（计算机应用技术专业论文）无线认证中心的设计与实现研究.pdf

摘要 公钥基础设施p k i 为基于i n t e m e t 的电子商务和信息交换提供了安全保证。 随着无线通信技术的发展，移动电子商务迅速增长，也需要安全设施来保证无线 环境下的安全，因此w p k i ( w i r e l e s sp u b l i ck e yi n f r a s t r u c t u r e ) 成为了安全领域研究 的热点。本文介绍了无线传输的背景，对无线网络安全中的关键技术w p k i 进行了深入地研究，重点之醯唇了其核心部分无线认证中一& , ( w i r e l e s sc a ) 自皇丛 丑：芝塞塑一介绍了系统中涉及的塞班j i 丕趣范，详细讨论了用户证书管理。w c a 作为一个受信任的第三方权威机构，负责发放和管理数字证书。 具体来说，本系统的主要特色有： 1 ) 提供完备的功能特性。w c a 系统提供了构架集中式密钥管理的根c a 的 整套解决方案。 2 ) 遵从国际标准同时自主开发。w c a 系统的体系结构、对外服务及其系统 管理严格遵从相关规范，并且从设计到实现都为自主开发，符合国家安 全部门的有关规定。 3 ) 构建功能完备的c a 子系统。w c a 的c a 子系统提供产生密钥、生成证 书、发布证书、撤销证书、发布证书撤消列表等服务。 4 ) 采用严格的访问控制方式与权限管理机制。w c a 系统充分保证了用户数 据访问的合法性与有效性。 5 ) w c a 系统严格记录管理员的操作同志，并且保证其权威性、不可否认性 和完整性。 6 ) c a 自身数据被高强度加密。突破了国外对中国加密产品的出口限制， 不怕内部攻击，不怕恶意下载。 7 ) 提供方便的系统管理方式。w c a 系统提供管理员友好、方便的操作界面。 管理员可以轻松地管理整个w c a 系统。 总之，w c a 可广泛应用于会融、证券、电信、军队、政府、教育等行业， 以及网站( i s p i c p ) 、企业e 网等应用环境，是构建c a 认证中心的理想方案。 关键词：无线安金无线公钥基础设施无线认证中心无线传输层安全协议 数字证书 1 1 1 a b s t r a c t p u b l i ck e yi n f r a s t r u c t u r e p r o v i d e st h es e c u r i t yf o rt h ei n t e m e te - b u s i n e s sa n d i n f o r m a t i o ne x c h a n g e b yt h ed e v e l o p m e n to fw i r e l e s st e l e c o m m u n i c a t i o n t e c h n o l o g y t h em o b i l ee b u s i n e s sh a si n c r e a s e dr a p i d l y , t h e r e f o r ec o r r e s p o n ds e c u r em e a n sa r e g r e a tn e e d e d t h ew p k i h a sb e c o m et h eh o t s p o to ft h es e c u r er e s e a r c hr e a l m i nt h i s p a p e r , ac a m o d e ln a m e dw i r e l e s sc e r t i f i c a t i o na u t h o r i t y ( w c a ) i sp r o p o s e d t h i s m o d e l p r e s e n t st h ed e s i g na n di m p l e m e n t a t i o no f aw h o l es o l u t i o nf o rc a w c ai sa t r u g t e dt h i r da u t h o r i t yw i t hr e s p o n s i b i l i t yf o r i s s u i n ga n dm a n a g i n gd i g i t a lc e r t i f i c a t e s s p e c i f i c a l l y , t h ef e a t u r eo f t h i ss y s t e ma r ea sf o l l o w s ： 1 ) w c ap r o v i d e st h ec o m p l e t ef u n c t i o n a lp e r f o r m a n c e ，a n dp r e s e n t st h ef u l ls o l u t i o no f r o o tc aw h i c hc e n t r a l i z et h eu s e r sp r i v a t ek e