基于ecc的移动电子商务安全框架系统的利记博彩app
【专利摘要】本发明公开基于ECC的移动电子商务安全框架系统,包括基于ECC的安全增强架构系统、SMS/MMS安全架构系统和WAP安全架构系统;提出了基于ECC的安全增强技术实现信息加密、身份认证和签名等安全技术。SMS/MMS安全架构系统由用户端、安全通道和服务器端三部分构成,负责保证电子商务短消息传输过程中的保密性与完整性,WAP安全架构系统由安全基础设施平台、网络安全协议平台和安全参与实体三个部分构成,保证了WAP访问的通信安全。本发明用以解决移动电子商务安全的问题,防止交易抵赖、假冒攻击以及拒绝服务的现象发生,交易安全性高,方便快捷。
【专利说明】基于ECC的移动电子商务安全框架系统
【技术领域】
[0001]本发明涉及移动电子商务安全【技术领域】,尤其涉及基于ECC的移动电子商务安全框架系统。
【背景技术】
[0002]在移动通信技术与互联网技术迅猛发展的推动下,移动电子商务正日益得到广泛的应用。移动电子商务作为一种新型的电子商务方式,具有便捷、及时等特点,充分利用了移动无线网络的优点,是电子商务发展的方向。由于移动电子商务涉及移动网络环境下的资金交易,采用的是无线信道,同时计算机通讯网络系统结构存在的不安全因素,使得移动电子商务交易中存在许多安全隐患,安全问题是移动电子商务需要解决和面对的重要问题。
[0003]移动电子商务安全主要来自移动链路安全、交易抵赖、假冒攻击以及拒绝服务。移动链路安全是指由于移动网络开放性和明文传输短消息,使得窃听者可以通过无线空中接口对数据进行窃听。无线网络的开放性无线信道,造成了包括通话信息、身份信息、位置信息、数据信息在内的个人信息有可能被他人窃听无线信道而获得。交易抵赖指交易双方中的一方在交易完成后否认其参与了此交易。这种威胁在移动电子商务中很常见,随着开放程度的加大,来自服务提供商的交易抵赖也可能发生。假冒攻击主要是由于无线信道传送的任何信息都可能被窃听,当攻击者截获到一个合法用户的身份信息时,攻击者完全可以利用这个身份信息来非法冒充该合法用户,此外攻击者还可以假冒网络控制中心进行假冒攻击,可以假冒网络基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而冒充该移动用户身份。拒绝服务是指攻击者通过物理层或协议层干扰用户数据、信令数据或控制数据在网络中的正常传输,从而来实现网络中的拒绝服务攻击,同时攻击者还可以通过假冒某一网络单元阻止合法用户的业务数据、信令信息或控制数据,造成合法用户无法接受正常的网络服务。
[0004]鉴于移动电子商务安全的重要性,需要设计一种移动电子商务安全框架系统解决移动电子商务安全问题。
【发明内容】
[0005]本发明的目的在于提供基于ECC的移动电子商务安全框架系统,从而解决【背景技术】中存在的问题。
[0006]本发明所解决的技术问题采用以下技术方案来实现:
基于ECC的移动电子商务安全框架系统,包括基于ECC的安全增强架构系统、SMS/MMS安全架构系统和WAP安全架构系统。
[0007]所述基于ECC的安全增强架构系统考虑移动电子商务应用环境的特点和安全需求,采用基于ECC的安全增强技术实现信息加密、身份认证和签名的安全技术,引入国际安全计算技术ECC算法和数学变换,利用CFCA资源,实现移动CA和中国金融CA瞬间双认证。[0008]所述SMS/MMS安全架构系统由用户端、安全通道和服务器端三部分构成,负责保证电子商务短消息传输过程中的保密性与完整性,确保经由移动网络传送的信息在到达目的时没有任何增加、改变、丢失或被非法读取,对短消息进行鉴别和验证。
[0009]所述WAP安全架构系统由安全基础设施平台、网络安全协议平台和安全参与实体三个部分构成,负责为WAP通信提供安全保障机制。
[0010]本发明具有以下有益效果:
本发明提供的基于ECC的移动电子商务安全框架系统,包括基于ECC的安全增强架构系统、SMS/MMS安全架构系统和WAP安全架构系统,基于ECC的安全增强架构系统考虑到移动电子商务应用环境的特点和安全需求,提出了基于ECC的安全增强技术实现信息加密、身份认证和签名等安全技术;SMS/MMS安全架构系统保证电子商务短消息传输过程中的保密性和完整性;WAP安全架构系统则保证了 WAP访问的通信安全。本发明用以解决移动电子商务安全的问题,防止交易抵赖、假冒攻击以及拒绝服务的现象发生,交易安全性高,方便快捷。
