论文部分内容阅读
摘要:随着移动电子设备日益普及,移动电子商务要又好又快发展,其安全性必须得到重视。该文针对移动电子商务的安全问题,阐述了无线公钥基础设施技术WPKI的组成及安全框架,其在移动电子商务中的应用情况。
关键词:移动电子商务;安全技术;WPKI;应用
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2880-02
The Applied Study onWPKI Technology in Mobile E-commerce
YAO Pei-hua
(Nantong Shipping College, Nantong 226010,China)
Abstract: Withthepopular of mobile electronic Equipment, the mobile E-commerce is good develops quickly, its security must obtain takes.This article in view of the mobile E-commerce security problem, elaborated the wireless public key infrastructure technology WPKI composition and the security frame, it in mobile E-commerce application situation.
Key words: Mobile E-commerce; safety technology; WPKI; application
1 引言
公开密钥基础设施(Public Key Infrastructure,PKI)技术是目前网络安全建设的基础与核心,它采用非对称密码算法和数字签名技术,由第三方权威机构认证中心(Certificate Authority,CA),通过数字签名,把用户(或机构)公钥和身份信息绑定在一起,形成数字证书颁发用户(或机构),从而保证网络信息的安全、真实、完整和不可抵赖。PKI 技术可以让个人或企业安全地从事其商业行为,从而为电子商务的迅速发展奠定了安全技术基础。
随着技术的迅速发展,移动电子设备(如手机、个人数字处理PDA)的大量普及,基于个人移动设备的电子商务(移动电子商务)成为可能,但其安全性是影响移动电子商务发展的关键。如何提供一个高效的、具备较高安全性的、且能完全适用于现有移动网络环境的电子商务协议平台将成为移动电子商务基础设施的一个关键部分。
在无线通信环境中,由于无线网络设备的存储容量有限,处理速度慢,带宽低,决定了它不能像有线网络那样依靠高强度的密钥及算法来保证安全性。WPKI(Wireless PKI)就是为满足无线通信安全需求,针对无线通信环境的特点,在有线PKI 基础上进行了优化拓展,有效地实现了移动电子商务密钥和证书管理、加密等的一系列策略与过程。为移动电子商务的用户提供身份认证、访问控制和授权、传输机密性和完整性、不可否认性等安全服务。随着无线网络技术的发展和 WPKI 标准的不断完善,WPKI 将被广泛应用于无线网络中各种安全通信服务领域。
图2 WPKI 移动电子商务安全框架
2 WPKI 的组成
同PKI 系统相似,WPKI也是通过管理密钥和证书来执行移动电子商务安全策略的。WPKI 系统是由认证中心 CA、注册中心 RA、证书目录数据库和终端实体组成,如图1所示。
WPKI 和 PKI 区别仅在于终端实体是无线应用协议(Wireless Application Protocol ,WAP) 手机,RA 功能由 PKI Portal 替代完成类似的功能,而 WAP 网关则是用于连接无线网络和有线网络的接口。
WPKI 对PKI进行了优化,主要包括对证书格式进行了简化,从而减少存储容量。另外 WPKI 采用了先进的 ECC 公钥算法,而非传统的 RSA 算法,這就可以大大提高运算效率,并在相同的安全强度下减少密钥的长度。由于WPKI证书格式是 PKIX 证书的子集,所以可以在标准 PKI 中保持互操作性。
3 WPKI 移动电子商务安全框架
鉴于目前大部分移动设备处理能力的低下,下面我们提供一种适合目前情况的WPKI 移动交易安全框架,即引入验证服务器(validation authority, VA)的 WPKI移动交易安全框架,如图 2 所示。
VA作为所有无线终端的代理,完成各种复杂的证书验证和加密/解密操作,如多级证书链的验证。此时,手机只需要处理单级证书验证,即只需对验证服务器回送的结果进行验证。
用户终端数字证书申请过程如下:
1) 移动设备用户使用生成密钥对和证书请求,向 PKI Portal申请证书。
2) PKI Portal 在完成审核后向 签发系统CA申请签发证书。
3) 签发系统CA签发证书并通过证书库发布。
