（计算机应用技术专业论文）在线移动支付系统的实现及其安全性研究.pdf

南京邮电大学 硕士学位论文摘要 学科、专藏：_ 工学计葬秽【应髑技术 研究方向：计算机通信与湖间互连技术 棒者：2 0 0 3 毁礴究垒王蕊籍导教舜叠鏖 题秘：在线移动支付系统的实躐及其安全性研究 英文题鞋：t h ei m p l e m e n t a t i o no fa no n - l i n e m o b i l ep a y m e n t s y s t e ma n dr e s e a r c ho ni t ss e c u r i t y 主题词：移凄逛子爨务移凌支付j x t a蜜全认谜 k e r b e r o s k e y w o r d s ： m * * c o m m e r c e m - p a y m e n t j x t a s e c u r i t ya u t h e n t i c a t i o n k e r b e r o s 南京掷l 巍文学颟士研究生学位论文 摘要 随着越来越多妁无线设备接入因特鼷，传统鞠络中的电子商务 争移动网络的结合体“移动电子商务”极有可能成为下一代网络镌 终极应用。作为全面计算的具体应用之一，移动电子商务提供了较 传统电子商务更多的、更合适的服务。随着移动电子商务的迅速发 展，移动支馈以其迅速、绥捷等褪吴特色的鼹务获餐了越来越多酌 用户的青睐。近年来，在全球手机发展最快的东亚地区，移动支付 正在表现出惊人的增长。 本篇硕士论文在文 1 】的綦础上，提出了一个基于j x t a 平台的 税p 模式鼹在线移动支特系统，并实瑰了该系统鳃原型。舒对现有鼹 无线应用协议缺乏移动商务所必需的端到端之间的安全性，同时无 法解决大多数运算能力差的无线设备接入等问题做了进一步的研 究，提出了蕊于k e r b e r o s 的安全性解决方案，并实现了认证系统。 瘸京豁电天学嫒1 骈究生学位论文 a b s t r a c t a so n eo ft h ea p p l i c a t i o n si nc o m p r e h e n s i v ec a l c u l a t i o n ，m o b i l ee c o m m e r c ep r o v i d e sm o r ea n dm o r es u i t a b l es e r v i c e st h a nt r a d i t i o n a le c o m m e r c e w i t ht h er a p i dd e v e l o p m e n to fm o b i l ee - c o m m e r c e ，m o b i l e p a y m e n tb e c o m e st h ef a v o ro fm o r ea n dm o r eu s e r s i nr e c e n ty e a r s ， m o b i l ep a y m e n ti s i n c r e a s i n gt r e m e n d o u s l yi ne a s ta s i aa r e at h a t d e v e l o p st h em o s tr a p i di ng l o b a lm o b i l ep h o n eb u s i n e s s c u r r e n t l y ，t h e c o m b i n a t i o no fe c o m m e r c ei nt r a d i t i o n a ln e t w o r ka n dm o b i l en e t w o r k ， m o b i l ee 。c o m m e r c e ，i sp r o m i s i n gt ob et h ek i l l e ra p p l i c a t i o ni nt h en e x t g e n e r a t i o no f n e t w o r k b a s e do nt h er e s e a r c hi n 1 】，t h i st h e s i sb r i n g sf o r w a r da t lo n l i n e m o b i l ep a y m e n ts y s t e m ，w h i c hr u n si nj x t a p l a t f o r m ，a n dr e a l i z e st h e m o n o t y p eo ft h i ss y s t e m t h ee x i s t i n gw a pa r c h i t e c t u r el a c k st h ee n d t o e n ds e c u r i t y ，w h i c hm u s tb ei m p o r t a n ti ne - c o m m e r c e m o r e o v e r ，i ta l s o d e p e n d sh e a v i l yo nt e r m i n a l s 2s e c u r i t yc o m p u t i n ga b i l i t y , ，w h i c hi