基于手机终端的电子商务安全插件研究报告

中国通信标准化协会 课题编号： 基于手机终端的 电子商务安全插件技术规范 2008 年 12 月 研究报告要点 手机作为一个无处不在的应用终端，其电子商务的发展有着得天独厚的先天条件。通过内嵌的插件技术，可以有效地提供电子商务发展需要的安全性和私密性，并且可以大大简化电子商务的应用模式。本规范将对基于移动终端的电子商务应用提供规范性认证要求，以确保最终用户能安 全简单的使用无线网络的电子商务。 作为手机上的任何一款应用插件，应该具有安全性。尤其是商用插件，对于安全性、保护用户隐私要求更高。处于应用插件层的商用应用插件是否达到了这个要求，需要通过一种机制来进行验证。该机制允许达到要求的商用插件继续运行，禁止没有达到安全要求的商用应用插件运行。 在应用系统层首先预装高系统权限的验证插件，对其他的应用插件进行验证。该插件拥有高系统权限，能控制其他商用应用插件能否运行，能否访问网络。 手机插件的使用，不同于传统的 传统的 户有很大的屏幕来显示极其丰富的内容，极强处理能力的硬件来进行终端方面的运算，有鼠标来进行精确的点击操作。运用手机商业应用插件，终端将不再拥有上述的一系列优势。如果用户体验设计的 好，转换而来的就是随时随地享受商业应用服务的快捷和便利。 这篇文章描述了整个系统的结构和验证插件实现的几种可能性解决方案，并阐述了基本的流程。 研究单位： 项目完成人： 项目参加人： 完成日期： 目次 研究报告要点 . I 1 范围 . 1 2 规范性引用文件 . 1 3 术语和缩略语 . 1 语 . 1 略语 . 1 4 基于手机终端的电子商务安全 插件系统研究 . 1 统功能概述 . 1 统研究方向 . 2 5 系统结构及功能模块 . 6 安全性证书认证的系统结构 . 6 字签名的系统结构 . 7 问控制列表） . 8 摘要认证的系统结构 . 8 扫描器验证的系统结构 . 9 6 系统设计 功能模块 . 9 全性证书认证模块设计 . 9 字签名认证模块设计 . 10 要认证模块设计 . 10 扫描器模块设计 . 11 客户端 . 11 数据库 . 12 服务器 . 12 7 通信流程 . 12 安全性证书认证通信流程 . 12 数字认证通信流程 . 13 摘要认证通信流程 . 13 扫描器通信流程 . 14 8 基于手机终端的电子商务安全插件系统的安全性 . 15 1 基于手机终端的电子商务安全插件技术规范 1 范围 本标准 基于手机终端的电子商务安全插件的研究报告 ， 列举了四种主要的安全插件研究方向，及这些研究方向的系统结构、通信流程等。 2 规范性引用文件 3 术语和缩略语 语 扫描器 扫描器是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。目标可以是工作站、服务器、交换机、数据库应用等各种对象。 数字证书 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明 ,在电子交易的各个环节 ,交易的各方都需验证对方数字证书的有效性 ,从而解决相互间的信任问题 . 客户机服务器 提供手机客户端商用插件商家的 数字签名 利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性 字签名 的算法， 钥和私钥都是两个大素数 （ 大于 100个十进制位）的函数。 私钥 在公钥密码 体制中 ， 用户密钥对中仅为该用户所知的密钥 称为私钥 。当用在签名系统时，私钥用于产生签名；当用于加密系统时，私钥用于解密。 公钥 与公钥算法一起使用的密钥对的非秘密一半。公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。 略语 公共漏洞和暴露 访问控制列表 数字证书认证中心 图形用户界面 4 基于手机终端的电子商务安全插件系统研究 统功能概述 基于移动终端插件的电子商务功能技术规范主要针对手机终端插件的认证、安全以及其在电子商务上的应用 进行规定。 可以实现 应用插件的认证规范 、 用户甄别与私密保障 。 2 该系统 在应用系统层首先预装高系统权限的验证插件，对其他的应用插件进行验证。手机在商用应用插件的请求下，通过无线网络访问商用应用服务器。验证插件截获此信息，首先对商用应用插件进行验证，验证通过则允许其运行并访问网络，验证不通过则阻止其运行。 