当前,电子信息领域中有两大技术发展极快,即互联网技术和无线通信技术,这两者的结合称为移动互联网。利用移动互联网可以提供丰富的应用服务,移动电子商务就是在这种情况下出现的。
由于移动电子商务依赖于安全性较差的无线通信网络,因此安全性是移动电子商务中需要重点考虑的因素。在这种情况下,WAP论坛提出了WPKI规范。它将有线网络中的PKI技术针对无线通信网络和无线终端设备的特点进行了优化。
本文的主要目的是研究已有的WPKI相关标准和规范,并在此基础上提出自己进一步的优化意见。另外,还对WPKI在移动电子商务中的应用模型进行了初步讨论。
本文共分六个部分。第一部分对无线通信网络安全作了综述,阐述了无线通信网络中存在的不安全因素、无线通信网络的安全业务、无线通信网络中的安全技术。第二部分简单介绍了WAP协议,包括WAP的技术特点、协议栈的结构。第三部分研究了WAP的安全架构模型,包括WTLS、WMLScript、WIM和WPKI。重点分析了WPKI的系统组成和原理、WPKI的证书策略、WPKI的关键技术。
在WPKI中,无线终端设备必须验证服务器证书是否已经撤销。撤销验证是一个复杂的处理过程,因此要选择一个代价较小、简单可靠、适合无线环境的撤销验证方案。第四部分对此提出一种新的方案,称之为“代理OCSP方案”。它是对OCSP协议的改进,能够用较小的代价获得证书的实时状态。给出了这种方案的详细设计,并和其他方案进行了比较。
在现代办公和生活环境下,用户可能拥有多个需要同一证书的设备。针对现有的证书(包括其对应的私钥)移动性解决方案的缺点,第五部分提出一种新的解决方案。其基本思想是将证书及私钥集中保存在一台漫游服务器上,用户需要时下载即可。给出了这种方案的设计框架,并对其安全性进行了详细分析。
第六部分讨论了WPKI在移动电子商务中的应用模型,重点是J2ME模型。
