專利名稱:移動商務(wù)wap數(shù)據(jù)傳輸段的端對端加密程序與模塊的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種移動商務(wù)(m-Commerce)WAP數(shù)據(jù)傳輸段的端對端實時加密程序與模塊,其特點是以無線通訊協(xié)議(Wireless ApplicationProtocol)為技術(shù)平臺��,在無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)一符合公開金鑰架構(gòu)(Public Key Infrastructure)的信息密碼安全系統(tǒng)����。由此增設(shè)機(jī)制可實現(xiàn)WAP移動商務(wù)信息交換的端對端(End to End)安全性。
WAP無線軟件協(xié)議(Wireless Application Protocol)制定了無線設(shè)備�,如移動電話及PDA上執(zhí)行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)囊?guī)格。WAP主要是針對無線設(shè)備特性所開發(fā)��,因為其運(yùn)行環(huán)境不同于其它的設(shè)備��,因而需要專門制定的軟件協(xié)議以支持���。WAP的優(yōu)良設(shè)計使其與現(xiàn)有大部分通信網(wǎng)路兼容,包括了GSM���、GPRS�、PDC���、CDPD��、CDMA�����、TDMA���、PHS����、DECT和第三代移動電話(3G)標(biāo)準(zhǔn)等通信網(wǎng)絡(luò)���。在GSM系統(tǒng)下���,WAP可以藉由短消息服務(wù)(SMS)或CircuitSwitched Data(CSD)執(zhí)行,但是��,CSD的頻寬升級空間使其商務(wù)化應(yīng)用成為可能�。WAP在無線網(wǎng)絡(luò)上的操作模式有兩種,一種是作為客戶端(Client)和網(wǎng)頁服務(wù)器端(Web Server)之間的WAP網(wǎng)關(guān)(WAP Gateway)��;另一種是直接內(nèi)嵌為客戶端所連接的WAP信息服務(wù)器(WAP Application Server)���。在此客戶端(Client)是指支持WAP的無線通訊設(shè)備���,而網(wǎng)絡(luò)服務(wù)器(WebServer)則是指架設(shè)于互聯(lián)網(wǎng)上的網(wǎng)站服務(wù)器���。WAP網(wǎng)關(guān)器為安裝在GSM網(wǎng)絡(luò)與WAN廣域網(wǎng)絡(luò)的中介軟件,負(fù)責(zé)轉(zhuǎn)換WAP及WTLS加密協(xié)議至HTTP及SSL/TLS加密協(xié)議�����,以協(xié)助WML格式文件能從現(xiàn)有互聯(lián)網(wǎng)世界中取得���;它包含了WML Encoder�、WML Script Compiler����、Protocol Adapters等組件(如
圖1)。而WP信息服務(wù)器(WAP Application Server)則內(nèi)嵌WAP網(wǎng)關(guān)(WAP Gateway)的功能�����,以直接提供內(nèi)容給客戶端�����。
然而由于兩段式安全機(jī)制(2-Phase Security)的架構(gòu)漏洞����,使得移動商務(wù)信息傳輸經(jīng)WAP網(wǎng)關(guān)器轉(zhuǎn)換為明文(Plain Text)時面臨極大威脅。因為現(xiàn)行兩段式機(jī)制分為(1)Handset至WAP Gateway傳輸段的WTLS加密及(2)WAP Gateway至WML Server傳輸段的SSL/TLS加密���,由于WTLS與TLS接口規(guī)格有異����,因而SAP Gateway必須將WTLS密文還原為明文后再以TLS加密����,此就造成數(shù)據(jù)需在移動電話系統(tǒng)經(jīng)營商處還原為明文后再加密的安全漏洞。
本發(fā)明的目的是提供一種移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端實時加密程序與模塊��,該端對端實時加密程序與模塊是致力于完成端對端(END TOEND)的數(shù)據(jù)加密技術(shù)�����,以彌補(bǔ)現(xiàn)有架構(gòu)的不足���,并應(yīng)用于WAP平臺的商務(wù)交易中(如銀行理財���、股票交易、企業(yè)內(nèi)部信息流通及商業(yè)交易等)�。
本發(fā)明的目的是這樣實現(xiàn)的一種移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊����,是采用無線應(yīng)用協(xié)議的應(yīng)用層(WAE)的頂層為開發(fā)平臺及執(zhí)行環(huán)境����,以獨(dú)立并適用于現(xiàn)有的各種實體通信網(wǎng)絡(luò)(如GSM、PDC�、CDPD、CDMA�����、TDMA�����、PHS��、DECT�、GPRS和第三代移動電話(3G)標(biāo)準(zhǔn));其特征在于該模塊是用于無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)信息密碼安全系統(tǒng)�����,含手機(jī)端(Handset)軟件加解密模塊�,移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)及金鑰管理子系統(tǒng)(KeyManagement)。