示例图如下： 此外，越来越多的用户 用手机访问无线互联网，手机号就是用户唯一的标识，类似于互联网的 机号加上手机号的实名制称为无线互联网的 能加 强无线增值行业的规范性、可用性、安全性。 统研究方向 系统的整体结构可如下图所示，手机用户端安装一个验证插件，来对商用插件的安全性进行认证，从而使手机用户能够通过网络进行安全访问。 无 线 网 络相 关 数 据 库网 络 设 备公 司 服 务 器相 关 数 据 库手 机 用 户 端验 证 插 件上图的验证插件是最核心的部分，该验证插件用来验证第三方商用插件的安全性，对该商用插件进行认证。验证插件的认证原理有很多种：安全性证书认证，数字签名认证，摘要值认证和扫描器认证。 下面对这四种方法进行分别阐述。 全性证书认证 使用安全性证书认证，服务器可以使用客户机证 书中的信息作为身份的证明。我们要在手机用户端应用插件层安装一个高系统权限的验证插件，以控制其他插件的运行及访问网络情况。 流程图如下所示： 3 用 户 打 开 手 机插 件插 件 对 客 户 机服 务 器 证 书 解析插 件 对 客 户 机服 务 器 证 书 解析判 断 客 户 机服 务 器 安 全性插 件 对 手 机 用户 证 书 进 行 验证返 回 给 客 户 机服 务 器客 户 机 服 务器 验 证 用 户返 回 给 插 件返 回 允 许 登 录指 令登 录 成 功返 回 禁 止 该 插件 运 行 指 令登 录 失 败安 全用 户 存 在不 安 全用 户 不 存 字签名 数字签名机制的目的是使人们可以对数字文档进行签名 所以数字签名能够实现以下功能 : 1)收方能够证实发送方的真实身份 ; 2)发送方事后不能否认所发送过的报文 ; 3)收方或非法者不能伪造 ,篡改报文 . 数字签名技术以加密技术为基础 ,其核心是采 用加密技术的加 ,解密算法体制来实现对报文的数 字 签名 . 4 在这种情况下，插件要具有对数字签名进行加密的技术。 流程图如下： 用 户 打 开 手 机插 件插 件 要 求 输 入验 证 信 息终 端 插 件 对 信息 加 密 并 发 送客 户 机 对 信 息加 以 验 证返 回 用 户 终 端运 行 插 件登 录 成 功返 回 用 户 终 端禁 止 运 行 插 件登 录 失 败密 文 不 匹 配 或 被 篡 改返 回 运 行 插 件指 令 给 验 证 插件查 询 A C 机 服 务 器验 证 用 户密 文 匹 配验 证 成 功验 证 失 要认证 可以将 置为使用基于 外部数据库 或文件的目录服务执行摘要验证 。 摘要 认 证使用户能够基于用户名和密码进行验证，但不必以明文形式发送用户名和密码。浏览器使用用户密码和 供的某些信息，通过 法创建摘要值。 当服务器使用基于 外部数据库 的目录服务来执行摘要验证时，服务器端也将使用摘要验证插件来计算该摘要值，并且将该值与客户机提供的摘要值进行比较。如果这些摘要值相匹配，用户将通过验证。要进行这种验证，您的目录服务器必须有权访问明文形式的用户密码。 5 如果使用基于外部数据库的摘要验证， 此插件 要 会计算服务器端的摘要值，并将该值与客户机提供的摘要值进行比较。如果这些摘要值相匹配，用户将通过验证。 如果您使用的是基于文件的验证数据库，则不需要 这样的要求 。 流程图如下所示： 用 户 打 开 手 机插 件插 件 要 求 输 入验 证 信 息插 件 形 成 摘 要响 应 并 发 送客 户 机 对 信 息加 以 验 证返 回 用 户 终 端运 行 插 件登 录 成 功返 回 用 户 终 端禁 止 运 行 插 件登 录 失 败摘 要 值 不 匹 配返 回 运 行 插 件指 令 给 验 证 插件查 询 A C 机 服 务 器验 证 用 户摘 要 值 匹 配验 证 成 功验 证 失 败客 户 机 服 务 器发 送 摘 要 盘 扫描器验证 安全扫描工具通常分为基于服务器和基于网络的扫描器。 6 基于服务器的扫描器主要扫描服务器相关的安全漏洞，如 录和文件权限，共享文件系统，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。 基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围（ 扫描器不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们测试 和评价目标的安全性，并及时发现内在的安全漏洞。 