WPKI技术的发展趋势及应用展望
发布时间:2006-10-14 8:00:23   收集提供:gaoqian
孙秋菊


  摘要:随着移动通信市场的不断增长,无线通信领域的安全也日益受到重视。本文简单介绍了一种比较先进的无线安全技术WPKI,着重分析了它的应用领域和发展趋势,同时对WPKI技术的发展存在的问题也做了相应的论述。

  关键字:无线安全WPKI密钥 数字证书

  前言

  随着移动通信和互联网技术的发展,以及各行各业对IT技术日渐多样化的需求增多,用户希望能够无时无刻、在任何地点均能上网,因而无线通信技术在银行、证券、商务、贸易、办公、教育等各方面的需求越来越多,无线通信领域的安全问题也因此引起了广泛的重视。

  据IDC预测,在2000年至2005年期间,全球的信息安全服务市场将增长三倍之多,达到210亿美元,综合年增长率接近25.5%。IDC信息安全服务调查项目的高级分析师AllanCarey说:“公司对无线接入服务的需要越来越大,是目前对先进的信息安全服务需求的驱动因素之一。要知道,针对网络系统安全的技术始终与破坏网络系统安全的技术发展保持同步。”

  无线网络安全技术在移动商务中也起着非常重要的作用,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高移动商务的可用性和可推广性。

  目前,国际上安全加密的研究主要以有线网络为主,涉及无线网络的安全技术研究屈指可数,国内的研究与应用也正处于探索之中。为了适应无线网络认证和加密的需要,WPKI(WirelessPublicKeyInfrastrcture)技术即无线公开密钥体系渐渐发展起来,并逐渐在无线数据业务中得到实际应用。

  一、WPKI的概念

  无线网络的安全性同有线网络一样,大致可以粗略地分为四个相互交织的部分:保密、鉴别、抗否认和完整性控制。保密是指保护信息在存储和传输的过程中的机密性,防止未授权者访问;鉴别主要指在揭示敏感信息或进行事务处理前必须先确认对方的身份;抗否认性要求能够保证信息发送方不能否认已发送的信息,这与签名有关;完整性控制要求能够保证收到的信息的确是最初的原始数据,而没有被第三者篡改或伪造。

  目前,国内外的一些组织和公司正在按照上述安全性的需求努力地研究和开发无线网络安全的技术,随着无线网络安全技术的日益发展和逐步成熟,WPKI技术在无线网络安全领域得到了很多国家的高度重视,其应用也日趋广泛。

  这里首先简单介绍一下PKI的概念,PKI(PublicKeyInfrastructure)即公开密钥体系,简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施,它是国际公认的互联网电子商务的安全认证机制,它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。公钥是目前应用最广泛的一种加密体制,在这一体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体系广泛地用于CA认证、数字签名和密钥交换等领域。

  WPKI即“无线公开密钥体系”,它是将互联网电子商务中PKI(PublicKeyInfrastrcture)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。

  WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥,通过第三方的可信任机构——认证中心(CA)验证用户的身份,从而实现信息的安全传输。

  二、WPKI技术及发展现状

  WPKI系统的主要功能是为基于移动网络的各类移动终端用户、以及移动数据服务提供商的业务系统提供基于WPKI体系的各种安全服务,其系统架构图如下:



WPKI安全体系总体架构图


  无线终端通过注册机构向证书中心申请数字证书,证书中心经过审核用户身份后签发数字证书给用户,用户将证书、私钥存放在UIM卡中,无线终端在无线网络上进行电子商务操作时利用数字证书保证端对端的安全。服务提供商则通过验证用户证书确定用户身份,并提供给用户相应的服务,从而实现电子商务在无线网络上的安全运行。

  类似于PKI系统的建设,一个完整的WPKI系统必须具有权威证书签发机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,其构建也将围绕着这五大系统进行。

  证书签发机关(CA):CA即数字证书的申请及签发机关,CA必须具备权威性的特征。

  数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥。

  密钥备份及恢复系统:为避免用户丢失解密数据的密钥,WPKI提供备份与恢复密钥的机制。但密钥的备份与恢复必须由可信的机构来完成,而且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

  证书作废系统:证书作废处理系统是WPKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,如是密钥介质丢失或用户身份变更等。

