`

3G手机终端PKI安全应用体系的研究

阅读更多

原文 http://www.starlunwen.com/article/html/33586.html

 

1 背景
在3G时代,随着移动终端处理能力的不断增强,可以在移动终端上开展的业务越来越多,而且由于其可移动性,其相对于个人计算机的优势也越来越明显。但随着 架构在移动终端上业务的愈加丰富,移动终端的安全问题越来越受到人们的关注,如果不能提供安全的服务将直接影响用户的最终体验,直接导致许多新业务的推广 运营。终端安全问题已经成为3G移动数据业务发展的瓶颈!
2 研究内容及意义
目前基于证书的安全应用在固网中已经相对成熟,但其在移动支付环境下仍没有一种成熟的体系架构。本文针对3G网络环境下移动终端的特点,将PKI技术与移 动终端相结合,提出了一种基于3G网络环境的手机终端安全应用体系架构,弥补了这一领域的空白。基于本体系的手机终端可以为架构在其上的各种应用提供安全 支撑,有效地解决了各种应用在使用过程中遇到的安全问题。同时,本体系提供的服务均符合相关标准,安全应用开发者只需要按照本体系提供的标准接口进行开 发,就可以在所有符合本体系的手机终端上通用,不必再针对手机终端环境的不同进行多次移植。提高开发效率的同时可以降低开发费用,可以有效地提高移动安全 应用开发厂商的积极性。
3 PKI安全应用体系架构
针对3G手机终端的特点,我们构建了移动终端PKI组件结构图(见图2-1)。该体系由两部分组成,即物理层和PKI安全组件层。


图2-1
3.1 物理层
物理层主要涉及SDKey及USIM等硬件设备。用于标识用户身份的私有密钥存储在这些硬件设备中,所有密码运算也都在硬件设备中完成,这样可以有效地防止用户私有密钥的泄露,为用户提供硬件级的安全保证。
目前市场上已经可以提供带有PKI功能的SDkey及USIM产品,其性能亦可以满足一般移动增值业务应用中的性能要求。一般情况下,满足以下性能要求的产品都可以满足移动增值应用的要求。
1) 非对称密钥生成速度<1s;
2) 非对称密钥签名<300ms,验证签名<100ms;
3) 对称密钥加解密300微秒/128位。
3.2 PKI安全组件层
PKI安全组件层架构在硬件物理层之上,为在移动终端开展的上层应用提供安全密码服务。本层向上层提供符合微软CSP规范及PKCS#11两组标准接口, 可以有效地降低上层移动终端应用软件开发的复杂度及成本。移动终端应用开发者无需再考虑设备底层采用了哪种密码硬件,针对不同的硬件设备进行多次移植,只 需要按照CSP或PKCS#11提供的标准接口进行开发就可以在不同的移动终端上正常运行。
4 关键技术
1) 私有密钥硬件保护
将用于标识用户身份的私有密钥存储在SDkey或USIM卡等硬件设备中,所有需私有密钥参与的密码运算都需要首先校验用户个人识别码,且所有的运算均在硬件内部完成。这可以有效地防止私有密钥的泄露。

2) 统一接口
本体系结构提供两套标准接口,即CSP和PKCS#11标准接口,这两组接口可满足绝大多数3G手机终端应用的安全需求。
符合微软CSP规范的接口可用于Windows Mobile等手机操作系统。该组接口可提供基本的安全密码服务,如:ASN.1编解码、对称加解密、非对称加解密及其它证书管理功能。在Windows Mobiel手机操作系统上运行的软件都可以调用本组件的相关密码运算功能来增强其自身的安全性。
因微软CSP标准只适用于Winows 系列手机操作系统,其它主流手机操作系统都不支持该标准。这些手机操作系统主要有: Symbian,Linux,Android等,那么如何为这些手机终端中提供密码服务呢?PKCS#11是RSA 公司创立的公开密钥加密标准,该规范定义了一套非常强大的接口功能供应用程序使用,可以满足绝大部分安全应用的需要。我们可以通过实现该组接口为上述操作 系统下的应用提供密码服务。
 当然,PKCS#11系列标准接口也适用于Windows Mobie操作系统。在PKI安全组件层实现符合CSP标准的接口并不是必须的。之所以在本层中提到本组接口,完全是因为目前采用Windows Mobie操作系统的手机占据了相当大的市场份额。而且,CSP标准是由微软提出的,它对Windows手机操作系统下运行的各种软件或服务的适用性更 高。如操作IE浏览器证书存储区中的证书进行签名、验签等操作就只能通过本套接口实现。
5 典型应用
配备有PKI安全组件的移动终端可以为多种应用提供安全密码服务,如手机银行、手机安全邮件、移动支付、安全移动办公等。其中最典型的应用就是移动支付应用。其简单的架构图如图3-1所示。
 
