论基于手机终端的电子商务安全插件技术规范

中国通信标准化协会课题编号：基于手机终端的电子商务安全插件技术规范2008年12月

1研究报告要点手机作为一个无处不在的应用终端，其电子商务的发展有着得天独厚的先天条件。通过内嵌的插件技术，可以有效地提供电子商务发展需要的安全性和私密性，并且可以大大简化电子商务的应用模式。本规范将对基于移动终端的电子商务应用提供规范性认证要求，以确保最终用户能安全简单的使用无线网络的电子商务。作为手机上的任何一款应用插件，应该具有安全性。尤其是商用插件，对于安全性、保护用户隐私要求更高。处于应用插件层的商用应用插件是否达到了这个要求，需要通过一种机制来进行验证。该机制允许达|到要求的商用插件继续运行，禁止没有达到安全要求的商用应用插件运行。在应用系统层首先预装高系统权限的验证插件，对其他的应用插件进行验证。该插件拥有高系统权限，能控制其他商用应用插件能否运行，能否访问网络。手机插件的使用，不同于传统的internet插件或者软件的使用方式。在传统的internet插件或者软件的使用上面，用户有很大的屏幕来显示极其丰富的内容，极强处理能力的硬件来进行终端方面的运算，有鼠标来进行精确的点击操作。运用手机商业应用插件，终端将不再拥有上述的一系列优势。如果用户体验设计的好，转换而来的就是随时随地享受商业应用服务的快捷和便利。这篇文章描述|了整个系统的结构和验证插件实现的几种可能性解决方案，并阐述了基本的流程。研究单位：项目完成人：项目参加人：完成日期：

2目次研究报告要点I1范围12规范性引用文件13术语和缩略语13.1术语13.2缩略语14基于手机终端的电子商务安全插件系统研究14.1系统功能概述14.2系统研究方向25系统结构及功能模块65.1安全性证书认证的系统结构65.2数字签名的系统结构75.2.4ACL（访问控制列表）85.3摘要认证的系统结构85.4扫描器验证的系统结构96系统设计功能模块96.1安全性证书认证模块设计96.2数字签名认证模块设计106.3摘要认证模块设计106|.4扫描器模块设计116.1客户端116.2数据库126.3服务器127通信流程127.1安全性证书认证通信流程127.2数字认证通信流程137.3摘要认证通信流程137.4扫描器通信流程148基于手机终端的电子商务安全插件系统的安全性15

3基于手机终端的电子商务安全插件技术规范1　范围本标准基于手机终端的电子商务安全插件的研究报告，列举了四种主要的安全插件研究方向，及这些研究方向的系统结构、通信流程等。2　规范性引用文件3　术语和缩略语3.1　术语3.1.1扫描器扫描器是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。目标可以是工作站、服务器、交换机|、数据库应用等各种对象。3.1.2数字证书数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题.3.1.3客户机服务器提供手机客户端商用插件商家的web服务器。3.1.4数字签名利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性3.1.5RSA算法RSA算法是第一个能同时用于加密和数字签名的算法，RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数（大于100个十进制位）的函数。RSA的重大缺陷是无法从理论上把握它的|保密性能如何。3.1.6私钥在公钥密码体制中，用户密钥对中仅为该用户所知的密钥称为私钥。当用在签名系统时，私钥用于产生签名；当用于加密系统时，私钥用于解密。3.1.7公钥与公钥算法一起使用的密钥对的非秘密一半。公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。3.2　缩略语CVECommonVulnerabilities&Exposures公共漏洞和暴露ACLAccessControlList访问控制列表CACertificateAuthority数字证书认证中心GUIGraphicUserInterface　图形用户界面4　基于手机|终端的电子商务安全插件系统研究4.1　系统功能概述基于移动终端插件的电子商务功能技术规范主要针对手机终端插件的认证、安全以及其在电子商务上的应用进行规定。可以实现应用插件的认证规范、用户甄别与私密保障。该系统在应用系统层首先预装高系统权限的验证插件，对其他的应用插件进行验证。手机在商用应用插件的请求下，通过无线网络访问商用应用服务器。验证插件截获此信息，首先对商用应用插件进行验证，验证通过则允许其运行并访问网络，验证不通过则阻止其运行。示例图如下：

4此外，越来越多的用户用手机访问无线互联网，手机号就是用户唯一的标识，类似于互联网的IP。手机号加上手机号的实|名制称为无线互联网的IP，更能加强无线增值行业的规范性、可用性、安全性。4.2系统研究方向系统的整体结构可如下图所示，手机用户端安装一个验证插件，来对商用插件的安全性进行认证，从而使手机用户能够通过网络进行安全访问。上图的验证插件是最核心的部分，该验证插件用来验证第三方商用插件的安全性，对该商用插件进行认证。验证插件的认证原理有很多种：安全性证书认证，数字签名认证，摘要值认证和扫描器认证。下面对这四种方法进行分别阐述。4.2.1安全性证书认证使用安全性证书认证，服务器可以使用客户机证书中的信息作为身份的证明。我们要在手机用户端应用插件层安装一个高系统权限的验|证插件，以控制其他插件的运行及访问网络情况。流程图如下所示：

54.2.2数字签名数字签名机制的目的是使人们可以对数字文档进行签名.数字签名在与签名相关的同时也与发送的消息相关.所以数字签名能够实现以下功能:1)收方能够证实发送方的真实身份;2)发送方事后不能否认所发送过的报文;3)收方或非法者不能伪造,篡改报文.数字签名技术以加密技术为基础,其核心是采用加密技术的加,解密算法体制来实现对报文的数字签名.RSA是最常用的数字签名机制。在这种情况下，插件要具有对数字签名进行加密的技术。