移动电子商务的安全题目研究(2)
2014-09-15 01:00
导读:所以, WEP应该与其他安全机制一起应用才能提供较强的安全。 WAP的安全 WAP规范的安全特性包括几个部分:WTLS协议、用于存储用户证书的WAP身份模块(WIM)和答
所以, WEP应该与其他安全机制一起应用才能提供较强的安全。
WAP的安全
WAP规范的安全特性包括几个部分:WTLS协议、用于存储用户证书的WAP身份模块(WIM)和答应WAP交易签名的SignText功能。
WTLS协议:WTLS基于IETF小组的SSL/TLS协议,提供了实体鉴别、数据加密和保护数据完整性的功能,所以可以确保在WAP装置和WAP网关之间的安全通讯。有三种不同级别的WTLS:
1级:执行未经证实的Diffie-Hellman密钥交换以建立会话密钥。
2级:使用与SSL/TLS协议相类似的公然密钥证书机制进行服务器端鉴别。
3级:客户端和服务器端采用X.509格式证书相互进行鉴别。
早期WAP装置仅仅采用了第1级别的WTLS,这种级别的安全不够,所以不能用于商务。,支持第2和第3级别WTLS的移动装置从市场上可以得到,它们可以确保网上银行交易和购物等的机密性。
WIM:为了便于客户真个鉴别,新一代的WAP电话提供了WIM。WIM包含了WTLS 3级的功能,并嵌进了对公然密钥加密技术的支持(RSA是强制的,而ECC是可选的)。生产厂家为WIM配备了两套公私密钥对(一套用于签名,另一套用于鉴别)和两个厂商的证书。用配置在WIM上的公匙把厂商的证书和厂商名字***在一起。这样,通过WIM和WAP网关建立的所有WTLS会话都将使用相同的公匙用作初始会话。每一个会话都将包括与此密钥对应的一个不同的证书。WIM的基本要求是它们要具有抗篡改的能力。
SignText功能:这个功能为WAP用户提供了数字签名。同电子签名功能一样,这个功能可以被应用于其他无线设备,或者是手持设备,或者是内嵌SIM卡。
WAP的安全:由WAP提供的最好的安全是WTLS 3级,多数情况下WTLS已足以确保WAP的安全。但是,由于WAP网关在WAP设备和Web服务器之间起着翻译的作用,相应的带来了安全:WTLS安全会话建立在手机与WAP网关之间,而与终端服务器无关。这意味着数据只在WAP手机与网关之间加密,网关将数据解密后,利用其他将数据再次加密,然后经过TLS连接发送给终端服务器。由于WAP网关可以看见所有的数据明文,而该WAP网关可能并不为服务器所有者所拥有,这样,潜伏的第三方可能获得所有的传输数据。
(转载自http://zw.NSEaC.com科教作文网)
目前,针对上述安全性题目,可以采用这样的措施来进步WAP的安全性:尽力确保WAP网关的安全。假如WAP网关位于WAP服务供给商范围之内,可以通过诸如在内存中对加密和解密过程进行最优化以减少数据明文存在的时间、在开释前覆盖加密解密进程使用的内存以确保数据的安全性。对于安全要求较高的公司可以拥有自己的WAP网关,从而保障数据端到真个安全性。通过WIM实现数据安全性。
WPKI技术
在有线通讯中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操纵流程、密钥、证书等同样也适用于解决移动电子商务交易的安全题目,但在应用PKI的同时要考虑到移动通讯环境的特点,并据此对PKI技术进行改进。
WPKI技术满足移动电子商务安全的要求:即保密性、完整性、真实性、不可抵赖性,消除了用户在交易中的风险。WPKI技术主要包含以下几个方面:
认证机构(CA) CA系统是PKI的信任基础,负责分发和验证数字证书,规定证书的有效期,发布证书废除列表。
注册机构(RA) RA提供用户和CA之间的一个接口。作为认证机构的校验者,在数字证书分发给请求者之前对证书进行验证。
智能卡 智能卡将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中,具有体积小、难于破解等特点,在生产过程、访问控制方面有很强的安全保障。很多种需要客户端认证的应用都可以使用智能卡来实现。并且智能卡也是存储移动电子商务密钥及相关数字证书的最佳选择。
加密算法 加密算法越复杂,密钥越长则安全性越高,但执行运算所需的时间也越长(或需要能力更强的芯片)。所以,支持RSA算法的智能***常需要高性能的具有协处理器的芯片。而ECC使用较短的密钥就可以达到和RSA算法相同的加密强度。由于智能卡受CPU处理能力和RAM大小的限制,因而采用一种运算量小同时能提供高加密强度的公钥密码体制对在智能卡上实现数字签名应用是至关重要的,ECC在这方面具有很大的上风。
