1、移动电子商务中的技术 摘要 WPKI 即“无线公开密钥体系”,它将互联网 电子 商务中 PKI 安全机制引入到无线 网络 环境中,是一套遵循既定标准的密钥及证书管理平台体系,用它来管理移动网络环境中使用的公开密钥和数字证书,可以有效的建立安全和值得信赖的无线网络环境,从而为移动电子商务环境中的信息传输和身份认证提供了安全保证。 关键词 移动电子商务 WPKI 安全 移动电子商务是指利用手机、掌上电脑等移动通信设备与因特网有机结合,进行电子商务活动。移动电子商务包括移动支付、无线 CRM、移动股市、移动银行与移动办公等。 安全性是影响移动电子商务 发展 的关键问题 :相对于传统的电子商务模式,移
2、动电子商务的安全性更加薄弱。如何保护用户的合法信息(账户、密码等)不受侵犯,是一项迫切需要解决的问题。 在有线通信中,电子商务交易的一个重要安全保障是 PKI,即公开密钥体系,PKI 的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但考虑 PKI 算法的复杂性和移动环境的特殊性,在应用 PKI的同时必须要加以改进。 WPKI 技术,即无线公开密钥体系正是在这样的背景下发展起来,并逐渐在无线数据业务中得到应用。 一、 WPKI 的技术原理 WPKI 并不是一个全新的 PKI 标准,它是传统的 PKI 技术应用于无线环境的优化扩展。它同样采用证书管理公钥,通过第三
3、方的可信任机构 认证中心 (CA)验证用户的身份,从而实现信息的安全传输。 PKI 技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施,它是国际公认的互联网电子商务的安全认证机制,它利用 现代 密码学中的公钥密码技术在开放的 Internet 网络环境中提供数据加密以及数字 签名服务的统一的技术框架。公钥是目前应用最广泛的一种加密体制,在这一体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体系广泛地用于 CA 认证、数字签名和密钥交换等领域。 与 PKI
4、 系统相似,一个完整的 WPKI 系统必须具有以下部分: PKI 客户端、注册机构 (RA)、认证机构 (CA)和证书库以及应用接口等基本构成部分,其构建也将围绕着这五大系统进行。 认证机构 (CA)CA 系 统是 PKI 的信任基础,负责分发和验证数字证书,规定证书的有效期,发布证书废除列表。 注册机构 (RA) RA 提供用户和 CA 之间的一个接口。作为认证机构的校验者,在数字证书分发给请求者之前对证书进行验证。 数字证书库 :用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥。 应用接口:一个完整的 WPKI 必须提供良好的应用接口系统,使各种各样的应用能够以安全
5、、一致、可信的方式与 WPKI 交互,确保安全网络环境的完整性和易用性。 PKI 和 WPKI 最主要的区别在于证书的验证和加 密算法。 WPKI 采用了优化的ECC 椭圆曲线加密和压缩的 X.509 数字证书。比如说一个 1024 位加密算法,手机需要半分钟才能完成,所以传统的 PKI X.509 就不适合移动 计算 。 WPKI 采用的椭圆曲线密码体制,密码长度可以为 165 位,实际应用和传统 PKI 的 1024 位或 2048 位安全强度一样,但运算量要小,复杂度也随之降低。加密算法越复杂,密钥越长则安全性越高,但执行运算所需的时间也越长(或需要计算能力更强的芯片)。所以,支持 RSA 算法 的智能卡通常需要高性能的具有协处理器的芯片。而 ECC 使用较短的密钥就可以达到和 RSA 算法相同的加密强度。由于智能卡受CPU 处理能力和 RAM 大小的限制,因而采用一种运算量小同时能提供高加密强度的公钥密码体制对在智能卡上实现数字签名应用是至关重要的, ECC 在这方面具有很大的优势。 二、 WPKI 的工作流程 在移动商务中,如何实现在线、实时、安全的支付是技术实施的核心,尤其在移动环境下,需要准确地识别人员身份、判别账号真伪,并迅速、安全地实现资金转账处理。使用 WPKI 进行移动 电子 商务交易的流程如图所示。