ya n d p u b l i ck e y 2 ) w c ak e e p st ot h ei n t e r n a t i o n a ls t a n d a r d sa n dh a se n t i r ei n t e l l e c t u a lp r o p e r t y i nw c a ， t h ea r c h i t e c t u r e ，t h es e r v i c ea n dt h e s y s t e mm a n a g e m e n ts t r i c t l yk e e pt o t h ep k l s t a n d a r d s ，a n da c ta c c o r d i n gt ot h ep r e s c r i p t so f t h en a t i o n a ls e c u r ed e p a r t m e n t 3 ) i nw c a ，c as u b s y s t e mi se s t a b l i s h e d i ti n c l u d e st h es e v e r a lm a j o rf u n c t i o n a l i t i e s ： p r i v a t ek e yg e n e r a t i n g ，c e r t i f i c a t ei s s u i n g ，c e r t i f i c a t ep u b l i s h i n g ，c e r t i f i c a t i o nr e v o k i n g a n dc r l p u b l i s h i n g ，e t c 4 ) w c ap i c k st h ec o n t r o lo fc o n n e c t i o na c c e s sa n dm a n a g e m e n to fr i g h t ，s ow c a s y s t e m f u l l ye n s u r e dt h a tl e g a l i t yw h e nu s e r sa c c e s sd a t a 5 ) i nw c a ，a l lo p e r a t i o n so fm a n a g e r s a r er e c o r d e di n s y s t e ml o g ，a n d e n s u r e a u t h o r i t a t i v e n e s s ，a c c o u n t a b i l i t y , i n t e g r i t yo f t h el o g 6 ) t h es y s t e mf i l e so fw c a a r e e n c r y p t e dw i t hh i g hs t r e n g t ha l g o r i t h m ，w h i c hb r e a k s t h r o u g ht h eb o u n do ff o r e i g ne x p o r t t h i sa l s oc a np r e v e n tt h ei n s i d ea t t a c kf r o ms y s t e m a n du n a u t h o r i z e dd o w n l o a d 7 ) w c as y s t e mo f f e r sm a n a g e r saf r i e n d l ya n df a c i l i t yo p e r a t i n gi n t e r f a c e w i t ht h i s m a n a g e r i a ls y s t e m ，m a n a g e rc a ne x p e d i e n t l ym a n i p u l a t ea l lo fw c a s y s t e m i naw o r d ，w c a s y s t e mw i t he n t i r ei n t e l l e c t u a lp r o p e r t yc a nb eg e n e r a l l yu s e di n f i n a n c e i n d u s t r y , n e g o t i a b l es e c u r i t i e s ，t e l e c o m m u n i c a t i o n s ，m i l i t a r y , g o v e r n m e n t ， e d u c a t i o n ，a n dw e b s i t e ( i s p i c p a s p ) ，a n de n t e r p r i s en e t w o r k s ，e t c w c ac a na c ta s a n o p t i m a ls o l u t i o nt ob u i l dc e r t