WPKI护航移动电子商务

 

无线网络安全技术在移动电子商务中起着非常重要的作用。但国际上安全加密的研究主要以有线网络为主，如PKI(Public Key Infrastructure)，即公开密钥体系，而无线网络的安全技术研究屈指可数。为了适应无线网络认证和加密的需要，WPKI（Wireless Public Key Infrastrcture）技术，即无线公开密钥体系渐渐发展起来。 

　　Internet自从诞生以来，不断飞速发展，它的用户数目一直以指数速度增长。在Internet的商业化过程中，各种专用网络的应用也随之发展起来，以电信、银行为代表的各种信息化系统已经成为国家关键基础设施。政府上网已成为必然趋势。 

　　随着用户对IT技术日渐多样化的需求增多，用户希望不论何时何地均能上网，因而无线通信技术在银行、证券、商务、贸易、办公、教育等各方面的需求越来越多，无线通信领域的安全问题也因此引起了广泛的重视。 

　　但目前，国际上安全加密的研究主要以有线网络为主，如PKI(Public Key Infrastructure)，即公开密钥体系，而无线网络的安全技术研究屈指可数，国内外的研究与应用也正处于探索之中。为了适应无线网络认证和加密的需要，WPKI（Wireless Public Key Infrastructure）技术，即无线公开密钥体系渐渐发展起来，并逐渐在无线数据业务中得到实际应用。 

　　WPKI如何工作 
　　WPKI即“无线公开密钥体系”，它将互联网电子商务中PKI安全机制引入到无线网络环境中，它是一套遵循既定标准的密钥及证书管理平台体系，用它来管理移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。 

　　WPKI并不是一个全新的PKI标准，它是传统的PKI技术应用于无线环境的优化扩展。它同样采用证书管理公钥，通过第三方的可信任机构—认证中心(CA)验证用户的身份，从而实现信息的安全传输。 

　　与PKI系统相似，一个完整的WPKI系统必须具有以下部分：PKI客户端、注册机构(RA)、认证机构(CA)和证书库以及应用接口等基本构成部分，其构建也将围绕着这五大系统进行（见图1所示）。 

　　通常来说，CA作为数字证书的签发机关，它是WPKI系统的核心。RA提供用户和CA之间的一个接口，作为认证机构的校验者, 在数字证书分发给请求者之前对证书进行验证，它捕获并认证用户的身份, 向CA提出证书请求认证的处理质量决定了证书中被设定的信任级别。 

　　一个完整的WPKI必须提供良好的应用接口系统，使各种各样的应用能够以安全、一致、可信的方式与WPKI交互，确保安全网络环境的完整性和易用性。 

　　PKI和WPKI最主要的区别在于证书的验证和加密算法。WPKI采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。比如说一个1024位加密算法，手机需要半分钟才能完成，所以传统的PKI X.509就不适合移动计算。WPKI采用的椭圆曲线密码体制，密码长度可以为165位，实际应用和传统PKI的1024或2048位安全强度一样，但运算量要小，复杂度也随之降低。 

　　WPKI用在哪里 
　　目前全世界移动终端的数量已经接近10亿，而互联网用户早已超过10亿。这些数字表明：随着时代与技术的进步，人类对移动性和信息的需求急速上升，越来越多的人希望在移动的过程中高速接入互联网，获取急需的信息，完成想做的事情。无线通信的安全性因此显得愈发重要，WPKI技术为解决移动环境下的安全认证和支付奠定了基础。 

　　1、移动电子商务 
　　移动电子商务是电子商务的一个新的分支，但是从应用角度来看，它的发展是对有线电子商务的补充与发展，是电子商务发展的新形态。移动电子商务将传统的商务和已经发展起来的、但是分散的电子商务整合起来，将各种业务流程从有线向无线转移和完善，是一种新的突破。 

　　随着移动互联网的快速发展，移动设备通常是隶属于个人，可以为其所有者随时随地提供信息，商家可以通过移动电子商务将市场目标定位到个人；而传统的基于有线连接的电子商务只能将市场细分到一个小群体，比如一个家庭。从这一点来说，移动电子商务是电子商务发展的最高形式。
 
　　WPKI可以用于如下几种移动电子商务中： 
　　◆ 网上银行 
　　网上银行系统中采用了WPKI技术，犯罪分子即使窃取了卡号和密码，也无法在网上银行交易中实现诈骗。网上银行的应用主要有无线电子支付和转账两种方式。 

