展示架厂家
免费服务热线

Free service

hotline

010-00000000
展示架厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

移动电子商务安全支付方案的探讨

发布时间:2021-01-21 04:33:04 阅读: 来源:展示架厂家

1 引言

随着移动通信产业和无线网络技术的飞速发展,移动电子商务已经逐渐在全球范围内得到了普及和应用。相对于传统的电子商务模式,移动电子商务突破了时间和地域的限制,具有灵活、便捷、高效的特点,被认为将成为今后消费方式的一大主流。我国目前移动电话用户数已经达到4.6亿,另外经过十多年的发展和积累,我国已经建成了覆盖全国疆域的移动通信网络,庞大的移动通信网络会将互联网不能覆盖、无法到达或不便使用的消费者通过手机接入到传统电子商务体系中来。

在我国,移动电子商务能否得以广泛应用的一个瓶颈问题是安全。相对于传统的电子商务模式, 移动电子商务的安全性更加薄弱。因为在无线环境里,空中接口开放,交易过程中也就更容易发生欺诈、篡改等行为。对于在无线网络上进行金融交易的用户,安全和隐私问题无疑是大家关注的焦点,因此,安全支付问题在移动电子商务发展过程显得尤为重要。

下面,首先先来介绍几种移动电子商务的安全技术。

2 移动电子商务的几种安全技术

2.1 加密体系

在传统的基于有线网络环境的电子商务应用中,已经有许多相对成熟的安全技术,如VPN、SSL等。但这些技术一般都对主机/终端资源有较高的要求,而相对于有线终端,无线终端的资源有限,处理能力低,存储能力小。

可应用于移动电子商务环境的加密体系是由有线网络的公开密钥体系PKI (Public Key Infrastructure)发展而来的WPKI (Wireless Public Key Infrastructure)技术。它是一套遵循既定标准的密钥及证书管理平台体系,用此体系来管理移动网络环境中使用的公开密钥和数字证书,可以有效建立安全和值得信赖的无线网络环境。

与PKI系统相似,一个完整的WPKI系统必须具有以下五个部分:客户端、注册机构(RA)、认证机构(CA)、证书库以及应用接口等,其构建也围绕着这五大系统进行。

PKI和WPKI的最主要区别在于证书的验证和加密算法。WPKI体系采用优化的ECC椭圆曲线加密和压缩的x.509数字证书。对于一个1024位的加密算法,用手机至少需要半分钟才能完成,因此传统的PKI x.509就不适合于移动计算。ECC算法的数学理论非常深奥和复杂,在工程应用中比较难于实现,但它的单位安全强度相对较高。在目前已知的公钥体制中,椭圆曲线密码体制是对每bit提供加密强度最高的一种体制。ECC的密钥短是其最明显的一个优势,随加密强度的提高,密钥长度的变化却不大。椭圆曲线ECC算法在运算能力有限、存储空间不大的移动终端中的应用前景十分广阔。在我国,2003年颁布的无线局域网国家标准中,数字签名采用的就是椭圆曲线ECC算法。

2.2 数字签名

数据签名技术能够保证信息除发送方和接收方外不被其他人窃取,可以保证信息在传输过程中不被篡改,可以让接受方确认发送方的身份,还可以保证发送方对于自己的信息不能抵赖。数字签名采用了公开密钥密码体制, 即利用一对相互匹配的不对称密钥实现加密和解密,同时用于签名和核对签名。

数字签名具体做法如下:

(1) 将报文M按双方约定的算法计算得到一个固定位数的报文摘要A(M),该摘要由一个单向HASH函数作用于报文产生,它是一个唯一对应此报文的值,其它任何报文用HASH函数作用都不能产生该值,因此,通过报文摘要可以检查报文在传输过程中是否被篡改过。改动报文中的任何一位后,重新计算出的报文摘要值都会与原先的值不符,这样就保证了报文的数据的完整性。

(2) 将原报文摘要A(M)用发送者的私人密钥SK加密后,形成报文摘要加密报文Esk(A(M)),然后连同原报文一起发送给接收者。由于私钥仅为本人所有,因此加密的报文摘要Esk(A(M))是别人无法生成的报文。收方收到有数字签名的报文后,用同样的算法对原报文计算得摘要值A(M),同时用发送者的公开密钥PK解密数字签名Esk(A(M))得到报文摘要值,将二个摘要值进行比较,如果相等则说明报文确实来自所谓的发送者并且说明自签名后报文未被修改过;如果不同,则丢弃报文。