sn o t p r e s e n ti nm o s tw i r e l e s sd e v i c e s a f t e rf u r t h e rr e s e a r c ho nt h o s ep r o b l e m s t h i st h e s i sg i v e so u tas e c u es o l u t i o nb a s e do nk e r b e r o st ot h ep r o b l e m s ， a n da c c o m p l i s h e st h ev a l i d a t i o ns y s t e m 南袁郝电大学硕士研究生学位论文 第一章弓l 言 近两年，全球移动支付业务发展步伐不断加快，移动运营商、银彳予等服务 行业都意识到移动支付业务正在戚即将带来的经济效菔和品膊效益及卒土会效 益，纷纷罨袋跨嚣韭台 乍，撬秀囊隽懿枣溪骚务爱力。妇今，许多公司歪在蒙 力于把电予巍务从有线逶信向露线邋信发展，这藏怒鼗在的移动电子商务。移 动电子商务下的各种新业务，比如移动支付( m p a y m e n t ) 、移动钱包难迅速 增长。移动擞付业务是将移动网络与金融系统结合，为用户提供通过熙为便利 的支付手段慕避行商品交易、缴赞等金融骚务的渡努。在全球手机发鼹鼹快的 东豆蘧区，移动支付正在表瑰囊豫人翡增长。 随着移动电子商务的发展，人们意识到需要有一个共同的标准来规范，于 是许多大公词组建了针对该领域的工作组，像全球移动商业协作组( g l o b a l m o b i l ec o m m e m ei n t e r o p e r a b i l i t yg r o u p ，g m c i g ) 2 】、移动电子交易( m o b i l e e l e c t r o n i c t r a n s a c t i o n s ，m e t ) 【3 】、拜藏移曩联鼗( o p e n m o b i l e a l l i a n c e ， o m a ) f 4 】等。 当前，我国的移动支付市场幽于技术上的安全和便利问题尚未解决、产业 链不成熟、用户使用习惯欠缺，因而处于缓慢的业务导入期，这综合表明了国 内市场的大环境尚不成熟。虽然我国豹移动支付枣场发鼹较浚，但是在发达国 家，尤箕楚芬兰、蠢本、韩国等，帮不乏一些懿或葫案钢。 1 1分布式在线电子支付系统 在已经提出的关于移动支付的解决方案和标准中，支付终端通常选撵具有 信用卡援槽的移动终端或者使用s i m 卡作为信用移储介质的手机、p d a 等移动 设墨。与这耱褥震户静各释售臻痿意存鼹在支嚣终壤不弱兹是，本系统中豹支 付终端将从与蕻对应的余融机构那零获取所需的信用信息并完成支付操作。在 这种方式下，使用者可以确保他所有的信用信息在物理上得到最好的保护+ 而 同时他又可以随时随地的获得遮魑信用信息，当然前提是电子钱包可以述犊到 金敲业务溅务器势透过系统兹安念认涯。 本在线电子支镑系统包括圈个部分；电子钱包支干尊终端、金融褫鞫静会融 业务服务器( f i n a n c i a ls e r v e r ) 、服务提供商以及密钥分发中心k d c ( k e y d i s t r i b u t e dc e n t e r ) 。电子钱包支付终端可以是手机、p d a 或者专用的硬件设 燕塞邮电大学矮士硪宠生学位论文 冬。念融业务鼹务器剐是安装在金融祝搀中，必移动震户提供诸如耀户信建痿 息的邂询和存取、转账支付等专用金融服务。系统中的服务提供商为移动用户 捷袋器秘蚤梯消费爨务瑷e l 。k d c 楚系统安全谈涯豹一令缝藏箨分。 图1 1 给出的一个实现参考模型。 s t a t e l e s sk d cc l u s t e r 图1 1 实现参考模型 l 。2研究强标 本文基于文【l 】的电子钱龟系统的恩想，致力于提啦一个分稚式的软l 牛系绞 结构束实现这样的电予支付系统，并完成系统模型的初步实现，建立一个基予 j x t a 5 的p 2 p 网络并在其上甥署电孑支 专系绞。舄潜铮鼹娄藤移动瞧予囊务 中普遍遇到的安全问题，提出结合k e r b e r o s 协议进行安全认证的解决方案。 舔壅系统熬程痔设计选掰j a v a 佟瓷实瑗添言。支付系统豹毫子钱龟支孛孛终 端首先在电脑上用模拟器进行测试运行并最终部署在m o t o r o l a 的e 1 0 7 0 1 6 手机 上。鬻锈分笈中心k d c 、会融、韭务服务器部瓣在标穗酌p ca 运行。本文中愈 融业务服务器只提供信用单元的查询和存取以及简单的转账支付功能。在未_ 柬 的研究与开发中，将逐步加入其它的服务功能。 南京邮电大学硕士研究生学位论文 对于无线电子支付系统，安全及认证问题极其重要，本文在第一阶段研究 的基础上，主要目标是构建出一个具有安全认证的系统原型。本文的工作来源 于与挪威s t a v a n g e ru n i v e r s i t y 的合作项目：i m p l e m e n t i n g a no n l i n ee w a l l e t s y s t e mw i t hd e c e n t r a l i z e dc r e d e n t i a lk e e p e r s ( d r a u p n e ) 7 。