摘要:目前,關于無線通信的安全協(xié)議標準有WTLS��、SSL�����、TLS等。本文分析了SSL協(xié)議,并提出了其在移動終端上的安全解決方案d-SSL��。關鍵詞:電子商務;SSL;X.509引言安全性是阻礙移動商務在行業(yè)獲得迅速發(fā)展的最大瓶頸之一�����。消費者在進行手機購物等移動商務行為時,考慮最多的就是安全信用問題���。所以,針對移動終端的安全解決方案d-SSL的提出,具有很重要的意義��。d-SSL采用的主要安全技術(shù)及其標準規(guī)范d-SSL完整地實現(xiàn)了Internet主要的安全協(xié)
摘 要:目前,關于無線通信的安全協(xié)議標準有WTLS��、SSL��、TLS等���。本文分析了SSL協(xié)議,并提出了其在移動終端上的安全解決方案d-SSL。
關鍵詞:電子商務;SSL;X.509
引言
安全性是阻礙移動商務在行業(yè)獲得迅速發(fā)展的最大瓶頸之一�����。消費者在進行手機購物等移動商務行為時,考慮最多的就是安全信用問題。所以,針對移動終端的安全解決方案d-SSL的提出,具有很重要的意義�。
d-SSL采用的主要安全技術(shù)及其標準規(guī)范
d-SSL完整地實現(xiàn)了Internet主要的安全協(xié)議:SSL協(xié)議。SSL協(xié)議通過在應用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關安全特性的審查��。在SSL握手信息中采用了DES��、MD5等加密技術(shù)來實現(xiàn)機密性和數(shù)據(jù)完整性,并采用X.509的數(shù)字**實現(xiàn)鑒別��。d-SSL中采用了兩類加密技術(shù)����。
對稱加密技術(shù)
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖����。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)��。
非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)����。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密性信息加密,專用密鑰則用于對加密信息的解密�。專用密鑰只能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛發(fā)布,但它只對應于生成該密鑰的貿(mào)易方����。
d-SSL的設計
SSL協(xié)議簡述
SSL協(xié)議由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成��。
SSL記錄協(xié)議
在SSL協(xié)議中,所有的傳輸數(shù)據(jù)都被封裝在記錄中���。記錄是由記錄頭和記錄數(shù)據(jù)組成的。所有的SSL通信消息,包括握手消息����、告警消息和應用數(shù)據(jù)等,都使用SSL記錄協(xié)議進行封裝。同一時刻同一方向的所有握手協(xié)議可以封裝在同一個記錄中傳輸��。SSL記錄協(xié)議有四種類型:ChangeCipherSpec�、Alert、Handshake和ApplicationData���。
SSL握手協(xié)議
在通信的初始化階段,客戶方先發(fā)出ClientHello消息,服務器方也應返回一個ServerHello消息����。這兩個消息用來協(xié)商雙方的安全能力,包括協(xié)議版本��、會話ID����、交換密鑰算法��、對稱加密算法��、壓縮算法等���。接著服務器方應發(fā)送服務器**(包含了服務器的公鑰等),如果服務器要求驗證客戶方,則要發(fā)送CertificateRequest消息。最后服務器方發(fā)送ServerHelloDone消息,表示hello階段的結(jié)束,服務器等待客戶方的響應���。
如果服務器要求驗證客戶方,則客戶方先發(fā)送Certificate消息,然后產(chǎn)生會話密鑰,并用服務器的公鑰加密,封裝在ClientKeyExchange消息中��。如果客戶方發(fā)送了自己的**,則再發(fā)送一個數(shù)字簽名CertificateVerify消息來對**進行校驗�。
隨后,客戶方發(fā)送一個Change CipherSpec消息,通知服務器以后發(fā)送的消息將采用先前協(xié)商好的安全參數(shù)加密,最后再發(fā)送一個加密后的Finish消息��。服務器在收到上述兩個消息后,也發(fā)送自己的Change CipherSpec消息和Finish消息���。至此,握手全部完成,雙方可以開始傳輸應用數(shù)據(jù)��。
d-SSL體系結(jié)構(gòu)
d-SSL的特點及其模塊結(jié)構(gòu)
在實現(xiàn)過程中,將δ-SSL分為幾個模塊,如圖1所示�����。
d-SSL有如下幾個特點:
?可移植�、可剪裁、可配置�����。主要用標準C語言實現(xiàn),與硬件平臺及嵌入式操作系統(tǒng)無關,可支持不同的CPU和嵌入式操作系統(tǒng)
