无线网络安全技术——WPKI的认识

作者:课课家教育更新于： 2019-01-24 10:16:09

　　在无线网络安全技术当中，WPKI是比较常见的一种，它的中文名称则为无线公开密钥体系，在这里，我们来一起学习这个技术的基础知识吧。

　　WPKI是传统的PKI技术应用于无线环境的优化扩展，是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，可以用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。

　　一、结构

      WPKI安全体系总体的结构如图1示：

      图1 WPKI安全结构体系图

　　二、组成与原理

　　WPKI技术可以满足移动电子商务的安全要求，也就是保密性、完整性、真实性以及不可抵赖性，消除了用户在交易中的风险。WPKI需要传统中相同的组件，比如CA、RA等，它的组成主要包括以下几个方面：

　　1.实体应用(EE)

　　2.认证中心(CA)

　　3.注册中心(RA)

　　4.PKI目录

　　5.智能卡

　　6.加密算法

　　WPKI中的端实体应用的具体实现是一个运作在WAP终端上的优化软件，它依靠WML脚本加密接口和脚本加密库来作密钥服务和加解密操作，具体函数包括以下几个：

　　·用户公私钥对的生成、存储和访问:

　　·首次证书应用的完成、签名和提交:

　　·证书更新请求的完成、签名和提交:

　　·查找证书和撤销信息:

　　·验证证书和读取证书内容:

　　·生成和验证数字签名。

　　PKI门户是一个联网的服务器，类似WAP网关，有RA的逻辑功能，并负责转换WAP客户给P阻中RA和CA发的请求。PKI门户内嵌RA函数，和无线网上的WAP设备及有线网络上的CA进行交互。一次完整的WPKI 的操作流程如下:

　　• EE用户向PKI门户申请证书:

　　• PKI门户审查用户申请，通过后，给CA发证书申请:

　　• CA 发行证书并将证书贴到有效证书目录:

　　• PKI门户创建证书URL，并把URL发送给EE用户:

　　• web服务器或其他移动电子离务服务器取回证书或者是撤销信息:

　　• EE用户和WAP网关使用证书和密钥建立安全的WTLS会话，WAP网关和移动电子商务服务器或者Web服务器建立安全的SSL/TLS会话:

　　• EE用户用私钥证书对会话内容签名，结合加密保证无线设备和因特网间的数据安全传输。

　　在上述操作流程中，WTLS会话的客户端和服务端在验证CA根证书有效性时，有两种方法:带外HASH验证方法和签名验证方法。

　　在建立无线安全传输层CWTLS)会活的过程中，客户端把证书URL发给服务端，服务端使用该URL去取证书。取到证书后，服务端使用该证书，但不会把证书发给客户端。客户端只接收和存储证书URL，可以节约有限的带宽和存储资源。URL的定义可以有两种机制LDAPURL和HTTPURL。

　　制定WPKI证书格式规范是为削减公钥证书所占用的存储空间。其机制之一是为服务端证书定义一种新的证书格式(即WTLS证书格式)，与标准的.x509证书相比，该证书大大减少了所占用的存储空间。WPKI证书上的另一个非常重要的精简就是使用了椭圆曲线加密算法ECC，ECC算法使用的密钥比RSA算法的密钥要短，通过使用ECC算法，可使证书的存储空间比使用其他算法的证书要少100字节左右。WP阳还限制了IETF/PKIX证书格式中某些数据域的大小，由于WPKI证书格式是PKIX证书格式的一个子集，因而可保持与标准PKI之间的互操作性。

　　三、WPKI认证模型

　　在WPKI机制下，数字证书非常重要，但是由于无线通道和移动终端的限制，如何安全、便捷地交换用户的数字证书，是WPKI所必须解决的问题。目前主要有以下两种解决方法：

　　1.采用WTLS证书

　　WTLS证书的功能与X.509证书相同，但更小更简化，以利于在资源受限的手持终端中处理。但所有证书必须含有与密钥交换算法相一致的密钥。除非特别制定，签名算法必须与证书中密钥的算法相同。由于WTLS证书是一种新的证书类型，所以必须对CA系统进行升级，才能支持这类证书。