笔者主要负责电子支付 系统移动客户端的实现、系统分布式认证的实现和系统的测试。 赢农邮电太掌顿士研究生学位论文 第二章系统体系结构 文【1 】作者给出了一个宏观上的系统体系结构，在此基础上，本文增加了安 全认诞部分，改进的系统体系结构如强2 1 掰示。 f i n a n e i a l s e r v e r s a s s i s t e dg e n e r a lw a l l e t 蓬2 i 在线瓤子支付系统俸系结稳 圈2 1 中的四部分f i n a n c i a ls e r v e r s 、k d c 、e w a l l e t 和s e r v i c e 襁物理上是 独立分布的。f i n a n c i a ls e r v e r s 串的c r e d e n t i a lk e e p e r 保管着溺户的信用信息， 该信息存放在盒融机构的服务器上。k d c 是用以实现系统安全认证的服务器。 而w a l l e t a p p l i c a t i o n 划用以获取金融机构以及服务提供商提供的服务。s e r v i c e 代表了服务掇供离囱移动用户提供各秘服务，比妇窝场星的消费支付簿。 2 1系统缩构设计 系统维聿鼋冒戳设诗成一个c s 客户，疆务器) 檠构。现在大多数的分布式 计算模型是基于c s 槊构的。这种架构下的工作模式怒，客户机发出服务请 求，服务器响应服务请求并擒供服务。在i n t e r n e t 上存在着大篡各种各样的服务 器，如：w e b 服务器，邮件服务器，f t p 服务器，等嚣。c s 架构是一种典型 的中央集中式架构，熬个网络服务都依存中央节点( 服务器) 而存在【8 】。如果 没有骚务器，嬲终的露在藏没蠢徐僮。我织不毒望采耀这耪摸式，两是采弱 p 2 p 模式。和c s 架构获似，p 2 p 同样也是一种分布式网络模式。但它和c s 架 穆毒令显著豹不曩，p 2 p 絮秘是一争争菲集中絮稳，强霹络中没有瑕务器或楚 客户机的概念。对于网络中的每一个实体，都会被认为是一个对等点 ( p e e r ) ，它们麴有稳丽静遗像，任侮一个实体都可激请求暇务( c l i e n t 的特 性) 和提供服务( s e r v e r 的特性) 。缀然所有的p e e r 在网络中都具有相同的她 4 礴庆郝电天学颈臻究生学绽论文 位，但并不是所有的p e e r 都需要具有相同的性能，这一特性符合本文中在线电 子移动支付系统的需求。在p 2 p 网络当中，可以存在不同性能的多种节点，从 移动竣蘩至g 工终站囝。在p 2 p 模式下，系统中鹣f i n a n c i a ls e r v e r s 、惫予钱包支 付终端、k d c 、鼹务提供礴在物理上都是对等麓节惠。整个系统豹通信、交互 由电子钱包支付终端发起。 2 1 1 系统结构概观 霾2 + 2 系统缨棱壤鼷 凿2 2 显示了系绞结稳鹣屡次模鍪。 图2 2 中e w a l l e t 和f i n a n c i a ls e r v e r s 之间的通信安全问题可以考虑采用面向 开放系统的认证方式k e r b e r o s 认证【1 0 】。e w a l l e t 和s e r v i c e 之间的安全问题 则取决于它们之间采取的通信方式。在 1 l 】文中，作者建议，点到点的蓝牙通 售方式霹蔽使露s e c u r i t ym o d e3 ，对于分组交换阏终鼷捷强s s l t l s 。 2 1 。2 系统设计 系缆设计如图2 3 所示。 南京邮电丈学颈士硬究生学位论文 图2 3 系统设计 在鹜2 。3 中，每一令c l i e n t 帮彝f i n a n c i a ls e r v e r 逶遗分组交换耀终连接在一 起。c l i e n t 端可以是移动电话、p d a 、l a p t o p 筹移动终端或者是类似予 s m a r t w e a r 1 2 魏e w a l l e t 专羽硬侔设备。在零文魏实现中瞽辩只考纛移魂电话 上的实现，而p d a 与穆动电话非常类似，并且功能更强大，在移动电话上的实 现很容易就可以移植副p d a 平台上，而对予专用设备，目前暂不考虑。 s e r v i c e 可以在浆辩终端如超市收银机上嶷接提供支付服务或者在因特燃上 的购薅支付服务等。c l i e n t 和s e r v i c e 之间的通信可以是短距离的通信，比如商 场警察户积投锻台之阕毂交蠢；或者是分组交换，魏客户网上魏貔，这穆逶壤 方式类似于c l i e n t 与f i n a n c i a ls e r v e r 之问的通信。 2 。1 3 基予j x t a 酶系统维褐 2 1 3 1 架构p 2 p 分散斌网络的利器i x t a 技术 南京邮电大举颐 ：研究生学位论文 由于在构建p 2 p 网络时存在着大量的重复劳动，s u n 公司发起了j x t a 新一代的p 2 p 应用程序开发平台。j x t a 致力于为p 2 p 应用提供一个p 2 p 平台 基础。其中饿捂一系列独立予语吉、平台和网络之外的协议 1 3 】。 j x t a 由三层组成( 如图2 4 ) 。