摘 要:针对3G手机终端的特点,将 PKI技术与3G手机终端相结合,增强3G手机终端的安全性,为在3G网络上开展的各种增值业务保驾护航。
关键词:3G终端;PKI
1 背景
在3G时代,随着移动终端处理能力的不断增强,可以在移动终端上开展的业务越来越多,而且由于其可移动性,其相对于个人计算机的优势也越来越明显。但随着架构在移动终端上业务的愈加丰富,移动终端的安全问题越来越受到人们的关注,如果不能提供安全的服务将直接影响用户的最终体验,直接导致许多新业务的推广运营。终端安全问题已经成为3G移动数据业务发展的瓶颈!
2 研究内容及意义
目前基于证书的安全应用在固网中已经相对成熟,但其在移动支付环境下仍没有一种成熟的体系架构。本文针对3G网络环境下移动终端的特点,将PKI技术与移动终端相结合,提出了一种基于3G网络环境的手机终端安全应用体系架构,弥补了这一领域的空白。基于本体系的手机终端可以为架构在其上的各种应用提供安全支撑,有效地解决了各种应用在使用过程中遇到的安全问题。同时,本体系提供的服务均符合相关标准,安全应用开发者只需要按照本体系提供的标准接口进行开发,就可以在所有符合本体系的手机终端上通用,不必再针对手机终端环境的不同进行多次移植。提高开发效率的同时可以降低开发费用,可以有效地提高移动安全应用开发厂商的积极性。
3 PKI安全应用体系架构
针对3G手机终端的特点,我们构建了移动终端PKI组件结构图(见图2-1)。该体系由两部分组成,即物理层和PKI安全组件层。
图2-1
3.1 物理层
物理层主要涉及SDKey及USIM等硬件设备。用于标识用户身份的私有密钥存储在这些硬件设备中,所有密码运算也都在硬件设备中完成,这样可以有效地防止用户私有密钥的泄露,为用户提供硬件级的安全保证。
目前市场上已经可以提供带有PKI功能的SDkey及USIM产品,其性能亦可以满足一般移动增值业务应用中的性能要求。一般情况下,满足以下性能要求的产品都可以满足移动增值应用的要求。
1) 非对称密钥生成速度<1s;
2) 非对称密钥签名<300ms,验证签名<100ms;
3) 对称密钥加解密300微秒/128位。
3.2 PKI安全组件层
PKI安全组件层架构在硬件物理层之上,为在移动终端开展的上层应用提供安全密码服务。本层向上层提供符合微软CSP规范及PKCS#11两组标准接口,可以有效地降低上层移动终端应用软件开发的复杂度及成本。移动终端应用开发者无需再考虑设备底层采用了哪种密码硬件,针对不同的硬件设备进行多次移植,只需要按照CSP或PKCS#11提供的标准接口进行开发就可以在不同的移动终端上正常运行。
4 关键技术
1) 私有密钥硬件保护
将用于标识用户身份的私有密钥存储在SDkey或USIM卡等硬件设备中,所有需私有密钥参与的密码运算都需要首先校验用户个人识别码,且所有的运算均在硬件内部完成。这可以有效地防止私有密钥的泄露。
2) 统一接口
本体系结构提供两套标准接口,即CSP和PKCS#11标准接口,这两组接口可满足绝大多数3G手机终端应用的安全需求。
符合微软CSP规范的接口可用于Windows Mobile等手机操作系统。该组接口可提供基本的安全密码服务,如:ASN.1编解码、对称加解密、非对称加解密及其它证书管理功能。在Windows Mobiel手机操作系统上运行的软件都可以调用本组件的相关密码运算功能来增强其自身的安全性。
因微软CSP标准只适用于Winows 系列手机操作系统,其它主流手机操作系统都不支持该标准。这些手机操作系统主要有: Symbian,Linux,Android等,那么如何为这些手机终端中提供密码服务呢?PKCS#11是RSA 公司创立的公开密钥加密标准,该规范定义了一套非常强大的接口功能供应用程序使用,可以满足绝大部分安全应用的需要。我们可以通过实现该组接口为上述操作系统下的应用提供密码服务。
当然,PKCS#11系列标准接口也适用于Windows Mobie操作系统。在PKI安全组件层实现符合CSP标准的接口并不是必须的。之所以在本层中提到本组接口,完全是因为目前采用Windows Mobie操作系统的手机占据了相当大的市场份额。而且,CSP标准是由微软提出的,它对Windows手机操作系统下运行的各种软件或服务的适用性更高。如操作IE浏览器证书存储区中的证书进行签名、验签等操作就只能通过本套接口实现。
5 典型应用
配备有PKI安全组件的移动终端可以为多种应用提供安全密码服务,如手机银行、手机安全邮件、移动支付、安全移动办公等。其中最典型的应用就是移动支付应用。其简单的架构图如图3-1所示。
在移动支付应用中,移动终端需向CA 认证中心申请用于移动支付的用户证书,获取到用户证书后就可以进行安全交易了,其交易流程如下:
1) 用户使用配备有PKI安全组件的移动终端对自己的消费行为进行签名,将用户信息、消费信息及签名结果等信息发送至消费终端;
2) 消费终端如具备脱机验证签名的能力,可根据验证签名的结果及支付中心设置的其他规则决定是否批准交易或需要联机交易;
3) 如果消费终端决定需进行联机交易,则将从用户手机收到的相关信息发送至支付中心,由支付中心验证签名的正确性并决定是否允许进行交易并将结果反馈给消费终端。支付中心应对处理结果进行签名,将带有签名值的结果反馈给消费终端;
4) 消费终端将处理结果(允许或拒绝)反馈给移动终端;
5) 移动终端调用PKI安全组件的功能对支付中心的身份进行验证(验证签名),如验证通过,按消费终端反馈的处理结果进行处理。
从上述流程可以看出在一次交易流程中移动终端和支付中心进行了双向认证,这样不仅可以保证交易流程的安全性,而且当交易产生纠纷时还可以对通过对签名结果的校验来追究责任。而这些功能是原本通过用户名/口令的认证方式所远远不能提供的。
6 结论
目前,基于PKI技术的证书应用在固网中已经相对成熟,如网上银行应用、远程办公等。但基于PKI技术的证书应用在移动通信网中还没有一种成熟的体系架构。本文中涉及的体系架构将3G手机终端与PKI技术相结合,可以有效地解决这一问题。可以有效地为3G网络环境下的各种应用提供安全支撑,解决3G网络环境下各种应用的安全问题。