i f i c a t i o na u t h o r i t y k e y w o r d s ：w i r e l e s ss e c u r i t y , w i r e l e s sp u b l i c k e yl n f r a s t r u c t u t e ，w i r e l e s s c e r t i f i c a t i o n a u t h o r i t y , w i r e l e s st r a n s p o r tl a y e rs e c u r e ，d i g i t a lc e r t i f i c a t e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：j ：! ：! ：!日期：撕甲年，明伽日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： 导师签名! 碰 日期：如。中年f - 月垆日 电子科技大学硕士论文 第一章引言 电子商务、网上银行及网上证券交易的飞速发展，i n t e m e t 的安全性令人瞩 目，因此出现了s s l 、t l s 等安全协议和p k i 等安全设施来提供网上交易的身 份认证、安全传输、不可否认性和数据完整性等。同时，随着无线技术的快速发 展，手机银行、手机证券、移动保险等商务活动的不断出现也需要有类似的体系 来保障交易活动的安全性，因此提出了无线p k i 。 本章主要描述了项目提出的背景、当今国内外p k i 与w p k i 的发展动态以及 本文的主要工作，并在最后对论文的做了详细的安排。 1 1 背景 近年柬，移动通信技术和互联网技术发展迅猛，逐渐成为信息产业的两夫支 柱，使人们的工作和生活发生了巨大的变化。尢线传输所能提供的功能已从单纯 的语音服务发展到数据服务，成为电子商务、电子政务的重要媒介；随着无线传 输带宽的提高，诸如多媒体视频、游戏等新兴服务也逐渐应用于无线传输、业务。 无线网络技术的高速发展，使安全问题显得越来越重要，与有线网络不同的 是，无线网络没有物理边界，拥有特权的用户可以在任何地方接入网络，使得来 自无线网络的威胁更加难以防范。无线安全问题已经逐渐成为无线通讯领域的研 究热点之一。一些公司已经实现了无线安全解决方案并推出了相关的安全产品， 这些方案包括端到端加密、p k i 基础设施、以及数字签名验证等。无线p k i 就是 将在有线网络上实现的p k i 安全服务，根据无线网络的自身特点，以及与有线 网络安全需求的类似性，将p k i 技术向无线领域延伸，从而实现无线网络安全。 w p k l 通过通讯加密、身份验让、数字签名等机制，保证了无线网络环境下数据 通信的机密性、完整性和不可否认性，适用于目前的通讯系统和未来的3 g 通信 系统的需求，具有很好的可扩充性。 本课题是本人在深圳市中兴通讯股份有限公司技术中心研究部从事实习的 内容，来源于国家高新技术研究发展计划( 8 6 3 计划，项目编号：2 0 0 2 a a l 2 1 0 5 1 ) ， 对无线网络安全中的关键技术一一无线公开密钥基础设施( w p k i ) 进行了深入 的分析和研究，重点分析了无线网络的应用需求和目酊实现的主要技术，指出了 各自的优势和不足：介绍了系统中涉及的实现技术规范，讨论了用户证书的管理； 在文中详细介绍了无线认证中心( w c a ) 及其实现的细节，涉及到一些对p k i 服 务产生影响的策略、标准及新兴应用。 电子科技大学硕士论文 1 2 相关文献综述 传统有线环境下的p k i 经过多年的研究和实践，其技术已经趋于稳定。像 美国很早就致力于p k l 的研究，1 9 9 4 年l o 月，美国国家标准和技术研究所 ( n i s t - - n l t i o n a li n s t i t u t eo f s t a n d a r da n d t e c h n o l o g y ) 成立了p k i 工作小组，进 行p k i 的相关研究，1 9 9 6 年制定了联邦p k i 规范。1 9 9 5 年1 0 月，因特网工程 任务组( i e t f - - i n t e r n e t e n g i n e e r i n g t a s k f o r c e ) 成立了p k i x 工作组，致力于因 特网上p k i 的研究。加拿大政府也发布了g o c p k i ( t h eg o v e r n m e n to fc a n a d a p u b l i c k e yi n f r a s t r u c t u r e ) ，定义了适用于加拿大政府应用的p k i 。 而将p k i 技术引入到无线环境，为无线网络提供安全服务是近年来一个新 的研究热点。由于无线p k i ( w p k i ) 是一个处于探索中的技术，暂时还没有一个公 认的安全体系结构。