移动电子商务是以WAP协议为基础平台的,在WAP平台上的安全技术主要有WPKI和WTLS协议。
无线公钥基础设施(WPKI)是按照已有标准将PKI安全机制引入到无线网络中的密钥及证书管理平台体系,它主要是为基于移动网络的各类终端用户以及数据服务提供商的业务系统提供各种安全服务,如认证、加密、完整性保证等。
与PKI系统的组成类似,WPKI也是由终端实体、CA认证中心、PKI门户(RA)、证书目录数据库等几个部分组成。在WPKI中,RA的建立和在客户端和服务器端实现的具体应用与传统PKI不太相同,需要一个全新的组件PKI门户。具体如下:
1.CA认证中心
WPKI的CA功能与传统的CA相似,是最基础的组成部分,主要负责生成签名、颁发证书、更新证书,密钥恢复、注销证书、随时更新证书撤销列表的内容并及时向外发布等。在构建WPKI体系时,其CA需要根据无线应用环境做出适当的调整。
2.PKI门户
与传统PKI不同,WPKI的RA需要使用PKI门户来实现。PKI门户可以为WAP客户端发送证书申请等请求给PKI中的CA,也可以提供移动终端访问有线网络资源的途径。可见PKI门户融合了RA和WAP网关的功能,可以看作是移动终端和现有PKI之间的连接桥梁,它是运行在有线网络上的服务器,实现了对用户注册信息的管理。
3.证书目录数据库
证书目录数据库主要用来提供下载、查询,储存证书等工作,并提供证书查询和下载的对外接口。目录服务器采用主从结构,主目录服务器和证书签发服务器放在一起,从目录服务器和证书发布系统一起向外发布。发布系统可以提供证书的查询和下载及CRL的访问和下载。
4.密钥管理中心(KMC)
密钥管理中心主要提供密钥对的生成、备份和司法恢复。它负责对应用服务器和WAP网关的公钥的存储,以便其后进行公钥的恢复。但是对于签名私钥,为保证用户签名的唯一性,KMC必须销毁。
5.WAP网关
WAP网关主要实现无线接入的功能。一方面要实现WAP协议堆栈到WWW协议堆栈的转化,即把数据流由WAP协议格式转化成HTTP协议格式。另一方面还要能实现传输内容格式上的转化,例如WML语言到HTML语言,然后将转化结束的数据流交给WAP服务器,或者把WAP服务器应答的信息,编码成WAP手机可以识别的紧凑的进制格式,再传递给WAP手机。
6.移动终端
移动终端是指可以访问无线网络的手持移动设备(如PDA、智能手机等)。它包含WIM卡。WIM卡具有自己的处理器,可以在卡上的芯片中实现加解密算法和散列功能,目的是将安全功能从手机转移到防篡改的设备中来,这种设备可以是智能卡或者SIM卡。移动终端除了具有传统PKI的功能外,它还依赖 WMLSCrypt( WML ScriptCrypto API)提供的密钥服务和加密操作。在进行WPKI应用时,CA根证书、个人数字证书(证书URL)等重要信息都是存放在SIM卡或WIM卡中,移动终端需要根据这些信息完成数字签名服务。另外,移动终端还要能运行必需的应用程序并且能进行简单的加解密等运算。
7.移动终端应用程序
移动终端应用程序是为适应无线网络环境而特别优化的应用程序,主要用来运行WPKI提供的各种功能,如生成并提交申请证书请求、生成更新证书请求、生成撤销证书请求、生成签名、验证签名、简单的加解密运算等。
8.内容服务器
内容服务器向用户提供内容服务,如CA的网站服务器。它可用来提供移动终端需要下载的终端应用程序、CA根证书和公布WPKI体系的相关政策、法规。