　　用户可以利用手机完成实时的支付，在付款过程中用户通过认证后输入相应的银行卡账号，支付系统会从远程账号上自动减掉这笔账目，主要处理交易完成之后回传给用户相应信息并加以确认。 

　　用户也可以通过手机连接到银行，执行登录操作后进行转账交易。此时，银行的相应服务器必须确认用户的转账交易资料，它会要求用户端做电子签章的确认，也会发给用户一份电子收据。 

　　◆ 网上证券 
　　通过移动终端设备进行无线网上证券交易给用户带来了极大便利，减少了操作时间，提高了办事效率，但是也面临着安全性和可靠性的问题。类似于网上银行系统的实现，采用WPKI体系作为安全技术框架，移动用户可以通过使用个人拥有的数字证书，使信息获得更有效的、点到点的安全保障。

2、保密信息和资料传输 
　　WPKI技术可以解决保密信息传输的问题。由于商业活动信息交换的比较频繁且实时性较强，商业人士可能会随时用电子邮件交换一些秘密的或是具有商业价值的信息，因而用手机或PDA无线上网收发信息就成为一种易用、高效的信息交换工具。 

　　当然，这也引出了一些安全方面的问题，信息可以在不为通信双方所知的情况下被读取或篡改；同时，发信者的身份也会被人伪造，可能造成不可挽回的经济损失。在遵从可以发送加密和有签名邮件的安全电子邮件协议的前提下，WPKI技术可以解决这一问题。 

　　当发送信息给一位或多位接收人时，发送者可以先将信息加密、签名。这样，只有指定的接收人才可以在CA中心的服务器上取得公钥并开启邮件，即使该信息被其他人截获，这些人也会因为得不到公钥而无法阅读信息。这项技术已经在国防及安全部门得到了应用。
 
　　WPKI未来如何发展 
　　目前WPKI研究领域的主流体系有如下三种：WAP FORUM制订的WAP PKI、美国PALM公司的安全体系以及日本NTT（DoCoMo）的I-MODE安全体系。这些组织制订的WPKI体系均具备自己完整的协议体系，并且已经在无线数据业务中得到实际应用，国内的一些机构也正在着手WPKI技术的研究和开发，目前也取得了一定程度的进展。

 

综合国内外WPKI技术的发展经验和状况，WPKI技术未来的发展有如下趋势： 
　　◆ 标准化 
　　随着WPKI技术的逐渐普及，为了更好地为移动用户提供优质的服务，提高WPKI的运行规模和效率，推广WPKI产品的应用，不同厂商、不同国家和地区的WPKI产品需要互联互通，并且能够进行互操作，这要求它们支持相同的标准和安全体系，因此标准化是将来WPKI发展的必然趋势。 
　　

　　◆ 集中化 
　　目前国内建设的CA中心几乎都有明显的局部特征和探索性质，规模较小而且简单重复，难以满足社会化服务的要求。而且对某些关键领域不可能采用国外认证中心来实现。因此我国要解决信息安全的瓶颈问题，必须研究自主加密算法的信息安全系统。在自身的权威性要求下，CA中心必然需要运作规范，技术、资金实力雄厚，而且能适应国际化趋势的要求。因此，未来几年中，建设集中化的大型CA中心已是大势所趋。

 

 ◆ 国际化 
　　随着移动电子商务的迅猛发展和中国加入WTO，中国经济与世界经济的联系将越来越紧密，为满足移动电子商务的国际化需求，必然要求国内的CA中心与国际性的CA公司进行交叉认证。 

　　WPKI还存在哪些问题 
　　WPKI虽然有着广泛的应用前景，但在技术实现和应用方面仍面临着以下一些问题： 
　　◆ 相对于有线终端，无线终端的资源有限，它处理能力低，存储能力小，需要尽量减少证书的数据长度和处理难度。为了能够吸引更多的人利用WPKI技术从事移动电子商务等活动，必须提供方便可靠和具备多种功能的移动设备。因此必须改进移动终端的设计，以满足技术和应用的需要。 

　　◆ 无线网络和有线网络的通信模式不同，无线信道资源短缺，带宽成本高，时延长，连接可靠性较低，因而技术实现上需要保证各项安全操作的速度和可靠性，由于WPKI证书只是IETF PKIX证书的一个分支，还需要考虑WPKI与标准PKI之间的互通性。这是WPKI技术成功的关键之一。 

　　◆ 就目前的应用情况来看，WPKI技术的应用更多的集中于获取信息、贸易、购物等个人应用，缺乏更广泛和更具吸引力的应用，这无疑会对WPKI技术和应用的发展起到一定的制约作用。