4) 签发系统CA将用户证书回送给 PKI Portal。
5) PKI Portal 将证书回送给手机终端,存放在手机内的智能卡中。
而移动电子商务业务处理流程如下:
1) 用户传输敏感数据时,首先使用私钥签名,用于交易防抵赖,然后用对方证书公钥作数字信封加密。签名和加密根据需要可以只作其中一项,或全做。终端将数据发送给 VA。
2) VA 将数据转发给相应的商家。
3) 商家查询用户证书黑名单。
4) 商家根据黑名单验证用户证书的有效性。
5) 对于有效的用户进行业务操作,然后回送操作结果。
6) VA 查询商家证书黑名单。
7) VA 通过黑名单验证商家证书的有效性以及数据的有效性。
VA 将结果使用自己的私钥签名,然后回送给手机终端。手机终端通过验证 VA 的签名来确认数据的可靠性。
4 WPKI系统相对于PKI的改进
WPKI是在现行的有线PKI已有机制下做适当的补充和合理的优化,以符合无线通信服务的特点,WPKI对PKI系统的部分优化如下:
1) 采用短期微型证书代替 SSL 服务器证书
WAP 构架中的网关起到了代理服务器的作用,主要实现基于WAP/WTLS的无线环境与基于HTTP/SSL/TCP/IP的有线环境之间的协议和格式转换。由于移动终端受到其资源限制,所以在携带SSL证书和实现SSL证书的颁发、核查、撤销等功能上具有困难。但是可以通过WAP网关的桥梁功能来实现 SSL 协议。在这个网关中实现短期微型证书与SSL服务器证书的转换,同时改进客户终端设备,使其能够使用短期微型证书。
2) 采用短期证书来简化对 WAP 服务器和网关的认证
认证中心定期向对移动终端颁发认证 WAP 服务器和网关的短期证书,在需要撤消对它们的认证时,不需要采用任何证书撤销行为,只要停止颁发下一张证书就可以了。如果客户定期没有收到一个当前有效的证书,也就停止同这个服务器继续对话。
3) 移动客户身份认证
在电子商务应用中,移动客户经常需要向一个无线网关或一个应用服务器证明自己的身份。PKI 对于客户认证的支持方式基本上与(4)中对客户数字签名的支持相同。X.509 格式的证书存放在有线基础设施中,通过WAP网关实现客户认证。
4) 交易的不可抵赖性
电子商务中通常采用数字签名的方法来支持交易的不可抵赖性或解决交易的事后纠纷。由于资源的限制,移动终端不可能存储或处理相应公钥的证书。所以移动终端只持有自己的私钥和数字签名逻辑地址,而将证书以一定的存储方式存放在有线基础设施里。当用户的数字签名需要被确认时,应用服务器可以到有线基础设施里提取和使用。因此,应用服务器就不需分别处理两种不同的数字签名,而移动终端也不用顾虑该证书的大小。
5) 无线环境中的加密算法
在有线因特网环境中,商用化的公钥加密技术主要都使用基于RSA的加密系统。在无线环境中,一种新的椭圆曲线加密(ECC)算法具有很大的应用前景。由于移动终端的CPU计算能力,存贮容量,电池寿命的限制,有线因特网中的RSA算法不能很好地满足其要求,而 ECC 可以完成同 RSA 一样的基本功能,而且由于 ECC 具有指数级复杂度,正好可以满足移动终端的特殊要求。
5 基于 WPKI 构架的移动电子商务
在移动电子商务中,如何实现在线、实时、安全的支付是技术实施的核心,尤其在移动环境下,需要准确地识别人员身份、判别帐号真伪,并迅速、安全地实现资金处理。WPKI 技术在移动电子商务中有如下方面的应用:
1) 网上银行
用户可以用移动设备通过网上银行轻松实现电话费缴纳、商场购物、缴泊车费、自动售货机买饮料、公交车付费、投注彩票等手机支付服务。如果在网上银行系统中采用了WPKI和数字证书认证技术,即使窃取了卡号和密码。也无法在网上银行交易中实现诈骗。从世界范围看,数字证书技术已经被广泛地应用在国内外网上银行系统中。网上银行的应用主要有如下两种:无线电子支付;无线电子转账。
2) 网上证券和网上缴税同样,通过移动终端设备进行无线网上证券交易和网上缴税也给用户带来了极大便利,减少了操作时间,提高了办事效率,但是也面临着安全性和可靠性的问题。类似于网上银行系统的实现,采用 WPKI 体系作为安全技术框架,移动用户可以通过使用个人拥有的数字证书,使信息获得更有效的、端到端的安全保障。
此外,移动电子商务在网上柜台、网上学习、网上游戏等方面也有應用。可以想见随着移动电子商务的发展.基于WPKI技术的应用范围将逐步拓展。
6 结论
随着技术的发展,将移动通信工具与因特网连接起来的无线上网技术以及因特网服务商提供的无线上网服务已具备。因此,移动电子商务已不存在技术障碍,所以,移动电子商务具有的方便快捷、节省时间等优点将会带动传统电子商务走向一个崭新的世界,WPKI应用将更普遍化。
参考文献:
[1] 贺松.新一代的电子商务——移动电子商务[J].计算机应用,2006(4).
[2] 徐晓宁.WPKI的关键技术与实现[D].西安电子科技大学,2005.
