PKI技术在移动电子商务中的应用.pdfVIP

PKI技术在移动电子商务中的应用 1、移动电子商务的发展现状及其安全问题 我国的移动数据网络(移动 Internet) 服务可以追溯到 2000 年。在发展的过程 中，移动电子商务的发展经历了以提供信息服务为主的第一个阶段。在这个阶段， 移动电子商务主要以提供一些需要预先支付一定费用才可获得的诸如天气预报、 股市行情等资讯信息服务。在这个阶段基本不需要通过在线方法购买服务，一般 不牵涉到资金的流动安全问题。当移动电子商务发展到需要提供在线支付服务的 第二个阶段时，安全问题就变得极为敏感。然而，在移动环境中，手机等移动设 备终端与数据交换中心的开 PKI 技术在移动电子商务中的应用研究文/陈衍毅放 的空中接口，以及移动网关与应用服务提供商之间的无加密的传输网络都为移动 支付的应用创设了安全隐患。虽然 GSM 技术本身可以对数据进行加密，但是移 动网络的开放性使得破译网络通讯密码变得容易。而且信息必须在移动运营商的 网络中才能得到加密保护，一旦离开，就不再安全，因此在移动通信中依然存在 信息被截取、篡改、丢失等安全隐患。另外，在移动电子商务中更应该解决“不 可否认性”问题。因为在移动网络不同于有线网络，有相对固定的用户连接，使 用移动网络进行交易时，就存在用户否认已经发生业务的行为，这些都是移动电 子商务急需解决的安全问题。在移动电子商务交易中，如何保证移动网关的安全 也是一个关键的问题。移动网关用来完成移动信息交换时的格式转换，但无法实 现对信息的加密，这就为移动电子商务的开展埋下了安全隐患，尤其是在进行移 动支付时，如何确保移动网关在进行信息交换时对信息的保密是进行安全移动电 子商务的关键问题。 2、WPKI 技术 移动环境要比有线环境有更高的开放性，由此带来人 对通过无线环境进行 交易时的安全问题的担心，在人 通过无线的方式进行交易时，只有当所有用户 都确信交易信息不会被窃听和篡改，交易的真实性和合法性得到有效的保护，移 动电子商务才会被更多人接受和推广。在有线网络电子商务交易中，PKI(公钥基 础设施)是一个重要的安全保障。PKI 有效解决了信息安全、身份证明、信息完 整性和不可抵赖性等问题，在有线电子商务交易中起着不可替代的作用，其在保 障交易安全方面的意义得到了普遍的认可。PKI 中的一些有关电子商务交易安全 的概念和操作流程同样适用于解决移动电子商务中面临的安全问题。但在移动通 信环境中应用 PKI 时，需要进行有针对性的技术改进，即开发和使用 WPKI 技术。 WPKI(WirelessPKI) 技术的出现在一定程度上解决了移动电子商务应用中对信息 的保密性、完整性和不可抵赖性的安全要求。消除了用户在应用移动电子商务时 对交易安全的顾虑，是安全开展移动电子商务的有效保障。一般来说 WPKI 技术 主要包括以下几个部分。(1)CA(CertificateAuthority) 认证机构。认证机构(认证中 心)是 PKI 的核心部分和信任基础，负责证书的发放、撤销及证书发行后证书生 命周期中各个环节的管理工作。(2)注册机构(RA) 。RA 是数字证书注册的审批机 构。RA 是 CA 证书发放、管理的延伸。RA 是用户和 CA 之间的接口，它不仅要 接受离线的证书申请，还必须提供在线的证书申请服务。(3)智能卡。智能卡是 一种镶嵌于塑料基片中的具有存储、加密及数据处理能力的集成电路芯片，智能 卡在访问控制方面具有有很强的安全保障，加上其体积小、难于破解的特点， 得其在各个领域都得到了广泛的应用。很多种需要客户端认证的应用都可以 用 智能卡来实现。GSM 移动运营商的 SIM 卡就采用了智能卡技术，SIM 卡主要用 于存放移动用户识别号(IMSI) 和身份认证密钥(Ki) 。 同样智能卡也可以在移动电子商务中用于存储用户密钥及数字证书，从而实 现交易中的身份认证和信息机密。(4)信息加密算法。算法的复杂性和加解密密 钥的长度决定了算法的安全性。但是算法越复杂，密钥长度越长，执行运算所需 的时间也就越长，就越需要计算能力更强的芯片。在所有的算法中，RSA 算法 是公认的安全强度高的算法，但由于 RSA 算法需要具有更高处理性能的芯片， 所以增加了智能卡的 用成本。椭圆曲线加密体制(ECC) 以有限域上椭圆曲线离 散对数问题作为数论基础， 得其 用很短的密钥就可以达到 RAS 算法的加密 强度。同时ECC 相比其他公钥密码算法具有更高的安全强度，它的这种算法简 单，密钥长度占用空间小的特点 得其非常适合由于受到 CPU 处理能力和 RAM 大小的限制