夏同胜 汪志林

(1、2.徽商职业学院，安徽 合肥 231201)

基于WAP移动电子商务的安全对策

夏同胜1汪志林2

(1、2.徽商职业学院，安徽 合肥 231201)

文章通过移动电子商务的发展现状探讨了移动电子商务面临的安全威胁，并在此基础上分析了WAP技术的应用模型，提出了一种基于WAP的移动电子商务安全对策应用模型。

WAP；移动电子商务；安全对策

引言

移动电子商务是指借助移动通信技术和网络信息技术为平台，在各种移动通信设备终端之间，如手机，或者某类移动终端，如各类平板电脑，与PC等网络信息终端之间，利用移动电子商务的解决方案，为用户提供移动状态下的各种方便、快捷、高效，具有增值能力和快速响应能力的移动电子商务活动[1]。如今，移动电子商务发展的如火如荼，在全球范围内得到了重视，而且，在不同的国家也表现出了不同的发展形态和特点。在这样国家中，尤其以美欧等西方发达国家发展的最好，它们的移动电子商务一直处于领先的地位。随着全球一体化的到来和信息技术革命的开展，移动电子商务如今已经成为了我国发展的最好的商务活动之一。在手机类电子商务的应用中，如信息获取、休闲娱乐、交流沟通等的使用率都在快速地增长，移动互联网的各类应用都在蓬勃发展。移动电子商务安全问题越来越成为广大网民关心的热点问题。

一、移动电子商务面临的安全威胁

移动电子商务在发展过程中遇到的最大问题就是安全问题，这也决定了移动电子商务发展成功与否的关键因素。移动网络的最大特征：移动性和开放性，这些给移动电子商务的发展带了极大的优势，使移动电子商务得以迅速发展和普及，但也带来了诸多问题，这反过来也严重地阻碍了移动电子商务的前进与发展。随着移动终端功能的逐步完善，其可以处理的信息量迅速增加，存储的资料数据也逐渐地增大起来，移动终端的安全性、移动商务交易过程的安全性、移动商务交易信息及大量商业秘密的安全性，都将面临日益严峻的安全威胁。对于移动电子商务来说，由于其使用了移动网络通信技术，是建立在无线通道基础上的，而这个信道是开放的，所有，针对移动通信来说，其面临着更多的不安全因素，如：

二、WAP技术及其应用

WAP(无线应用协议，Wireless Application Protocol)，其组成主要是一组无线网络规范，通过解决手机上网浏览问题，向移动终端提供互联网应用和服务[3]。并且，其可适用于所有的无线网络技术，最终实现了使移动终端用户可以利用无线设备访问互联网，并交互式地使用各种信息技术和服务。WAP提供了一个方便、快捷、高效，而且安全、交互、实时的通信方式，成为连接用户、客户、信息、服务的媒介。特别是移动电子商务，更是WAP协议下最为有效便捷的应用之一。

1、WAP的应用领域

随着移动业务的不断发展壮大，WAP的应用领域也得到了迅速的拓展。目前比较成熟的应用主要有：即时信息的浏览，如新闻资讯、股票交易、天气变化、航班情况、娱乐和体育，甚至包括健康保健信息等，还有即时通讯工具QQ、微信的使用，移动E-mail也深受欢迎，特别是手机游戏，是增长最快的移动应用之一[5]。“移动博客”、“WAP通讯录”，这些具有创新意义的移动应用也得到了用户的喜爱。如今，手机电视、手机地图导航等新兴的移动应用服务也到了广大用户的青睐。总的说来，WAP服务可应用于信息发送、接收、维护，完成特定的商业程序，如：电子邮件的发送与接收、消息的通知与呼叫的管理、客户定制的服务、地图与位置定位、新闻信息的实时播报、气象信息的即时更新，甚至包括电话业务的增值服务，等等。所以这些应用的推广和普及，都不外乎证明了一点，移动电子商务的应用已经由原来单纯的信息提供，逐步转向提供更加复杂的交互应用和最终真正的电子商务化发展。

2、WAP的应用模型

WAP通过使用其在互联网上特定的结构模型，为网络内容提供商和移动互联设备之间能够更省时省力、更高效地完成通信，从而提供更好、更快捷的服务。WAP的应用结构模型[4]如图1所示：

一个典型的WAP应用模型由移动终端、WAP网关、内容服务器等三个实体构成。

(1)移动终端

因此，与普通塑料地膜相比，纸地膜能够更好地协调保水性与透气性之间的矛盾，具有较好的保温效果，具有抑制杂草、减少“白色污染”和提高土壤质量的作用，有利于降低空气环境的相对湿度，降低病虫害的发生概率，从而提高作物的光合作用，有利于作物的持续增产。

随着信息技术的发展，移动终端越来越强大，功能甚至可以匹配一台PC机，但其同时是一台无线设备，具备WAP用户代理功能。在该终端上，会配有移动浏览器，用户通过各种浏览器来访问WAP服务，通过无线技术来实现相关信息的处理，包括发送和接收。通过使用无线标记语言(WML)来描述这些信息并实现在移动终端的显示。

