第六章 移动商务安全

类型
WPKI
PKI
应用环境
证书 加密算法 安全连接协议
无线网络
WTLS证书/ X.509证书 ECC WTLS
有线网络
X.509证书 RSA SSL/TLS
证书撤销方式
证书保存方式 CA交叉认证 弹性CA
短时间证书
证书URL 不支持 不支持
RCL/OCSP
证书 支持 支持
表6-1 PKI和WPKI对比




【学习目标】 1．了解移动商务面临的安全威胁以及安全需求 2．掌握WAP的安全体系和相关技术 3．掌握基于WPKI的移动商务安全的相关知识 4．了解移动支付的安全标准及应用协议

移动商务（M-Commerce）是由电子商务（ECommerce）的概念衍生出来的。传统意义的电子 商务以PC机为主要界面，是“有线的电子商务”；而 移动商务则是通过手机、PDA等移动通信终端设备 与互联网有机结合进行的电子商务活动。互联网技 术、移动通信技术和其他技术的完善组合创造了移 动商务。
无线 安 全 传 输 (5) WTLS/TLS (1)
有线 (2) (3) CA TLS/SSL (4) PKI Dictionary
PKI Protal（RA）
(9) 证 书 颁 发 Client
(6)
(7) WTLS/TLS
WAP Gate Way
(8) TLS/SSL
Server





2．WAP的特点 （1）WAP是公开的全球无线协议标准，并且是基 于现有的互联网标准制定的。 （2）WAP提供了一套开放、统一的技术平台。 （3）WAP协议可以广泛地运用于GSM、CDMA、 TDMA、3G等多种网络。 （4）为了保持现有的巨大的移动市场，WML用户 的界面直接映射到现有的手机界面上。
WPKI系统包括以下六个部分 （1）移动终端 （2）CA （3）证书数据库 （4）PKI Portal （5）WAP网关 （6）源服务器

三、WPKI的证书格式
X.509 WTLS 版本（Version） 算法标识（Algorithm identifier） 发行者名称（Name of issuer） 有效时期（Period of vadility） 属主（Subject） 属主公钥（Subject's public key）





移动商务与互联网电子商务主要区别区别如下： （1）承载的网络不同 （4）操作系统不同 （3）终端不同 （2）所使用的网络协议不同 二、移动商务面临的安全威胁 1．无线窃听 2．假冒攻击 3．信息篡改 4．服务后抵赖




三、移动商务的安全需求 解决移动商务的安全问题与解决互联网电子商务的安全 问题类似，就是要解决认证、鉴别、授权、完整性、机 密性、不可否认性等问题。 1．移动接入 2．加密和身份识别 移动终端的SIM/STK卡具有加密和身份识别能力。 3．移动支付 4．信息安全 四、移动商务隐私问题 五、移动商务安全现状

四、WAP移动商务实体安全策略 1．WAP手机的安全 2．WAP网关的安全 3．WEB内容服务器的安全 （1）安全的WAP程序代码 （2）安全防护技术

ຫໍສະໝຸດ Baidu



WPKI（Wireless Public Key Infrastructure）即“无线 公开密钥基础设施”，它是将互联网电子商务中PKI安 全机制引入到无线网络环境中的一套遵循既定标准的密 钥及证书管理平台体系，用它来管理在移动网络环境中 使用的公开密钥和数字证书，有效建立安全和值得信赖 的无线网络环境。 WPKI并不是一个全新的PKI标准，它是传统的PKI技术应 用于无线环境的优化扩展。它采用了优化的ECC椭圆曲 线加密和压缩的X.509数字证书。它同样采用证书管理 公钥，通过第三方的可信任机构——认证中心（CA）验 证用户的身份，从而实现信息的安全传输。



二、WAP的体系结构 1．WAE（Wireless Application Environment， 无线应用环境） 2．WSP（Wireless Session Protocol，无线会话协 议） 3．WTP（Wireless Transaction Protocol，无线事 务协议） 4．WTLS（Wireless Transport Layer Security，无 线传输层安全） 5．WDP（Wireless Datagram Protocol，无线数 据报协议）
WPKI
安全基础 设施平台