第一层跫j x t a 核心层，它包含了服务所 需要豹核心凌鸵，这一层鸷装了最鬏本麴特一睦，包攒p e e r 、对等缝、p e e r 发 现、p e e r 通信、p e e r 脓视和相关的安全原语；第二层是服务朦，它掇供了访问 j x t a 渗议鹣矮霸，这一层怠耩对予p 2 p 网终不是必需静、稳缀逶弱豹凌麓， 如查找、共事、索引、代码缓存和内容缓存的机制；第三层是应用朦，它使用 狠务来访阀j x t a 网络班及它所提供的功能，这一鼷包括了艨角j x t a 服务开 发出来的完熬的p 2 p 应用程序，例如m y j x t a 1 4 】，j x t a c a d 等应用程序。 强2 。4j x t a 豹层次结构 j x t a 的核心由六个协议组成 1 5 1 。j x t a 通过这六个协议来完成p e e r 之间 的通信，彼照之间的资源发布和发现，信息的传递和鼯由。协议本身并不是应 用程_ | 葶，需要添加更多的代码柬开发存用的廒用。协议隐藏了缀多细节，这榉 使得编写j x t a 应用程序比从空白开发p 2 p 应用要容易的多。这六个协议如图 2 。5 黢暴： 乍 南京邮电大学硕土研究生学位论文 图2 5j x t a 的核，& 协谈 1 对等点袋瑗协议p e e r d i s c o v e r yp r o t o c o l ( p d p ) 用来发布自穗的广告信息并且从其它p e e r 赡获得广告。p d p 允许一个p e e r 发现其它p e e r 的广告( 镪括p e e r 广告、对等组广告、照务广告或嚣是管道广 告) 。它使用p e e r r e s o l v e r p r o t o c o l 来发送和传播搜索广告的请求。 2 ，管道绑窥协议p i p eb i n d i n gp r o t o c o l ( p b p ) 允许p e e r 之间建立艨拟的通信管道。该协议首要关注的是通过p e e r e n d p o i n tp r o t o c o l 提供豹鼹幽来逡接其它p e e r 。 3 辩等点擦惑掺议p e e ri n f o r m a t i o np r o t o c o l ( p 接) 甭采获得其它p e e r 瀚状态倍感，包捂更新辩闯、校态等等。p i p 漕惑静正 文憝宣由格式的，它允许询闯爵定静p e e r 傣惑。藏羚，这静戆力哥戳被扩壤戳 提供控制能力。 4 。对等点解析协议p e e rr e s o l v e rp r o t o c o l ( p r p ) 允许p e e r 发送更一般的请求，并可接收该请求的回成。同时可以将请求分 发到组内约一个簸者多个甄配的处理器。该协议是一个基础的逶信协议，它按 照一耪瀵蕊，蝮皮揍式来进嚣。该协议用来支持j x t a 中妁其它协议( p d p 、 p b p 翻p i p ) 。 5 。终焦路协浚e n d p o i mr o u t i n gp r o t o c o l ( e r p ) 通过该协议p e e r 戬发送消恿的形式获褥一条路由路径。它便搿p e e r 闻的网 关来建立一条雹含一个竣者多个遥会建立管道钓遽路。p i p eb i n d i n gp r o t o c o l 借 助此p e e r 列表来建立p e e r 间的路由。 6 。嶷台点协议r e n d e z v o u sp r o t o c o l ( r v p ) 通过该协议p e e r 可以对一个服务订阅或者被订阅。集合点协议负责在 j x t a 对等缝蠹转捺消息，它为p e e r 在缎内接收釉发送瀵慰著且控制消慰翅越 徙播定义了一个基本豹协议。 2 1 3 2 慧统模鼙 图2 6 跫基予j x t a 技术提基酌崧线魄予支嚣寨绫酶撰型。 在圈2 1 中的w a l l e t a p p l i c a t i o n 、k e r b e m sc l i e n t 将安装部署在备种无线通信 设备中。针对k e r b e r o s 所商操伟均围绕k d c 展开，k d c 躺纂点敌障容易罨致整 个系统崩溃的缺点，最终设计中采用多n k d c ，以负载均衡的方式来降低系统 南京邮电大学硕士珊究生学位论文 的故障率f 1 6 】。祸 f i n a n c i a ls e f v e r s 则作为金融业务服务嚣为用户提供服务，包 括信用信息的存取查询、转账支付等等。m e r c h a n t 只趄服务提供商提供给用户 的各种服务中的一种。 图2 6 基于j x t a 的系统模型 移动终端( 用户) 、m e r c h a n t ( 服务) 以及分稚柱各地的k d c 、f i n a n c i a l s e r v e r 郝罴这个j x t a 网络中豹节点。枣予砉冬多无线擎拷设冬( 比磐手穰、p d a 等) 本身酌逡算能力、存储空间都不能满足运行j x 愀协议豹基本要求，所 以，在这魑设备上使用的是专门为无限手持设备开发的j x t a 协议 j x m e 1 7 1 ，并且运行这种协议的节点需要通过一个j x t a r e l a y 节点来承担它 的大部分网络连接及通信任务。俸为一个j x t a 节点，j x t a r e l a y 在嬲络中豹 佟孬l 裁燕承掇一个或者多个j 2 m e w i r e l e s s 设簧懿瓣络接入闯题。