【专利附图】
【附图说明】
[0011]图1为本发明SMS/MMS安全架构系统的结构示意图;
图2为本发明WAP安全架构系统的结构示意图。
【具体实施方式】
[0012]为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
[0013]基于ECC的移动电子商务安全框架系统,包括基于ECC的安全增强架构系统、SMS/MMS安全架构系统和WAP安全架构系统。
[0014]基于ECC的安全增强架构系统,基于移动电子商务应用环境的特点和安全需求的考虑,例如移动终端的处理能力较弱、无线接入信道的隐私性较差等,提出了基于ECC的安全增强技术实现信息加密、身份认证和签名等安全技术。引入国际安全计算技术ECC算法和数学变换,高度重用CFCA资源,实现移动CA (Certification Authority)和中国金融CA瞬间双认证。移动CA不仅负责各交易实体的移动数字证书的注册、颁发、更新等管理性工作,而且要负责与银联/银行的证书颁发方进行CFCA证书的交叉认证。由于目前银行所实行的是 CFCA (China Financial Certification Authority)证书,即由银联 / 银行颁发的证书,是基于X.509标准的CA证书。而目前移动线路和手机终端所能采用的只可能是码长更短的、基于WTLS标准的CA证书。所以保证两类证书交叉认证的关键是解决WTLS向X.509的转换问题。具体实施时,采用以下几个步骤完成:
(D在WAP网关上以ECC算法高效实现WTLS证书。现行各类CA的技术基础是基于公钥加密技术、经典CA采用RSA加密的PKI体系。但鉴于RSA加密的码长和计算复杂度,在实现上向安全框架引入PKI体系的子集WPKI,并在WAP网关上以椭圆曲线密码算法(ECC)来高效的实现WTLS证书。采用ECC算法后,整个证书的码长将减少100字节左右,特别适合移动终端计算、存储能力低下的情况。同时考虑到ECC算法用到的点乘、点加、模乘、模加、模逆、模幂等基本运算的执行速度仍然直接影响运算速度,需要采用多种优化技术,缩减计算开销,加速ECC的工程实现,才能达到实际的商业要求,这样的优化方法包括优化算法,提高计算并行性;引入数学变换,以空间换时间;综合利用计算资源、全面挖掘计算潜能。
[0015](2)高度重用CFCA资源,实现移动CA与金融CA双向认证。移动无线网络的低带宽、不稳定等相对恶劣的通讯环境和移动终端较小的存储空间以及相对较弱的计算能力,是移动电子商务中必须面对的现实,也决定了移动电子商务的移动CA必须使用有别于Internet电子商务的CA。作为中国金融系统的CFCA不仅具有最高的权威性和安全性,而且积累了一定的客户资源,因此通过实现移动CA与金融CA (CFCA)的双向认证为突破口,达到高度重用CFCA、可使得安全框架获得最佳运行效益的效果。
[0016](3)实现WTLS证书到X.509证书的格式变换。WTLS证书中并非不可以采用RSA算法,但鉴于RSA算法的前述缺陷,使其在移动通讯环境下变得不可行,实施上在WTLS证书中采用ECC算法,为重用CFCA资源,在有线环境下采用X.509证书。选择在WAP网关上实现WTLS向X.509的变换,从而做到在移动设备和无线线路中形成并传输ECC加密数据,在WAP网关上实现WTLS到X.509的变换后,在有线设备和有线线路中全面沿用X.509证书。
[0017]参见图1,SMS/MMS安全架构系统负责提供SMS/MMS通信安全保障,主要保证电子商务短消息传输过程中的保密性和完整性,确保经由移动网络传送的信息在到达目的时没有任何增加、改变、丢失或被非法读取,对短消息进行鉴别、验证。鉴别、验证的内容主要包括:证实短消息收发双方的真实身份;判断是否有因为网络传输错误、恶意攻击等原因引起的信息内容不完整、或内容已被篡改;通过序列号或时间戳来判断信息的新鲜度。对待发出的消息抽取定长的消息摘要,并将消息摘要连同消息本身一同经由网络发出,再由收信方对摘要进行鉴别、验证,如能通过验证则认为消息本身是安全的。采用消息认证码(Message Authentication Code,MAC)作为消息摘要,即在收发两端都计算MAC并比对MAC。