PKI技术在移动电子商务中应用.docVIP

PKI技术在移动电子商务中的应用 1、移动电子商务的发展现状及其安全问题 　　我国的移动数据网络(移动Internet)服务可以追溯到2000年。在发展的过程中，移动电子商务的发展经历了以提供信息服务为主的第一个阶段。在这个阶段，移动电子商务主要以提供一些需要预先支付一定费用才可获得的诸如天气预报、股市行情等资讯信息服务。在这个阶段基本不需要通过在线方法购买服务，一般不牵涉到资金的流动安全问题。当移动电子商务发展到需要提供在线支付服务的第二个阶段时，安全问题就变得极为敏感。然而，在移动环境中，手机等移动设备终端与数据交换中心的开PKI技术在移动电子商务中的应用研究文/陈衍毅放的空中接口，以及移动网关与应用服务提供商之间的无加密的传输网络都为移动支付的应用创设了安全隐患。虽然GSM技术本身可以对数据进行加密，但是移动网络的开放性使得破译网络通讯密码变得容易。而且信息必须在移动运营商的网络中才能得到加密保护，一旦离开，就不再安全，因此在移动通信中依然存在信息被截取、篡改、丢失等安全隐患。另外，在移动电子商务中更应该解决“不可否认性”问题。因为在移动网络不同于有线网络，有相对固定的用户连接，使用移动网络进行交易时，就存在用户否认已经发生业务的行为，这些都是移动电子商务急需解决的安全问题。在移动电子商务交易中，如何保证移动网关的安全也是一个关键的问题。移动网关用来完成移动信息交换时的格式转换，但无法实现对信息的加密，这就为移动电子商务的开展埋下了安全隐患，尤其是在进行移动支付时，如何确保移动网关在进行信息交换时对信息的必威体育官网网址是进行安全移动电子商务的关键问题。 　　2、WPKI技术 　　移动环境要比有线环境有更高的开放性，由此带来人们对通过无线环境进行交易时的安全问题的担心，在人们通过无线的方式进行交易时，只有当所有用户都确信交易信息不会被窃听和篡改，交易的真实性和合法性得到有效的保护，移动电子商务才会被更多人接受和推广。在有线网络电子商务交易中，PKI(公钥基础设施)是一个重要的安全保障。PKI有效解决了信息安全、身份证明、信息完整性和不可抵赖性等问题，在有线电子商务交易中起着不可替代的作用，其在保障交易安全方面的意义得到了普遍的认可。PKI中的一些有关电子商务交易安全的概念和操作流程同样适用于解决移动电子商务中面临的安全问题。但在移动通信环境中应用PKI时，需要进行有针对性的技术改进，即开发和使用WPKI技术。WPKI(WirelessPKI)技术的出现在一定程度上解决了移动电子商务应用中对信息的必威体育官网网址性、完整性和不可抵赖性的安全要求。消除了用户在应用移动电子商务时对交易安全的顾虑，是安全开展移动电子商务的有效保障。一般来说WPKI技术主要包括以下几个部分。(1)CA(CertificateAuthority)认证机构。认证机构(认证中心)是PKI的核心部分和信任基础，负责证书的发放、撤销及证书发行后证书生命周期中各个环节的管理工作。(2)注册机构(RA)。RA是数字证书注册的审批机构。RA是CA证书发放、管理的延伸。RA是用户和CA之间的接口，它不仅要接受离线的证书申请，还必须提供在线的证书申请服务。(3)智能卡。智能卡是一种镶嵌于塑料基片中的具有存储、加密及数据处理能力的集成电路芯片，智能卡在访问控制方面具有有很强的安全保障，加上其体积小、难于破解的特点，使得其在各个领域都得到了广泛的应用。很多种需要客户端认证的应用都可以使用智能卡来实现。GSM移动运营商的SIM卡就采用了智能卡技术，SIM卡主要用于存放移动用户识别号(IMSI)和身份认证密钥(Ki)。 　　同样智能卡也可以在移动电子商务中用于存储用户密钥及数字证书，从而实现交易中的身份认证和信息机密。(4)信息加密算法。算法的复杂性和加解密密钥的长度决定了算法的安全性。但是算法越复杂，密钥长度越长，执行运算所需的时间也就越长，就越需要计算能力更强的芯片。在所有的算法中，RSA算法是公认的安全强度高的算法，但由于RSA算法需要具有更高处理性能的芯片，所以增加了智能卡的使用成本。椭圆曲线加密体制(ECC)以有限域上椭圆曲线离散对数问题作为数论基础，使得其使用很短的密钥就可以达到RAS算法的加密强度。同时ECC相比其他公钥密码算法具有更高的安全强度，它的这种算法简单，密钥长度占用空间小的特点使得其非常适合由于受到CPU处理能力和RAM大小的限制而不能直接采用RSA算法的智能卡中使用。椭圆曲线密码体制(ECC)以其对芯片的处理能力要求不高且可以达到同样的安全强度的特点，被广泛应用于智能卡领域。(5)数字证书。数字证书在WPKI机制中具有非常重要的地位，如何安全、便捷地交换用户的数字证书是WPKI所必须解决的问题，尤其鉴于无线信道和移动终端的限制。在实际应用中，可以通过移动证书标识或WTL