[摘要] 无线网络的巨大成功将改变电子商务和互联网,无线应用协议(WAP)为电子商务、无线应用服务提供了安全性服务。本文概述WAP和无线公钥基础设施(WPKI)的模式,研究了WPKI如何以及为何在WAP的环境下满足无线应用的安全要求,并针对主要技术问题和WPKI在WAP环境下的实施。
[关键词] 公钥基础设施无线应用协议
随着无线网络的发展,电子商务正进入一个新的时代。消费者可以随时随地利用手机、掌上电脑等无线装置,在网上购物、网上银行开户和交易等活动。然而由于有些信息通过无线网络进行传输,这就可能存在许多风险。然而采用公钥基础设施(PKI)能解决存在的风险问题。本文阐述了PKI 和WPKI,介绍了WAP 环境,并讨论WPKI 的一些关键技术问题,着重讨论了如何利用WPKI来保证无线应用的安全;并且进一步论述了WAP作为未来WPKI的初始驱动的原因。
一、PKI和WPKI的概述
PKI是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。它包括协议、服务和标准,用来支持需要公钥加密的应用程序,也是用来产生、管理、存储和吊销公钥证书。
WPKI即是无线PKI,它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。WPKI是传统的PKI技术应用于无线环境的优化扩展。
二、WAP
WAP是在数字移动电话、因特网或其他个人数字助理机(PDA)、计算机应用之间进行通讯的全球开放标准。它是由一系列协议组成,用来标准化无线通信设备,可用于Internet访问,包括收发电子邮件等。WAP是将移动网络和Internet以及公司的局域网紧密地联系起来,提供一种与网络类型、运行商和终端设备都独立的移动增值业务。WAP是一个全球性的开放协议,并使用无线设备的移动用户可以方便的即时获取信息和服务。
无线网络比有线网络多了一个连接,就是WAP网关在无线设备之间的连接。一个用户想用手机查看自己银行账户信息,具体步骤如下:(1)用户向WAP网关发出的请求。(2)WAP网关解析请求,再发送到相关的服务器。(3)内容服务器响应WAP网关,并发送相关内容。(4)WAP网关再把相关信息发送到用户的手机上。
随着WAP的发展,WTLS V2.0使用了无线传输层安全协议(WTLS),从而构成端到端的信息安全保障机制。其原因是WAP是不依赖网络的,所以很容易把应用移植在宽带,如GPRS上。但新网络如3G出现,就必须再次band WAP。
无线标记语言(WML)是一种优化脚本语言。 JavaScript为Web Clients提供服务,WTLS 提供安全服务。这就使得现在许多功能被WPKI使用。WAP身份识别模块(WIM)是实现在SIM卡上为WAP应用提供的一个安全模块。WIM用来执行WTLS和应用级安全功能(如数字签名认证,密钥交换),特别用于存储和处理在用户识别和认证时需要的信息。 三、无线PKI
WPKI最关注的是政策和标准以用来管理电子商务,并在无线应用环境下通过WTLS和WMLScrypt提供安全服务。WPKI的基本结构和数据流如图所示。组件包括端实体应用(EE)、注册审批中心(RA)、认证机构(CA)和PKI目录。在WPKI中,端实体应用和注册中心的实现与传统PKI不同,而且需要一个全新的组件-PKI门户。
WPKI中的端实体应用的具体实现是一个运作在WAP终端上的优化软件,它依靠WML脚本加密接口和脚本加密库来作密钥服务和加解密操作。具体函数包括以下几个:(1) 用户公私钥对的生成、存储和访问;(2)首次证书应用的完成、签名和提交;(3)证书更新请求的完成、签名和提交;(4)证书撤消请求的完成、签名和提交;(5)查找证书和撤消信息;(6)生成和验证数字签名。
PKI门户是一个联网的服务器,类似WAP网关,有RA的逻辑功能,并负责转换WAP客户给PKI中RA和CA发的请求。PKI门户内嵌RA函数和无线网络中的WAP设备以及有线网络中的CA进行交互。一次完整的WPKI操作流程有:(1)EE用户向PKI门户申请证书;(2)PKI门户审查用户申请,通过后给CA发证书申请;(3)CA发行证书并将证书贴到有效证书目录;(4) PKI门户创建证书URL,并把URL发送给EE用户;(5) Web服务器或其它移动电子商务服务器取回证书或者是撤消信息;(6)EE用户和WAP网关使用证书和密钥建立安全的WTLS会话,WAP网关和移动电子商务服务器或者Web服务器建立安全的SSL/TLS会话;(7) EE用户用私钥证书对会话内容签名,结合加密保证无线设备和互联网之间的数据安全传输。
在上述操作流程中,WTLS会话的客户端和服务器端在验证CA根证书有效性时有两种方法:带外HASH验证方法和签名验证方法。在建立WTLS会话过程中,客户端把证书URL发给服务器端,服务器端使用该URL取证书。取得证书后,服务器端使用该证书,但不会把证书发给客户端。客户只接收和存储证书URL,可以节约有限的带宽和存储资源。URL定义可以有两种机制:LDAP URL和HTTP URL。
四、结论
本文对WPKI的技术问题进行讨论,并简述了WPKI在WAP环境的实施。 随着手机普及率的升高和移动商务服务的多样化,作为无线网络通信中交易环境的守护神,WPKI的市场应用会有很大的发展潜力,其技术会进一步成熟和完善,它必将成为无线通信安全领域研究讨论的热点。