基于WPKIWTLS协议研究.docVIP

基于WPKIWTLS协议研究 　　摘要：无线传输层安全（WTLS）协议在移动电子商务安全方面发挥着核心作用。利用无线公钥基础设施（WPKI），构建安全并可信赖的无线网络环境，在WTLS协议中，充分发挥WPKI的保密性、完整性、真实性、不可抵赖性等信息安全特征，可提升WTLS协议的综合安全防护能力，具有重要意义。 　　关键词：WPKI；WTLS协议；网络安全 　　DOIDOI：10.11907/rjdk.151819 　　中图分类号：TP301 　　文献标识码：A 文章编号文章编号2015）008003703 　　1 WPKI与WTLS协议 　　1.1 WPKI 　　WPKI即无线PKI，它将有线网络中的PKI（Public Key Infrastrcture）安全框架移植并适配到无线网络，并建立权威的设施中心来管理在移动网络环境中使用的公开密钥和数字证书，它沿用PKI中的公钥密码技术，为无线网络环境提供数据加密以及数字签名服务。WPKI一般采用双证书机制，即加密证书和签名证书。加密证书的公钥提供给对方加密使用，其对应的私钥用来解密对方加密信息，而签名私钥则提供给对方进行数字签名，签名证书提供给对方进行签名验证。通过加密和签名机制的结合，从而保证双方信息的机密性、完整性和不可抵赖性，构建安全的无线网络环境。WPKI并不完全脱离PKI，WPKI证书管理中心和密钥管理中心完全可以使用PKI框架，从这一角度来看，WPKI是PKI的一种延伸和扩展。 　　1.2 WTLS协议 　　WTLS（Wireless Transport Layer Security）是WAP协议栈下的4个层次协议之一。当前，WAP系统中，大多移动设备通过无线网络连接WAP网关，而WAP网关直接和Internet连接，通过WAP网关编码器将有线网络和无线网络之间的协议栈进行转换[1]。WAP代理模型如图1所示，包括移动设备（WAP客户端）、WAP代理服务器和Web服务器。其中，WAP代理服务器负责有线网络和无线网络之间的编码转换，Web服务器为移动设备提供各种应用。 　　移动设备和WEB服务器进行通信时，其安全通行分为两个阶段。在无线网络区域中，移动设备的WAP驱动部分和WAP网关之间的通信通过采用WTLS协议的方式进行保护；在有线网络区域中，WAP网关和WEB服务器之间的通信采用传统的SSL/TLS协议进行保护。安全通信中WAP终端的WAP驱动部分、WAP网关和Web服务器之间的协议栈转化关系如图2所示。 　　2 基于WPKI的WTLS协议实现 　　2.1 WPKI部署 　　（1）移动设备终端通过无线网络连接WPKI注册中心，制作该移动设备的WPKI数字证书（含公钥和身份信息等），并保存其对应的私钥。 　　（2）WAP代理服务器通过Internet连接注册中心，制作WAP代理服务器的数字证书，并保存其对应的私钥。 　　（3）移动设备和WAP代理服务器的数字证书由认证中心制作完毕后进行发布，并通过查询中心提供数字证书查询和下载等对外服务。 WPKI部署如图3所示。 　　图3 WPKI部署 　　2.2 基于WPKI的WTLS协议应用 　　WTLS协议允许采用匿名的方式在移动终端和服务器之间进行认证，也可采用证书模式进行实名认证，但必须交换各自的证书公钥。WTLS协议应用按照安全应用的不同需要提供了3类认证级别（见表1）供选择[2]，分别为Class1、Class2和Class3。在此3类应用中，其特性包括“必须包括的（M）”、“可以选择的（O）”和“没有包括的（―）”3类。由于Class3选用了更多的特征，从而比前两类更加安全，当然也占用更多的带宽和运算。 　　在基于WPKI的应用中，客户端认证和服务器端的认证通过连接查询中心进行认证。查询中心可以配置OCSP服务器或者LDAP服务器。OCSP服务器采用标准的在线证书状态协议（OCSP（Online Certificate Status Protocol），收到证书状态信息的请求后回复“有效”、“过期”或“未知”响应，确定证书状态；LDAP服务器可以提供下载证书和证书撤销列表（CRL），通过比对来确认证书的状态。在线证书状态协议（OCSP）解决了一个证书注销列表（CRL）的主要缺陷：需经常连接LDAP服务器下载CRL列表以确保其是最新的，所以使用更加方便，并逐渐取代了LDAP服务器。 　　2.3 WPKI构架中WTLS握手协议流程 　　在无线网络使用WTLS协议进行通信时，首先建立加密通道，在建立加密通道过程中，移动设备（客户端）和WAP代理服务器（服务器）协商WTLS协议的版本，选择加密算法并互相认证，最后双方产生共享的对称密钥进行加密通信，该过程即为