目前提供w p k i 体系服务的商家有：b a l t i m o r e 、c e r t i c o m 、 e n t r u s t 、v e r i s i g n 、n o k i a 、s m a r t t r u s t 及m i c r o s o f t c e r t i f i c a t es e r v e r 等： b a l t i m o r e 建议的w p k i 体系结构 b a l t i m o r e 的w p k i 解决方案出三部分组成，它们是b a l t i m o r eu n i c e r t 、 b a l t i m o r et e l e p a t h y 和w p k ib a l t i m o r ea r c h i t e c t u r e 。 b a l t i m o r e u n i c e r t 是b a l t i m o r e 针对p k i 约定的统一证书格式，它是由下列 组件组成的软件集合：认证机构，证书机构操作员( c e r t i f i c a t i o na u t h o r i t y o p e r a t o r ，简称c a o ) ，注册机构( r a ) ，注册机构操作员( r a o ) ，t o k e n 管理员， 网关。b a l t i m o r et e l e p a t h y 是b a l t i m o r e 在w p k i 、手机、s m a r t c a r d ( s w i m ) 等 技术的基础上，为无线用户、金融机构和企业用户快速组建w p k i 而提出的无线 电子安全体系结构方案。它允许的注册用户数在】o o 户以内。w p k ib a l t i m o r e a r c h i t e c t u r e 提供了一个基于p k i 的一个安全电子商务环境。 c e r t i c o m 建议的w p k i 体系结构 c e r t i c o m 提出的方案是面向全球p k i 的体系结构，该方案以“m o b i l e t r u s t ” 技术为基础，它是一个提供证书管理服务和为无线计算环境下提供安全的完整解 决方案。它提供标准的数字证书服务，支持客户机服务器的认证和无线用户保 密问题。它的一个显著特色是提供基于e c c ( e l l i p t i cc u r v ec r y p t o g r a p h y ) p k i 功能的设计工具、产品和服务。e c c 配置可以最大化地发挥移动设备和服务器 的性能，加速密码计算的处理过程，降低带宽要求以及电量的消耗。这种方案是 一个完整的工具包，有认证产品、v p n 、可配置的软件组件等。 e n t r u s t 建议的w p k i 体系结构 电子科技大学硕士论文 e n t r u s t 体系结构建立在e n t r u s t 认证机构的基础上，e n t r u s t 认证机构是可以 对任何类型的终端提供认证的p k i 产品，w a p 终端从注册机构取回数字证书， 同时电子商务服务器( 或1 s p ) 可以直接从认证中心获取数字证书。e n t r u s t 认证 中心提供加密、数字签名、许可证管理等其它服务。 v e r i s i g n 建议的w p k i 体系结构 v e r i s i g n 的w p k i 体系结构方案由“v e r i s i g n 无线管理p k i 服务”模块组成， 它是一个针对安全无线i n t r a n e t 、e x t r a n e t 和i n t e m e t 的集成化w p k i 平台，具有 高性能、灵活性和可扩展性的一个实用的安全服务系统。它可使企业或无线用户 高效、快捷地组成鲁棒性好的w p k i 系统，与其它c a 和r a 系统相比，v e r i s i g n 安全服务系统可以由用户实施安全策略，采用的是层次化的p k i 结构，认证和 证书是采用生存周期的管理模式。v e r i s i g n 安全系统的组件包括：无线p k i p o r t a l 、 v e r i s i g n 汪书处理中心和l d a p 服务器三部分。 n o k i a 建议的w p k i 体系结构 n o k i a 的w p k i 体系是开放的标准并兼容w a p w i m 的终端，这种体系可以 组合成不同的子系统以提供对移动电子商务的联合或独立的w p k l 支持，这些支 持有以下特色：通过w t l sc l a s s3 强化电子商务的双方的认证；在应用级对用 户证怕进行有效性检查；数字签名的建立与验证；用户证书的建立：对p k ip o r t a l 的完整性支持；一个完整的n o k i aw p k i 体系由以下部分组成：w a p 网关， i p 网络，1 s p ，p k i ，有效性性验证服务器； s m a r t t r u s t s m a r t t r u s tp k i 主要集中在s m a r t c a r d 的使用上，它在提供p k i 服务方面的 主要不同是只支持s m a r t t r u s t ，证书的标准是p k c s # 1 5 或s e i s 。