5 系统结构及功能模块 安全性证书认证的系统结构 当用户尝试访问受限资源时， 首先， 客户机服务器会传送它的服务器证书，手机用户 端会自动的分析服务器证书，来验证 客户机 服务器的身份。其次， 客户机 服务器会要求用户出示客户端证书（即用户证书）， 客户机 服务器完成客户端证书的验证，来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效（即是否被窜改等）和客户端证书是否被吊销等。验证通 过后， 客户机 服务器会解析客户端证书，获取用户信息，并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成，对用户是透明的。 在这种情况下，插件充当的是安全性证书解析模块。 系统结构示意图如下： 手 机 客 户 端A C 控 制 列 表客 户 机 服 务 器证 书 解 析 模 手机客户端 手机客户端可以接入 其应用插件层安装了一个高系统权限的验证插件，以控制其他插件的运行及访问网络情况。在安全性证书认证模式下，该验证插件也就相当于证书解析模块的作用。 主要的功能有： 访 问 运行相关插件； 安装有客户机服务器对应的安全性数字证书； 发送安全性数字证书信息； 接受由证书解析模块所返回的信息； 实现目标插件登录。 证书解析模块 证书解析模块 是安全性证书验证的核心模块，连接这手机客户端和客户机服务器，保证两者的安全通信。证书解析模块 以动态库的方式提供给各种 主要的功能有： 可以解析证书中包含的信息 ； 提取证书中的用户信息，根据获得的用户信息 ； 客户机服务器 客户机服务器是指手机客户端所运行的商用插件的所有者。客户机服务器是拥有安全性证书的商用服务器端。服务器上必需安装一个 来表明服务器的身份，并对 7 行设置。服务器证书由 服务器证书内表示了服务器的域名等证明服务器身份的信息、务器证书都有一个有效期 。 主要的功能有： 提供能供鉴别的 发送 查询访问控制列表，获取用户的访问权限； 返回允许插件运行指令。 问控制列表） 访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。 字签名的系统结构 基于签名及签名验证的身份认证和访问控制是利用数字签名技术实现的，数字签名技术的实现是指使用数字证书的私钥，对被签名数据的摘要值进行加密，加密的结果就是数字签名。在进行签名验证时，是用数字证书（即公钥）来进行验证，用公钥解密数据，得到发送过来的摘 要值，然后用相同的摘要算法对被签名数据做摘要运算，得到另一个摘要值，将两个摘要值进行比较，如果相等，则数字签名验证通过，否则验证无效。数字签名技术的实现依赖于下列两个事实：一是每一个信息的摘要值是唯一的，找不到两个摘要值相同的不同信息；二是证书的私钥只有数字证书的拥有者才拥有，其他人得不到拥有者的私钥。这样，通过签名及签名验证，可以确定数据的确是数字证书的拥有者发送的，发送者不能进行抵赖。数据在发送的过程中，没有被别人窜改过的，是完整的。 因此，利用这种技术可以实现对用户身份的认证，一旦对签名数据进行验证， 就可以知道签名者是谁，根据签名者的证书可以得到签名者的信息，查询访问控制列表，就知道是签名者的访问权限，从而实现身份认证和访问控制。 手 机 客 户 端A C 控 制 列 表客 户 机 服 务 器签 名 插 手机客户端 手机客户端可以接入 其应用插件层安装了一个高系统权限的证插件，以控制其他插件的运行及访问网络情况。在数字签名认证模式下，该插件也就相当于数字签名模块的作用。 主要的功能有： 访问 运行相关插件； 安装有客户机服务器对应的数字证书； 发 送加密后的签名信息； 接受由验证插件所返回的信息； 实现目标插件登录。 验证插件 手机 客户端数据签名模块 ，即签名插件， 以控件的方式提供给 手机 客户端，实现数字签名功能。在用户使用 手机对某商业插件 进行系统访问时， 手机 客户端调用数据签名模块，使用用户选择的客户端证书的私钥对客户端发送的数据进行数字签名，提供服务器端认证用户身份时使用。 8 主要的功能有： 对被签名数据值的摘要进行加密； 客户机服务器 服务端签名验证模块以插件或动态库方式提供，安装在 客户 服务器端，实现对客户端数据签名的验证，对客户端数据签名证书的有效性验证。通过验证签名数据，可以判断客户端签名者的确拥有签名证书，通过对签名证书的验证，可以判断客户端证书持有者的身份。 主要的功能有： 安装有验证数字签名的模块； 提取手机客户端签名者的信息； 查询访问控制列表，获取用户的访问权限； 返回允许运行指令。 