[3] 贾忠田.WPKI证书撤销策略及证书漫游研究[D].山东大学,2005.
关键词:移动电子商务;安全技术;WPKI;应用
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2880-02
The Applied Study onWPKI Technology in Mobile E-commerce
YAO Pei-hua
(Nantong Shipping College, Nantong 226010,China)
Abstract: Withthepopular of mobile electronic Equipment, the mobile E-commerce is good develops quickly, its security must obtain takes.This article in view of the mobile E-commerce security problem, elaborated the wireless public key infrastructure technology WPKI composition and the security frame, it in mobile E-commerce application situation.
Key words: Mobile E-commerce; safety technology; WPKI; application
1 引言
公开密钥基础设施(Public Key Infrastructure,PKI)技术是目前网络安全建设的基础与核心,它采用非对称密码算法和数字签名技术,由第三方权威机构认证中心(Certificate Authority,CA),通过数字签名,把用户(或机构)公钥和身份信息绑定在一起,形成数字证书颁发用户(或机构),从而保证网络信息的安全、真实、完整和不可抵赖。PKI 技术可以让个人或企业安全地从事其商业行为,从而为电子商务的迅速发展奠定了安全技术基础。
随着技术的迅速发展,移动电子设备(如手机、个人数字处理PDA)的大量普及,基于个人移动设备的电子商务(移动电子商务)成为可能,但其安全性是影响移动电子商务发展的关键。如何提供一个高效的、具备较高安全性的、且能完全适用于现有移动网络环境的电子商务协议平台将成为移动电子商务基础设施的一个关键部分。
在无线通信环境中,由于无线网络设备的存储容量有限,处理速度慢,带宽低,决定了它不能像有线网络那样依靠高强度的密钥及算法来保证安全性。WPKI(Wireless PKI)就是为满足无线通信安全需求,针对无线通信环境的特点,在有线PKI 基础上进行了优化拓展,有效地实现了移动电子商务密钥和证书管理、加密等的一系列策略与过程。为移动电子商务的用户提供身份认证、访问控制和授权、传输机密性和完整性、不可否认性等安全服务。随着无线网络技术的发展和 WPKI 标准的不断完善,WPKI 将被广泛应用于无线网络中各种安全通信服务领域。
图2 WPKI 移动电子商务安全框架
2 WPKI 的组成
同PKI 系统相似,WPKI也是通过管理密钥和证书来执行移动电子商务安全策略的。WPKI 系统是由认证中心 CA、注册中心 RA、证书目录数据库和终端实体组成,如图1所示。
WPKI 和 PKI 区别仅在于终端实体是无线应用协议(Wireless Application Protocol ,WAP) 手机,RA 功能由 PKI Portal 替代完成类似的功能,而 WAP 网关则是用于连接无线网络和有线网络的接口。
WPKI 对PKI进行了优化,主要包括对证书格式进行了简化,从而减少存储容量。另外 WPKI 采用了先进的 ECC 公钥算法,而非传统的 RSA 算法,這就可以大大提高运算效率,并在相同的安全强度下减少密钥的长度。由于WPKI证书格式是 PKIX 证书的子集,所以可以在标准 PKI 中保持互操作性。
3 WPKI 移动电子商务安全框架
鉴于目前大部分移动设备处理能力的低下,下面我们提供一种适合目前情况的WPKI 移动交易安全框架,即引入验证服务器(validation authority, VA)的 WPKI移动交易安全框架,如图 2 所示。
VA作为所有无线终端的代理,完成各种复杂的证书验证和加密/解密操作,如多级证书链的验证。此时,手机只需要处理单级证书验证,即只需对验证服务器回送的结果进行验证。
用户终端数字证书申请过程如下:
1) 移动设备用户使用生成密钥对和证书请求,向 PKI Portal申请证书。
2) PKI Portal 在完成审核后向 签发系统CA申请签发证书。
3) 签发系统CA签发证书并通过证书库发布。
4) 签发系统CA将用户证书回送给 PKI Portal。
