ＷＰＫＩ技術(shù)分析及應(yīng)用

[摘要] 無(wú)線網(wǎng)絡(luò)的巨大成功將改變電子商務(wù)和互聯(lián)網(wǎng)，無(wú)線應(yīng)用協(xié)議（WAP）為電子商務(wù)、無(wú)線應(yīng)用服務(wù)提供了安全性服務(wù)。本文概述WAP和無(wú)線公鑰基礎(chǔ)設(shè)施（WPKI）的模式，研究了WPKI如何以及為何在WAP的環(huán)境下滿足無(wú)線應(yīng)用的安全要求，并針對(duì)主要技術(shù)問(wèn)題和WPKI在WAP環(huán)境下的實(shí)施。

[關(guān)鍵詞] 公鑰基礎(chǔ)設(shè)施無(wú)線應(yīng)用協(xié)議

隨著無(wú)線網(wǎng)絡(luò)的發(fā)展，電子商務(wù)正進(jìn)入一個(gè)新的時(shí)代。消費(fèi)者可以隨時(shí)隨地利用手機(jī)、掌上電腦等無(wú)線裝置，在網(wǎng)上購(gòu)物、網(wǎng)上銀行開(kāi)戶和交易等活動(dòng)。然而由于有些信息通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行傳輸，這就可能存在許多風(fēng)險(xiǎn)。然而采用公鑰基礎(chǔ)設(shè)施(PKI)能解決存在的風(fēng)險(xiǎn)問(wèn)題。本文闡述了PKI 和WPKI，介紹了WAP 環(huán)境，并討論WPKI 的一些關(guān)鍵技術(shù)問(wèn)題，著重討論了如何利用WPKI來(lái)保證無(wú)線應(yīng)用的安全；并且進(jìn)一步論述了WAP作為未來(lái)WPKI的初始驅(qū)動(dòng)的原因。

一、PKI和WPKI的概述

PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，是為網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需密鑰和證書(shū)的管理體系。它包括協(xié)議、服務(wù)和標(biāo)準(zhǔn)，用來(lái)支持需要公鑰加密的應(yīng)用程序，也是用來(lái)產(chǎn)生、管理、存儲(chǔ)和吊銷公鑰證書(shū)。

WPKI即是無(wú)線PKI，它是將互聯(lián)網(wǎng)電子商務(wù)中PKI安全機(jī)制引入到無(wú)線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書(shū)管理平臺(tái)體系，用來(lái)管理在移動(dòng)網(wǎng)絡(luò)環(huán)境中使用的公開(kāi)密鑰和數(shù)字證書(shū)，有效建立安全和值得信賴的無(wú)線網(wǎng)絡(luò)環(huán)境。WPKI是傳統(tǒng)的PKI技術(shù)應(yīng)用于無(wú)線環(huán)境的優(yōu)化擴(kuò)展。

二、WAP

WAP是在數(shù)字移動(dòng)電話、因特網(wǎng)或其他個(gè)人數(shù)字助理機(jī)（PDA）、計(jì)算機(jī)應(yīng)用之間進(jìn)行通訊的全球開(kāi)放標(biāo)準(zhǔn)。它是由一系列協(xié)議組成，用來(lái)標(biāo)準(zhǔn)化無(wú)線通信設(shè)備，可用于Internet訪問(wèn)，包括收發(fā)電子郵件等。WAP是將移動(dòng)網(wǎng)絡(luò)和Internet以及公司的局域網(wǎng)緊密地聯(lián)系起來(lái)，提供一種與網(wǎng)絡(luò)類型、運(yùn)行商和終端設(shè)備都獨(dú)立的移動(dòng)增值業(yè)務(wù)。WAP是一個(gè)全球性的開(kāi)放協(xié)議，并使用無(wú)線設(shè)備的移動(dòng)用戶可以方便的即時(shí)獲取信息和服務(wù)。

無(wú)線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)多了一個(gè)連接，就是WAP網(wǎng)關(guān)在無(wú)線設(shè)備之間的連接。一個(gè)用戶想用手機(jī)查看自己銀行賬戶信息，具體步驟如下:(1)用戶向WAP網(wǎng)關(guān)發(fā)出的請(qǐng)求。(2)WAP網(wǎng)關(guān)解析請(qǐng)求，再發(fā)送到相關(guān)的服務(wù)器。(3)內(nèi)容服務(wù)器響應(yīng)WAP網(wǎng)關(guān)，并發(fā)送相關(guān)內(nèi)容。(4)WAP網(wǎng)關(guān)再把相關(guān)信息發(fā)送到用戶的手機(jī)上。

隨著WAP的發(fā)展，WTLS V2.0使用了無(wú)線傳輸層安全協(xié)議（WTLS），從而構(gòu)成端到端的信息安全保障機(jī)制。其原因是WAP是不依賴網(wǎng)絡(luò)的，所以很容易把應(yīng)用移植在寬帶，如GPRS上。但新網(wǎng)絡(luò)如3G出現(xiàn)，就必須再次band WAP。

