基于WAP的移动电子商务安全研究

宁加豪

（广东省电子信息高级技工学校，广东 广州 510000）

基于WAP的移动电子商务安全研究

宁加豪

（广东省电子信息高级技工学校，广东 广州 510000）

移动电子商务有传统电子商务无法比拟的优点，但由于网络本身的开放性，移动电子商务面临着各种各样的安全威胁，因此其安全问题备受关注。基于此，介绍了实现移动电子商务安全的主要承载技术WAP，就WAP的协议结构和安全会话模型进行了分析，并对于WAP存在的安全威胁，介绍了常用的安全技术，提出了三种端点到端点文件传输安全的解决方案。

移动电子商务；WAP结构；安全传播；安全技术

随着移动通信技术的大力发展以及移动终端的广泛普及（截至2016-12，手机网民达到6.95亿，占网民总数的95.1%），一种新型的商务模式应运而生并快速发展——移动电子商务。它是在移动通信技术和Internet技术相结合的基础上而出现的一种电子商务形式，相对于传统的电子商务形式具有灵活、简单、方便等特点。然而，由于移动电子商务需要在移动个人终端和有线网络中进行信息通信，这就使得整个交易过程承受着无线网和有线网通信中的双重安全风险，因此如何保证交易的安全性则是研究的重点。

1WAP的协议结构

WAP模式应用数据系统包括3部分，分别是WEB网络服务器、移动终端和WAP网关。通过大量的实践应用，人们将移动终端简称为客户端，其可以涵盖诸多的重点设备，比如PDA、移动手机等。对于WEB服务器来说，其主要的应用作用表现在网络信息数据的传输，以此来有效满足客户的个性化需求。就WAP来讲，网关与网络用户以及网络服务器相连接，对数据进行分析，并对数据进行编译，翻译成各种语言，非常轻易地让SSL与WTLS之间的协议数据进行交换。WAP网关把来自WAP互联网服务器的SSL加密数据编译成与WTLS安全协议相适应的信息，通过安全的无线网络传输方式，最终传输到客户端，形成WAP终端，然后再向WEB互联网服务器传输对应的数据信息；实际上，这也是利用构建的WAP及其网关转换格式的方式，并且利用SSL格式（加密数据）取缔WTLS安全数据格式。

2 WAP的安全传播模式

事实上，移动电子商务的出现代表着一次时代的转变，它既是传统电子商务的传承，又有着独具时代特色的发展特点，帮助电子商务更好地顺应时代的发展。移动电子商务的出现标志着互联网商务革命的到来，它不仅有机地结合了传统电子商务技术和发达的互联网通信技术，还指明了电子商务行业发展的一个新方向。

然而，移动电子商务的发展也涌现出了许多安全隐患，2016年70.5%的网民发生过安全事件。截至2016-12，1.08亿台安卓智能手机感染过恶意程序。这些安全隐患制约着移动电子商务的发展，那么如何去建立一个安全的、便捷的电子商务应用环境，以保证整个电子商务活动中的信息数据安全性，对于促进移动电子商务发展有着十分重要的理论价值和实际的参考意义。

3 移动电子商务的安全技术

移动电子商务的出现在一定程度上改变和发展了电子交易方式，因为移动电子商务独特的低成本、高安全性能、共享性等特点而被人们广泛接受。

3.1 加密技术

随着移动电商技术应用的不断深化，加密技术也得以应用和推广，这也在很大程度上实现了数据信息的快速传输以及交易数据的准确完整，加密技术可以清晰地分辨出交易两方的身份真实性，确保不会发生数据传输的安全隐患。加密技术是通过密码学领域的知识把数据和信息转变成为编译的文字或者其他类型的密码形式进行传输，到了传输终端以后，再把编译的密码形式翻译成为原本的数据信息，保证整个传输过程的信息安全。

3.2 身份认证

身份认证技术指的是网络设备系统及计算机系统通过各种技术手段的有效利用来识别使用者的身份信息，内容类别包括数字证书、随机口令以及生物体貌特征等技术。对于随机口令而言，主要包括静态、USBKEY以及动态密码口令等几种认证方式；并且由证书发行机构所颁布的数字认证证书可以对各个使用者的身份信息进行标记；生物体貌特征身份认证指的是通过脸部、人体掌纹和指纹、视网膜、人体气味、虹等来进行使用者身份信息的识别。

3.3 防火墙技术

防火墙技术是针对互联网的安全隐患使用的保护措施，是一道用来抵挡外部危险因素的虚拟屏障，防止外部未经授权的用户访问移动数据。防火墙技术主要包括服务器访问政策、验证工具、包过滤和应用网关四个方面，而防火墙技术又有着网络防火墙技术和计算机防火墙技术之分，主要差别在于一个是设置在外部网络和内部网络之间的防火墙，另一个是设置在外部网络与计算机之间的防火墙，都是以计算机硬件与软件结合为基础。