其中當(dāng)使用者通過WAP網(wǎng)絡(luò)登入WCP的WML Server時�����,WML Server通過本移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)針對不同計算器操作系統(tǒng)所提供的行程間通訊接口(Inter-Process CommunicationInterface)����,通知加解密服務(wù)程序(Cipher Server)負(fù)責(zé)開啟Handset軟件加解密模塊與金鑰管理子系統(tǒng)所維護(hù)該使用者的公鑰(Public Key),通過WML Server現(xiàn)有超本文協(xié)議的傳輸服務(wù)(HTTP SERVICE)��,經(jīng)廣域網(wǎng)絡(luò)(WAN)及GSM/GPRS/CDMA類數(shù)字移動系統(tǒng)的無線協(xié)議網(wǎng)關(guān)器(WAPGateway)����,下傳至移動電話或數(shù)字助理(PDA)類客戶端設(shè)備。
其中使用者欲送出個人商務(wù)信息時�,可先依無線標(biāo)記文件(WML)指示輸入商務(wù)信息,并經(jīng)已下載的Handset加解密模塊搭配使用者公鑰進(jìn)行加密演算后開始上傳����;待該信息至WML Server端再由加解密服務(wù)程序(CipherServer)以對應(yīng)的私鑰(Private Key)進(jìn)行反向解密動作,再將明文交由WML Server執(zhí)行后續(xù)功能性程序���。
其中若需自WML Server主動下傳個人商務(wù)信息時���,使用者必須先輸入私鑰(Private Key)以存留于移動電話WAE執(zhí)行環(huán)境的堆棧內(nèi)存?zhèn)溆?�,WMLServer將傳遞擬下傳的個人商務(wù)數(shù)據(jù)給加解密服務(wù)程序(Cipher Server)���,并通知其開啟Handset軟件加解密模塊與金鑰管理子系統(tǒng)所維護(hù)該使用者的公鑰(Public Key),以先行于Server端執(zhí)行加密演算�;通過超本文協(xié)議的傳輸服務(wù)下傳Handset軟件加解密模塊及密文至客戶端設(shè)備;此時再由存留于WAE執(zhí)行環(huán)境的私鑰(Private Key)搭配密文進(jìn)行解密動作���,并將解密明文交由WML格式文件顯示其原始結(jié)果���。
其中金鑰管理子系統(tǒng),負(fù)責(zé)工作為a)金鑰生成與建置����,以及b)金鑰共管;其中金鑰生成與建置在金鑰生成方面金鑰具備隨機(jī)性�����,也即其生成的過程為極機(jī)密�����,而結(jié)果為不可測,且對于需求量較大且需經(jīng)常更新的金鑰通常采虛擬隨機(jī)(pseudo random)程序的生成方法����;金鑰共管在金鑰共管方面��,計算機(jī)系統(tǒng)應(yīng)用密碼技術(shù)于檔案或數(shù)據(jù)庫安全上���,除了提供其機(jī)密性之外��,尚需確保加密數(shù)據(jù)的可還原性����;金鑰管理子系統(tǒng)(key Management)體現(xiàn)秘密共管(secret sharing)的機(jī)制���,可將金鑰分成數(shù)個金鑰影(shadows)��,只有在特定數(shù)目的鑰影組合下方可還原成原來金鑰�����,以防金鑰遺失或遭破壞時����,則所有以此金鑰加密的數(shù)據(jù)無法還原�����。
其中含一壓縮前置模塊(Pre-Compressor)對傳輸數(shù)據(jù)進(jìn)行解壓縮,其壓縮程序條列如下a)將原始數(shù)據(jù)長度以8或9為一單位分組為各單位字符串�����;b)將每一單位字符串轉(zhuǎn)換為其所表示的十進(jìn)制數(shù)值����;c)將各單位數(shù)值轉(zhuǎn)換為十六進(jìn)制單位字符串;d)將各十六進(jìn)制單位字符串的字符兩兩分組為單位字組����;e)將各單位字組(oxCharBuf)轉(zhuǎn)換為介于0-255之間的十進(jìn)制字碼值;f)將各字碼值直接轉(zhuǎn)換為對應(yīng)的ANSI字集�;其中在上述步驟1)中原始數(shù)據(jù)長度以8或9為單位分組,是基于移動電話WAE執(zhí)行環(huán)境所支持的最大數(shù)據(jù)型態(tài)長度為64位�,因此原始數(shù)據(jù)分組時為避免較耗時的溢位(Over Flow)運(yùn)算,故采用8或9為單位字符串長�����。
其中安全機(jī)制采用WAE應(yīng)用層以實作手機(jī)端(Handset)軟件加解密模塊����;因此可解譯WML卷標(biāo)語言(Wireless Markup Language)及WMLScript描述語言(Wireless Markup Script Language)����。