5) PKI Portal 将证书回送给手机终端,存放在手机内的智能卡中。
而移动电子商务业务处理流程如下:
1) 用户传输敏感数据时,首先使用私钥签名,用于交易防抵赖,然后用对方证书公钥作数字信封加密。签名和加密根据需要可以只作其中一项,或全做。终端将数据发送给 VA。
2) VA 将数据转发给相应的商家。
3) 商家查询用户证书黑名单。
4) 商家根据黑名单验证用户证书的有效性。
5) 对于有效的用户进行业务操作,然后回送操作结果。
6) VA 查询商家证书黑名单。
7) VA 通过黑名单验证商家证书的有效性以及数据的有效性。
VA 将结果使用自己的私钥签名,然后回送给手机终端。手机终端通过验证 VA 的签名来确认数据的可靠性。
4 WPKI系统相对于PKI的改进
WPKI是在现行的有线PKI已有机制下做适当的补充和合理的优化,以符合无线通信服务的特点,WPKI对PKI系统的部分优化如下:
1) 采用短期微型证书代替 SSL 服务器证书
WAP 构架中的网关起到了代理服务器的作用,主要实现基于WAP/WTLS的无线环境与基于HTTP/SSL/TCP/IP的有线环境之间的协议和格式转换。由于移动终端受到其资源限制,所以在携带SSL证书和实现SSL证书的颁发、核查、撤销等功能上具有困难。但是可以通过WAP网关的桥梁功能来实现 SSL 协议。在这个网关中实现短期微型证书与SSL服务器证书的转换,同时改进客户终端设备,使其能够使用短期微型证书。
2) 采用短期证书来简化对 WAP 服务器和网关的认证
认证中心定期向对移动终端颁发认证 WAP 服务器和网关的短期证书,在需要撤消对它们的认证时,不需要采用任何证书撤销行为,只要停止颁发下一张证书就可以了。如果客户定期没有收到一个当前有效的证书,也就停止同这个服务器继续对话。
3) 移动客户身份认证
在电子商务应用中,移动客户经常需要向一个无线网关或一个应用服务器证明自己的身份。PKI 对于客户认证的支持方式基本上与(4)中对客户数字签名的支持相同。X.509 格式的证书存放在有线基础设施中,通过WAP网关实现客户认证。
4) 交易的不可抵赖性
电子商务中通常采用数字签名的方法来支持交易的不可抵赖性或解决交易的事后纠纷。由于资源的限制,移动终端不可能存储或处理相应公钥的证书。所以移动终端只持有自己的私钥和数字签名逻辑地址,而将证书以一定的存储方式存放在有线基础设施里。当用户的数字签名需要被确认时,应用服务器可以到有线基础设施里提取和使用。因此,应用服务器就不需分别处理两种不同的数字签名,而移动终端也不用顾虑该证书的大小。
5) 无线环境中的加密算法
在有线因特网环境中,商用化的公钥加密技术主要都使用基于RSA的加密系统。在无线环境中,一种新的椭圆曲线加密(ECC)算法具有很大的应用前景。由于移动终端的CPU计算能力,存贮容量,电池寿命的限制,有线因特网中的RSA算法不能很好地满足其要求,而 ECC 可以完成同 RSA 一样的基本功能,而且由于 ECC 具有指数级复杂度,正好可以满足移动终端的特殊要求。
5 基于 WPKI 构架的移动电子商务
在移动电子商务中,如何实现在线、实时、安全的支付是技术实施的核心,尤其在移动环境下,需要准确地识别人员身份、判别帐号真伪,并迅速、安全地实现资金处理。WPKI 技术在移动电子商务中有如下方面的应用:
1) 网上银行
用户可以用移动设备通过网上银行轻松实现电话费缴纳、商场购物、缴泊车费、自动售货机买饮料、公交车付费、投注彩票等手机支付服务。如果在网上银行系统中采用了WPKI和数字证书认证技术,即使窃取了卡号和密码。也无法在网上银行交易中实现诈骗。从世界范围看,数字证书技术已经被广泛地应用在国内外网上银行系统中。网上银行的应用主要有如下两种:无线电子支付;无线电子转账。
2) 网上证券和网上缴税同样,通过移动终端设备进行无线网上证券交易和网上缴税也给用户带来了极大便利,减少了操作时间,提高了办事效率,但是也面临着安全性和可靠性的问题。类似于网上银行系统的实现,采用 WPKI 体系作为安全技术框架,移动用户可以通过使用个人拥有的数字证书,使信息获得更有效的、端到端的安全保障。
此外,移动电子商务在网上柜台、网上学习、网上游戏等方面也有應用。可以想见随着移动电子商务的发展.基于WPKI技术的应用范围将逐步拓展。
6 结论
随着技术的发展,将移动通信工具与因特网连接起来的无线上网技术以及因特网服务商提供的无线上网服务已具备。因此,移动电子商务已不存在技术障碍,所以,移动电子商务具有的方便快捷、节省时间等优点将会带动传统电子商务走向一个崭新的世界,WPKI应用将更普遍化。
参考文献:
[1] 贺松.新一代的电子商务——移动电子商务[J].计算机应用,2006(4).
[2] 徐晓宁.WPKI的关键技术与实现[D].西安电子科技大学,2005.
[3] 贾忠田.WPKI证书撤销策略及证书漫游研究[D].山东大学,2005.