(2)WAP网关

WAP网关的构成主要包括信息内容编辑器和通信用的协议网关。其中，信息内容编辑器首先对无线网络上传输的数据进行压缩处理，接着进行编码压缩，加快网络传输的速度，克服WAP网络流量和带宽的限制。协议网关主要功能是实现各种无线网络协议的转换，从而保障了无线信息通信的顺利完成。

(3)内容服务器

内容服务器信息处理过程是这样的：首先接收无线网关发送过来的请求信息，这些信息大部分是HTTP请求，接着会对这些请求进行相应的加工处理，最后再以无线标记语言编写的文件形式发送给无线协议网关。

三、基于WAP的移动电子商务安全对策

1、实现目标

基于WAP的移动电子商务安全对策研究要达到以下目标要求：

(1)身份认证，该功能能够让Web服务器识别消息来源的真实身份，从而确保通信主体之间的通信的有效性，防止非法入侵者冒名顶替，甚至进行诈骗。

(2)数据加密，通过使用对称和非对称加密技术对通信数据进行加密和解密，这即保证了对通信双方合法身份的识别和验证，也保证了通信信息的安全保密，包括通信的账号和密码、以及个人信息也不会被泄露。

(3)数据完整，该功能通过信息比对，从而发现信息在传输过程中有没有被人删除、替换和修改，这样就保证了信息的真实、有效。

2、解决方案

针对移动电子商务安全解决方案的实现目标，本文设计了一种基于非对称加密算法RSA和个人数字签名的移动电子商务安全方案解决模型。在模型设计上，采用了两个执行过程，一个是安全会话密钥的生成过程，一个是使用非对称加密的数字签名传输过程。具体执行过程描述如下：

(1)采用非对称加密算法RSA生成安全会话密钥

* Web服务器首先生成一个非对称加密密钥对，即私有密钥K1和公有密钥PK2，并将公有密钥PK2传送给移动通信终端；

* 移动终端同时生成一个对称加密密钥Ke，并用接收到的公有密钥PK2对Ke进行加密，再传回给Web服务器；

* Web服务器对接收到的加密信息使用自己的私有密钥K1进行解密，从而得到安全会话密钥Ke。

这样，就保证了Web服务器和移动通信设备之间都拥有了安全会话密钥Ke。

(2)使用非对称加密的数字签名传输过程

假设通信双方：移动终端为A，Web服务器为B，传输过程可以描述为：

* A首先将要通信的文件信息使用Hash算法进行信息摘要，再对这个信息摘要使用A的私钥K1进行加密，得到数字签名；

* A用安全会话密钥Ke对要传输的文件信息和数字签名进行加密，得到密文；

* A通过移动通信平台将密文传输给B；

* B使用安全会话密钥Ke对收到的密文进行解密，得到文件信息和数字签名；

* B使用相同的Hash算法对文件信息进行摘要，并用A的公开密钥PK2对数字签名进行解密，也得到一个信息摘要；

* B将得到的两个信息摘要进行比对，若不相同，则说明文件信息被篡改过，应该要求重新通信；若相同，则说明文件信息没有被篡改过，保证了信息传输的完整性。详细的信息传输过程如图2所示：

结语

随着移动互联技术的发展，移动电子商务得到了迅速应用，但其面临的安全问题则是不容忽视的，如果解决不好，就可能成为移动电子商务应用和发展的障碍。将WAP技术应用于移动电子商务领域之后，将会提供一个方便、快捷、高效，而且安全、交互、实时的通信方式，成为连接用户、客户、信息、服务的媒介，可以有效解决当前移动电子商务所面临的安全问题。

[1]吕廷杰· 移动电子商务[M].北京：电子工业出版社，2011：323-378.

[2]葛晓斌·移动电子商务[M].合肥：中国科学技术大学出版社，2014：273-343.

[3]方俊月·移动支付下的电子商务安全探究[J].合作经济与科技，2014(10).

[4]陈衍毅·PKI技术在移动电子商务中的应用研究[J].信息安全，2014(7).

[5]金永生·基于WAP的移动电子商务营销模式及策略研究[D].北京：北京邮电大学， 2010.

(责任编辑：王德红)

Based on WAP Mobile Electronic Commerce Security Countermeasures

Xia Tongsheng Wang Zhilin2

(1、2.Huishang Vocational College, Hefei231201, Anhui, China)

Based on the analysis of mobile electronic commerce development present situation, to explore the security threats facing the mobile e-commerce, on the basis of further analysis of the application model of WAP technology, this paper proposes a model based on WAP mobile electronic commerce security countermeasure application.

WAP，mobile electronic commerce，security countermeasure

2015-01-20

安徽省级质量工程项目(项目编号：2013jszx011)。

1.夏同胜(1978.02～)，男，安徽合肥徽商职业学院讲师, 硕士学历。研究方向：电子商务、数据挖掘、计算机应用。 2.汪志林(1984.07～)，男，安徽安庆徽商职业学院讲师，硕士学历。研究方向：电子商务物流。

TP393.08

A

1673-9507(2015)02-0132-02