s m a r t t r u s t 的 不足在于不能支持密钥的备份与恢复。 m i c r o s o f tc e r t i f i c a t es e r v e r ( m s c s ) m i c r o s o f tc e r t i f i c a t es e r v e r 是一个集成在w i n d o w s2 0 0 0 中的技术，在高级服 务器是一个可加载的组件，m s c s 采用x 5 0 9 的证书标准，具有授权、认证、加 密和完整性功能。支持s m a r t c a r d ，允许用户设定安全策略。 各种w p k i 服务的比较如表l i ： 电子科技大学硕士论文 w 帐i 缝 】：1 1 ji - i i - 、1t l i 、i k f l_ i t i i t 、”晰l1 1f m i ，h 1 n 1 “ 诮洲并、 k m i r2 0 l l e f a t i o l t xxxx c e f l i f i c a t er e q u e s tg e i i e r u l i o n ) xxx c e r t i f i c a t er e q u e s l 、a l i d a t i o n ij) xxx n 雌 xx c e r t i f i c a t ei s i i 地xxxx i i n 。p s ed i s t r i b t t t m nf m l i h l e f ：1x xxx s i n a r l c a l d s nl ，i ) i ) 、d i s k 、u s bt o k e n se l c ) 1 ) r e c t o r ys e r v i c e x f7 x i q ix c c r l i f i c a t cv 新f i c a t i o ns e n i c e xx xxx k e ya r d j l y i n gxj l8 lx k e yb a c k u p 5j i 8 lx k 吼f 0 3 0 v e p , xf 5j1 8 ix n o n r c n 以l m l o i t 1 6 ； c e r t i f i c a t et i m u u s l x n s i o n xxx c e r l i f i c a t e 【e 、o c a lj o nv a l i d a t i o n】x x c e r t i f i c a t er e v c , ( ：a lj o t lc r lu t , d m i n i ! xxxx r i m e a a m p i n g x ( 3 ) xx 表1 1不同w p k i 提供的服务比较 由于p k i 提供的服务不同，为了方便比较，下面针对不同的服务和不同的 p k l 平台进行比较，表中的数字含义如下： ( 1 ) 这种e n t r u s t 服务目前是内置在产品内的功能，不能被其它产品调用： ( 2 ) e n t r u s t 对子t o k e n 的支持，尽管目前的p k i 产品是v e r s i o n4 ，但据报 道，性能还是很差； ( 3 ) e n t r u s t 是通过产品e n t r u s t t i m e s t a m p 对时间戳的支持； ( 4 ) v e r i s i g n 对请求证书的生成和证书有效性验证是通过r a 实现的，目前 世界许多国家有这样的r a ； ( 5 ) v e r i s i g n 对密钥档案、备份和恢复是p k i 系统优化的密钥管理模型， v e r i s i g n 本身并不存贮密钥； ( 6 ) s m a r t t r u s t p k i 并不提供不可否认性服务，但是当发行s m a r t c a r d 时， 密钥在k g s 系统模型内部，所以就没有提供密钥的备份、恢复和存档性服务： ( 7 ) s m a r t t r u s t 并不提供证书目录服务，但是可以采用任何兼容l d a pv 2 的服务器； ( 8 ) m i c r o s o f tc e r t i f i c a t es e r v e r 在安装m s c s 之后就可以提供服务，但缺 乏灵活性，没有或只有很小的调整余地，密钥存档或密钥恢复是通过m sc r y p t o a p i 实现，这种实现技术要依赖配爱方。 4 电子科技大学硕士论文 ( 9 ) m i c r o s o f tc e r t i f i c a t es e r v e r 的目录服务是通过活动目录( a c t i v e d i r e c t o l 2 ，) 实现； 除以上公司和机构外，韩国和日本由于近两年来无线增值业务开展得较好， 因而对w p k i 技术很感兴趣，一直致力于研究。