　　2.采用移动证书标识(URL)

　　将一个标准的X.509证书与移动证书标识一一对应，并且在移动终端中嵌入移动证书标识，用户每次只需要将自己的移动证书标识与签名数据一起提交给对方，对方再根据移动证书标识检索相应的数字证书即可。移动证书标识一般只有几个字节，远远小于WTLS证书，并且不需要对标准的X.509证书做任何改动。

      无论WTLS采用WPKI的何种证书形式，在WAP通道过程中，都要进行身份认证。WTLS是WPKI的安全保障核心，WTLS安全层的目标是提供数据的保密性、完整性和通信双方的真实性，其主要的组成组件如图2：

     图2 WAP WPKI模型

　　四、主要技术

　　在实际使用中，传统的PKI针对无线环境进行优化后形成了WPKI，即WPKI针对PKI协议、证书格式、加密算法和密钥等关键技术均作了精简和优化。

　　1. WPKI协议

　　处理PKI服务请求的传统方法依赖于ASN.1的BER/DER编码规则，但BER/DER编码方法对处理能力要求较高，不适合WAP设备。WPKI协议用WML语言、WML脚本加密接口和脚本加密库实现，比起用BER/DER编码方法节省了大量处理能力。

　　2. WPKI证书格式

　　制定WPKI证书格式规范是为削减公钥证书所占用的存储空间。其机制之一是为服务器端证书定义一种新的证书格式(即WTLS证书格式)。与标准的X.509证书相比，该证书大大减少了所占用的存储空间。WPKI证书上的另一个非常重要的精简就是使用了椭圆曲线加密算法ECC，ECC算法使用的密钥比RSA算法的密钥要短，通过使用ECC算法，可使证书的存储空间比使用其它算法的证书要少100字节左右。WPKI还限制了IETF PKIX证书格式中某些数据域的大小，由于WPKI证书格式是PKIX证书格式的一个子集，因而可保持与标准PKI之间的互操作性。

　　3. WPKI加密算法和密钥

　　在WAP安全标准中，尽管传统的签名机制为可选项，但由于占用资源多和WAP设备处理能力低带来的性能问题，使得在无线环境中实现传统的签名机制是没有实用价值的。与ECC加密签名算法相比，传统的签名机制(如RSA算法)需要更多的处理资源和更多的存储空间。ECC加密签名算法是业内公认的目前最精简的签名算法，是支持无线环境下的安全机制的一个最适合的选择。典型的ECC算法使用的密钥长度为163位，而在同等加密强度的RSA算法密钥长度是1024位，也就是说，ECC算法使用的密钥长度只是同等加密强度的RSA算法密钥长度的1/6。ECC算法的上述特点使得密钥存储和证书存储占用空间大位减少，数字签名的处理效率得到提高。

　　四、WPKI技术的发展趋势

　　基于目前国外WPKI技术的发展经验和国内目前的状况，我们认为WPKI技术未来的发展主要有以下几个方面：

　　1.标准化

　　随着WPKI的普及，不同厂商、不同国家和不同地区的WPKI产品需要互联互通和互操作，这些都需要支持相同的标准(证书格式和接口规范)，因此标准化是WPKI发展的必然趋势。

　　2.国际化

　　为了满足电子商务的国际化，必然要求国内的CA中心与国际的CA中心进行交叉认证。

　　3.商业化

　　CA认证不同于法律、也不同于管理，而是接近于适应于商业运作的契约。因此，具有政治色彩的CA必将从政府中脱离出来，采用商业化运作。

　　4.集中化

　　规模小且简单的CA将不能满足社会化服务的要求，为了 满足国际化趋势的需求，国际化的集中而大型的CA将是必然。

　　对于WPKI我们就讲到这里了，希望这篇文章对于大家学习WPKI这方面有帮助。学习其他的IT课程可以登录课课家教育去挑选哦，海量的课程总有一款是合适你的。