返回
3g手机终端pki安全应用体系的研究

3g手机终端pki安全应用体系的研究

ID:21966771

大小:57.50 KB

页数:8页

时间:2018-10-25

3g手机终端pki安全应用体系的研究_第1页
3g手机终端pki安全应用体系的研究_第2页
3g手机终端pki安全应用体系的研究_第3页
3g手机终端pki安全应用体系的研究_第4页
3g手机终端pki安全应用体系的研究_第5页
资源描述:

《3g手机终端pki安全应用体系的研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、3G手机终端PKI安全应用体系的研究摘要:针对3G终端的特点,将PKI技术与3G终端相结合,增强3G终端的安全性,为在3GX络上开展的各种增值业务保驾护航。关键词:3G终端;PKI1背景在3G时代,随着移动终端处理能力的不断增强,可以在移动终端上开展的业务越来越多,而且由于其可移动性,其相对于个人计算机的优势也越来越明显。但随着架构在移动终端上业务的愈加丰富,移动终端的安全问题越来越受到人们的关注,如果不能提供安全的服务将直接影响用户的最终体验,直接导致许多新业务的推广运营。终端安全问题已经成为3G移动数据业务发展的瓶颈!2研究内容及意义目前基于证书的安全应用在固X中已经相对成熟,但其在

2、移动支付环境下仍没有一种成熟的体系架构。本文针对3GX络环境下移动终端的特点,将PKI技术与移动终端相结合,提出了一种基于3GX络环境的终端安全应用体系架构,弥补了这一领域的空白。基于本体系的终端可以为架构在其上的各种应用提供安全支撑,有效地解决了各种应用在使用过程中遇到的安全问题。同时,本体系提供的服务均符合相关标准,安全应用开发者只需要按照本体系提供的标准接口进行开发,就可以在所有符合本体系的终端上通用,不必再针对终端环境的不同进行多次移植。提高开发效率的同时可以降低开发费用,可以有效地提高移动安全应用开发厂商的积极性。3PKI安全应用体系架构针对3G终端的特点,我们构建了移动终端P

3、KI组件结构图(见图2-1)。该体系由两部分组成,即物理层和PKI安全组件层。图2-13.1物理层物理层主要涉及SDKey及USIM等硬件设备。用于标识用户身份的私有密钥存储在这些硬件设备中,所有密码运算也都在硬件设备中完成,这样可以有效地防止用户私有密钥的泄露,为用户提供硬件级的安全保证。目前市场上已经可以提供带有PKI功能的SDkey及USIM产品,其性能亦可以满足一般移动增值业务应用中的性能要求。一般情况下,满足以下性能要求的产品都可以满足移动增值应用的要求。1)非对称密钥生成速度1s;2)非对称密钥签名300ms,验证签名100ms;3)对称密钥加解密300微秒/128位。3.2

4、PKI安全组件层PKI安全组件层架构在硬件物理层之上,为在移动终端开展的上层应用提供安全密码服务。本层向上层提供符合微软CSP规范及PKCS#11两组标准接口,可以有效地降低上层移动终端应用软件开发的复杂度及成本。移动终端应用开发者无需再考虑设备底层采用了哪种密码硬件,针对不同的硬件设备进行多次移植,只需要按照CSP或PKCS#11提供的标准接口进行开发就可以在不同的移动终端上正常运行。4关键技术1)私有密钥硬件保护将用于标识用户身份的私有密钥存储在SDkey或USIM卡等硬件设备中,所有需私有密钥参与的密码运算都需要首先校验用户个人识别码,且所有的运算均在硬件内部完成。这可以有效地防止

5、私有密钥的泄露。2)统一接口本体系结构提供两套标准接口,即CSP和PKCS#11标准接口,这两组接口可满足绝大多数3G终端应用的安全需求。符合微软CSP规范的接口可用于Windobian,Linux,Android等,那么如何为这些终端中提供密码服务呢?PKCS#11是RSA公司创立的公开密钥加密标准,该规范定义了一套非常强大的接口功能供应用程序使用,可以满足绝大部分安全应用的需要。我们可以通过实现该组接口为上述操作系统下的应用提供密码服务。当然,PKCS#11系列标准接口也适用于Windoobie操作系统。在PKI安全组件层实现符合CSP标准的接口并不是必须的。之所以在本层中提到本组接

6、口,完全是因为目前采用Windoobie操作系统的占据了相当大的市场份额。而且,CSP标准是由微软提出的,它对Windows操作系统下运行的各种软件或服务的适用性更高。如操作IE浏览器证书存储区中的证书进行签名、验签等操作就只能通过本套接口实现。5典型应用配备有PKI安全组件的移动终端可以为多种应用提供安全密码服务,如银行、安全邮件、移动支付、安全移动办公等。其中最典型的应用就是移动支付应用。其简单的架构图如图3-1所示。在移动支付应用中,移动终端需向CA认证中心申请用于移动支付的用户证书,获取到用户证书后就可以进行安全交易了,其交易流程如下:1)用户使用配备有PKI安全组件的移动终端对

7、自己的消费行为进行签名,将用户信息、消费信息及签名结果等信息发送至消费终端;2)消费终端如具备脱机验证签名的能力,可根据验证签名的结果及支付中心设置的其他规则决定是否批准交易或需要联机交易;3)如果消费终端决定需进行联机交易,则将从用户收到的相关信息发送至支付中心,由支付中心验证签名的正确性并决定是否允许进行交易并将结果反馈给消费终端。支付中心应对处理结果进行签名,将带有签名值的结果反馈给消费终端;4)消费终端将处理结果(允许或拒绝

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。