本發(fā)明是一種移動商務(wù)(M-Commerce)WAP數(shù)據(jù)傳輸段的端對端實時加密程序與模塊����,其特點是以無線通訊協(xié)議(Wireless ApplicationProtocol)為技術(shù)平臺�����,在無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)一符合公開金鑰架構(gòu)(Public Key Infrastructure)的信息密碼安全系統(tǒng)��,該系統(tǒng)含手機(jī)端(Handset)軟件加解密模塊�,移動信息服務(wù)器端的加解密服務(wù)程序(Cipher Server)及金鑰管理子系統(tǒng)(KeyManagement)三者。增設(shè)的加解密服務(wù)器程序可通過WML Server現(xiàn)有超本文傳輸協(xié)議的服務(wù)(HTTP SERVICE)���,經(jīng)廣域網(wǎng)絡(luò)(WAN)及GSM/GPRS/CDMA等數(shù)字移動系統(tǒng)的無線協(xié)議網(wǎng)關(guān)器(WAP Gateway)�,動態(tài)下傳Handset軟件加解密模塊與金鑰管理子系統(tǒng)產(chǎn)生的公鑰(Public Key)至移動電話或數(shù)字助理等客戶端設(shè)備�����。當(dāng)使用者欲進(jìn)行個人商務(wù)時����,可依WML Server送出的無線標(biāo)記文件(WML)指示輸入商務(wù)信息����,并經(jīng)該Handset加解密模塊進(jìn)行加密程序后開始上傳�。待該信息至WML Server端再由加解密服務(wù)程序(Cipher Server)以對應(yīng)的私鑰(Private Key)進(jìn)行反向解密動作,再將明文交由WML Server執(zhí)行后續(xù)功能性程序���。由此增設(shè)機(jī)制可實現(xiàn)WAP移動商務(wù)信息交換的端對端(End to End)安全性��,一舉改善現(xiàn)行WAP(1.1版)架構(gòu)的兩段式安全機(jī)制(2-Phase Security)的漏洞�����。
依WAP論壇組織(WAP Forum)制定的WAP通訊協(xié)議層可分為六層(如圖2)��,為求本發(fā)明的安全機(jī)制能得到最大執(zhí)行環(huán)境兼容性及后續(xù)升級的容易考慮��,本發(fā)明采用無線應(yīng)用層(WAE)的頂層為開發(fā)平臺及執(zhí)行環(huán)境�,此有別于現(xiàn)有的WTLS機(jī)制建立于第三層安全層���。由于WAE層是植基于安全層之上��,故可使本發(fā)明除了自身提供的安全性外����,尚可享受WTLS機(jī)制保護(hù)的雙重效果��,此為本發(fā)明特色之一����。
因此本發(fā)明中提供一種移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊�����,是采用無線應(yīng)用層(WAE)的頂層為開發(fā)平臺及執(zhí)行環(huán)境;該模塊是用于無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)信息密碼安全系統(tǒng),含手機(jī)端(Handset)軟件加解密模塊�����,移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)及金鑰管理子系統(tǒng)(Key Management)。
本發(fā)明中尚提供一種移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密程序����,是采用無線應(yīng)用層(WAE)的頂層為開發(fā)平臺及執(zhí)行環(huán)境�;該程序包含步驟為無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)信息密碼安全系統(tǒng)��,含手機(jī)端(Handset)軟件加解密程序,移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)及金鑰管理子系統(tǒng)(Key Management)�����。
本發(fā)明是一種移動商務(wù)(M-Commerce)WAP數(shù)據(jù)傳輸段的端對端實時加密程序與模塊��,其特點為以無線通訊協(xié)議(Wireless ApplicationProtocol)為技術(shù)平臺���,在無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)一符合公開金鑰架構(gòu)(Public Key Infrastructure)的信息密碼安全系統(tǒng)(如圖3所示)�,由所增設(shè)的手機(jī)端(Handset)軟件加解密模塊����、移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)及金鑰管理子系統(tǒng)(Key Management)三者可實現(xiàn)WAP移動商務(wù)的端對端(End toEnd)安全性��,一舉改善現(xiàn)行WAP兩段式安全機(jī)制(2-Phase Security)的漏洞�。再者,本發(fā)明采用公開金鑰機(jī)制的加解密原理�,交互運(yùn)用金鑰管理子系統(tǒng)所產(chǎn)生的公鑰及私鑰不僅應(yīng)用于加密目的,也可達(dá)到身份認(rèn)證(CA)的不可否認(rèn)性功能�����,由此使移動商務(wù)(M-Commerce)實現(xiàn)的可能性朝前邁進(jìn)一步����。另外,為解決公開金鑰加解密效率偏低的缺點����,本發(fā)明還在手機(jī)端(Handset)軟件加解密模塊中,增設(shè)一壓縮前置模塊(Pre-Compressor),以趨近于1/3的高壓縮比率及0失真率來處理原始明文數(shù)據(jù)�����,藉此以大幅提高手機(jī)端(Handset)的執(zhí)行效率�,而提高本發(fā)明應(yīng)用于移動商務(wù)的實用價值。
