（節(jié)選）2000年外文翻譯--移動(dòng)電子商務(wù)的安全問題（譯文）

1、<p><b>　　中文3250字</b></p><p>　　文獻(xiàn)出處：Thanh D V. Security issues in Mobile eCommerce[C]// International Conference on Electronic Commerce & Web Technologies. 2000. LNCS 1875, pp. 467?476,&l

2、t;/p><p>　　移動(dòng)電子商務(wù)的安全性問題</p><p>　　摘要：隨著移動(dòng)電子商務(wù)發(fā)展，手機(jī)用戶可以他們的手機(jī)購(gòu)買支付商品，支付賬單或者打賭無論何時(shí)何地。移動(dòng)電子商務(wù)將極大的帶來便捷提升用戶的生活品質(zhì)。然而，為了取得成功，必須采取強(qiáng)大的安全措施來讓用戶相信能夠免受非法的行為侵害。不幸的是，目前手機(jī)上的安全措施仍是不夠的。該文描述了愛立信公司在移動(dòng)電子商務(wù)上的研發(fā)工作，旨在使得移動(dòng)電子商

3、務(wù)應(yīng)用安全和全面發(fā)展電子商務(wù)產(chǎn)業(yè)。本文從電子商務(wù)的定義入手，接著總結(jié)無線應(yīng)用協(xié)議（WAP）以及該協(xié)議所取得的成就。隨后，描述了有關(guān)于移動(dòng)電子商務(wù)的安全性問題。最后，提出解決問題的方案。本文還對(duì)未來的面貌進(jìn)行了預(yù)測(cè)，討論了我們能夠做些什么。</p><p><b>　　介紹</b></p><p>　　移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)的融合為被稱為無線網(wǎng)絡(luò)應(yīng)用的新型應(yīng)用程序發(fā)展鋪平

4、了道路。他們之中那個(gè)將是殺手級(jí)別的應(yīng)用撲朔迷離。然而，無線網(wǎng)絡(luò)應(yīng)用之中總有一類應(yīng)用會(huì)逐漸的變得越來越受歡迎，最終超越他們的同行。他們就被成為移動(dòng)電子商務(wù)應(yīng)用。他們使用戶能夠通過移動(dòng)設(shè)備購(gòu)買小商品，比如軟飲料、電影票、火車票等，并完成支付。這里的移動(dòng)設(shè)備可能是移動(dòng)電話、PDA（個(gè)人數(shù)據(jù)助手）、掌上電腦等。一段時(shí)間內(nèi)，人們?cè)陉P(guān)注他們的生活品質(zhì)的提升，移動(dòng)電子商務(wù)應(yīng)用講給他們帶來便捷和省時(shí)的雙重效果。然而，為了取得成功，必須健壯安全性來是的用

5、戶相信應(yīng)用能夠避免用戶遭受非法侵害。可是，目前對(duì)手機(jī)的安全措施仍然不夠充分。本文描述了愛立信公司在移動(dòng)電子商務(wù)方面的研究工作，針對(duì)移動(dòng)電子商務(wù)應(yīng)用安全性問題和促進(jìn)該產(chǎn)業(yè)的全面發(fā)展。本文一開始介紹移動(dòng)電子商務(wù)，接著總結(jié)無線應(yīng)用協(xié)議（WAP）和該協(xié)議的貢獻(xiàn)。文章還描述了屹東電子商務(wù)與安全性之間的問題，隨后，提出解決問題的措施。最后總結(jié)并展望未來，介紹我們能做些什么。</p><p><b>　　什么是電子商

6、務(wù)</b></p><p>　　移動(dòng)電子商務(wù)是指通過像掌上電腦、PDA或者移動(dòng)電話等的移動(dòng)設(shè)備給移動(dòng)用戶帶來的電子商務(wù)。隨著設(shè)備市場(chǎng)的不斷增加，手機(jī)無疑將成為促進(jìn)移動(dòng)電子商務(wù)發(fā)展至關(guān)重要的角色。移動(dòng)電子商務(wù)允許用戶在他們的移動(dòng)設(shè)備商完成他們的交易：獲取市場(chǎng)和打折信息，收到訂單信息，決定購(gòu)買并支付訂單，獲得服務(wù)和商品，最后獲取客戶支持服務(wù)。</p><p>　　移動(dòng)電子商務(wù)不僅僅