问控制列表） 访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对 用户的访问控制。 摘要认证的系统结构 摘要认证 是一个简单的认证机制 。其身份验证机制 是 采用 了 杂凑式（ 密方法，以避免用明文传输用户的口令。 摘要认证就是要核实参与通信的双方，都知道双方共享的一个秘密（即口令）。 当服务器想要查证用户的身份，它产生一个摘要盘问 ，并发送给用户，用户使用这些参数，来产生正确的摘要回答，并发送给服务器。 手 机 客 户 端A C 控 制 列 表客 户 机 服 务 器摘 要 值 插 手机客户端 手机客户端可以接入 其应用插件层安装了一个 高系统权限的证插件，以控制其他插件的运行及访问网络情况。在数字签名认证模式下，该插件也就相当于数字签名模块的作用。 主要的功能有： 访问 运行相关插件； 发送摘要信息； 接受由摘要值插件所返回的信息； 实现目标插件登录。 要值插件 摘要值插件是手机客户端产生正确摘要值的核心部分。它连接着手机客户端和客户机服务器，是保证两者具有相同口令的重要组成部分 主要的功能有： 计算手机客户端摘要值，产生正确的摘要响应； 接收客户机服务器的返回指令信息 客户机服务器 对 手机客户端返回的 摘要响应做 有效性验证。通过验证 验证后 ，可以判断客户端证书持有者的身份。 9 主要的功能有： 能对手机客户端发来的摘要响应的参数值进行重新计算； 利用客户端提供的参数值，和服务器上存储的口令，进行比对 ； 查询访问控制列表，获取用户的访问权限； 返回允许运行指令。 问控制列表 ) 访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。 扫描器验证的系统结构 不论是 什么类型的 安全 扫描器 ，其最重要的就是安全资料库的更新，这样才能完全地扫描出系统的漏洞。同时在做完更新后，一定还要再作一次新的扫描，因为操作系统的漏洞随时都在发布 ， 因此，在选择一个安全漏洞扫描器时，必须考虑到之后知识库更新的内容及能力。 主要的功能有： 扫描器的一般功能 : 发现一个主机或网络 发现什么服务正运行在这台主机上 通过测试这些服务 ,发现漏洞 6 系统设计 功能模块 全性证书认证模块设计 商 用 插 件 系统证 书 解 析 系统登 录 系 统客 户 机 服 务器 证 书 解 析系 统A C 端服 务 器 数 据 机客户端 手机客 户端由商用插件子系统，证书解析子系统和登录子系统组成。 （ 1） 商用插件子系统 手机客户端安装的商业应用插件系统，使用 据手机用户的动作做出相应的反应。 （ 2） 证书解析子系统 整数解析子系统是该插件的具体功能的实现，包括证书信息的提取以及证书安全的评估。解析客户机服务器端的安全性证书，确定客户机服务器证书的信息。提取服务器端安全性证书中的信息，与数据库中的信息进行对比，提取 证书颁发机构、客户端证书有效 期 等 ，进行安全评估，并计算证书有效期限。 10 （ 3） 登录子系统 实现插件的安全登录。 户机服务器 客户机服务器证书解析 系统 客户机整数解系统实现对手机客户端的安全性证书进行解析，提取客户端的安全性证书，并对其进行安全性评估。 字签名认证模块设计 商 用 插 件 系统数 字 签 名 系统登 录 系 统数 字 签 名 解析 系 统A C 端 服 务 器 数 据 库安 全 评 机客户端 手机客户端由商用插件子系统，数字签名子系统和登录子系统组成。 （ 1） 商用插件子系统 手机客户端安装的商业应用插件系统，使用 据手机用户的动作做出相应的反应。 （ 2） 数字签名子系统 整数解析子系统是该插件的具体功能的实现。指的是 使用数字证书的私钥， 对被 签名数据的摘要值进行加密， 并发送至客户机服 务器。 （ 3） 登录子系统 实现插件的安全登录。 户机服务器 （ 1） 安全评估子系统 客户机服务器解系统实现对手机客户端的安全性证书进行解析，提取客户端的安全性证书，并对其进行安全性评估。 （ 2） 数字签名解析系统 在确定手机客户端的安全性后， 用数字证书（即公钥）来进行验证，用公钥解密数据，得到发送过来的摘要值，然后用相同的摘要算法对被签名数据做摘要运算，得到另一个摘要值，将两个摘要值进行比较 。 要认证模块设计 11 商 用 插 件 系统加 密 系 统登 录 系 统A C 端 服 务 器 数 据 库摘 要 值 解 析系 机客户端 手机客户端由商用插件 子系统，证书解析子系统和登录子系统组成。 （ 1） 商用插件子系统 手机客户端安装的商业应用插件系统，使用 据手机用户的动作做出相应的反应。 （ 2） 加密子系统 摘要值解析子系统是该插件的具体功能的实现，包括摘要值的重新计算和摘要值对比。通过 送至客户机服务器端。 （ 3） 登录子系统 实现插件的安全登录。 户机服务器 摘要值解析系统 客户机服务器也要用摘要值运算来对摘要值进行重新计算，然后和发送来的客户端摘要值进行对比，确定安全性。 扫描器模块设计 基于手机终 端的电子商务安全插件系统 综合运用检测、测试、评估等技术，根据用户制定的安全策略，在对目标系统进行全面漏洞扫描的基础上，对系统进行 测试 ，并对测试结果进行分析，最后对系统存在的安全漏洞提出修补建议，并对网络系统的安全状况给出综合评价。 安全隐患检测系统采用基于 C/务器实现安全隐患的检测，客户端实现对服务器的管理。其体系结构图如 下 图所示： 策 略 管 理安 全 评 估结 果 输 出插 件 检 测测 试不 安 全 插件 库检 测 结 果库测 试 库客 户 端数 据 库服 务 器监 测 信 客户端 12 客户端主要由策略管理子系统、安全评估子系统和结果报告子系统组成。 策略管理子系统 策略管理子系统使用 形界面）或网页界面实现可视化的策略管理，根据需要设置检测策略，配置扫描参数，实现不同内容、不同级别、不同程度、不同层次的漏洞检测。 安全评估子系统 安全评估子系统根据检测结果库提供的数据，选取评估指标，采用定性和定量相结合的评估方法，对目标系统的安全状况给出评价。 结果报告子系统 结果报告子系统根据安全评估子系统提供的信息，生成各种形式的统计图表，不但提供目标网络存在的安全漏洞和这些安全漏洞的危险级别，同时还给出安全 解决建议，防范恶意攻击者利用这些安全漏洞入侵系统。结果报告子系统支持饼状图、柱状图和 直观、清晰的方式从总体上分析网络上的漏洞分类，方便决策者制定安全策略。 数据库 不安全插件 库 不安全插件 库是漏洞检测子系统的核心，它存储了常见的各类系统 不安全插件的 特征、相应的解决方案和应对措施，以及与 不安全插件的 分析和实施应对相关的系统安全配置策略。 不安全插件 库信息是 不安全插件 检测的主要判断依据， 不安全插件 库信息不但应具备完整性和有效性，也应具有简易性的特点，便于对 不安全插件 库进行 添加配制，从而实现对 不安全插件 库的即时更新。 不同的漏洞库和安全工具更容易共享数据，使得在其他数据库中搜索信息更容易。在设计漏洞库时，定义与 测试用例库 测试用例库是一个由测试方法和测试用例组成的多级分类插件库，是按照被测目标系统的类型、测试性质与目的、测试危害级别、攻击阶段等方面进行分类的测试程序和工具库。测试用例包括自主开发的 测试程序，商用或开发源代码 测试工具，以及恶意代码等。每一个测试用例由测试用例描述、测试程序 、测试输入以及期望输出等数据表项组成，通过测试模块的调用，对目标实施攻击测试。 检测结果库 检测结果库用于记录 不安全插件 检测和攻击的测试结果，以进行测试结果的管理，便于查询和维护。 服务器 服务器对网络系统实施脆弱性检测，包括网络漏洞检测子系统、网络测试子系统。网络漏洞检测的范围可以是单个设备或主机系统，也可以是特定的局域网络。网络测试则是利用 不安全插件 检测的结果，结合完备的网络攻击技术，对网络设备实施攻击行为，以此检测目标的安全性。 不安全插件 检测子系统 不安全插件 检测子系统主要是检测主机或者网络的端口开放情况、安全漏洞、错误配置等信息。不安全插件 检测利用 目标系统进行端口扫描，在端口扫描的基础上，根据端口的开放情况以及系统的一些基本信息，采取不同的漏洞检测方法，找出可能会被黑客利用的漏洞。 测试子系统 测试子系统接受来自客户端的测试策略，调用测试用例库中的测试用例，完成对被测网络及安全设备的攻击测试，对测试状态进行监控和收集测试数据，并将测试结果传输到客户端，为安全分析做进一步处理。 7 通信流程 安全 性证书认证通信流程 手机用户与客户机服务器都需要一份安全性证书来证明自己的身份，来实现安全性登录。 13 手 机 用 户证 书 解 析 插 件客 户 机 服 务 器 A C 插 件手 机 用 户 打 开 插 件向 服 务 器 索 取 安 全 证 书证 书 解 析 插 件 进 行 解 析确 认 安 全 性 后 返 回 给 手 机手 机 客 户 端 安 全 证 书 在 服 务 器 检 测确 认 安 全 后 查 询 A C L 查 询 权 限A C L 返 回 信