以下結(jié)合本說明的附圖詳細(xì)說明本發(fā)明的特征與技術(shù)內(nèi)容圖1是無線應(yīng)用協(xié)議架構(gòu)圖���;圖2是WAP通訊協(xié)議層級圖���;圖3是本發(fā)明WAP端對端信息加密系統(tǒng)結(jié)構(gòu)圖;圖4是本發(fā)明Handset加解密模塊執(zhí)行環(huán)境(WAE)架構(gòu)圖;圖5是本發(fā)明前置壓縮模塊(Pre-Compressor)演算流程(以銀行轉(zhuǎn)帳為例)���;圖6是對稱性加密機(jī)制運(yùn)作圖��;圖7是公開金鑰(PKI)加密機(jī)制運(yùn)作圖(以RSA為例)���;
圖8是本發(fā)明WAP端對端加密機(jī)制程序圖�����;圖9是WAP與STK架構(gòu)對照圖;圖10是WAP與STK特點對照表��;圖11是本發(fā)明WAP端對端加密系統(tǒng)應(yīng)用于金融市場的架構(gòu)圖���。
本發(fā)明的開發(fā)平及作業(yè)平臺依照WAP論壇組織(PAP Forum)制定的WAP通訊協(xié)議層可分為六層(如圖2所示),現(xiàn)將各層功能簡述于下1. WAE(Wireless Application Environment)WAE定義了應(yīng)用層(Application Layer)的通訊規(guī)約��,是融合了WWW的技術(shù)���,并且針對無線通訊的特性所發(fā)展的無線應(yīng)用環(huán)境。WAE使得網(wǎng)絡(luò)系統(tǒng)及內(nèi)容提供者�,能通過微瀏覽器(Micro Browser)來提供應(yīng)用內(nèi)容及服務(wù)���。
2. WSP(Wireless Session Protocol)WSP是會議層(Session Layer)的通訊規(guī)約提供兩種服務(wù)���,包括架構(gòu)在WTP的上的持續(xù)連接服務(wù)�,和架構(gòu)在WDP之上的不持續(xù)連接服務(wù)�。
3. WTP(Wireless Transaction Protocol)WTP是架設(shè)在WDP之上的交易層(Transaction Layer)的通訊規(guī)約����,其是為了小型客戶端界面(如移動電話)所設(shè)計的��。
4. WTLS(Wireless Transport Layer Security)WTLS是根據(jù)工業(yè)標(biāo)準(zhǔn)TLS Protocol(即Secure Sockets Layer,SSL)而制定是安全協(xié)議���。WTLS是設(shè)計使用在傳輸層(Transport Layer)之上的安全層(SecurityLayer)���,并針對較小頻寬的通訊環(huán)境作修正�。
5. WDP(Wireless Datagram Protocol)WDP是傳輸層(TransportLayer)的通訊協(xié)議,它適用于架設(shè)不同通訊技術(shù)的數(shù)據(jù)服務(wù)之上�,都能提供WAP的上層通訊協(xié)議一共同的通訊接口。而使包括應(yīng)用層���,會議層����,安全層的通訊規(guī)約都能直接在WDP上運(yùn)作����。
6. Bears(底層的數(shù)據(jù)服務(wù))WAP被設(shè)計為針對國際上不同通訊技術(shù)均能支持的通訊協(xié)議,因此它能架設(shè)于不同數(shù)據(jù)服務(wù)上�����,包含短消息服務(wù)(SMS��,Short Message Service)�����,Packet Data�����,Circuit-switched Data等。
為求本發(fā)明的安全機(jī)制能得到最大執(zhí)行環(huán)境兼容性及后續(xù)升級容易的考慮���,本發(fā)明采用無線應(yīng)用層(WAE)的頂層為開發(fā)平臺及執(zhí)行環(huán)境�����,此有別于現(xiàn)有的WTLS機(jī)制建立于第四層安全層�����。由于WAE層是植基于安全層之上,故可使本發(fā)明除了自身提供的安全性外����,尚可享受WTLS機(jī)制保護(hù)的雙重效果,此為本發(fā)明特色之一��。
WAE應(yīng)用層執(zhí)行環(huán)境可解譯WML卷標(biāo)語言(Wireless Markup Language)及WMLScript描述語言(Wireless Markup Script Language)���,而為本發(fā)明安全機(jī)制所采用以實作手機(jī)端(Handset)軟件加解密模塊�����。移動電話端WMLScript語言的解譯器架構(gòu)能夠通過堆棧內(nèi)存(Stack)直接存取WML格式文件的數(shù)據(jù)變量(如圖4所示)���,因此使用者在WML文件輸入的數(shù)據(jù)可由(Handset)加解密模塊處理運(yùn)算后�,再上傳至遠(yuǎn)程移動信息服務(wù)器WMLServer�����,使得傳輸過程受到加密保護(hù)����。