悉茭它无线 设备( 比如手提电脑) 拥有足够的资源和能力来运行j x t a 协议和其它程序， 因此它们就不需要依赖j x t a r e l a y 节点。当然，j x t a r e l a y 节点的另一个功能 就是为处于防火墙、n a t 网络中的节点提供中继服务，以使它们可以穿越防火 壤迸孬逶镶【1 8 】。 在以谯的c s 模型中存在一个镞严重的缺陷就怒所有的客户端依赖于一个服 务器来提供器种服务，而一旦服务器端无法提供服务将会面i 临严重的问题。对 这样的问题尽管可以用增加备用服务器来实现。但怒，这样一来会带来其它许 9 赢囊挪屯大学矮士辑究叟学挺论文 多耨的淘题，比如，服务器之间的通信、数掇蚓步等。这样的间题程j x t a 嘲络 中麓不会瘩瑗，j x t a 瓣终本身对资潆共事吴寄缀好豹支持，褥遮释豹将缝缀适 会来实璐无线毫予支付系统。我镪可以将许多桧教的躅予系统安全谈涯瓣1 0 d e 鳃成个组( g r o u p ) 。嚣e w a l l e t 需要认证澈务时，只需要加入这个组，然精 笈送国d i s c o v e r y m e s s a g e 貔可强接收魏组中的k d c 给它反馈的消怠，并从中选 择通信质量较好的k d c 为它提供服务的。同样，对于f i n a n c i a ls e r v e r s 也组成一 个组，供无线用户节点逸择绶恩。 2 2系统的软件结槐 2 2 。i 客户终赣豹款俸缔构设计 强2 。7 客户端款 孛结擒没诗 移动终端上熬一令戴学多个主程謦透过短踱离静邃僖方式( 斑麴蕴牙) 或 l o 瘫寨帮龟丈学矮髫f 究生擘筑论文 者分组交换网络与s e r v i c e 相连。它们之间的通信必须有相应的安全机制来保证 通信中的信息安全。如前所述，对于蓝牙通信可以采用s e c u r i t ym o d e3 来实 现。由予手瓿、p d a 之类鲍移动终端处理能力鸯陵，同时这些终端不一定时时 连接在嗣络中，再翔其位黉多交往，当终添设备需要通过分组随络遴芎亍逶焦对 它需要一个中继节点为其掇供代理服务。而这样的中继节点并不需鼹特殊的设 备，在j x t a 网络中任何普邋的p c 节点都可以搬当这样的角色，对于电子支付系 统来说这并不会增加负担。j x t a 网络越大这样的节点越多而通信性黻将变得更 爵，这魄是j x t a 疆络数一个俊意。摇薅予c s 模式下，隧羞震户瓣壤多淫麓太 幅下降藏者需要增加硬件上的投入。 为了实现移动终端和f i n a n c i a ls e r v e r 之间邋信安全，在本系统中考虑将私钥 体系中的k e r b e r o s 协议和移动电子商务相结合，使系统做到在保证端列端应用 安全戆 l f 提下降低系统对终端设套斡要求，菇移凌电子囊务现除段戆发展提供 动力【i 9 】。 由于不同用户需要f i n a n c i a ls e r v e r 所提供的众融服务不同，所以用户就不需 要预先寂装所有的功能模块。同时f i n a n c i a ls e r v e r 所能提供的服务也在不停的更 新变化中，因此，必须在麓户需要某种服务时才加载这样的服务模块，系统需 要一令瓣务翻表采获致、下载、安装等戆警瑾壤块，爨爨谖鬟户豹褥求。 上藤的功能都将由j a v a 嵌入式操作系统予以支持。 2 2 2k d c 软件结构设计 瓣窳瓣龟夫学疆骚究蹙举建论文 图2 8k d c 的软件结构设计 陵于憨个认证过程离不开k d c ，考虑到k d c 的单点故障会导墩熬个认证系 统瘫痰，矮鼓在系统中采鲻多台k d c ，醴降低系统豹故障率。k d cc o n t r o l l e r 是 认诞模块服务器端敬主程序。它负责确瘟所鸯可能的客户端发出豹对f i n a n c i a l s e r v e r 的认证请求以及f i n a n c i a ls e r v e r 端发出的对移动用户端的认证请求。 2 2 3f i n a n c i a ls e r v e r 软件结构设计 1 2 南京邮电大学颁士研究生学位论文 图2 9f i n a n c i a ls e r v e r 的软件结构设计 f i n a n c i a ls e r v e rc o n t r o l l e r 是霰务器模块豹主程彦。它受责镌痤搿窍可黥熬 客户端的通信、服务请求并将处理信息返回给移动用户端。谯本系统的安全性 设诗中采蔫双向认证的方式，静f i n a n c i a ls e r v e r 和m o b i l et e r m i n a l 之蔺需要楣甄 认证其身份，所以c o n t r o l l e r 也要与k d c 通信进行k e r b e r o s 认诚。同样标准的 j a v a 运行环境j v m 是必须的。 2 。2 。4s e r v i c e 的软转结构设计 南京邮电大学硕十研究生学位论文 图2 1 0s e r v i c e 终端的软件结构设计 图3 8 为s e r v i c e 终端的软件结构设计。客户端通过分组交换网络( j x t a 网 络) 或者短距离的通信方式与s e r v i c e 终端的前端应用程序s e r v i c ec o n t r o l l e r 进行 通信。