在国内，由于互联网和无线通信 技术的发展较晚，在w p k i 方面的研究才刚刚起步，但也有了一些成果，如深圳 天创公司基于无线加密技术开发了包含加密功能的w ap 网关、w ap 浏览器， 从而解决了手机上网的安全问题等等。 综合国内外w p k i 技术的发展经验和无线互联网的安全状况可以看出在不 久的将来w p k i 技术将会拥有非常广阔的应用前景，但在技术实现和应用方面仍 面临着以下一砦问题： 相对于有线终端，无线终端的资源有限，它处理能力低，存储能力小，需要 尽量减少证书的数据长度和处理难度。同时要提供方便可靠和具备多种功能 的移动设备，并改进移动终端的设计，以满足技术和应用的需要。 无线网络和有线网络的通信模式不同，无线信道资源短缺，带宽成本高，时 延长，连接可靠性较低，凼而技术实现上需要保证各项安全操作的速度和可 靠件，由于w p k i 证书只是i e t fp k i x 汪书的一个分支，还需要考虑w p k i 与标准p k i 之间的互通性。 就目酊的应用情况来看，w p k i 技术的应用更多的集中于获取信息、贸易、 购物等个人应用，缺乏更广泛和更具吸引力的应用，这无疑会对w p k i 技术 的应用和发展起到一定的制约作用。 1 3 本文的主要工作 无线p k l 是一个大型系统，它的相关标准庞杂，涉及多方面的知识和技术。 本人在研究w p k i 的基础理论、技术框架以及应用与研究现状的基础上，参考了 当前存在的w p k i 生产厂商以及开源的w p k i 实现的技术方案，提出了个较 为实用的w p k i 系统方案，并着重于其核心组件一种适用于无线环境的c a 实现模型w c a ( w i r e l e s sc a ) 的设计，并使用t l s w t l s 、e c c 、b s 和c g i 等 技术实现了该系统。 具体来说，本文工作如下： 1 ) 提出了一套适合无线网络的w p k i 方案，日p w a pp k i 体系结构，并基于此 体系结构构建无线认证中心w c a ， 2 ) 给出了w c a 中证书的处理方案：内容包括对可信c a 证书的处理、对用户 电子科技大学硕士论文 证书的处理、对服务器证书的处理 又有无线环境下的w t l s 证书格式， 线证书的处理。 这罩的证书既有传统的x 5 0 9 证书格式 处理的方法也分为普通证书的处理和无 3 1 采用将现有的有线认证中心扩展到无线领域的方法来构建c a 认证中心 ( 在现有c a 基础上增加适用于无线的功能) ，这样w c a 系统既支持有线环境 的证书管理又支持无线环境的证书处理，做到有线与无线的兼容，在无需使 用无线证书的情况下也可以当作普通的c a 使用。 4 、通过对传统的x 5 0 9 证书进行优化和压缩，给出了无线环境的证书格式， 在保留了有线证书主要、关键字段的同时进行简化，使证书的存储量大大减 少，适应移动终端的能力。 5 1 提出了适用于无线环境的证书撤销方案：服务器短期有效证书，使证书的 使用和作废都变得非常简洁，尽最大可能的节省无线资源。 6 1 系统地设计并实现了完整的认证中心系统。w c a 具有完善的c a 系统结 构，提供产生密钥、生成证书、发布证书、撇消证书、发布c r l 等服务，可 以有效支撑各种级别的安全应用。 1 4 论文结构 本文主要论述无线p k i 系统中的无线认证中，i x , 的设计和具体实现，并介绍了 箕相关理论及技术。论文结构如下： 第一章，( 即本章) 讲述课题背景、来源，国内外研究现状及本文工作。 第二章，介绍无线p k i 的理论知识。 第三章，分析无线环境的证书特点和改进机制。 第四章，讲述无线c a 系统的设计。 第五章，讲述无线c a 系统的实现。 第六章，系统的测试和分析。 第七章，本文的结论。 公开密钥基础设施( p k i ) 是目前国际上公认的解决网络安全的最佳方案之 一，p k i 能有效支撑起以保密性、完整性、真实性、可用性和不可否认性为基本 要求的网络安全应用。无线p k l 则将其应用于无线网络，用来保护无线通信的 安全。其核心是无线环境的c a 建设和无线证书的运用。c a 的安全性问题关系 6 电子科技大学硕士论文 到整个网络平台的安全性。设计并实现基于w p k i 的安全c a w c a ，具有很 高的理论价值和实用价值，可广泛应用于金融、i 正券、电信、军队、政府、教育 等行q e ，以及网站( i s p i c p ) 、企业上网等应用环境，是构建c a 的理想方案。 电子科技大学硕士论文 第二章无线p k i 概述 无线p k i 技术是在移动电子商务的安全问题中首次提出来的。移动电子商 务的发展经历了其第一个阶段，主要提供信息服务如天气和路况的预测、股市行 情、新闻、e m a i l 等。这些服务的特点是用户在消费前必须和商家签订购买合同 ( 如在商家的网站上购买消费点数等等) ，属于预付费服务，支付不在线上进行， 资金流动形式简单。目前移动电子商务正经历着第二个发展阶段，即提供具有在 线支付能力的移动商务服务，如移动电子银行、移动贸易、移动购物、移动证券、 移动缴费等。这些服务的支付通过用户操作移动终端进行“所见即所得”的购买。 