.本發(fā)明的數(shù)據(jù)壓縮機(jī)制由手公開金鑰算法演算流程繁瑣復(fù)雜耗時,為促進(jìn)移動電話WAE執(zhí)行環(huán)境效率并增進(jìn)使用者便利性���,本發(fā)明在(Handset)軟件加解密模塊中���,增設(shè)一壓縮前置模塊(Pre-Compressor),以趨近1/3的高壓縮比率及0失真率處理WML文件的數(shù)據(jù)變量���,藉此以大幅提高Handset加解密程序的執(zhí)行效率���,也提高本發(fā)明應(yīng)用于移動商務(wù)的實用價值,此也為本發(fā)明重要特色之一��。壓縮前置模塊(Pre-Compressor)的基本原理是通過數(shù)碼一字碼轉(zhuǎn)換原則搭配進(jìn)位數(shù)制選擇技巧,將WML文字變量作高效率的精巧轉(zhuǎn)換���,以祈使產(chǎn)生最高壓縮比率�����。如圖5所示�����,為本壓縮前置模塊(Pre-Compressor)的壓縮流程釋例�,該圖以移動銀行轉(zhuǎn)帳交易為例�����,將原始總長度24字符的個人帳號數(shù)據(jù)�����,以簡潔的流程壓縮為8字符長度的ANSI(美國國家標(biāo)準(zhǔn)字集)字集�,因此可在高壓縮速率下達(dá)成高壓縮比的目標(biāo)�����。
現(xiàn)將壓縮前置模塊(Pre-Compressor)壓縮程序條列如下1)將原始數(shù)據(jù)長度以8/9為單位分組為各單位字符串(UnitBuf);2)將每一單位字符串轉(zhuǎn)換為其所表示的十進(jìn)制數(shù)值(UnitVal)����;3)將各單位數(shù)值轉(zhuǎn)換為十六進(jìn)制單位字符串(oxUnitBuf);4)將各十六進(jìn)制單位字符串(oxUnitBuf)的字符兩兩分組為單位字組(oxCharBuf)�;5)將各單位字組(oxCharBuf)轉(zhuǎn)換為介于0-255之間的十進(jìn)制字碼值;
6)將各字碼值直接轉(zhuǎn)換為對應(yīng)的ANSI字集�;上述步驟1)中原始數(shù)據(jù)長度以8/9為單位分組,是基于移動電話WAE執(zhí)行環(huán)境所支持的最大數(shù)據(jù)型態(tài)長度為64位���,換算10進(jìn)位值即為-2147483647-2147483647之間�����,若以10進(jìn)位文字?jǐn)?shù)據(jù)表示需長度10����,因此原始數(shù)據(jù)分組時為避免較耗時的溢位(Over Flow)運(yùn)算�,故取8/9為單位字符串長。
.本發(fā)明加密機(jī)制的理論基礎(chǔ)如前所述�,本發(fā)明是在無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)一符合公開金鑰架構(gòu)(Public Key Infrastructure)的信息密碼安全系統(tǒng),此系統(tǒng)含手機(jī)端(Handset)軟件加解密模塊����,移動信息服務(wù)器端加解密服務(wù)器程序(Cipher Server)及金鑰管理子系統(tǒng)(KeyManagement)三者。考慮現(xiàn)今密碼學(xué)技術(shù)�����,有二大類主流密碼系統(tǒng)��。第一類為對稱金鑰(Symmetric Key)密碼系統(tǒng)���,第二類為非對稱金鑰(AsymmetricKey)或簡稱公開金鑰(Public Key)密碼系統(tǒng)��。對稱金鑰密碼系統(tǒng)加解密速度快為其優(yōu)點�����,但因其加密金鑰與解密金鑰為相同一把金鑰�����,信息的傳送方如何在加密之后�����,將該把加密金鑰以安全的方式傳送給接收方,如何使雙方能共享該把秘密金鑰��,以利其解密,是該密碼系統(tǒng)的一大問題(如圖6所示)��,因此對稱金鑰密碼系統(tǒng)并不適用于多人登入的移動信息服務(wù)器WMLServer�����,也即并不適用于主從式(client-Server)移動商務(wù)的架構(gòu)�。
公開金鑰密碼系統(tǒng)則改善了對稱金鑰密碼系統(tǒng)的缺點,其加密金鑰與解密金鑰并非相同�����,每一對金鑰(Key Pair)包含兩把相互對應(yīng)的金鑰—可以公開的加密金鑰(Public Key)與必須保持機(jī)密的解密金鑰(Private Key)��。使用時���,任何人均可將其加密金鑰公開�����,讓可能與其通信的人知道�,當(dāng)任何人欲傳送信息時與該接收方時���,可將信息使用該接收方所公布的「公鑰」加密之后再加以傳送��。該加密后的信息��,只有既定接收方所擁有��,與此把公鑰相對應(yīng)的「密鑰」可以將該信息解密�,所以公開金鑰密碼系統(tǒng)可以達(dá)到讓素昧平生的雙方,不需要事先交換金鑰即可從事秘密通訊的特性�。相反的,當(dāng)信息以傳送方的「密鑰」加密之后���,任何擁有與該「密鑰」相對應(yīng)的「公鑰」者均可以將之解密����,但因「密鑰」只有傳送方擁有�����,且保持機(jī)密不予公開�����,因此�����,以密鑰所加密的信息可視為傳送方對該信息的簽章�。著名的公開金鑰密碼系統(tǒng)與數(shù)字簽章算法有Deffi-Hellman、RSA���、DSA��、ElGamal�����、M-HKnapsack及Rabin等�����?�;凇腹_金鑰密碼系統(tǒng)」��,與不需事先交換金鑰����,即可達(dá)成「秘密通訊」的優(yōu)點�,本發(fā)明所采用「公開金鑰密碼系統(tǒng)」的理念設(shè)計適用于WAP傳輸架構(gòu)的端對端實時加密程序與模塊(如圖7所示)。