2.3 数字证书

数字证书是一种权威性的电子文档。它提供了一种在无线网络上验证信息发送方和接受方身份的方式,其作用类似于日常生活中的身份证或司机的驾驶执照。数字证书是由一个权威机构-证书认证中心(CA, Certificate Authority)发行的。当然在数字证书进行认证的过程中,证书认证中心作为权威、公正、可信赖的第三方,其作用是至关重要的。

另外,数字证书必须具有唯一性和可靠性。为了达到这样一个目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私钥才能解密。同时,公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。

数字证书的颁发过程一般如下:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给证书认证中心。证书认证中心在核实完用户身份后,将执行一些必要的步骤以确信请求确实由用户发送而来,然后,证书认证中心将发给用户一个数字证书,该证书内容包含用户的个人信息和其公钥信息,同时还附有证书认证中心的签名信息。

这样,用户就可以使用自己的数字证书进行相关的各种交易活动。

3 一种移动电子商务安全支付方案

基于移动电子商务的安全技术,我们提出一种以移动运营商为核心的移动电子商务安全支付方案,如图1所示。

下面,我们将对提出的移动电子商务支付方案的安全性进行如下分析:

(1) 将移动运营商作为支付中心提高了交易过程的安全性。

在整个交易过程中,移动运营商的支付管理系统是一个核心纽带,它完成对用户及商家的身份确认、预扣用户货款、监督商家发货等业务。

当用户发出确认订购信息、交易成功/不成功等信息时,用户的短信只发送给运营商,而不是商家系统,用户的个人重要资料同样不是存放在商家系统中,这保护了用户的隐私。而且,运营商只知道用户手机费用的余额,用户的银行帐号等涉及资金的信息只由银行来进行管理,运营商和商家都不能处理用户的银行帐户,当用户手机费余额不足以支付货款时,用户会发送请求充值信息到银行。依据用户的需求,由银行进行资金转账、支付和清算,这样避免了用户银行帐号和密码泄漏的可能。另外,交易过程中,运营商首先暂替商家预扣货款,商家在收到运营商的发货通知信息后才进行商品的邮递,这保障了商家的权益;而且,暂扣的手机费并没有直接结算给商家,而是等收件人验收货物合格后,才进行货款结算,这同样也保护了用户的权益。

总之,以移动运营商为交易中心的支付方案保障了交易中各方的权益,提高了交易过程的安全性。

(2) 交易数据的安全性。

为了防止重要数据被非法用户截获,在整个交易过程中都采用了加密手段,可以防止非法入侵者对交易的内容进行修改,同时保证了手机在传送用户个人数字证书、用户银行卡密码等各种敏感数据时不会被轻易破译或盗用,确保数据传输的过程中,只有用户、运营商和商家知道交易的内容。

(3) 买卖双方身份的可确认性。

通过运营商在证书认证中心(CA)对买卖双方的数字证书进行验证,可以确保交易双方的身份,防止欺诈行为的产生。用户的身份还可以通过实名入网的手机卡号来确认。手机卡号是惟一的,除移动运营商外的其他机构和个人都无法复制有效的同号手机卡。

通过上面的分析,我们说,这种以移动运营商为交易中心的支付方案是安全的。但是,这种支付方案的交易过程比较复杂,它采用商家发送请求支付信息到运营商,运营商形成订单询问信息发送给用户手机,经过用户发送确认订购信息给运营商后,运营商才可以让商家发货。这对于一些即时交易来说,整个交易过程似乎过于复杂。既安全又快捷的移动电子商务支付方案还需要继续研究和探索。

4 结论

移动电子商务作为一种新型的电子商务方式,利用了移动无线网络的诸多优点,相对于传统模式的电子商务有着明显的优势,是对传统电子商务的有益补充。移动电子商务是现代信息技术发展的必然结果,也是未来商业运作模式的必然选择。在解决了安全支付问题后,其发展前景不可限量,相信它一定会迎来迅猛发展和飞速普及的阶段。

搜仙记破解版

蜀山战纪九游版

巨刃官方版

玛雅战纪