1、<p><b>　　中文3250字</b></p><p>　　文獻出處：Thanh D V. Security issues in Mobile eCommerce[C]// International Conference on Electronic Commerce & Web Technologies. 2000. LNCS 1875, pp. 467?476,&l

2、t;/p><p>　　移動電子商務的安全性問題</p><p>　　摘要：隨著移動電子商務發(fā)展，手機用戶可以他們的手機購買支付商品，支付賬單或者打賭無論何時何地。移動電子商務將極大的帶來便捷提升用戶的生活品質(zhì)。然而，為了取得成功，必須采取強大的安全措施來讓用戶相信能夠免受非法的行為侵害。不幸的是，目前手機上的安全措施仍是不夠的。該文描述了愛立信公司在移動電子商務上的研發(fā)工作，旨在使得移動電子商

3、務應用安全和全面發(fā)展電子商務產(chǎn)業(yè)。本文從電子商務的定義入手，接著總結(jié)無線應用協(xié)議（WAP）以及該協(xié)議所取得的成就。隨后，描述了有關于移動電子商務的安全性問題。最后，提出解決問題的方案。本文還對未來的面貌進行了預測，討論了我們能夠做些什么。</p><p><b>　　介紹</b></p><p>　　移動通信網(wǎng)絡和互聯(lián)網(wǎng)的融合為被稱為無線網(wǎng)絡應用的新型應用程序發(fā)展鋪平

4、了道路。他們之中那個將是殺手級別的應用撲朔迷離。然而，無線網(wǎng)絡應用之中總有一類應用會逐漸的變得越來越受歡迎，最終超越他們的同行。他們就被成為移動電子商務應用。他們使用戶能夠通過移動設備購買小商品，比如軟飲料、電影票、火車票等，并完成支付。這里的移動設備可能是移動電話、PDA（個人數(shù)據(jù)助手）、掌上電腦等。一段時間內(nèi)，人們在關注他們的生活品質(zhì)的提升，移動電子商務應用講給他們帶來便捷和省時的雙重效果。然而，為了取得成功，必須健壯安全性來是的用

5、戶相信應用能夠避免用戶遭受非法侵害。可是，目前對手機的安全措施仍然不夠充分。本文描述了愛立信公司在移動電子商務方面的研究工作，針對移動電子商務應用安全性問題和促進該產(chǎn)業(yè)的全面發(fā)展。本文一開始介紹移動電子商務，接著總結(jié)無線應用協(xié)議（WAP）和該協(xié)議的貢獻。文章還描述了屹東電子商務與安全性之間的問題，隨后，提出解決問題的措施。最后總結(jié)并展望未來，介紹我們能做些什么。</p><p><b>　　什么是電子商

6、務</b></p><p>　　移動電子商務是指通過像掌上電腦、PDA或者移動電話等的移動設備給移動用戶帶來的電子商務。隨著設備市場的不斷增加，手機無疑將成為促進移動電子商務發(fā)展至關重要的角色。移動電子商務允許用戶在他們的移動設備商完成他們的交易：獲取市場和打折信息，收到訂單信息，決定購買并支付訂單，獲得服務和商品，最后獲取客戶支持服務。</p><p>　　移動電子商務不僅僅

7、是一個基于互聯(lián)網(wǎng)的移動和無限擴展的電子商務。這是一個全新的銷售和促銷渠道，也是各種新服務，如通過手機購買可樂、支付停車費、購買火車票的拖動者。更為重要的是，它可以從多方面為用戶做定制服務。它可以無時無刻的追蹤客戶。盡管移動特征是大多數(shù)用戶的一個重要的特性。這對于電子商務更是珍貴的信息，因為只是一個在其他電子商務形式中沒有的，根據(jù)用戶的風格、需求來迎合用戶的關鍵因素。事實上，商業(yè)的本質(zhì)就是為了滿足用戶的需求。不僅提供用戶想要的東西很重要，

8、在用戶需要的時候給予服務也是很重要的。移動電子商務可以滿足這種根據(jù)時間和位置的用戶需求。</p><p>　　另一個移動電子商務重要方面是他能夠結(jié)合電子媒體和其他諸如報紙、電視、電臺、自然交流在任何一個交易階段（展示、選擇、下單、支付、運送和售后）的媒體。比如，移動用戶可以在他的手機上瀏覽并獲取離他最近的商店的信息。用戶到某個地方購買了可樂。在這個案例中，瀏覽和選擇的過程通過手機電子化完成，而剩下的步驟通過傳統(tǒng)的

