關,它是WPKI系統的核心。數字證書,又叫「數字身份證」、「數字ID」,是由認證中心發放並經認證中心數字簽名的,包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件,可以用來證明數字證書持有者的真實身份。它採用公開密鑰體制,即利用一對互相匹配的密鑰進行加密、解密。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過使用數字證書,能夠保證數據傳輸的真實性、機密性,數據的完整性,身份認證以及交易的不可抵賴性。
目前,國際上很多國家都在研究WPKI技術,美國、日本和歐洲各國都已發展出自己的信息安全技術和產業,WPKI領域的主流體系有如下幾種:
WAP FORUM制定的WAP PKI;
日本NTT的I-MODE的安全體系;
美國PALM公司的安全體系;
這些組織的WPKI體系均具備自己完整的協議體系,並且已經在無線數據業務中得到實際應用,國內的一些廠商也正在著手WPKI技術的研究和開發,目前也取得了一定程度的進展。
三、WPKI技術的應用
隨著移動通信和互聯網逐漸成為信息產業的兩大支柱,無線通信技術在銀行、證券、商務、貿易、辦公、教育等各方面的需求越來越多,無線通信的安全性也顯得日益重要,因而WPKI技術也漸漸發展起來,它為解決移動環境下的安全認證和支付奠定了基礎。
1、無線存取電子郵件
由於商業活動信息交換的比較頻繁而且實時性較強,商業人士可能會隨時用電子郵件交換一些秘密的或是有商業價值的信息,因而用手機無線上網收發電子郵件就成為一種易用、高效的信息交換工具,這同時引出了一些安全方面的問題,例如,消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉,同時,發信者的身份也會被人偽造,可能造成不可挽回的經濟損失。
在遵從可以發送加密和有簽名郵件的安全電子郵件協議的前提下,採用WPKI技術可以解決這一問題。當用手機無線上網發送電子郵件給一位或多位接收人時,發送者可以先將郵件加密、簽名。這樣,只有指定的接收人才可以在CA中心的伺服器上取得公鑰並開啟郵件,即使該郵件被其他人截獲,這些人也會因為得不到公鑰而無法閱讀郵件。
2、在移動商務中的應用
在移動商務中,如何實現在線、實時、安全的支付是技術實施的核心,尤其在移動環境下,需要准確地識別人員身份、判別帳號真偽,並迅速、安全地實現資金轉帳處理。WPKI技術在移動商務中有如下方面的應用:
1)網上銀行
用戶可以用移動設備通過網上銀行輕松實現電話費繳納、商場購物、繳泊車費、自動售貨機買飲料、公交車付費、投注彩票等手機支付服務。如果在網上銀行系統中採用了WPKI和數字證書認證技術,不法分子即使竊取了卡號和密碼,也無法在網上銀行交易中實現詐騙。從世界范圍看,數字證書技術已經被廣泛地應用在國內外網上銀行系統中,至今尚未發現一例由於數字證書被攻破而使網上銀行詐騙得逞的案件。網上銀行的應用主要有如下兩種:
無線電子支付:用戶可以利用手機完成實時的支付,在付款過程中用戶通過認證後輸入相應的銀行卡帳號,支付系統會從遠程帳號上自動減掉這筆賬目,主要處理交易完成之後回傳給用戶相應信息並加以確認。
無線電子轉帳:用戶可以通過手機連接到銀行,執行登錄操作後進行轉帳交易。此時,銀行的相應伺服器必須確認用戶的轉帳交易資料,它會要求用戶端做電子簽章的確認,也會發給用戶一份電子收據。
2)網上證券和網上繳稅
同樣,通過移動終端設備進行無線網上證券交易和網上繳稅也給用戶帶來了極大便利,減少了操作時間,提高了辦事效率,但是也面臨著安全性和可靠性的問題。類似於網上銀行系統的實現,採用WPKI體系做為安全技術框架,移動用戶可以通過使用個人擁有的數字證書,使信息獲得更有效的、端到端的安全保障。
3、其他應用
WPKI技術在其他領域內也有廣泛的應用,以下是幾個簡單的例子:
在指紋識別系統方面,公安局可以使用附有指紋識別與網路瀏覽器的PDA裝置,運用無線上網方式,連線至已經建立好的指紋、相片甚至臉型、聲音特徵等資料庫進行即時的線上查詢與對比,這些資料採用WPKI體系加密後再傳輸於PDA與資料庫之間,可以達到安全保密的效果。