图3-1

在移动支付应用中,移动终端需向CA 认证中心申请用于移动支付的用户证书,获取到用户证书后就可以进行安全交易了,其交易流程如下:
1) 用户使用配备有PKI安全组件的移动终端对自己的消费行为进行签名,将用户信息、消费信息及签名结果等信息发送至消费终端;
2) 消费终端如具备脱机验证签名的能力,可根据验证签名的结果及支付中心设置的其他规则决定是否批准交易或需要联机交易;
3) 如果消费终端决定需进行联机交易,则将从用户手机收到的相关信息发送至支付中心,由支付中心验证签名的正确性并决定是否允许进行交易并将结果反馈给消费终端。支付中心应对处理结果进行签名,将带有签名值的结果反馈给消费终端;
4) 消费终端将处理结果(允许或拒绝)反馈给移动终端;
5) 移动终端调用PKI安全组件的功能对支付中心的身份进行验证(验证签名),如验证通过,按消费终端反馈的处理结果进行处理。
从上述流程可以看出在一次交易流程中移动终端和支付中心进行了双向认证,这样不仅可以保证交易流程的安全性,而且当交易产生纠纷时还可以对通过对签名结果的校验来追究责任。而这些功能是原本通过用户名/口令的认证方式所远远不能提供的。
6 结论
目前,基于PKI技术的证书应用在固网中已经相对成熟,如网上银行应用、远程办公等。但基于PKI技术的证书应用在移动通信网中还没有一种成熟的体系架 构。本文中涉及的体系架构将3G手机终端与PKI技术相结合,可以有效地解决这一问题。可以有效地为3G网络环境下的各种应用提供安全支撑,解决3G网络 环境下各种应用的安全问题。

分享到:
评论

相关推荐

    国家PKI体系总体框架研究

    介绍我国PKI研究的架构,电子政务PKI,研究现状。

    网络安全实验报告-PKI证书应用.pdf

    PKI证书应用于网络安全实验报告 在本实验报告中,我们探索了PKI证书在网络安全中的应用。PKI证书是一种数字证书,用于身份验证和加密数据传输。通过实验,我们了解了PKI证书的生成、安装和使用过程,以及其在网络...

    PKI认证体系原理及应用

    PKI认证体系原理,对PKI体系及应用的简要说明

    PKI安全认证体系基于linux嵌入式系统SM2算法改进.pdf

    PKI安全认证体系基于linux嵌入式系统SM2算法改进.pdf

    基于PKI技术认证体系毕业论文PPT

    总之,这篇基于PKI技术的毕业论文深入研究了如何利用公钥基础设施构建安全的企业认证平台,不仅理论基础扎实,而且在系统设计和应用实践上都有所体现,为解决网络环境中的安全问题提供了有价值的参考。

    PKI技术应用及开发指南

    ### PKI技术应用及开发指南 #### 公钥基础设施(PKI)概述 公钥基础设施(Public Key Infrastructure,简称PKI)是网络安全架构的核心组成部分,它通过提供一系列技术和管理手段来确保在线通信的安全性、完整性和...

    PKI技术与应用

    基础知识 PKI体系结构 PKI技术标准篇 应用篇

    pki体系讲解

    PKI 体系讲解 PKI(Public Key Infrastructure)...PKI 体系的发展前景广阔,随着网络安全的需求越来越高,PKI 体系的应用将会更加普及。PKI 体系可以解决网络安全问题,提供信息安全服务,保护用户的身份和财产安全。

    计算机网络安全之PKI

    公钥基础设施(Public Key Infrastructure,简称PKI)是现代网络安全体系中的核心组件,它为网络通信提供了可靠的身份认证、数据加密和完整性保护。PKI广泛应用于银行和其他安全系统,确保了在线交易和敏感信息传输...

    基于X_509证书PKI认证系统的研究.pdf

    通过合理的设计和实施PKI体系结构,可以有效地解决网络安全中的认证、加密、数字签名等问题,为电子商务、电子政务等领域提供强有力的支持。未来,随着新技术的不断涌现,PKI技术也将持续演进和完善,以适应更加复杂...

    PKI安全报文传送

    **标题解析:** "PKI安全报文传送" 指的是使用公开密钥基础设施(Public Key Infrastructure,简称PKI)来确保两个通信方在交换信息时的安全性。这里的"报文传送"指的是数据或文件的传输过程,而PKI则提供了一套完整...

    cisp.rar_CISP_PKI_PKI体系

    在信息安全领域,CISP(注册信息安全专业人员)是一项权威的认证,它涵盖了广泛的安全知识体系,包括但不限于信息安全保障体系、测评认证、信息安全理论以及PKI(公开密钥基础设施)等核心内容。本资料集“cisp.rar...

    PKI-CA体系.ppt

    介绍pki-ca体系最全面最简单的一份ppt

    PKI技术及应用开发指南

    公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因此,对PKI技术的研究和开发成为目前信息安全领域的热点。本文对PKI技术进行了全面的分析和...

    《PKI技术及其应用》-光盘源代码

    5. PKI技术应用:这部分源代码可能涵盖了各种PKI的实际应用场景,如电子邮件安全、文件签名、远程访问控制等。通过这些例子,开发者可以学习到如何在不同场景下有效地实施和维护PKI系统。 通过研究这些源代码,...

    精通PKI网络安全认证技术与编程实现_PDF书签高清版.7z.005(共5个压缩包)

    pki是解决开放式互联网络信息安全需求的成熟体系。pki体系支持身份认证,信息传输、存储的完整性,消息传输、存储的机密性,以及操作的不可否认性。本书从实战出发,介绍了pki应用开发过程和细节。全书共32章,分6篇...

    精通PKI网络安全认证技术与编程实现(源码)

    PKI(Public Key Infrastructure,公钥基础设施)是现代网络安全体系中的核心组成部分,它提供了一种基于公钥密码学的安全服务框架,用于管理和验证数字证书,确保网络通信的机密性、完整性和身份认证。本资料主要...

Global site tag (gtag.js) - Google Analytics