  应用接口:一个完整的WPKI必须提供良好的应用接口系统,使各种各样的应用能够以安全、一致、可信的方式与WPKI交互,确保安全网络环境的完整性和易用性。

  通常来说,CA做为数字证书的签发机关,它是WPKI系统的核心。数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。它采用公开密钥体制,即利用一对互相匹配的密钥进行加密、解密。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过使用数字证书,能够保证数据传输的真实性、机密性,数据的完整性,身份认证以及交易的不可抵赖性。

  目前,国际上很多国家都在研究WPKI技术,美国、日本和欧洲各国都已发展出自己的信息安全技术和产业,WPKI领域的主流体系有如下几种:

  WAP FORUM制定的WAP PKI;

  日本NTT的I-MODE的安全体系;

  美国PALM公司的安全体系;

  这些组织的WPKI体系均具备自己完整的协议体系,并且已经在无线数据业务中得到实际应用,国内的一些厂商也正在着手WPKI技术的研究和开发,目前也取得了一定程度的进展。

  三、WPKI技术的应用

  随着移动通信和互联网逐渐成为信息产业的两大支柱,无线通信技术在银行、证券、商务、贸易、办公、教育等各方面的需求越来越多,无线通信的安全性也显得日益重要,因而WPKI技术也渐渐发展起来,它为解决移动环境下的安全认证和支付奠定了基础。

  1、无线存取电子邮件

  由于商业活动信息交换的比较频繁而且实时性较强,商业人士可能会随时用电子邮件交换一些秘密的或是有商业价值的信息,因而用手机无线上网收发电子邮件就成为一种易用、高效的信息交换工具,这同时引出了一些安全方面的问题,例如,消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉,同时,发信者的身份也会被人伪造,可能造成不可挽回的经济损失。

  在遵从可以发送加密和有签名邮件的安全电子邮件协议的前提下,采用WPKI技术可以解决这一问题。当用手机无线上网发送电子邮件给一位或多位接收人时,发送者可以先将邮件加密、签名。这样,只有指定的接收人才可以在CA中心的服务器上取得公钥并开启邮件,即使该邮件被其他人截获,这些人也会因为得不到公钥而无法阅读邮件。

  2、在移动商务中的应用

  在移动商务中,如何实现在线、实时、安全的支付是技术实施的核心,尤其在移动环境下,需要准确地识别人员身份、判别帐号真伪,并迅速、安全地实现资金转帐处理。WPKI技术在移动商务中有如下方面的应用:

  1)网上银行

  用户可以用移动设备通过网上银行轻松实现电话费缴纳、商场购物、缴泊车费、自动售货机买饮料、公交车付费、投注彩票等手机支付服务。如果在网上银行系统中采用了WPKI和数字证书认证技术,不法分子即使窃取了卡号和密码,也无法在网上银行交易中实现诈骗。从世界范围看,数字证书技术已经被广泛地应用在国内外网上银行系统中,至今尚未发现一例由于数字证书被攻破而使网上银行诈骗得逞的案件。网上银行的应用主要有如下两种:

  无线电子支付:用户可以利用手机完成实时的支付,在付款过程中用户通过认证后输入相应的银行卡帐号,支付系统会从远程帐号上自动减掉这笔账目,主要处理交易完成之后回传给用户相应信息并加以确认。

  无线电子转帐:用户可以通过手机连接到银行,执行登录操作后进行转帐交易。此时,银行的相应服务器必须确认用户的转帐交易资料,它会要求用户端做电子签章的确认,也会发给用户一份电子收据。

  2)网上证券和网上缴税

  同样,通过移动终端设备进行无线网上证券交易和网上缴税也给用户带来了极大便利,减少了操作时间,提高了办事效率,但是也面临着安全性和可靠性的问题。类似于网上银行系统的实现,采用WPKI体系做为安全技术框架,移动用户可以通过使用个人拥有的数字证书,使信息获得更有效的、端到端的安全保障。

  3、其他应用

  WPKI技术在其他领域内也有广泛的应用,以下是几个简单的例子:

  在指纹识别系统方面,公安局可以使用附有指纹识别与网络浏览器的PDA装置,运用无线上网方式,连线至已经建立好的指纹、相片甚至脸型、声音特征等资料库进行即时的线上查询与对比,这些资料采用WPKI体系加密后再传输于PDA与资料库之间,可以达到安全保密的效果。