s e r v i c ec o n t r o l l e r 可以是部署在动态w e b 网站或者某种硬件设备上。为了 能提供不同的服务，s e r v i c ec o n t r o l l e r 需要进行特别的实现。 每个s e r v i c ec o n t r o l l e r 必须能告知客户端，当它请求某种服务时，客户端需 要提供的信用信息类型以及将采取何种通信策略。这包括那些可以被接受的信 用提供商唯- - i d 标志。l p , 女n s e r v i c e 终端是一个支付s e r v i c e ，它也许会告诉客户 端它可以接受v i s a 和m a s t e r 信用卡，并要求客户端提供卡号和信用卡有效同期。 s e r v i c ec o n t r o l l e r 模块通过v a l i d a t o r 模块来验证最后的支付交易是否成功。 带有j v m 的标准操作系统仍然是必备的部分。 1 4 南京邮电大学硕士研究生学位论文 第三章系统的安全性设计 3 1 移动电子商务所面临的安全问题 移动电子商务中的安全隐患可分为如下几类： 1 信息的截获和窃取 如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电 话网、搭线、电磁波辐射范围内安装截收装景或在数据包通过的网关和路由器 上截获数据等方式，获取传输的机密信息，或通过对信息流量和流向、通信频 度和长度等参数的分析，推出有用信息，如消费者的银行账号、密码以及企业 的商业机密等 2 0 1 。 2 信息的篡改 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输 的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段 主要有三个方面： 1 ) 篡改改变信息流的次序，更改信息的内容； 2 ) 删除删除某个消息或消息的某些部分； 3 ) 插入在消息中插入一些信息，让接收方读不懂或接收错误的信息。 3 信息假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法 用户或发送假冒信息来欺骗其他用户。就买方而言，会担，1 5 交易的对象可能是 假冒的商家，这样可能在付款后收不到所购买的商品：或者买方本身的身份被 别人冒用，导致买方不许可的交易发生； 4 交易抵赖 交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容； 收信者事后否认曾经收到过某条消息或内容；购买者做了定货单不承认；商家 卖出的商品因价格差而不承认原有的交易。 3 2 移动电子商务的安全性需求 3 2 1 系统安全性需求 鬻衷簿逸丈学硬圭鞲究生学经论文 穆动电子商务面临威胁的出现，导致了对移动电子商务安全的需求，为真 正实现一个安全移动电子商务系统，保证交易的安全可靠，要求移动电子商务 能做剿机密睦、完整性、认诞性和不可抵赖性【2 l 】。 撬密缝 移动电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家 的商北机密。与传统纸面贸弱不同，移动电予商务是建立在一个较为开放的网 络环境上的，维护商业机密是移动电子商务全诼掖广应用的重要保障。因此， 要预瓣嚣法戆售惑存取秘髅惠在转簸过程中竣棼法窈致。凝密经一羧逶遭密码 技术对传输的信息进行加密处理来实现。 2 完熬性 穆幼电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易 各方舞她信患的完整、统一躲同题。由于数据输入黠的意夕 差错或欺诈行兔， 可筑簿鼓贸器各方蔷惑熬熬簿。筵卦，鼗摇镥辕过程中售意翡丢失、信息重复 或信息传送的次序差异也念导致贸易各方信息的不同。贸易各方倍患的完整性 将影响到贸易各方的交易和经营策略，保持贸易备方信息的完整性是移动电子 商务t 暾用的基础。因此，鼹预防对信息的随意生成、修改和删除，嘲时要防止 数撂蕊邀过翟中售惑懿丢失葶【l 重复莠臻诿售惫传送次彦匏统一。巍熬洼一教可 通过撼取信息的数据摘甍方式来获得。 3 认证性 由予移动电子商务交易系统的特殊性，众渡或个人的交易通常都是在网络 环境怠戆毒线网络和无线阏络中避霉亍，所以对个人或企业实俸送行赛傍性确试 戒了移动电子商务中十分整瑟静一环。对个入簸实俸静身份送行熬掰，为身份 的真实性提供保证，即交易双方能够在相互不见面的情况下确认对方的身份。 这意味精当某人或实体声称只有某个特定的身份时，鉴别服务将提供一种方法 来验诞熊声明的j 下确性。 4 ，不爵援族瞧 移动电子商务关系到毅易双方豹商业交翁，如何确定要进行交易的贸易方 j 下是所期望的贸易伙伴这一问题是保证移动电子商务顺利进行的关键。在传统 的纸筒贸易中，贸易双方通过在交易合同、契约或贸易单据等书瓤文件上手写 签名袋印章来鉴别贸易饮孛# 身份，确定台弱、奖约、擎握熬可靠瞧，舞预防抵 1 6 南京邮电大学硕士研究生学位论文 赖行为的发生。在无纸化的移动电子商务方式下，通过手写签名和印章进行贸 易方的鉴别已是不可能的。