1．无线标记语言脚本加密应用程序接口MLSCrypt

WMLScript（Wireless Makeup Language Script，无线标记语言脚本）作为 JavaScript的扩展子集，WMLScript针对窄带宽进行了优化。MLSCrypt （WMLScript Crypto API）是一个应用编程接口，使用该接口可访问 WMLScript加密库中的安全函数（如密钥对的生成、数字签名及处理PK中常用 的一些数据对象的函数）。
(3)
用户信息 数据库

2．MET系统参考模型
用户 服务证书 发行者 ② 服务注 册接口 服务执行接口 ③ 商家定义的接口 ④ 处理付款 的机构 商家定义 的接口 ④
个人信任 设备
个人信任 设备 ① 安全元 素接口 安全 元素
内容服务 器
个人计算 设备
商家定义的接口


一、移动支付概述 1．移动支付的分类 按照移动支付基础进行划分，现有的移动支付系统 可以分为基于帐户的支付和基于代币券（Token） 的支付。 根据支付时间不同，移动支付可以分为实时支付、 预支付和后期支付。 按照采用媒介的不同，移动支付可以分为采用银行 账户或信用卡进行的移动支付和由 电话帐单进行的 移动支付。

2．移动支付优点 （1）支付灵活便捷 （2）交易时间成本低 （3）有利于调整价值链，优化产业资源布局 3．移动支付解决方案 （1）基于WAP的无线电子商务安全解决方案 （2）基于端对端的SMS无线电子商务安全解决方 案


二、移动支付标准* 1．远程移动钱包标准
移动 终端 (1) (6) WAP 网关 (2) (5) (4) 安全 协议 远程钱包服 务器
发行者签名（Issuer's signature）
表6-2 WTLS证书和X.509证书的格式对比
四、引入VA的WPKI移动商务安全框架
移 动 终 端
⑴ WAP 网 关 ⑸ ⒀
PKI Protal
⑵ ⑷
签发系统 CA ⑶
⑹ ⒁
⑺ 验证服务器 VA ⑽ 商家/银行 ⑾ ⑿
⑻ ⑼
证书/黑名单库

版本（Version） 序列号（Serial number） 算法标识（Algorithm identifier） 发行者名称（Name of issuer） 有效时期（Period of vadility） 证书所有者（属主）（subject） 属主公钥（Subject's public key） 发行者ID（Issuer ID） 属主ID（Subject ID） 发行者签名（Issuer's signature）
2．无线个人身份模块WIM


WIM是安装在WAP终端设备中的一种无法被篡改的计算机芯片，包含了WTLS客 户端和服务器端采用X.509格式证书相互进行鉴别的功能，并嵌入了对公开密 钥加密技术的支持。
3．无线传输层安全协议WTLS


WTLS是以TLS标准为基础发展而来的，并针对无线网络环境中的连接方式、计 算能力、带宽限制等特点进行了必要的改造，支持数据报服务、支持优化的 分组大小以及握手、动态密钥更新，提供了实体鉴别、数据加密和保护数据 完整性的功能，可以确保在WAP终端和WAP网关之间的安全通信。

三、WAP移动商务安全架构体系
移动终端 软件安全平台 （WTLS 协议、 WM L Scriptsign） 硬件安全设备 （WIM 卡） WAP 网关 其他代理服务器 Internet Web 服务器 主要安全 参与实体
无线认证中心
WTLS/TLS/SSL TCP/UDP/IP/PPP
网络安全协 议平台


一、WAP概述 1．WAP的概念 WAP（Wireless Application Protocol，无线应用 协议）是一个用于向无线终端进行智能化信息传递 的无需授权、不依赖平台的协议。 WAP针对屏幕较小、连接速率较低和内存较小设备 的上网需求而设计，提供一种以安全迅速、灵活、 在线和交互的方式连接服务、信息和其他用户的媒 介。
4．无线公钥基础设施


WPKI是对传统ITIF基于X..509公钥基础设施PKI（Public Key Infrastructure）的优化和扩展，它将互联网电子商务中PKI的安全机制引入 到移动电子商务中，采用公钥基础设施、证书管理策略、软件和硬件等技术， 有效建立安全和值得信赖的无线网络通信环境。