由于收发两端采用相同的变换算法(例如Hash算法),共享相同的密钥(口令),则对同一条消息在收发两端计算得到的MAC码应该是相同的,否则就有网络传输错误或恶意攻击等原因引起了差错,这时,发现错误的一方将向对方要求重发。如图1给出的SMS/MMS安全架构主要由用户端、安全通道和服务器端三部分构成,其中用户端的短消息生成模块通过选择预制在SIM卡内的菜单(如“手机支付”),用户从手机键盘输入各种交易信息如客户名、帐号、密码、指令、货品编号、银码、收款人帐号等;鉴别检验模块在上行时,完成对用户输入的交易信息进行加密处理和认证封装,在下行时,对服务器返回的确认信息进行解密处理并认证服务器身份;信息确认模块负责处理解密且通过了认证的确认信息,并将确认信息显示给用户。安全通道完成用户端和服务器端交互短消息的透明传输,不解释短消息内容。月艮务器端由通信服务、加密审计、应用管理、应用服务构成提供包括通信、认证、应用管理等一系列服务端功能。
[0018]参见图2,WAP的安全架构负责保障WAP通信安全由安全基础设施平台、网络安全协议平台和安全参与实体组成,各个部分在实现移动电子商务应用的安全中起着不同的作用。其中,WPKI作为安全基础设施平台,是安全协议能有效实行的基础,一切基于身份验证的应用都需要WPKI的支持。它可与WTLS、TCP/IP、WML Script sign相互结合,实现身份认证、私钥签名等功能。基于数字证书和加密密钥,WPKI提供一个在分布式网络中高度规模化、可管理的用户验证手段。网络安全协议平台包括WTLS协议及有线环境下位于传输层上的安全协议TLS、SSL和TCP/IP协议。安全参与实体作为底层安全协议的实际应用者,相互之间的关系也由底层的安全协议决定。当该安全构架运用于企业移动电子商务,这些安全参与实体间的关系即体现为交易方(移动终端、Web服务器)和其他受信任方(WAP网关、代理和无线认证中心)。基于WAP的安全构架模型有三种不同的实现方式:双区安全模式,端到端安全模型一WAP Server模式和端到端安全模型一透明网关模式。虽然使用的基本安全协议是一样的,但不同的实现方式之间的安全级别却存在着较大的差异。安全框架采用透明网关模式,让WAP网关接收已经加密的WTLS数据流,并让其直接通到浏览器一方,这样更新网关比更新现有的移动终端要简单,而且代价也不大。第三方的网关(如移动提供商)依赖于数据流,其数据已由WAP Server使用WTLS来实现保护,当网关检测到WTLS的数据流时,就简单地让其通过。在这种情况下,web服务器必须具备解析WAP协议的功能,因此还需要更新web服务器,由于无线接入的问题仍然由WAP网关解决,因此所做的改动远不如WAP Server模式大。
[0019]以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
【权利要求】
1.基于ECC的移动电子商务安全框架系统,其特征在于:包括基于ECC的安全增强架构系统、SMS/MMS安全架构系统和WAP安全架构系统。
2.根据权利要求1所述的基于ECC的移动电子商务安全框架系统,其特征在于:所述基于ECC的安全增强架构系统采用基于ECC的安全增强技术实现信息加密、身份认证和签名的安全技术,引入国际安全计算技术ECC算法和数学变换,利用CFCA资源,实现移动CA和中国金融CA瞬间双认证。
3.根据权利要求1所述的基于ECC的移动电子商务安全框架系统,其特征在于:所述SMS/MMS安全架构系统由用户端、安全通道和服务器端三部分构成,负责保证电子商务短消息传输过程中的保密性与完整性,确保经由移动网络传送的信息在到达目的时没有任何增力口、改变、丢失或被非法读取,对短消息进行鉴别和验证。
4.根据权利要求1所述的基于ECC的移动电子商务安全框架系统,其特征在于: 所述WAP安全架构系统由安全基础设施平台、网络安全协议平台和安全参与实体三个部分构成,负责为WAP通信提供安全保障机制。
【文档编号】H04L29/06GK103957110SQ201410229946
【公开日】2014年7月30日 申请日期:2014年5月28日 优先权日:2014年5月28日
【发明者】彭革刚, 沈清, 郭颖, 封展柏, 陈之辉, 彭可, 石猛, 封模春 申请人:拓维信息系统股份有限公司