.本發(fā)明的加密系統(tǒng)機(jī)制1.手機(jī)端(Handset)加解密模塊及服務(wù)器端加解密服務(wù)器(CipherServer)本發(fā)明是在無線內(nèi)容服務(wù)提供者(WCP����,如銀行證券經(jīng)營商)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)的信息密碼安全系統(tǒng)����,含手機(jī)端(Handset)軟件加解密模塊��,移動信息服務(wù)器端的加解密服務(wù)程序(Cipher Server)及金鑰管理子系統(tǒng)(Key Management)�����。當(dāng)使用者通過WAP網(wǎng)絡(luò)登入WCP的WML Server時�,WML Server可通過本移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)針對不同計算器操作系統(tǒng)所提供的行程間通訊接口(Inter-Process Communication Interface),如TCP/UDP通訊協(xié)議����,COM對象模型接口,CORBA對象模型接口����,DDE動態(tài)數(shù)據(jù)交換及RPC遠(yuǎn)程過程調(diào)用等方式,通知加解密服務(wù)程序(Cipher Server)負(fù)責(zé)開啟Handset軟件加解密模塊與金鑰管理子系統(tǒng)所維護(hù)該使用者的公鑰(Public Key)��,通過WML Server現(xiàn)有超本文協(xié)議的傳輸服務(wù)(HTTP SERVICE)���,經(jīng)廣域網(wǎng)絡(luò)(WAN)及GSM/GPRS/CDMA等數(shù)字移動系統(tǒng)的無線協(xié)議網(wǎng)關(guān)器(WAP Gateway)�����,下傳至移動電話或數(shù)字助理等客戶端設(shè)備����。當(dāng)使用者欲送出個人商務(wù)信息時�,可先依無線標(biāo)記文件(WML)指示輸入商務(wù)信息,并經(jīng)已下載的Handset加解密模塊搭配使用者公鑰進(jìn)行加密演算后開始上傳�。待該信息至WMLServer端再由加解密服務(wù)程序(Cipher Server)以對應(yīng)的私鑰(PrivateKey)進(jìn)行反向解密動作,再將明文交由WML Server執(zhí)行后續(xù)功能性程序(如圖8所示)����。
反之,若需自WML Server主動下傳個人商務(wù)信息(如查詢銀行帳戶余額)時�����,則使用者必須先輸入私鑰(Private Key)以存留于移動電話WAE執(zhí)行環(huán)境的堆棧內(nèi)存?zhèn)溆?��,而WML Server將傳遞擬下傳的個人商務(wù)數(shù)據(jù)給加解密服務(wù)程序(Cipher Server)�����,并通知其開啟Handset軟件加解密模塊與金鑰管理子系統(tǒng)所維護(hù)該使用者的公鑰(Public Key),以先行于Server端執(zhí)行加密演算�。再通過超本文協(xié)議的傳輸服務(wù)下傳Handset軟件加解密模塊及密文至客戶端設(shè)備。此時再由存留于WAE執(zhí)行環(huán)境的私鑰(PrivateKey)搭配密文進(jìn)行解密動作��,并將解密明文交由WML格式文件顯示其原始結(jié)果�����。
2.金鑰管理系統(tǒng)(Key Management)所有輔助公開金鑰密碼系統(tǒng)使用與應(yīng)用服務(wù)的工作均可視為公開金鑰基盤運(yùn)作架構(gòu)的一部份��,本發(fā)明的金鑰管理子系統(tǒng)(Key Management)負(fù)責(zé)工作有a)金鑰生成與建置�,以及b)金鑰共管��。
a)金鑰生成與建置在金鑰生成方面理想的金鑰必須具備隨機(jī)性���,也即其生成的過程為極機(jī)密����,而結(jié)果為不可測����,且對于需求量較大且需經(jīng)常更新的金鑰通常采用虛擬隨機(jī)(pseudo random)程序的生成方法。除了具備不可測性之外���,本發(fā)明金鑰管理子系統(tǒng)(Key Management)尚能滿足特定算法要求�,如RSA系統(tǒng)中的金鑰必須具備強(qiáng)化的質(zhì)數(shù)(Prime Number)等性質(zhì)。
b)金鑰共管在金鑰共管方面����,計算機(jī)系統(tǒng)應(yīng)用密碼技術(shù)于檔案或數(shù)據(jù)庫安全上,除了提供其機(jī)密性之外���,尚需確保加密數(shù)據(jù)的可還原性。本發(fā)明金鑰管理子系統(tǒng)(Key Management)體現(xiàn)秘密共管(secret sharing)的機(jī)制��,可將金鑰分成數(shù)個金鑰影(shadows)��,只有在特定數(shù)目的鑰影組合下方可還原成原來金鑰�����,以防金鑰遺失或遭破壞時���,則所有以此金鑰加密的數(shù)據(jù)無法還原���。
.本發(fā)明的加密機(jī)制與STK(SIM Toolkit)加密機(jī)制的比較基于「公開金鑰密碼系統(tǒng)」,與不需事先交換金鑰����,即可達(dá)成「秘密通訊」的優(yōu)點�,本發(fā)明所采用的「公開金鑰密碼系統(tǒng)」理念設(shè)計適用于WAP傳輸架構(gòu)的端對端實時加密程序與模塊�����,此點迥異于傳統(tǒng)移動電話STK(SIMTool kit)傳輸?shù)募用軝C(jī)制是采用對稱金鑰(Symmetric Key)密碼系統(tǒng)(如PIN1����、PIN3、3DES)����。SIM Toolkit全名為“Subscriber Identity ModuleApplication Toolkit”(用戶識別應(yīng)用發(fā)展工具),其應(yīng)用是通過移動電話公司與SIM卡制造商合作��,在用戶識別卡的微處理器上�,燒錄或灌進(jìn)加值服務(wù)程序,使消費(fèi)顧客直接在手機(jī)目錄點選加值服務(wù)�。