  公安部门执行拘留、逮捕等重大行动之前,法律规定必须有主管领导的签字审批。但在现实工作中,领导工作流动性大,有时难以找到,如果领导具有移动终端,实时通过无线查询得到需要审批的工作内容,在签署审批意见后立即发送到后台业务系统中,WPKI机制能够保证领导审批内容传输过程中的保密和完整,并从技术上保障领导签署审批意见后不可否认。

  为了及时掌握企业产品的销售情况,许多企业经常派遣销售人员去做市场调研,收集本企业产品的销售和库存信息以及竞争对手的活动,以便及时通知企业补给缺货或者调整定价。为保证消息的及时可靠,销售人员可以使用无线移动终端设备,将相关信息以加密方式传回企业内部,企业可以实时更新各种商业信息和工作流程。

  在小型超市及物流仓库的盘点方面,工厂仓库的盘点人员进行完盘点后,可以通过无线网络直接将相应资料以加密的方式传回到相应部门,同时可以进行数字签名,保证的信息的安全和可靠性。

  四、WPKI技术的发展趋势

  基于国外WPKI技术的发展经验和国内目前的状况,我们认为WPKI技术未来的发展有如下趋势:

  1、标准化

  随着WPKI技术的逐渐普及,为了更好地为移动用户提供优质的服务,提高WPKI的运行规模和效率,推广WPKI产品的应用,不同厂商、不同国家和地区的WPKI产品需要互连互通,并且能够进行互操作,这要求它们支持相同的标准,如证书格式及接口规范等,因此标准化是将来WPKI发展的必然趋势。

  2、国际化

  随着移动商务的深入发展和中国加入WTO,中国经济与世界经济的联系将越来越紧密,为满足移动商务的国际化需求,必然要求国内的CA中心与国际性的CA公司进行交叉认证。

  3、商业化

  网络并非一个完全可信的交易环境,目前我国相关的法律法规还很不健全,人与人之间不能建立信任,政府也不能出面证明,所以CA认证既不同于管理,也不同于法律,而更接近于一种契约,这种契约形式的关系更适应于商业化运作。可以预计,目前具有浓厚政府色彩的CA中心也将逐步从政府中剥离出来,采取商业化运作。

  4、集中化

  目前国内建设的多个CA中心几乎都有明显的局部特征和探索性质,规模较小而且简单重复,难以满足社会化服务的要求。在自身的权威性要求下,CA中心必然需要运作规范,技术、资金实力雄厚,而且能适应国际化趋势的要求。因此,未来几年中,建设集中化的大型CA中心已是必然。

  五、WPKI技术的发展和应用存在的问题

  WPKI技术虽然有着广泛的应用前景,但在技术实现和应用方面仍面临着一些问题:

  1、相对于有线终端,无线终端的资源有限,它处理能力低,存储能力小,需要尽量减少证书的数据长度和处理难度。

  2、无线网络和有线网络的通信模式不同,由于WPKI证书是IETFPKIX证书的一个分支,还需要考虑WPKI与标准PKI之间的互通性。

  3、无线信道资源短缺,带宽成本高,时延长,连接可靠性较低,因而技术实现上需要保证各项安全操作的速度,这是WPKI技术成功的关键之一。

  4、为了能够吸引更多的人利用WPKI技术从事移动商务等活动,必须提供方便可靠和具备多种功能的移动设备,因此,必须改进移动终端的设计,以满足技术和应用的需要。

  5、就目前的应用情况来看,WPKI技术的应用更多的集中于获取信息、订票、炒股等个人应用,缺乏更多、更广泛、更具吸引力的应用,这无疑会对WPKI技术和应用的发展起到一定的制约作用。

  6、我国没有正式颁布有关数字签名、电子文档及认证中心等方面的法律法规,使得数字签名得不到法律的保护,这在一定程度上影响了人们对WPKI的信任,同时也会影响到WPKI技术的应用和普及。

  小结

  目前,WPKI正处于进行产品开发和大力培育市场的时期,国内外对WPKI技术的研究与应用正处于不断的探索之中,由于一些条件和因素的限制,WPKI技术的进展相对比较缓慢,离真正的普及应用可能还会有一段相当长的距离。

  展望未来,随着手机普及率的升高和移动商务服务的多样化,作为无线网络通信中交易环境的守护神,WPKI的市场应用会有很大的发展潜力,其技术会进一步成熟和完善,它必将成为无线通信安全领域研究讨论的热点。


----《通信世界》
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50