由于涉及到移动环境下的资金流动，安全问题就成为整个业务的关键。从移动电 子商务的网络结构分析，有可能遭受攻击的地方主要有移动终端与交换中心之阳j 的空中接口、移动网关与应用服务提供商之间的传输网络。 2 。1w p k i 的提出 在无线世界罩，出于空中接口的开放，人们对于进行商务活动的安全性的关 注远超过有线环境。只有当所有的用户确信：通过无线方式所进行的交易不会发 生欺诈或篡改，所进行的交易和隐私信息受到法律的保护，移动电子商务爿。有可 能推广。在有线通信中，电子商务交易的一个重要安全保障是p k i ( 公钥基础设 施) 。p k i 在保证信息安全、身份证明、信息完整性和不可否认性等方面得到了 普遍的认同，起着不可替代的作用。p k i 的系统概念、安全操作流程、密钥、 证书等同样也适用于解决移动电子商务交易的安全问题，但在应用p k l 的同时 要考虑到移动通信环境的特点，并据此对p k i 技术进行改进，以提供对无线 i n t e m e t 的支持。 因此w p k i ( w i r e l e s sp u b l i ck e yi n f r a s t r u c t u r e ，无线公钥基础设施) 是一种 遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密 码服务及所必需的密钥和证书管理体系。目前的w p k i 标准是w a p 论坛在现有 的p k i x ( x 5 0 9 ) 标准基础之上根据w a p 的要求进行改进和优化而成的。该 w p k i 功能体系如图2 一l 所示。 电子科技大学硕士论文 图2 1w p k i 的应用体系结构 它的主要组件包括： 终端应用实体 注册机构( p k ip o r t a l 或r a ) 汪书签发机构( c a ) 网关 p k i 目录服务器 2 2 w p k 的组成 w p k i 技术能够满足移动电子商务的安全要求，即保密性、完整性、真实性 和不可否认性，消除了用户在交易中的风险。w p k i 技术主要包含以下几个方 面： 9 电子科技大学硕士论文 ，传统的_ 矗一 ，x 专哆 r a ( o ri 。“”“8 4 0 w li 型p o r t a l i 到d i r e c t 蔫：剖 pk | 1 o 吖i 憋一s 施fl 。l s e r v m ix m ：警- 。r 苫茹 。_ - 二= = _ 划m o b i l | i 滞w a p 醚| 。m ”到 刿刻，_ _- _ 一w p k i 扩展 图2 2w p k i 与传统p k i 的关系 ( 1 ) 认证机构( c a ) ：c a 系统是p k i 的信任基础，负责分发和验证数字证书， 规定证书的有效期，发布证书撤销列表( c r l ) 。 ( 2 ) 注册机构p k ip o r t a l ( r a ) ：p o r t a l 提供用户和c a 之间的一个接口，作为认 证机构的校验者，在数字证书分发给请求者之前对证书进行验证。它确认用 户的身份，向c a 提出证书请求。认证的处理质量决定于证书中所设定的信 任级别。 ( 3 ) 智能卡：智能卡将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑 料基片中，具有体积小、难于破解等特点，在生产过程、访问控制方面有很 强的安全保障。很多种需要客户端认证的应用都可以使用智能卡来实现。 g s m 中集合了移动用户识别号( i m s i ) 和身份认证密钥( k i ) 的s i m 卡就采 用了智能卡技术，同样智能卡也是存储移动电子商务密锯及相关数字证书的 最佳选择之一，卡曼曩蔓壁量厶塑鏊量堑童兰量磐垫童耋选彗竖丛匣 实现移动电子商务中的身份识别和信息加密传输。 ( 4 ) 加密算法：加密算法越复杂，密钥越长则安全性越高，但执行运算所需的时 间也越长( 或需要计算能力更强的芯片) 。所以，支持r s a 算法的智能卡通 常需要高性能的具有协处理器的芯片。而椭圆曲线加密体制( e c c ) 使用较 短的密钥就可以达到和r s a 算法相同的加密强度。e c c 的基础是有限域上 的椭圆曲线离散对数问题，现在还没有针对这个难题的亚指数时削算法，因 而在当今公钥密码体制中，椭圆曲线密码体制( e c c ) 具有每比特最高的安 全强度。由于智能卡在c p u 处理能力和r a m 大小上的限制，因而采用一种 运算量小同时能提供高加密强度的公钥密码体制对在智能卡上实现数字签 一 电子科技大学硕士论文 名应用是至关重要的。椭圆曲线密码体制( e c c ) 在这方面具有很大的优势。 因此e c c 算法在智能卡领域具有广阔的应用| j 景。如表2 1 是r s a 算法 和e c c 算法的比较： 2 3w t l s 协议 表2 1r s a 算法与e c c 算法的比较 w t l s ( 无线传输层安全协议) 是w a p 中用于确保移动终端与无线网关( 服 务器) 之间通信的保密性、完整性和不可否认性的协议。