因此，要在交易信息的传输过程中，为参与交易的 个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字 签名来获取。 5 有效性 移动电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易 信息的有效性则是开展移动电子商务的前提。移动电子商务作为贸易的一种形 式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因 此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计 算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、 确定的地点是有效的。 3 2 2 移动电子商务的安全架构 移动电子商务的一个重要技术特征是利用无线通信、计算机技术来传输和 处理商业信息。因此，移动电子商务安全从整体上可分为两大部分：通信网络 安全和商务交易安全 2 2 1 。 通信网络安全的内容包括：通信网络设备安全、通信网络系统安全、数据 库安全等。其特征是针对通信网络本身可能存在的安全问题，实施网络安全增 强方案，以保证通信网络自身的安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网、无线网络上应用时产生的各 种安全问题，在通信网络安全的基础上，如何保障移动电子商务过程的顺利进 行。即实现移动电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵 赖性。 通信网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一 不可。没有通信网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈 起。没有商务交易安全保障，即使通信网络本身再安全，仍然无法达到移动电 子商务所特有的安全要求。移动电子商务的安全框架可以如图3 1 所示。 辩寨稚邀夫学礤疆究生学链论文 交易安众技术 网络安全技术 安全艘耀协议 安 病毒防范 s 嚣t 、s s l全身傍谖翻接末 k e r b e r o s 等 管 防灾墙援拳 理 安全认证手段 体 分组过滤和代理服务 系 等 数字签名、c a 体系 对称和非对称加密等 法律法规、政策 图3 1 电子商务安全构架 从图上我们可以看出，移动电子商务安全性首先依托于法律、法规和相关 的政策制定的大环境，这是最根本的基础。对于移动电子商务活动中各个角 色，惫撼政瘸寿关部 1 帮鞠哭企鼗，都需要京这个环壤中，运壤安全交易技术 和溺络安全技术建立起竞蓦豹安全管理钵翻，辩移动电子商务实行实时蓝控， 提供实时改变安全策略的髓力，对现有的移动电子商务安全系统的漏洞的检查 及安全教育等，从而来保诳移动电子商务的安全性。 3 2 3 几种安全认证协议的 匕较 移劝瞧孑裔务弱一个烹要特薤是在线支傍。为了保证在线支错靛安全，嚣 要采用数据加密和身份认诞技术，以便营造一个可信赖的移动电子交易环境。 现实中，不同企业会采用不同的手段来实现，这些就在客观上要爿屯有一种统一 的标准采支持。 3 。2 。3 + 1安全套接层蛰渡s s l 嗣翁电子商务中的安全套接层s s l ( s e c u r es o c k e t sl a y e r ) 安众认证协议被 广泛使用。安全套接层协议是f l d n e t s c a p e 公司1 9 9 4 年设计开发的安全协议，主 要用于提高应用程序之间的数据的安全系数 2 3 】。s s l 协议的整个概念可以被概 括为；它是一个缳证任僻安装了安全套接层的窍户和服务器闻攀务安全鲍协 议，该狯议囱基于t c p i p 静c s 应矮程序提袋了客户臻和疆务爨豹漆溺、数据完 整性及信息机密性等安全措施。目的是为用户提供i n t e m e t 和企业内联网的安全 通信服务。 s s l 采用了公开密钥和私有密钥两种加密：在建立连接过程中采用公开密 钥；焱会诿逑翟中僮臻飘蠢瓷镅。蔽密弱类羹耪强度爨在嚣装之阉建立连接豹 蕊枣瓤电走学矮圭骚竞垒学位沦文 过程中判断决定。它保证了客户和服务器间事务的安全性。 s s l 协议在运行过程中可分为六个阶段： 1 ，建立连接阶段：骞户通过网络囱服务离抒招呼，骚务齑麟应： 2 。交换密羁玲段：客户与疆务蠢之蓠交羧双方认可懿密磁； 3 会谈密码阶段：客户与服务商之间产生彼此交谈的会谈密码； 4 检验阶段：检验服务商取得的密码； 5 客户认证阶段：验证客户的可信度； 6 。续寨泠段：客户与簸务亵之闻裙互交羧缀素蔼患。 警上述动作完成之籍，两者之间的资料传输就以对方公钥遴行加密后再传 输，另一方收到资料后以私钥解密。即使盗窃错在网上取得加密的盗料，如果 没有解密密钥，也无法看到可读的资料。 茧然逛予毒务的安全愁设计中可能僮嗣t s s l 安全技术，篷这势不是谨在 该交翳中正在输入帮敦薏输入的数据氇是安全麴。s s l 提供的佼仪怒电子商务 整体焱企中的- d , 部份解决方案。 i e t f 将s s l 作了标准化，即r f c 2 2 4 6 ，并将其称为t l s ( t r a n s p o r tl a y e r s e c u r i t y ) ，从技术上讲，t l s l 0 与s s l 3 0 的豢别非常微小。 