公安部門執行拘留、逮捕等重大行動之前,法律規定必須有主管領導的簽字審批。但在現實工作中,領導工作流動性大,有時難以找到,如果領導具有移動終端,實時通過無線查詢得到需要審批的工作內容,在簽署審批意見後立即發送到後台業務系統中,WPKI機制能夠保證領導審批內容傳輸過程中的保密和完整,並從技術上保障領導簽署審批意見後不可否認。
為了及時掌握企業產品的銷售情況,許多企業經常派遣銷售人員去做市場調研,收集本企業產品的銷售和庫存信息以及競爭對手的活動,以便及時通知企業補給缺貨或者調整定價。為保證消息的及時可靠,銷售人員可以使用無線移動終端設備,將相關信息以加密方式傳回企業內部,企業可以實時更新各種商業信息和工作流程。
在小型超市及物流倉庫的盤點方面,工廠倉庫的盤點人員進行完盤點後,可以通過無線網路直接將相應資料以加密的方式傳回到相應部門,同時可以進行數字簽名,保證的信息的安全和可靠性。
四、WPKI技術的發展趨勢
基於國外WPKI技術的發展經驗和國內目前的狀況,我們認為WPKI技術未來的發展有如下趨勢:
1、標准化
隨著WPKI技術的逐漸普及,為了更好地為移動用戶提供優質的服務,提高WPKI的運行規模和效率,推廣WPKI產品的應用,不同廠商、不同國家和地區的WPKI產品需要互連互通,並且能夠進行互操作,這要求它們支持相同的標准,如證書格式及介面規范等,因此標准化是將來WPKI發展的必然趨勢。
2、國際化
隨著移動商務的深入發展和中國加入WTO,中國經濟與世界經濟的聯系將越來越緊密,為滿足移動商務的國際化需求,必然要求國內的CA中心與國際性的CA公司進行交叉認證。
3、商業化
網路並非一個完全可信的交易環境,目前我國相關的法律法規還很不健全,人與人之間不能建立信任,政府也不能出面證明,所以CA認證既不同於管理,也不同於法律,而更接近於一種契約,這種契約形式的關系更適應於商業化運作。可以預計,目前具有濃厚政府色彩的CA中心也將逐步從政府中剝離出來,採取商業化運作。
4、集中化
目前國內建設的多個CA中心幾乎都有明顯的局部特徵和探索性質,規模較小而且簡單重復,難以滿足社會化服務的要求。在自身的權威性要求下,CA中心必然需要運作規范,技術、資金實力雄厚,而且能適應國際化趨勢的要求。因此,未來幾年中,建設集中化的大型CA中心已是必然。
五、WPKI技術的發展和應用存在的問題
WPKI技術雖然有著廣泛的應用前景,但在技術實現和應用方面仍面臨著一些問題:
1、相對於有線終端,無線終端的資源有限,它處理能力低,存儲能力小,需要盡量減少證書的數據長度和處理難度。
2、無線網路和有線網路的通信模式不同,由於WPKI證書是IETFPKIX證書的一個分支,還需要考慮WPKI與標准PKI之間的互通性。
3、無線信道資源短缺,帶寬成本高,時延長,連接可靠性較低,因而技術實現上需要保證各項安全操作的速度,這是WPKI技術成功的關鍵之一。
4、為了能夠吸引更多的人利用WPKI技術從事移動商務等活動,必須提供方便可靠和具備多種功能的移動設備,因此,必須改進移動終端的設計,以滿足技術和應用的需要。
5、就目前的應用情況來看,WPKI技術的應用更多的集中於獲取信息、訂票、炒股等個人應用,缺乏更多、更廣泛、更具吸引力的應用,這無疑會對WPKI技術和應用的發展起到一定的制約作用。
6、我國沒有正式頒布有關數字簽名、電子文檔及認證中心等方面的法律法規,使得數字簽名得不到法律的保護,這在一定程度上影響了人們對WPKI的信任,同時也會影響到WPKI技術的應用和普及。
小結
目前,WPKI正處於進行產品開發和大力培育市場的時期,國內外對WPKI技術的研究與應用正處於不斷的探索之中,由於一些條件和因素的限制,WPKI技術的進展相對比較緩慢,離真正的普及應用可能還會有一段相當長的距離。
展望未來,隨著手機普及率的升高和移動商務服務的多樣化,作為無線網路通信中交易環境的守護神,WPKI的市場應用會有很大的發展潛力,其技術會進一步成熟和完善,它必將成為無線通信安全領域研究討論的熱點。