由于STK通過符合GSM Phase 2+規(guī)格的手機(jī)發(fā)送短消息(SMS)信息,故基本上數(shù)據(jù)交換限制于電信公司內(nèi)部網(wǎng)絡(luò)的內(nèi)交換�����,故傳統(tǒng)上利用STK進(jìn)行電子商務(wù)安全性比WAP架構(gòu)為高���。然而其封閉式架構(gòu)并不適用于以互聯(lián)網(wǎng)為基礎(chǔ)的移動商務(wù)應(yīng)用�����,且對稱性金鑰機(jī)制雖在數(shù)據(jù)保密性上有良好表現(xiàn)�����,但是對于不具備個人身份辨識的“不可否認(rèn)性”功能�,也限制其在移動商務(wù)的應(yīng)用空間(如圖9所示)。因此本信息安全系統(tǒng)直接采用“公開金鑰”機(jī)制于WAP架構(gòu)中�,不僅彌補(bǔ)傳統(tǒng)WAP架構(gòu)加密不足的疑慮,更大幅具有實現(xiàn)「數(shù)字簽章」的“不可否認(rèn)性”特性����,實為本發(fā)明的一大特色���。(如圖10對照表所示)�����。
綜上所述��,本發(fā)明是一種移動商務(wù)(M-Commerce)WAP數(shù)據(jù)傳輸段的端對端實時加密程序與模塊�����,其特點是以無線通訊協(xié)議(WirelessApplication Protocol)為技術(shù)平臺���,在無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)一符合公開金鑰架構(gòu)(Public KeyInfrastructure)的信息密碼安全系統(tǒng)����。由此增設(shè)機(jī)制可實現(xiàn)WAP移動商務(wù)信息交換的端對端(End to End)安全性�,一舉改善現(xiàn)行WAP(1.1版)架構(gòu)的兩段式安全機(jī)制(2-Phase Security)的漏洞。再者���,本發(fā)明采用公開金鑰機(jī)制的加解密機(jī)制�,不僅應(yīng)用于加密目的�����,也可達(dá)到身份認(rèn)證(CA)的不可否認(rèn)性功能����,大幅落實移動商務(wù)可能性。另外�,為解決公開金鑰加解密運(yùn)算效率偏低缺點,本發(fā)明還增設(shè)一壓縮前置模塊(Pre-Compressor)���,以趨近1/3的高壓縮比率及0失真率處理原始明文數(shù)據(jù)�,藉此以大幅提高加密效率,更能提高本發(fā)明應(yīng)用于移動商務(wù)的實用價值(如圖11所示)��。
以上所述�,僅為本發(fā)明最佳的一具體實施例,但是�,本發(fā)明的移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密程序與模塊的特征并不限于此,任何熟悉該項技藝的人員在本發(fā)明的領(lǐng)域內(nèi)����,可輕易思及的變化或修飾皆可涵蓋在本發(fā)明的專利范圍內(nèi)。
權(quán)利要求
1.一種移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊�����,是采用無線應(yīng)用協(xié)議的應(yīng)用層(WAE)的頂層為開發(fā)平臺及執(zhí)行環(huán)境�,以獨(dú)立并適用于現(xiàn)有的各種實體通信網(wǎng)絡(luò)(如GSM�、PDC、CDPD�����、CDMA��、TDMA、PHS���、DECT�、GPRS和第三代移動電話(3G)標(biāo)準(zhǔn))�����;其特征在于該模塊是用于無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)信息密碼安全系統(tǒng)���,含手機(jī)端(Handset)軟件加解密模塊���,移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)及金鑰管理子系統(tǒng)(Key Management)。
2.如權(quán)利要求1所述的移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊����,其特征在于其中當(dāng)使用者通過WAP網(wǎng)絡(luò)登入WCP的WML Server時,WMLServer通過本移動信息服務(wù)器端加解密服務(wù)程序(Cipher Server)針對不同計算器操作系統(tǒng)所提供的行程間通訊接口(Inter-ProcessCommunication Interface)�,通知加解密服務(wù)程序(Cipher Server)負(fù)責(zé)開啟Handset軟件加解密模塊與金鑰管理子系統(tǒng)所維護(hù)該使用者的公鑰(Public Key),通過WML Server現(xiàn)有超本文協(xié)議的傳輸服務(wù)(HTTPSERVICE)�,經(jīng)廣域網(wǎng)絡(luò)(WAN)及GSM/GPRS/CDMA類數(shù)字移動系統(tǒng)的無線協(xié)議網(wǎng)關(guān)器(WAP Gateway),下傳至移動電話或數(shù)字助理(PDA)類客戶端設(shè)備��。
3.如權(quán)利要求1所述的移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊�,其特征在于其中使用者欲送出個人商務(wù)信息時��,可先依無線標(biāo)記文件(WML)指示輸入商務(wù)信息�����,并經(jīng)已下載的Handset加解密模塊搭配使用者公鑰進(jìn)行加密演算后開始上傳���;待該信息至WML Server端再由加解密服務(wù)程序(Cipher Server)以對應(yīng)的私鑰(Private Key)進(jìn)行反向解密動作,再將明文交由WML Server執(zhí)行后續(xù)功能性程序���。