7、是一個(gè)基于互聯(lián)網(wǎng)的移動(dòng)和無限擴(kuò)展的電子商務(wù)。這是一個(gè)全新的銷售和促銷渠道，也是各種新服務(wù)，如通過手機(jī)購(gòu)買可樂、支付停車費(fèi)、購(gòu)買火車票的拖動(dòng)者。更為重要的是，它可以從多方面為用戶做定制服務(wù)。它可以無時(shí)無刻的追蹤客戶。盡管移動(dòng)特征是大多數(shù)用戶的一個(gè)重要的特性。這對(duì)于電子商務(wù)更是珍貴的信息，因?yàn)橹皇且粋€(gè)在其他電子商務(wù)形式中沒有的，根據(jù)用戶的風(fēng)格、需求來迎合用戶的關(guān)鍵因素。事實(shí)上，商業(yè)的本質(zhì)就是為了滿足用戶的需求。不僅提供用戶想要的東西很重要，

8、在用戶需要的時(shí)候給予服務(wù)也是很重要的。移動(dòng)電子商務(wù)可以滿足這種根據(jù)時(shí)間和位置的用戶需求。</p><p>　　另一個(gè)移動(dòng)電子商務(wù)重要方面是他能夠結(jié)合電子媒體和其他諸如報(bào)紙、電視、電臺(tái)、自然交流在任何一個(gè)交易階段（展示、選擇、下單、支付、運(yùn)送和售后）的媒體。比如，移動(dòng)用戶可以在他的手機(jī)上瀏覽并獲取離他最近的商店的信息。用戶到某個(gè)地方購(gòu)買了可樂。在這個(gè)案例中，瀏覽和選擇的過程通過手機(jī)電子化完成，而剩下的步驟通過傳統(tǒng)的

9、交流方式完成。在另一個(gè)情況下，用戶購(gòu)買百貨并通過手機(jī)支付。挑選、下單、運(yùn)送和售后都是通過傳統(tǒng)方式完成，只有支付是通過電子方式完成的。</p><p>　　移動(dòng)電子商務(wù)和WAP</p><p>　　無線應(yīng)用協(xié)議（WAP）是與WAP論壇為移動(dòng)設(shè)備訪問互聯(lián)網(wǎng)制定的協(xié)議。老驢到無線鏈路的帶寬限制、移動(dòng)設(shè)備的進(jìn)程、存儲(chǔ)容量、電池壽命、尺寸重量等的閑置，WAP對(duì)無線網(wǎng)絡(luò)環(huán)境進(jìn)行優(yōu)化。WAP的架構(gòu)如下圖

10、1所示。</p><p><b>　　圖1 WAP架構(gòu)</b></p><p>　　當(dāng)然，WAP將給移動(dòng)電子商務(wù)的成功做出貢獻(xiàn)，但是值得注意的是，沒有WAP，移動(dòng)電子商務(wù)也是存在的。比方說，在挪威的第一個(gè)移動(dòng)電子商務(wù)應(yīng)用，由愛立信和Telenor 公司開發(fā)的“電影票”應(yīng)用就不是基于WAP的。該應(yīng)用是基于SIM應(yīng)用工具箱，該工具箱是繼承手機(jī)SIM（用戶身份模塊）的。在將

11、來，移動(dòng)電子商務(wù)可以通過新的技術(shù)，比如藍(lán)牙技術(shù)等進(jìn)行擴(kuò)展，藍(lán)牙技術(shù)允許設(shè)備之間在沒有在線網(wǎng)絡(luò)的情況下進(jìn)行數(shù)據(jù)傳輸。</p><p><b>　　電子商務(wù)的安全需求</b></p><p>　　在電子商務(wù)過程中，客戶和商戶直接通過軟件實(shí)體和英特網(wǎng)進(jìn)行交流，雙方之間必須建立一個(gè)信任機(jī)制。為了取得信任，一下的措施必須執(zhí)行：</p><p>　　授權(quán)：

