1 移动电子商务和移动支付
1.1 基于WPKI的移动电子商务
WPKI[1]以无线应用协议WAP(Wireless Application Protocol)的安全机制为基础[2],从传统的公钥基础设施PKI(Public Key Infrastructure)中发展而来。WPKI与PKI都是通过管理密钥和证书来执行移动电子商务策略。WPKI主要解决管理移动电子商务的策略问题,并为无线应用环境提供安全服务。WPKI的优化主要包括对证书格式的简化,以减少存储容量。另外WPKI采用了先进的ECC公钥算法,而非传统的RSA算法,这就可以大大提高运算效率,并在相同的安全强度下减少密钥的长度。由于WPKI证书格式是PKIX(Public Key Infrastracture on X.509)证书的子集,所以可以在标准PKI中保持互操作性[3]。
1.2 WPKI移动电子商务安全框架
鉴于目前大部分手机计算能力的低下,下面提供一种适合移动电子商务的WPKI移动交易安全框架,即引入验证服务器VA(Validation Authority)的WPKI移动交易安全框架[4],如图1所示。
其验证过程如下:
(1)手机用户使用生成密钥对和证书请求,向PKI Portal申请证书;
(2)PKI Portal在完成审核后向CA签发系统申请签发证书;
(3)签发系统签发证书并通过证书库发布;
(4)签发系统将用户证书回送给PKI Portal;
(5)PKI Portal将证书回送给手机终端,存放在手机内的智能卡中。
1.3 移动支付
移动支付是指借助手机、掌上电脑、笔记本电脑等移动通信终端和设备,通过无线方式进行的银行转账、缴费和购物等商业交易活动。与传统支付方式相比较,移动支付的优点是真正实现了3A(任何时间、任何地点以及任何方式),也就是将无线通信技术的3A优势应用到金融业务之中[5]。它的优势从与以往支付方式(传统的支付方式与电子支付的方式)的比较中体现出来。但由于安全性和易用性问题尚未得到很好的解决,所以目前国内的移动支付主要是小额支付为主。