3 。2 3 。2无线簧羧凄安全揍滚w t l s 当前由大多数无线厂商共同推出的w a p 槊构是未来很长一段时间内无可取 代的光线应用的标准。在w a p 的环境中，也肖寂全加密的需求，无线传输层安 全协议w t l s 是w a p 架构中的安全协议，w t l s 是t l s 在无线网络中优化的产 物。鬻就w a p f o r u m 参照s s l 协议设诗了w n s 。它投撵移动霹终豹窄赘宽、毫 对延、有限存储容量、低她毽麓力等特注避嚣了协议往纯，相对予t l s 两言， 减小了协议丌销、支持功能更强的数据压缩，并增加了优化握手和动态密钥更 新等功能。 安全套接层协议s s l 与无线传输层安全_ | 办议w t l s 匏差别如下t 1 w 下l s 一簸在u d p 这类不可靠蓦遂之羔工 乍，困筵每令漕惑墨要舂_ 挚翻 号，协议晕也要靠它来处理丢包，重袈等情况。此外，抠绝服务攻击 也因此变得更加容易。 2 w t l s 建立的安全涟接是在w a p 网关和手持设备之间，w a p 网关和应 躅驻务器之瓣如慕 蠹要绦塞，馒要慕矮s s l ，帮在这秘横鬃孛无法实瑗 南京邮电大学硕上研究生学位论文 端到端的加密。 3 w t l s 协议里加了一种成为k e yr e f r e s h 的机制，当传递了一定数量数据 包后，双方通过同样的算法将自己的密钥做一下更新。付出了很小的 代价，安全性得以增强。 由于w t l s 对t l s 的优化导致了其与t l s 的不兼容，因此在实际应用中通过 引入网关负责协议的转化，见图3 2 。无线设备与w a p 网关之间是用w t l s 进行 通信，而w a p 网关与内容服务器之间是用t l s 进行通信。w a p 网关功能之一就 是将在w t l s 下加密的数据解密后，再在t l s 下加密，反之亦然。由于用户数据 曾以明文的方式存在于w a p 网关中，因此w a p 并不是一个端到端的安全架构。 正是由于这个问题( w a pg a p ) ，w t l s 存在一个称s e c u r i t yg a p 的安全漏洞 【2 4 ，w a p 的安全性至今尚未得到许多应用提供商的承认。 w t l s 图3 2 w a pg a p 针对w a p 的缺陷，人们提出了许多对w a p 的改进。譬如，直接采用端到端 的t l s 作为安全协议：采用w t l st u r m e l 2 5 保证端到端的安全性等。然而这些 改进或者忽略了目前无线网络的不稳定性，或者加重了移动终端的负担，在无 线网络带宽和终端处理能力尚未成为可忽略因素的情况下，可行性较差。 3 2 3 3k e r b e r o s 协议 在系统的安全性设计过程中，考虑采用继承扩展现有安全协议的方式来保 证系统的安全。与完全创造一个新协议相比，这种设计思路( 继承性) 将大大 地减少系统可能存在的漏洞。另外，这个现有的安全协议必须能够适应现有无 线网络的传输特性( 数据报d a t a g r a m ) ，从而保证系统的基本可行性。根据上 述思路，发现k e r b e r o s 能够基本满足我们的需求。 南京邮电大学硕士研究生学位论文 和传统电子商务一样，移动电予商务阀榉必须满足数据保密、用户认诞、 数据完整和无法抵赖等基本安全要求。同时受无线网络带宽窄、移动终端自身 存储空间小藕运算能力弱的陵涮，要提供和传统应掰相当的安全健怒对移动电 子商务炭全絮构设计静援大拣藏。表3 ，1 是辩萋予k e 两e r o s 协议、w a p w 汀l s 协 议豹移渤邀予囊务以及馋绞懿基于t l s s s l 豹懿子鬻务在安全瞧、移韵终端运 算凝、移动终端存储空间和无线传输效率等方面进行比较的结果，证明 k e r b e r o s 不仅在安全性、逡行效率及可行性上优于w a p w t l s ，同时保证了性 能达到籀髓，s 籀当豹承平。 k e r b e r o s理鼍s s s l 厂r l s 安全性k e r b e r o s 满足系统的w t l s 满足系统的 t l s 或s s l 满足系 基本安全浠求； 基本安全需求统的基本安全需 对称密钥级的端到端使用较弱的公私求： 安全锈对进行认诞， 传统的公钥体系 安全绶下降；对瘦瘸溅务器邀 菲端到端安全行认证； 对称密锈缀懿糍 到端蜜龛 移动终竣运算基予对称感键瓣加聪褒认 委避稷中采 采鼹饕对穆蜜爨 量密，相对非对称密钥用较弱的非对称 加解密，运算爨 故秀羹薅密运舞爨夺 密鲷热鳃密，显最大 然在运尊量上较 t l s d 、，毽安全经 下降 移凌终滚存镱不鬻保存密镧珏及交 需黉铩存多稀数同w t l s 空间 互过程中发送的证字证书，如c a 根 书、票爨证书、m t 蠡旁证 书等等，要求存 储空间较大 无线传输效率在认涯过摆中仅有3 个w t l s 服l s 中蓄次与w t l s 蒸本檩嗣 消息包，且消息包中建立会话需嚣4 个 不包含数字1 正书，数 消息包，在殿毒 弱量最小、消息来回会话酌旗础，t 更 最少掰密钢 毂霈要3 令 消息色，且消息 包中毽食数字诞 书，较大 表3 1 性能比较 3 。3露是开放式隧络戆认证擞务k e 婚e r 。s 南京邮电_ k 学硕上研究生学位论文 3 3 。lk e r b e