9、交流方式完成。在另一個情況下，用戶購買百貨并通過手機支付。挑選、下單、運送和售后都是通過傳統(tǒng)方式完成，只有支付是通過電子方式完成的。</p><p>　　移動電子商務和WAP</p><p>　　無線應用協(xié)議（WAP）是與WAP論壇為移動設備訪問互聯(lián)網(wǎng)制定的協(xié)議。老驢到無線鏈路的帶寬限制、移動設備的進程、存儲容量、電池壽命、尺寸重量等的閑置，WAP對無線網(wǎng)絡環(huán)境進行優(yōu)化。WAP的架構(gòu)如下圖

10、1所示。</p><p><b>　　圖1 WAP架構(gòu)</b></p><p>　　當然，WAP將給移動電子商務的成功做出貢獻，但是值得注意的是，沒有WAP，移動電子商務也是存在的。比方說，在挪威的第一個移動電子商務應用，由愛立信和Telenor 公司開發(fā)的“電影票”應用就不是基于WAP的。該應用是基于SIM應用工具箱，該工具箱是繼承手機SIM（用戶身份模塊）的。在將

11、來，移動電子商務可以通過新的技術，比如藍牙技術等進行擴展，藍牙技術允許設備之間在沒有在線網(wǎng)絡的情況下進行數(shù)據(jù)傳輸。</p><p><b>　　電子商務的安全需求</b></p><p>　　在電子商務過程中，客戶和商戶直接通過軟件實體和英特網(wǎng)進行交流，雙方之間必須建立一個信任機制。為了取得信任，一下的措施必須執(zhí)行：</p><p>　　授權：

12、每個方都必須進行驗證與其名副其實，確保對方就是其本身。</p><p>　　完整性：每一方都必須確保收到的信息不被修改或捏造。</p><p>　　機密性：每一方都希望他們之間的交流的內(nèi)容都是加密的。</p><p>　　消息身份驗證:每一方都想確保接收到的消息確實來自對方。</p><p>　　不可抵賴性：每一方都不可否認先前贊同的協(xié)議。&

13、lt;/p><p>　　通常情況下，雙方無需知道對方來完成交易。在這種情況下，非對稱加密算法、非對稱密碼算法、非對稱加密演算法，也稱為公鑰加密算法比對稱加密算法更加有效。</p><p>　　簡而言之，公鑰加密算法使用一個密鑰對，一個私鑰，一個公鑰分別用來加密和解密。一個密鑰加密的信息只能通過對應的解密密鑰解開。事實上，不可能通過一個密鑰來反推出另一個密鑰的信息。在發(fā)送加密消息是，接收方只有通

14、過對應私鑰的公鑰才能解密信息，這樣來保證機密性和完整性。驗證授權和不可抵賴性是在發(fā)送方發(fā)送加密信息或者一部分加密信息時將私鑰也一起發(fā)送給接收方時保證的。接收方通過發(fā)送方給的公鑰進行解密，并確保信息來自發(fā)送方，因為只有發(fā)送方才有對應的私鑰。這種解密方式后來被成為數(shù)字簽名，它通常由報文摘要（散列函數(shù)）來減少加密信息的長度，優(yōu)化簽名的過程。加密算法目前有集中公約加密算法，如RSA、橢圓曲線加密算法等。</p><p>

15、　　通過這種方式可以確定誰擁有密鑰對。證書問題是通過受信任的機構(gòu)，也稱為證書授權（CA）來證明公鑰屬于某個實體或者有特定名稱和屬性的個體的。證書和密鑰都需要進行管理，即生成、撤銷、更新、恢復等，過程中是公開密鑰結(jié)構(gòu)（PKI）的</p><p><b>　　移動用戶的交易</b></p><p>　　理想的電子商務系統(tǒng)：乍一看，移動電子商務被認為是通過移動無線接入或者使

