【《移动电子商务安全协议概述》2600字】

致谢移动电子商务安全协议概述目录TOC\o"1-3"\h\u6082移动电子商务安全协议概述 175541.1

WAP安全架构 1269981.2

电子支付协议 2移动电子商务的发展离不开一个安全可靠的交易环境，任何一个事物成功发展背后都有各种技术的支持，移动电子商务当然也不例外，移动电子商务安全协议能够很好的确保一些交易中的关键问题。目前电子支付协议、WAP无线通信协议等协议是国际上移动电子商务行业普遍认可和采用的安全协议。1.1

WAP安全架构WAP是一个全球性的、开放性的、标准的应用协议，是专门为无线设备定义应用体制和网络协议而发布的。WAP技术的作用就是可以使在互联网上的信息或者在其上进行的业务全部转移到移动设备上。以短信为基础的第一代电子商务技术存在着许多缺陷，实时性差便是其中的一个致命问题。以WAP技术为主的便是应用更加广泛的第二代移动电子商务，因为其通用性和便捷性得到了人们的认可，在手机的浏览器上就可以访问WAP网页，进行一系列便捷的操作。当前，市面上主要的操作系统WAP基本都可以支持，囊括了绝大多数的人们日常能够接触到的终端设备。WAP传输数据时采用的是二进制的方式，即使是在通信时带宽不高，也没有较大影响，是移动电子商务中一种重要的承载技术，用户可以随时随地接入和访问网络，不受以往传统技术的限制。WAP在定义相关标准时，要遵循能够将网上的信息进行过滤并且转化为适合移动通信使用的原则，只有这样内容在移动终端上显示的才能更简单方便。与采取WWW通信的协议相比，WAP既使用了客户/服务器的方式，而且比传统的WWW通信多了一个WAP网关。WAP应用系统中共包含WAP客户端设备、WAP服务器以及WAP网关三个实体。客户机通过WAP网关然后再与资源WAP服务器通信。WAP的应用模型图如图1-2所示，WAP经典通信模型如图1-3所示。图1-2WAP应用模型图1-3WAP通信模型无线网络在带宽方面存在限制，数据在进行压缩处理时，反应时间较长，移动终端处理数据的能力还有待加强。WAP协议的提出，对于克服这些弊端，有了标准的协议依据。1.2

电子支付协议为了保证电子交易过程中信息的机密性和完整性，电子支付协议应运而生。根据不同的阶段可以将电子支付分为以下三类：一是加入可信的第三方。第三方负责维护的是用户、商家的交易信息以及个人信息等。在进行交易的过程中，传输的只有订单的商品信息和确认支付的商品的信息，无用户或商家的机密信息；二是通过银行转账结算。若使用这种方式，当用信用卡支付时，不管是支付方还是收款方，都能获取机密信息；三是电子货币以及数字现金。这种方式与前两种不同，若信息泄露，造成的会是财产的较大损失，因为在这种方式下盗取的是直接的钱财。电子支付协议的出现为解决上述问题提供了较好的解决方法，当前，在国内外的众多协议中，应用最广泛的还是安全套接层（SSL，SecureSocketsLayer）协议和安全电子协议（SET，SecureElectronicTransaction）协议。下面进行具体的介绍。（1）SSL协议SSL协议是Netsacpe在1994年推出的一种基于Web应用的安全通信协议，目的是为电子支付过程中参与者的信息提供安全保障。SSL协议可以同时在客户端和服务器端实现，对双方通信的整个过程加密，确保信息不会被窃听或者篡改。在SSL协议中，通过使用了公、私钥加密的加密方式来对计算机的全部会话过程保密，确保信息的安全传输。公钥密码体制在SSL协议中得到了广泛使用，常用于Web浏览器以及服务器中。协议位于TCP协议（传输层）与应用层之间，向上能够为应用层的协议（例如超文本传输协议、远程登录协议等）提供安全保障。同时，密钥协商、消息加密、身份认证等技术，这些与SSL协议密切相关的技术都是在和应用层的协议进行通信前就已经完成了，所以应用层协议若传输消息，消息都是经过加密处理过的，通信过程的安全性有保障。SSL的主要工作流程如下：首先要和网络的连接建立联系；然后选择本次传输的数据加密方式以及传输数据时对数据进行压缩的形式；对数据传输双方的身份进行鉴别；对数据传输时使用的密钥进行确认；做好前期一系列加密准备工作后，就可以进行数据的传输；所需数据传输完成后，就可以断开网络连接，传输结束。SSL协议中的记录协议是用来给上层提供基于C/S模式的安全传输服务。SSL协议的结构层次如图1-4所示。图1-4SSL协议结构层次SSL协议的安全性是靠加密算法的安全性来保证的，因此一旦加密算法被破解，SSL协议也就不存在什么安全性。因为SSL并没有具备数字签名功能，因此不能为交易的双方提供不可抵赖的证明。一旦交易双方事后他们之间的某次交易提出异议，SSL没法判断谁对谁错，消费者或者商家的利益可能会受到损害。另外，SSL解决的信息传输安全问题是针对点到点之间的，并没有对Web站点的安全问题进行解决，因此在实际应用中，SSL协议使用时通常要与其他安全技术结合起来使用。总体来看，在保护移动电子商务安全方面，SSL协议有一定的贡献。但是如果SSL协议本身使用的加密算法能够不断完善，那么安全性也会随之提高，应对风险的能力就会增强。（2）SET协议SET协议是一个针对安全交易而制定的规范，是由国际两大知名组织VISA、MasterCard以及业内权威厂商共同提出并开发的，主要用于确保移动电子商务中使用信用卡交易时的安全性问题，提供对客户、商家、第三方金融机构之间的认证，在移动支付时通过网上银行进行支付便是其重要应用。在进行电子支付时，基于SET协议交易过程中，参与者主要分为六方：用户（持卡人）、商家（服务提供者）、支付网关、收款银行、发卡银行以及CA。其中，CA是支付信息由互联网进入银行的中间屏障，虽然并不直接参与SET的交易流程，但是仍不可或缺。可以认证用户、商家的身份，同时还要处理商家的支付报文以及用户的支付指令，确保交易的信息在各方直接能够安全地传递。若没有CA，电子交易就会无法进行。根据SET协议流程的规定，为确保SET交易的安全，交易涉及的成员必须要有自己的数字证书，同时也要查验对方的数字证书。交易中各方数字证书的发放以及更新等管理工作都是由CA完成的。SET协议中主要成员关系如图1-5所示。图1-5SET协议中各参与方的关系SET协议位于应用层，规范了电子商务交易中的整个支付流程，对参与交易的各方应采用什么样的加密认证机制都做出了明确规定。具备SSL协议不具备的集成性、服务性等特点，能够实现SSL协议不能实现的数字签名功能，可以在支付过程中提供更加完善可靠安全的服务。与对通信双方之间的所有消息进行加密的SSL协议不同，SET协议会对