它的框架同t l s l0 完 全一致，基于无线环境下移动终端存储能力和计算能力以及通信质量的限制，有 些项目在内容或长度上做了一点修改，这罩重点介绍w t l s 与t l s i 0 不同的地 方。 ( 1 ) 记录层 w t l s 的记录层( r e c o r dl a y e r ) 位于w d p 协议之上，它不负责对接收到的 数据块的分段，它从上层接收的数据的虽大字节长度为6 5 5 3 5 。记录头的格式如 下： e n u m c h a n g e _ c i p h e rs p e c ( 1 ) ，a l e r t ( 2 ) ，h a n d s h a k e ( 3 ) ， a p p l i c a t i o n d a t a ( 4 ) ，( 1 5 ) ) c o m e n t t y p e ： e n u m w i t h o u t ( 0 ) ，w i t h ( 1 ) s e q u e n c e n u m b e r i n d i c a t i o n ； e u n m w i t h o u t ( 0 ) ，w i t h ( 1 ) f r a g m e n t l e n g t h l n d i c a t i o n ； s t r u c k o p a q u er e c o r d _ t y p e 1 】； s e c l e c t ( s e q u e n c e n u m b e r l n d i c a t i o n ) c a s ew i t h o u t ： s t r u c t ) ； c a s ew i t h ：u i n tl6s e q u e n c e _ n u m b e r ； s e l e c t ( f r a g m e n t l e n g t h i n d i c a t i o n ) i l 电子科技人学硕十论文 c a s ew i t h o u t ： s t r u c t ) ； c a s ew i t h ：u i n t l6l e n g t h ； ) r e c o r d _ t y p e ： 0b i t用来指示是否有记录长度域 1b i t用来指示是否有序列号域 2b i t密码规定指示器 3b i t保留 4 7b i t用来指示记录类型 f 2 ) 握手协议 握手协议作用在记录层之上，主要由以下3 个协议组成： 1 改变密码规定协议 本协议同t l s l 0 完全一致。 2 报警协议 w t l s 的报警协议的内容要比t l s l 0 的报警协议的内容多。w t l s 的报警 消息可以加密发送，也可以不加密，而t l s l 0 中报警消息必须加密发送。 3 握手协议 本协议同t l s l 0 的握手过程完全一致，只是部分内容有差异，客户和服务 器通过握手协议协商协议版本、加密算法、m a c 算法、压缩算法、生成共享秘 密，对双方身份进行验证。 下面是一个完整的握手过程： c l i e n t s e r v e r c l i e n t h e l l o 一一一 s e r v e r h e l l o c e r t i f i c a t e s e r v e r k e y e c h a n g e + c e r t i f i c a t e r e q u e s t + s e r v e r h e l l o 【c h a n g e c i p h e r s p e c l f i n i s h e d 【c h a n g e c i p h e r s p e c 】 f i n i s h e d a p p l i c a t i o n d a t a a p p l i c a t i o nd a t a a p p l i c a t i o n d a t a 2 4w a p 安全网关 w a p 安全网关( w a pg a t e w a y ) 的基本功能是实现w a p 协议栈，给用户提 供w a p 服务，另外还包括：网关使用的方式，用户认证和付款方式。网关可以 通过识别实际的用户提供不同的服务。例如：在g s m 网络中，采用g s ms m s 消息作为承载体时，用户的电话号码可以被网关识别，网关可以将这个消息传送 给内容服务商。对此而吉，内容服务商可以根据这个特点提供特殊的服务及各种 支付方式，对于网关而言，实际不包括计费系统，但是它将向计费系统提供用户 的相关数据。 j 叫关根据不同的事务处理，划分为3 种不同的b o x ：b e a r e r b o x 实现 w a p 承载层事务( w d p 层) ，与s m s 中心的连接也属于其中的一部分；s m s b o x 实现处于休眠等待的网关功能，它接收来自于b e a r e r b o x 的文本s m s 消息， 按照服务的请求进行解释，并且通过适当的方法进行响应；a p b o x 实现处于休 眠等待的w a p 协议集，也就是所有位