12、每個(gè)方都必須進(jìn)行驗(yàn)證與其名副其實(shí)，確保對(duì)方就是其本身。</p><p>　　完整性：每一方都必須確保收到的信息不被修改或捏造。</p><p>　　機(jī)密性：每一方都希望他們之間的交流的內(nèi)容都是加密的。</p><p>　　消息身份驗(yàn)證:每一方都想確保接收到的消息確實(shí)來自對(duì)方。</p><p>　　不可抵賴性：每一方都不可否認(rèn)先前贊同的協(xié)議。&

13、lt;/p><p>　　通常情況下，雙方無需知道對(duì)方來完成交易。在這種情況下，非對(duì)稱加密算法、非對(duì)稱密碼算法、非對(duì)稱加密演算法，也稱為公鑰加密算法比對(duì)稱加密算法更加有效。</p><p>　　簡(jiǎn)而言之，公鑰加密算法使用一個(gè)密鑰對(duì)，一個(gè)私鑰，一個(gè)公鑰分別用來加密和解密。一個(gè)密鑰加密的信息只能通過對(duì)應(yīng)的解密密鑰解開。事實(shí)上，不可能通過一個(gè)密鑰來反推出另一個(gè)密鑰的信息。在發(fā)送加密消息是，接收方只有通

14、過對(duì)應(yīng)私鑰的公鑰才能解密信息，這樣來保證機(jī)密性和完整性。驗(yàn)證授權(quán)和不可抵賴性是在發(fā)送方發(fā)送加密信息或者一部分加密信息時(shí)將私鑰也一起發(fā)送給接收方時(shí)保證的。接收方通過發(fā)送方給的公鑰進(jìn)行解密，并確保信息來自發(fā)送方，因?yàn)橹挥邪l(fā)送方才有對(duì)應(yīng)的私鑰。這種解密方式后來被成為數(shù)字簽名，它通常由報(bào)文摘要（散列函數(shù)）來減少加密信息的長(zhǎng)度，優(yōu)化簽名的過程。加密算法目前有集中公約加密算法，如RSA、橢圓曲線加密算法等。</p><p>

15、　　通過這種方式可以確定誰擁有密鑰對(duì)。證書問題是通過受信任的機(jī)構(gòu)，也稱為證書授權(quán)（CA）來證明公鑰屬于某個(gè)實(shí)體或者有特定名稱和屬性的個(gè)體的。證書和密鑰都需要進(jìn)行管理，即生成、撤銷、更新、恢復(fù)等，過程中是公開密鑰結(jié)構(gòu)（PKI）的</p><p><b>　　移動(dòng)用戶的交易</b></p><p>　　理想的電子商務(wù)系統(tǒng)：乍一看，移動(dòng)電子商務(wù)被認(rèn)為是通過移動(dòng)無線接入或者使

16、用網(wǎng)絡(luò)的“固定”電子商務(wù)擴(kuò)展的一種手段。比如，網(wǎng)上購(gòu)物、網(wǎng)上銀行可以被直接應(yīng)用到移動(dòng)電子商務(wù)上。然而，移動(dòng)電子商務(wù)在以下幾方面是有別于“固定”電子商務(wù)的。</p><p>　　即時(shí)交付： 移動(dòng)用戶當(dāng)然對(duì)網(wǎng)上購(gòu)物這樣的服務(wù)最為感興趣，而對(duì)于非電子商品則是其次。那么，他就可能希望立即收到商品，或者只允許較短時(shí)間的延遲。例如，通過手機(jī)購(gòu)買可樂后，用戶希望可樂馬上自動(dòng)的送到手上。當(dāng)購(gòu)買電影票之后，用戶希望所購(gòu)買的電影票能

