PKI技术在移动电子商务中的应用研究.docVIP

PKI技术在移动电子商务中的应用研究 　　摘要：本文主要通过对移动电子商务在我国的具体发展情况进行了详细的分析，并在此基础上对移动电子商务应用的过程中遇到的安全问题进行具体分析。并对短期证书技术在WPKI中应用的问题进行了阐述，介绍了WPKI技术在移动电子商务中的应用方案。 　　关键字：移动电子商务应用；安全；WPKI 　　1 移动电子商务发展现状及发展中的安全问题 　　我国的移动电子商务发展经历过了第一发展阶段，这个发展阶段，移动电子商务主要是以事先支付具体费用才可以获取如股市行情信息、天气预报等服务。但这个发展阶段基本不能通过在线方式购买任何服务，一般也不会牵涉到资金安全和流动的问题。后来，移动电子商务发展到了要存在在线支付服务的第二发展阶段，此时安全问题就成为了一个敏感的话题。在移动电子商务的支付过程中，移动设备终端（手机）与数据交换中心的接口及移动网关与服务提供商之间无加密的网络传输都为移动电子商务的支付的埋下了安全隐患。即使是我们使用的GSM技术可以对数据加密，但移动网络这种开放性的特点也使得破译网络通信密码变得更加容易，所以在移动电子商务通信中，还存在着信息被篡改、截取、丢失等隐患。另外，移动电子商务应用中更要解决我们面临的“不可否认性”的问题。总之，在现实的移动电子商务交易中，保证移动网关的安全是关键的问题。尤其是我们进行移动支付过程中，怎样保证移动网关信息的安全可靠是移动电子商务要解决的根本问题。 　　2 WPKI技术 　　大家所接触的移动网络比有线网络更具有开放性，可是却带来了无线网络交易安全隐患问题，当广大用户通过无线进行交易时，只有交易信息不被窃听和篡改，交易的合法性和真实性才可以得倒有效的认可，移动电子商务交易过程才会被更多人接受和使用。在交易传统电子商务的交易过程中， PKI（公钥基础设施）是安全的重要保障。PKI有效解决了信息安全、身份证明、信息完整性和不可抵赖性等具体的问题，这些在保证交易的安全方面得到了使用着的普遍认可。PKI技术是否同样适合解决移动电子商务中的安全问题呢？答案是肯定的，但在移动环境中使用PKI技术时，不能信手拈来，必须要对PKI技术进行相应的改进，这也就是使用WPKI技术。WPKI（WirelessPKI）技术可以从一定程度上解决移动电子商务中对信息必威体育官网网址性、完整性和不可抵赖性这些具体安全要求，也降低了用户对移动电子商务交易安全的担忧。WPKI技术主要包括以下五部分。 　　（1）CA（CertificateAuthority）认证机构。认证机构（认证中心）是PKI的核心部分，它负责证书发放、撤销及证书发行后证书生命周期各个环节的具体管理。 　　（2）注册机构（RA）。RA是数字证书注册审批机构。RA是CA证书发放、管理的延伸。RA是CA和用户之间的接口，它不仅接受离线证书申请，而且必须提供在线证书申请服务。 　　（3）智能卡。智能卡是一种具有存储、加密及数据处理能力的集成电路芯片，智能卡在访问控制方面具有很强的安全保障，它体积小、难于破解等特点使其在各个领域都有广泛应用。 　　（4）信息加密算法。算法本身的复杂性和加解密密钥长度决定了算法是否安全。但如果算法越复杂，密钥长度会越长，执行运算所需时间也就越长，这对计算能力的芯片要求更高。在所有的算法中，RSA算法是公认安全强度高的算法，但RSA算法需要具有更高处理性能的芯片，会增加智能卡的使用成本。椭圆曲线加密体制（ECC）使用较短的密钥就可以达到RAS算法的加密强度，而且椭圆曲线密码体制（ECC）以其对芯片处理能力要求很低，安全强度也很容易达到，所以广泛应用于智能卡领域。 　　（5）数字证书。数字证书在WPKI机制尤为重要，如何更加安全、便捷地使用数字证书是WPKI技术必须要解决技术问题，在移动电子商务的实际应用中，可以使用移动证书标识或WTLS证书来解决技术问题。其具有更小、更简化的特点，但因为WTLS证书是一种新型的证书，所以目前必须对CA证书进行升级才可使用使用WTLS证书。 　　3 WPKI在移动电子商务中的应用 　　WPKI可以把有线网络中使用的PKI安全机制应用到移动电子商务中，通过PKI建立安全、可信的移动电子商务交易环境，WPKI可以使用公开密钥和数字证书来管理移动网络环境。它是PKI技术在移动电子商务中的功能扩展，WPKI也可以用证书实现公钥的管理，通过CA认证中心对用户的身份进行检验，目的是使信息安全的传输。 　　3.1 WPKI技术体系结构 　　WPKI技术的体系结构主要由实体终端（EE）、CA、PKI门户、PKI目录服务器等四部分组成。在其应用模式中，包括WAP网关、数据提供服务器等服务设备等。 　　（1）终端实体应用程序EE（无线用户）。它是为更好的适应WAP设备、