基于J2ME的移动商务的应用层安全解决方案

移动通信技术的高速发展和移动终端功能的不断增强为移动商务的实现奠定了硬件技术基础。近几年出现了大量基于WAP的移动商务应用,取得一定的良好效果。可是由于WAP的协议转换机制本身存在安全缺陷,经WTLS加密的数据经过WAP网关时要先解密,然后再由SSL加密后传给WEB服务器,入侵者可以在解密后和SSL加密前的很短的时间段中捕获明文数据,这就造成了数据的保密性无法得到保障的安全问题。通过对现有移动商务安全方案的研究和对比后,本文提出一种基于J2ME的移动商务的应用层安全解决方案。 该方案利用AES算法加密敏感数据,然后将加密后的数据包装成HTTP消息,使用WAP协议栈进行传递,在一定程度上解决了WAP网关的安全缺陷。该方案使用纯Java组件提供客户端身份认证,同时确保了数据的保密性和完整性,能在一定程度上抵御第三方攻击。该方案可以在资源受限的Java MIDP设备上实现,而且又无需对底层传输协议和无线网络基础架构做任何修改。 作者所做的主要工作有: 1.研究了AES算法的原理和设计方法,采用优化方案实现了适用于PC和移动终端的AES加密算法,加解密速度令人满意。 2.深入研究了J2ME平台的特性和技术缺陷,自行实现了基于J2ME平台的无线HTTP会话追踪功能。 3.详细分析了现有的基于WAP的安全方案的特点与不足之处,提出了基于J2ME的移动商务的应用层安全解决方案,并且实现了本方案的原型系统。 4.对原型系统进行安全性分析和性能测试。