16、用網(wǎng)絡的“固定”電子商務擴展的一種手段。比如，網(wǎng)上購物、網(wǎng)上銀行可以被直接應用到移動電子商務上。然而，移動電子商務在以下幾方面是有別于“固定”電子商務的。</p><p>　　即時交付： 移動用戶當然對網(wǎng)上購物這樣的服務最為感興趣，而對于非電子商品則是其次。那么，他就可能希望立即收到商品，或者只允許較短時間的延遲。例如，通過手機購買可樂后，用戶希望可樂馬上自動的送到手上。當購買電影票之后，用戶希望所購買的電影票能

17、夠在當天就能拿到。這就使得及時的用戶身份驗證和信息交付很有必要。</p><p>　　小額支付：對于移動用戶來說，購買小商品或者進行小額的支付也是很有可能的。這類的支付金額相比其他交易數(shù)額較小。</p><p>　　移動環(huán)境：大多數(shù)情況下，移動用戶只能通過單手進行服務的操作。用戶很有可能收到周圍環(huán)境的干擾，比如，擁擠、嘈雜、互相擠來擠去，因此，電子交易服務需要簡單和小巧的數(shù)字進行。之前所描

18、述的網(wǎng)上購物支付方式，用戶需要鍵入個人信息和信用卡號，所以在移動用戶這種人群中是不現(xiàn)實的。用戶友好型的支付方式是很有必要的。</p><p>　　在下圖2中就給出了一些理想的移動電子商務的特征：</p><p><b>　　用戶授權</b></p><p><b>　　商戶授權</b></p><p&g

19、t;　　安全通道，比如，加密信道</p><p>　　允許即時交付的用戶友好支付</p><p><b>　　收據(jù)交付</b></p><p><b>　　簡單的用戶界面</b></p><p>　　用戶的手機

20、 商戶的服務</p><p><b>　　商戶身份驗證</b></p><p><b>　　用戶身份驗證</b></p><p><b>　　回執(zhí)</b></p><p>　　安全通信無需驗證信用卡</p><p>　　圖2 理想的移動電子商務系統(tǒng)

21、</p><p><b>　　總結(jié)</b></p><p>　　在本文中，介紹了移動電子商務系統(tǒng)。考慮到物理和功能的限制因素阻礙手機加入移動電子商務，該系統(tǒng)引入代理服務為手機提供必要的服務。除了安全功能，Mobile ePay也具有支付功能，如賬戶與支付，接入金融系統(tǒng)等。通過Mobile ePay，用戶可以安全的通過手機使用移動電子商務服務，如銀行轉(zhuǎn)帳，購買商品等。當

22、前的處理方案仍然是不夠完美的，很多問題還有待解決，比如數(shù)字簽名的時間戳、公鑰私鑰與用戶之間的關系等問題。用戶應該擁有多少密鑰對，密鑰對和證書之間的關系，多少證書可以和一對密鑰對匹配等等一系列問題有待思考。</p><p><b>　　參考文獻</b></p><p>　　1. Visa & Master Card: SET Secure Electronic

23、Transaction Specification - Book One: Business</p><p>　　Description, version 1.0, May 31, 1997, http://www.setco.org/download.html/#spec</p><p>　　2. Visa & Master Card: SET Secure Electronic

24、 Transaction Specification - Book Two: Programmer's</p><p>　　Guide, version 1.0, May 31, 1997, http://www.setco.org/download.html/#spec</p><p>　　3. Visa & Master Card: SET Secure Electro

25、nic Transaction Specification - Book Three: Formal</p><p>　　Protocol Definition, version 1.0, May 31, 1997,</p><p>　　http://www.setco.org/download.html/#spec</p><p>　　4. ETSI: GSM 0

26、2.17 V8.0.0 Digital cellular telecommunications system (Phase 2+); Subscriber</p><p>　　Identity Modules (SIM); Functional characteristic</p><p>　　5. ETSI: GSM 11.14 Digital cellular telecommunic

27、ations system (Phase 2+); Specification of</p><p>　　the SIM Application Toolkit for the Subscriber Identity Module - Mobile Equipment (SIM</p><p>　　- ME) Interface</p><p>　　6. RSA L

28、aboratories. PKCS #1: RSA Encryption Standard. Version 1.5, Nov 1993</p><p>　　7. RSA Laboratories. PKCS #7: Cryptographic Message Syntax Standard. Version 1.5, Nov</p><p><b>　　1993</b&g