论基于手机终端的电子商务安全插件技术方案规范.docVIP

中国通信标准化协会 课题编号： 基于手机终端的 电子商务安全插件技术规范 2008年12月 研究报告要点 手机作为一个无处不在的应用终端，其电子商务的发展有着得天独厚的先天条件。通过内嵌的插件技术，可以有效地提供电子商务发展需要的安全性和私密性，并且可以大大简化电子商务的应用模式。本规范将对基于移动终端的电子商务应用提供规范性认证要求，以确保最终用户能安全简单的使用无线网络的电子商务。 作为手机上的任何一款应用插件，应该具有安全性。尤其是商用插件，对于安全性、保护用户隐私要求更高。处于应用插件层的商用应用插件是否达到了这个要求，需要通过一种机制来进行验证。该机制允许达到要求的商用插件继续运行，禁止没有达到安全要求的商用应用插件运行。 在应用系统层首先预装高系统权限的验证插件，对其他的应用插件进行验证。该插件拥有高系统权限，能控制其他商用应用插件能否运行，能否访问网络。 手机插件的使用，不同于传统的internet插件或者软件的使用方式。在传统的internet插件或者软件的使用上面，用户有很大的屏幕来显示极其丰富的内容，极强处理能力的硬件来进行终端方面的运算，有鼠标来进行精确的点击操作。运用手机商业应用插件，终端将不再拥有上述的一系列优势。如果用户体验设计的 好，转换而来的就是随时随地享受商业应用服务的快捷和便利。 这篇文章描述了整个系统的结构和验证插件实现的几种可能性解决方案，并阐述了基本的流程。 研究单位： 项目完成人： 项目参加人： 完成日期： 目次 TOC \o 1-3 \h \z \u 研究报告要点 I 1 范围 1 2 规范性引用文件 1 3 术语和缩略语 1 3.1 术语 1 3.2 缩略语 1 4 基于手机终端的电子商务安全插件系统研究 1 4.1 系统功能概述 1 4.2 系统研究方向 2 5 系统结构及功能模块 6 5.1 安全性证书认证的系统结构 6 5.2 数字签名的系统结构 7 5.2.4 ACL（访问控制列表） 8 5.3 摘要认证的系统结构 8 5.4 扫描器验证的系统结构 9 6 系统设计功能模块 9 6.1 安全性证书认证模块设计 9 6.2 数字签名认证模块设计 10 6.3 摘要认证模块设计 10 6.4 扫描器模块设计 11 6.1 客户端 11 6.2 数据库 12 6.3 服务器 12 7 通信流程 12 7.1 安全性证书认证通信流程 12 7.2 数字认证通信流程 13 7.3 摘要认证通信流程 13 7.4 扫描器通信流程 14 8 基于手机终端的电子商务安全插件系统的安全性 15 基于手机终端的电子商务安全插件技术规范 范围 本标准基于手机终端的电子商务安全插件的研究报告，列举了四种主要的安全插件研究方向，及这些研究方向的系统结构、通信流程等。 规范性引用文件 术语和缩略语 术语 3.1.1 扫描器 扫描器是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。目标可以是工作站、服务器、交换机、数据库应用等各种对象。 3.1.2 数字证书 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题. 3.1.3 客户机服务器 提供手机客户端商用插件商家的web服务器。 3.1.4 数字签名 利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性 3.1.5 RSA算法 RSA算法是第一个能同时用于加密和 数字签名的算法，RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。RSA的重大缺陷是无法从理论上把握它的保密性能如何。 3.1.6 私钥 在公钥密码体制中，用户密钥对中仅为该用户所知的密钥称为私钥。当用在签名系统时，私钥用于产生签名；当用于加密系统时，私钥用于解密。 3.1.7 公钥 与公钥算法一起使用的密钥对的非秘密一半。公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。 缩略语 CVE Common Vulnerabilities Exposures 公共漏洞和暴露 ACL Access Control List