WPKI 是传统 PKI 对无线网络环境进行优化、修 改后的扩展。 WPKI 通过管理证书、密钥及各种实体间的关系来增强移动电子商务的安全性。
一 WPKI 系统组成和原理
基本的 WPKI 组件包括端实体应用( EE )、 注册中心( RA )、认证中心( CA )和 PKI 目录。 WPKI 中,端实体应用( EE )和注册中心( RA )的 实现与传统 PKI 不同,而且需要一个全新的组件- PKI 门 户。 WPKI 中的端实体应用的具体实现是一个运作在 WAP 终 端上的优化软件,它依靠 WML 脚本加密接口和脚本加密库来作密钥服务和加解密操作,具体函数包括以下几个:
l 用户公私钥对的生成、存储和访问;
l 首次证书应用的完成、签名和提交;
l 证书更新请求的完成、签名和提交;
l 证书撤消请求的完成、签名和提交;
l 查找证书和撤消信息;
l 生成和验证数字签名。
PKI 门户是一个联 网的服务器,类似 WAP 网关,有 RA 的逻 辑功能,并负责转换 WAP 客户给 PKI 中 RA 和 CA 发的请求。 PKI 门户内嵌 RA 函数,和无线网络中的 WAP 设备以及有线网络中的 CA 进行 交互。一次完整的 WPKI 操作流程如下:
i. EE 用户向 PKI 门户申请证书;
ii. PKI 门户审查用户申请,通过后给 CA 发证 书申请;
iii. CA 发行证书并将证书贴到有效证书目录;
iv. PKI 门户创建证书 URL , 并把 URL 发送给 EE 用户;
v. Web 服务器或其它移动电子商务服务器取回证书或者是撤消信息;
vi. EE 用户和 WAP 网关使用证书和密钥建立安全 的 WTLS 会话, WAP 网关和移动电子商 务服务器或者 Web 服 务器建立安全的 SSL/TLS 会话;
vii. EE 用户用私钥证书对会话内容签名,结合加密保证无线设备和互联网之间的数 据安全传输;
在上述操作流程中, WTLS 会话的客户端和服务器端在验证 CA 根证 书有效性时有两种方法:带外 HASH 验证方法和签名验证方法。
在建立 WTLS 会话过程中,客户端把证书 URL 发 给服务器端,服务器端使用该 URL 取证书。取得证书后,服务器端使用该证书,但不会把证书发给客户端。客户只接收和存储证书 URL ,可以节约有限的带宽和存储资源。 URL 定 义可以有两种机制: LDAP URL 和 HTTP URL 。
二 WPKI 的主要技术
在实际使用中,传统 的 PKI 针对无线环境进行优化后形成了 WPKI , 即 WPKI 针对 PKI 协议、证书格式、加密算法和 密钥等关键技术均作了精简和优化。
1. WPKI 协议
处理 PKI 服务请求的传统方法依赖于 ASN.1 的 BER/DER 编码规则,但 BER/DER 编码方法对处理能力要求较高,不适合 WAP 设备。 WPKI 协议用 WML 语言、 WML 脚本加密接口和脚本加密库实现,比起用 BER/DER 编码方法节省了大量处理能力。
2. WPKI 证书格式
制定 WPKI 证书格式规范是为削减公钥证书所占用的存储空间。其机制之一是为服务器端证书定义一种新的证书格式 (即 WTLS 证书格式)。与标准的 X.509 证 书相比,该证书大大减少了所占用的存储空间。 WPKI 证书上的另一个非常重要的精简就是 使用了椭圆曲线加密算法 ECC , ECC 算法使用的密钥比 RSA 算法的密钥要短,通过使用 ECC 算 法,可使证书的存储空间比使用其它算法的证书要少 100 字节左右。 WPKI 还限制了 IETF PKIX 证书格式中某 些数据域的大小,由于 WPKI 证书格式是 PKIX 证 书格式的一个子集,因而可保持与标准 PKI 之间的互操作性。
3. WPKI 加密算法和密钥
在 WAP 安全标准中,尽管传统的签名机制为可选项,但由于占用资源多和 WAP 设备处理能力低带来的性能问题,使得在无线环境中实现传统的签名机制是没有实用价值的。与 ECC 加密签名算法相比,传统的签名机制(如 RSA 算 法)需要更多的处理资源和更多的存储空间。 ECC 加密签名算法是业内公认的目前最精简 的签名算法,是支持无线环境下的安全机制的一个最适合的选择。典型的 ECC 算 法使用的密钥长度为 163 位,而在同等加密强度的 RSA 算 法密钥长度是 1024 位,也就是说, ECC 算 法使用的密钥长度只是同等加密强度的 RSA 算法密钥长度的 1/6 。 ECC 算法的上述特点使得密钥存储和证书存储占用空间大位减少,数字签名的处理效率得到提高。
注意:此文章转自csdn 张鉴 ID:purpleforest
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