無(wú)線標(biāo)記語(yǔ)言(WML)是一種優(yōu)化腳本語(yǔ)言。 JavaScript為Web Clients提供服務(wù)，WTLS 提供安全服務(wù)。這就使得現(xiàn)在許多功能被WPKI使用。WAP身份識(shí)別模塊(WIM)是實(shí)現(xiàn)在SIM卡上為WAP應(yīng)用提供的一個(gè)安全模塊。WIM用來(lái)執(zhí)行WTLS和應(yīng)用級(jí)安全功能（如數(shù)字簽名認(rèn)證，密鑰交換），特別用于存儲(chǔ)和處理在用戶識(shí)別和認(rèn)證時(shí)需要的信息。

三、無(wú)線PKI

WPKI最關(guān)注的是政策和標(biāo)準(zhǔn)以用來(lái)管理電子商務(wù)，并在無(wú)線應(yīng)用環(huán)境下通過(guò)WTLS和WMLScrypt提供安全服務(wù)。WPKI的基本結(jié)構(gòu)和數(shù)據(jù)流如圖所示。組件包括端實(shí)體應(yīng)用(EE）、注冊(cè)審批中心(RA)、認(rèn)證機(jī)構(gòu)(CA)和PKI目錄。在WPKI中，端實(shí)體應(yīng)用和注冊(cè)中心的實(shí)現(xiàn)與傳統(tǒng)PKI不同，而且需要一個(gè)全新的組件－PKI門(mén)戶。

WPKI中的端實(shí)體應(yīng)用的具體實(shí)現(xiàn)是一個(gè)運(yùn)作在WAP終端上的優(yōu)化軟件，它依靠WML腳本加密接口和腳本加密庫(kù)來(lái)作密鑰服務(wù)和加解密操作。具體函數(shù)包括以下幾個(gè):(1) 用戶公私鑰對(duì)的生成、存儲(chǔ)和訪問(wèn);(2)首次證書(shū)應(yīng)用的完成、簽名和提交;(3)證書(shū)更新請(qǐng)求的完成、簽名和提交;(4)證書(shū)撤消請(qǐng)求的完成、簽名和提交;(5)查找證書(shū)和撤消信息;(6)生成和驗(yàn)證數(shù)字簽名。

PKI門(mén)戶是一個(gè)聯(lián)網(wǎng)的服務(wù)器，類似WAP網(wǎng)關(guān)，有RA的邏輯功能，并負(fù)責(zé)轉(zhuǎn)換WAP客戶給PKI中RA和CA發(fā)的請(qǐng)求。PKI門(mén)戶內(nèi)嵌RA函數(shù)和無(wú)線網(wǎng)絡(luò)中的WAP設(shè)備以及有線網(wǎng)絡(luò)中的CA進(jìn)行交互。一次完整的WPKI操作流程有:(1)EE用戶向PKI門(mén)戶申請(qǐng)證書(shū);(2)PKI門(mén)戶審查用戶申請(qǐng)，通過(guò)后給CA發(fā)證書(shū)申請(qǐng);(3)CA發(fā)行證書(shū)并將證書(shū)貼到有效證書(shū)目錄;(4) PKI門(mén)戶創(chuàng)建證書(shū)URL，并把URL發(fā)送給EE用戶;(5) Web服務(wù)器或其它移動(dòng)電子商務(wù)服務(wù)器取回證書(shū)或者是撤消信息;(6)EE用戶和WAP網(wǎng)關(guān)使用證書(shū)和密鑰建立安全的WTLS會(huì)話，WAP網(wǎng)關(guān)和移動(dòng)電子商務(wù)服務(wù)器或者Web服務(wù)器建立安全的SSL/TLS會(huì)話;(7) EE用戶用私鑰證書(shū)對(duì)會(huì)話內(nèi)容簽名，結(jié)合加密保證無(wú)線設(shè)備和互聯(lián)網(wǎng)之間的數(shù)據(jù)安全傳輸。

在上述操作流程中，WTLS會(huì)話的客戶端和服務(wù)器端在驗(yàn)證CA根證書(shū)有效性時(shí)有兩種方法:帶外HASH驗(yàn)證方法和簽名驗(yàn)證方法。在建立WTLS會(huì)話過(guò)程中，客戶端把證書(shū)URL發(fā)給服務(wù)器端，服務(wù)器端使用該URL取證書(shū)。取得證書(shū)后，服務(wù)器端使用該證書(shū)，但不會(huì)把證書(shū)發(fā)給客戶端?？蛻糁唤邮蘸痛鎯?chǔ)證書(shū)URL，可以節(jié)約有限的帶寬和存儲(chǔ)資源。URL定義可以有兩種機(jī)制:LDAP URL和HTTP URL。

四、結(jié)論

本文對(duì)WPKI的技術(shù)問(wèn)題進(jìn)行討論，并簡(jiǎn)述了WPKI在WAP環(huán)境的實(shí)施。 隨著手機(jī)普及率的升高和移動(dòng)商務(wù)服務(wù)的多樣化，作為無(wú)線網(wǎng)絡(luò)通信中交易環(huán)境的守護(hù)神，WPKI的市場(chǎng)應(yīng)用會(huì)有很大的發(fā)展?jié)摿?，其技術(shù)會(huì)進(jìn)一步成熟和完善，它必將成為無(wú)線通信安全領(lǐng)域研究討論的熱點(diǎn)。