移动电子商务是有线电子商务的延伸和发展。企业现有的环境、系统和模式都可以技术性地移植到电子商务中，避免重复投资和资源浪费。但是加入移动电子商务的系统，其复杂性也带来一系列的安全问题。由于移动电子商务的特殊性，移动电子商务的安全问题尤其重要。安全性是影响移动电子商务发展的关键问题。
1 移动电子商务和移动支付
1.1 基于WPKI的移动电子商务
    WPKI[1]以无线应用协议WAP（Wireless Application Protocol)的安全机制为基础[2]，从传统的公钥基础设施PKI(Public Key Infrastructure)中发展而来。WPKI与PKI都是通过管理密钥和证书来执行移动电子商务策略。WPKI主要解决管理移动电子商务的策略问题，并为无线应用环境提供安全服务。WPKI的优化主要包括对证书格式的简化，以减少存储容量。另外WPKI采用了先进的ECC公钥算法，而非传统的RSA算法，这就可以大大提高运算效率，并在相同的安全强度下减少密钥的长度。由于WPKI证书格式是PKIX(Public Key Infrastracture on X.509)证书的子集，所以可以在标准PKI中保持互操作性[3]。
1.2 WPKI移动电子商务安全框架
    鉴于目前大部分手机计算能力的低下，下面提供一种适合移动电子商务的WPKI移动交易安全框架，即引入验证服务器VA（Validation Authority）的WPKI移动交易安全框架[4]，如图1所示。

    VA作为所有无线终端的代理，完成各种复杂的证书验证和加密/解密操作(如多级证书链的验证)。此时，手机只需要处理单级证书验证，即只需对验证服务器回送的结果进行验证。
    其验证过程如下：
    (1)手机用户使用生成密钥对和证书请求，向PKI Portal申请证书；
    (2)PKI Portal在完成审核后向CA签发系统申请签发证书；
    (3)签发系统签发证书并通过证书库发布；
    (4)签发系统将用户证书回送给PKI Portal；
    (5)PKI Portal将证书回送给手机终端，存放在手机内的智能卡中。
1.3 移动支付
    移动支付是指借助手机、掌上电脑、笔记本电脑等移动通信终端和设备，通过无线方式进行的银行转账、缴费和购物等商业交易活动。与传统支付方式相比较，移动支付的优点是真正实现了3A(任何时间、任何地点以及任何方式)，也就是将无线通信技术的3A优势应用到金融业务之中[5]。它的优势从与以往支付方式（传统的支付方式与电子支付的方式）的比较中体现出来。但由于安全性和易用性问题尚未得到很好的解决，所以目前国内的移动支付主要是小额支付为主。
2 系统分析和设计
2.1 安全移动支付系统功能模块设计
    安全移动支付系统组成如图2所示。该移动支付系统以WPKI为基础，依据移动支付业务需求设计[6]，各模块功能如下：
    (1)RA服务器提供HTTP/HTTPS服务，为用户提供申请证书的检查和审核，并提交给CA服务器进行证书签发；
    (2)CA服务器提供证书目录和证书签发、注销、更新等；
    (3)商家服务器提供HTTP服务，为用户提供商品浏览和定购，并提供支付平台分布式接口；
    (4)移动支付平台提供与银行的接口，提供用户手机号码与银行账号绑定的功能，提供与智能终端支付接口，提供与商家信息交互接口。
    客户在申请移动支付服务业务时，首先到银行(或银行网站上)开户或使用己有的账户来绑定手持设备ID(如手机号)，这里手机ID用客户的数字证书来表示。

[1] [2] [3]  下一页