4.如權(quán)利要求1所述的移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊��,其特征在于其中若需自WML Server主動下傳個人商務(wù)信息時�,使用者必須先輸入私鑰(Private Key)以存留于移動電話WAE執(zhí)行環(huán)境的堆棧內(nèi)存?zhèn)溆?,WML Server將傳遞擬下傳的個人商務(wù)數(shù)據(jù)給加解密服務(wù)程序(CipherServer),并通知其開啟Handset軟件加解密模塊與金鑰管理子系統(tǒng)所維護(hù)該使用者的公鑰(Public Key)�����,以先行于Server端執(zhí)行加密演算�����;通過超本文協(xié)議的傳輸服務(wù)下傳Handset軟件加解密模塊及密文至客戶端設(shè)備��;此時再由存留于WAE執(zhí)行環(huán)境的私鑰(Private Key)搭配密文進(jìn)行解密動作�����,并將解密明文交由WML格式文件顯示其原始結(jié)果��。
5.如權(quán)利要求1所述的移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊�,其特征在于其中金鑰管理子系統(tǒng),負(fù)責(zé)工作為a)金鑰生成與建置�����,以及b)金鑰共管�����;其中金鑰生成與建置在金鑰生成方面金鑰具備隨機(jī)性��,也即其生成的過程為極機(jī)密��,而結(jié)果為不可測�,且對于需求量較大且需經(jīng)常更新的金鑰通常采虛擬隨機(jī)(pseudo random)程序的生成方法;金鑰共管在金鑰共管方面���,計算機(jī)系統(tǒng)應(yīng)用密碼技術(shù)于檔案或數(shù)據(jù)庫安全上���,除了提供其機(jī)密性之外�,尚需確保加密數(shù)據(jù)的可還原性��;金鑰管理子系統(tǒng)(key Management)體現(xiàn)秘密共管(secret sharing)的機(jī)制��,可將金鑰分成數(shù)個金鑰影(shadows)����,只有在特定數(shù)目的鑰影組合下方可還原成原來金鑰,以防金鑰遺失或遭破壞時��,則所有以此金鑰加密的數(shù)據(jù)無法還原�。
6.如權(quán)利要求1所述的移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊,其特征在于其中含一壓縮前置模塊(Pre-Compressor)對傳輸數(shù)據(jù)進(jìn)行解壓縮���,其壓縮程序條列如下a)將原始數(shù)據(jù)長度以8或9為一單位分組為各單位字符串�;b)將每一單位字符串轉(zhuǎn)換為其所表示的十進(jìn)制數(shù)值����;c)將各單位數(shù)值轉(zhuǎn)換為十六進(jìn)制單位字符串;d)將各十六進(jìn)制單位字符串的字符兩兩分組為單位字組��;e)將各單位字組(oxCharBuf)轉(zhuǎn)換為介于0-255之間的十進(jìn)制字碼值;f)將各字碼值直接轉(zhuǎn)換為對應(yīng)的ANSI字集��;其中在上述步驟1)中原始數(shù)據(jù)長度以8或9為單位分組��,是基于移動電話WAE執(zhí)行環(huán)境所支持的最大數(shù)據(jù)型態(tài)長度為64位��,因此原始數(shù)據(jù)分組時為避免較耗時的溢位(Over Flow)運(yùn)算��,故采用8或9為單位字符串長���。
7.如權(quán)利要求1所述的移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端加密模塊,其特征在于其中安全機(jī)制采用WAE應(yīng)用層以實作手機(jī)端(Handset)軟件加解密模塊��;因此可解譯WML卷標(biāo)語言(Wireless Markup Language)及WMLScript描述語言(Wireless Markup Script Language)�。
全文摘要
一種移動商務(wù)WAP數(shù)據(jù)傳輸段的端對端實時加密程序與模塊,是以無線通訊協(xié)議(Wireless Application Protocol)為技術(shù)平臺,在無線內(nèi)容服務(wù)提供者(WCP)的現(xiàn)有移動信息服務(wù)器WML Server端增設(shè)一符合公開金鑰架構(gòu)(Public KeyInfrastructure)的信息密碼安全系統(tǒng),此系統(tǒng)含手機(jī)端(Handset)軟件加解密模塊,移動信息服務(wù)器端加解密服務(wù)程序(CipherServer)及金鑰管理子系統(tǒng)(Key Management)三者。由此增設(shè)機(jī)制可實現(xiàn)WAP移動商務(wù)信息交換的端對端(End to End)安全性,改善現(xiàn)行WAP架構(gòu)的兩段式安全機(jī)制(2-PhaseSecurity)的漏洞�。
文檔編號H04L29/06GK1369986SQ0110186
公開日2002年9月18日 申請日期2001年2月15日 優(yōu)先權(quán)日2001年2月15日
發(fā)明者邱宏哲 申請人:三竹資訊股份有限公司