3.4 数字签名技术

通过数字签名技术，移动电子商务在数据信息传播过程中可以有效地保护信息的完整与安全，而且能够提供发送信息者的身份。在发送信息时，通过个人私密钥匙对数据信息签名，信息接收的一方可以利用信息发送方的公用钥匙验证传输的数据信息，可以有效判断这个数字签名是不是信息发送方的，并且其他的人如果没有信息发送方的私密钥匙是不可以对这个私密钥匙造假的。

3.5 电子协议

电子安全协议，主要包括安全电子交易（SET）与安全套阶层（SSL）协议。其中，SSL主要是对通信内容进行加密处理，可以提供给用户还有网络服务器终端进行认证，用来保障数据信息在交互传播中不会丢失，保证信息完整。安全电子交易协议SET具体来讲是一种虚拟的电子商务行业规范，其本身的特质是应用在网络中以信用卡为基础的电子交易系统规范，它的存在有效地保证了网络交易的安全性。

4 WAP的安全解决方案

4.1 透明的网关模型

透明的网关模型是通过即将发送到WAP网关的数据信息经过WTLS进行提前的加密环节，并且同时间与WEB互联网服务器进行连接。在透明的网关模型下，WPA网关不仅通过了无线网络的连接，而且在互联网服务器中实现了解析WAP协议的功能，所以这就要求要根据实际情况和需求来及时更新WEB互联网服务器。

4.2 WAP互联网服务器模型

这种WAP互联网服务器模型是通过WTLS对移动终端和WAP互联网服务器之间传输的信息数据进行加密环节，在WEB互联网服务器中，WAP网关作为重要构成要素，在传播信息数据解密后不必再通过网络传到互联网服务器，而是直接传输到互联网服务器，这一过程完美实现并且保证了终端到终端的数据传输安全。在WAP互联网服务器模型的模式下，移动终端设备系统需要进行重新组合配置，不过有些因素限制了它的更新，因为这种重新的配置更新所需投入的资金较多，在金融机构领域比较适用，如证券、银行等。

4.3 WTLS隧道模型

WTLS隧道模型，是在互联网时代发展下的一种终端到终端的数据传输安全模型方案，它在WAP网关里的数据信息不是以明文的类型出现存在的。当信息数据在用户使用终端和互联网服务器之间进行传输的过程中，利用WAP网关对WTLS安全协议和TLS协议保护数据进行转安全协议转换。在WTLS隧道模型的模式中，用户移动终端可以先利用WTLS安全协议来加密信息数据，当将加密后的信息数据传输到WAP网关之后，其编译提出环节是无法直接进行的，而是要经过TLS协议对加密的信息数据进行二次加密。待到互联网成功接收信息数据之后，先是把WAP网关的TLS协议加密信息数据进行一个解密，之后再对WTLS安全协议进行解密。当WAP互联网服务器把信息数据回传到用户移动终端的时候，也需要经过这样类似的二次加密与二次解密的过程。

5 设立WAP的移动电子商务安全维护基线

WAP的移动电子商务安全保障首先要针对移动电子商务业务系统，并结合系统的WAP安全特点，找到安全付出成本与所能够承受的安全风险之间的一个安全基线，建立有效的安全检查点与操作指南的基准安全标准。然后是规范操作、做好日常的安全巡查，做好日常的账户与数据保护、防渗透等基本防护操作，合理选择、正确使用好防病毒软件、防火墙等安全防护工具。

6 结束语

综上所述，我国无线网络普及化极大地促进了移动电子商务的蓬勃发展，但用户在享受移动电子商务带来便利的同时，安全问题成为移动电子商务发展道路上的制约因素。因此，要保障移动电子商务安全，应要逐步完善WAP自身的安全机制，并根据WAP的基本安全机制开发出不同安全级别的移动电子商务解决方案。

此外，还要有一个安全管理环境作保障，建立一系列健全的法律法规来约束，相信在各方面的共同努力下，移动电子商务的发展前景将会更加广阔。

［1］徐峰.基于WAP的移动电子商务安全方案［J］.数字技术与应用，2012（12）：157，159.

［2］刘卫，杜治娟，樊丽杰.移动电子商务安全方案与技术研究［J］.河北省科学院学报，2012（02）：21-26.

〔编辑：张雅丽〕

TN929.5；F713.36

A

10.15913/j.cnki.kjycx.2017.13.085

2095-6835（2017）13-0085-02