17、夠在當(dāng)天就能拿到。這就使得及時(shí)的用戶身份驗(yàn)證和信息交付很有必要。</p><p>　　小額支付：對(duì)于移動(dòng)用戶來說，購(gòu)買小商品或者進(jìn)行小額的支付也是很有可能的。這類的支付金額相比其他交易數(shù)額較小。</p><p>　　移動(dòng)環(huán)境：大多數(shù)情況下，移動(dòng)用戶只能通過單手進(jìn)行服務(wù)的操作。用戶很有可能收到周圍環(huán)境的干擾，比如，擁擠、嘈雜、互相擠來擠去，因此，電子交易服務(wù)需要簡(jiǎn)單和小巧的數(shù)字進(jìn)行。之前所描

18、述的網(wǎng)上購(gòu)物支付方式，用戶需要鍵入個(gè)人信息和信用卡號(hào)，所以在移動(dòng)用戶這種人群中是不現(xiàn)實(shí)的。用戶友好型的支付方式是很有必要的。</p><p>　　在下圖2中就給出了一些理想的移動(dòng)電子商務(wù)的特征：</p><p><b>　　用戶授權(quán)</b></p><p><b>　　商戶授權(quán)</b></p><p&g

19、t;　　安全通道，比如，加密信道</p><p>　　允許即時(shí)交付的用戶友好支付</p><p><b>　　收據(jù)交付</b></p><p><b>　　簡(jiǎn)單的用戶界面</b></p><p>　　用戶的手機(jī)

20、 商戶的服務(wù)</p><p><b>　　商戶身份驗(yàn)證</b></p><p><b>　　用戶身份驗(yàn)證</b></p><p><b>　　回執(zhí)</b></p><p>　　安全通信無需驗(yàn)證信用卡</p><p>　　圖2 理想的移動(dòng)電子商務(wù)系統(tǒng)

21、</p><p><b>　　總結(jié)</b></p><p>　　在本文中，介紹了移動(dòng)電子商務(wù)系統(tǒng)。考慮到物理和功能的限制因素阻礙手機(jī)加入移動(dòng)電子商務(wù)，該系統(tǒng)引入代理服務(wù)為手機(jī)提供必要的服務(wù)。除了安全功能，Mobile ePay也具有支付功能，如賬戶與支付，接入金融系統(tǒng)等。通過Mobile ePay，用戶可以安全的通過手機(jī)使用移動(dòng)電子商務(wù)服務(wù)，如銀行轉(zhuǎn)帳，購(gòu)買商品等。當(dāng)

22、前的處理方案仍然是不夠完美的，很多問題還有待解決，比如數(shù)字簽名的時(shí)間戳、公鑰私鑰與用戶之間的關(guān)系等問題。用戶應(yīng)該擁有多少密鑰對(duì)，密鑰對(duì)和證書之間的關(guān)系，多少證書可以和一對(duì)密鑰對(duì)匹配等等一系列問題有待思考。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　1. Visa & Master Card: SET Secure Electronic

23、Transaction Specification - Book One: Business</p><p>　　Description, version 1.0, May 31, 1997, http://www.setco.org/download.html/#spec</p><p>　　2. Visa & Master Card: SET Secure Electronic

24、 Transaction Specification - Book Two: Programmer's</p><p>　　Guide, version 1.0, May 31, 1997, http://www.setco.org/download.html/#spec</p><p>　　3. Visa & Master Card: SET Secure Electro

25、nic Transaction Specification - Book Three: Formal</p><p>　　Protocol Definition, version 1.0, May 31, 1997,</p><p>　　http://www.setco.org/download.html/#spec</p><p>　　4. ETSI: GSM 0

26、2.17 V8.0.0 Digital cellular telecommunications system (Phase 2+); Subscriber</p><p>　　Identity Modules (SIM); Functional characteristic</p><p>　　5. ETSI: GSM 11.14 Digital cellular telecommunic

27、ations system (Phase 2+); Specification of</p><p>　　the SIM Application Toolkit for the Subscriber Identity Module - Mobile Equipment (SIM</p><p>　　- ME) Interface</p><p>　　6. RSA L

28、aboratories. PKCS #1: RSA Encryption Standard. Version 1.5, Nov 1993</p><p>　　7. RSA Laboratories. PKCS #7: Cryptographic Message Syntax Standard. Version 1.5, Nov</p><p><b>　　1993</b&g