基于手机终端的电子商务安全插件研究报告.doc

中国通信标准化协会课题编号： 基于手机终端的电子商务安全插件技术规范2008年12月研究报告要点手机作为一个无处不在的应用终端，其电子商务的发展有着得天独厚的先天条件。通过内嵌的插件技术，可以有效地提供电子商务发展需要的安全性和私密性，并且可以大大简化电子商务的应用模式。本规范将对基于移动终端的电子商务应用提供规范性认证要求，以确保最终用户能安全简单的使用无线网络的电子商务。作为手机上的任何一款应用插件，应该具有安全性。尤其是商用插件，对于安全性、保护用户隐私要求更高。处于应用插件层的商用应用插件是否达到了这个要求，需要通过一种机制来进行验证。该机制允许达到要求的商用插件继续运行，禁止没有达到安全要求的商用应用插件运行。在应用系统层首先预装高系统权限的验证插件，对其他的应用插件进行验证。该插件拥有高系统权限，能控制其他商用应用插件能否运行，能否访问网络。手机插件的使用，不同于传统的internet插件或者软件的使用方式。在传统的internet插件或者软件的使用上面，用户有很大的屏幕来显示极其丰富的内容，极强处理能力的硬件来进行终端方面的运算，有鼠标来进行精确的点击操作。运用手机商业应用插件，终端将不再拥有上述的一系列优势。如果用户体验设计的 好，转换而来的就是随时随地享受商业应用服务的快捷和便利。这篇文章描述了整个系统的结构和验证插件实现的几种可能性解决方案，并阐述了基本的流程。研究单位： 项目完成人： 项目参加人： 完成日期： 目次研究报告要点I1 范围12 规范性引用文件13 术语和缩略语13.1 术语13.2 缩略语14 基于手机终端的电子商务安全插件系统研究14.1 系统功能概述14.2系统研究方向25系统结构及功能模块65.1 安全性证书认证的系统结构65.2数字签名的系统结构75.2.4 ACL（访问控制列表）85.3 摘要认证的系统结构85.4 扫描器验证的系统结构96系统设计功能模块96.1安全性证书认证模块设计96.2数字签名认证模块设计106.3摘要认证模块设计106.4 扫描器模块设计116.1 客户端116.2 数据库126.3 服务器127通信流程127.1 安全性证书认证通信流程127.2 数字认证通信流程137.3 摘要认证通信流程137.4 扫描器通信流程148基于手机终端的电子商务安全插件系统的安全性15基于手机终端的电子商务安全插件技术规范1 范围本标准基于手机终端的电子商务安全插件的研究报告，列举了四种主要的安全插件研究方向，及这些研究方向的系统结构、通信流程等。2 规范性引用文件3 术语和缩略语3.1 术语3.1.1 扫描器扫描器是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。目标可以是工作站、服务器、交换机、数据库应用等各种对象。3.1.2 数字证书数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题.3.1.3 客户机服务器提供手机客户端商用插件商家的web服务器。3.1.4 数字签名利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性3.1.5 RSA算法RSA算法是第一个能同时用于加密和数字签名的算法，RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。RSA的重大缺陷是无法从理论上把握它的保密性能如何。3.1.6 私钥在公钥密码体制中，用户密钥对中仅为该用户所知的密钥称为私钥。当用在签名系统时，私钥用于产生签名；当用于加密系统时，私钥用于解密。3.1.7 公钥与公钥算法一起使用的密钥对的非秘密一半。公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。3.2 缩略语CVE Common Vulnerabilities & Exposures 公共漏洞和暴露ACL Access Control List 访问控制列表CA Certificate Authority 数字证书认证中心GUI Graphic User Interface 图形用户界面4 基于手机终端的电子商务安全插件系统研究4.1 系统功能概述基于移动终端插件的电子商务功能技术规范主要针对手机终端插件的认证、安全以及其在电子商务上的应用进行规定。可以实现应用插件的认证规范、用户甄别与私密保障。该系统在应用系统层首先预装高系统权限的验证插件，对其他的应用插件进行验证。手机在商用应用插件的请求下，通过无线网络访问商用应用服务器。验证插件截获此信息，首先对商用应用插件进行验证，验证通过则允许其运行并访问网络，验证不通过则阻止其运行。示例图如下：此外，越来越多的用户用手机访问无线互联网，手机号就是用户唯一的标识，类似于互联网的IP。手机号加上手机号的实名制称为无线互联网的IP，更能加强无线增值行业的规范性、可用性、安全性。4.2 系统研究方向系统的整体结构可如下图所示，手机用户端安装一个验证插件，来对商用插件的安全性进行认证，从而使手机用户能够通过网络进行安全访问。上图的验证插件是最核心的部分，该验证插件用来验证第三方商用插件的安全性，对该商用插件进行认证。验证插件的认证原理有很多种：安全性证书认证，数字签名认证，摘要值认证和扫描器认证。下面对这四种方法进行分别阐述。4.2.1 安全性证书认证使用安全性证书认证，服务器可以使用客户机证书中的信息作为身份的证明。我们要在手机用户端应用插件层安装一个高系统权限的验证插件，以控制其他插件的运行及访问网络情况。流程图如下所示： 4.2.2 数字签名数字签名机制的目的是使人们可以对数字文档进行签名.数字签名在与签名相关的同时也与发送的消息相关. 所以数字签名能够实现以下功能: 1)收方能够证实发送方的真实身份; 2)发送方事后不能否认所发送过的报文; 3)收方或非法者不能伪造,篡改报文. 数字签名技术以加密技术为基础,其核心是采用加密技术的加,解密算法体制来实现对报文的数字签名. RSA是最常用的数字签名机制。 在这种情况下，插件要具有对数字签名进行加密的技术。流程图如下：4.2.3 摘要认证可以将 Proxy Server 配置为使用基于外部数据库或文件的目录服务执行摘要验证。摘要认证使用户能够基于用户名和密码进行验证，但不必以明文形式发送用户名和密码。浏览器使用用户密码和 Proxy Server 提供的某些信息，通过 MD5 算法创建摘要值。当服务器使用基于外部数据库的目录服务来执行摘要验证时，服务器端也将使用摘要验证插件来计算该摘要值，并且将该值与客户机提供的摘要值进行比较。如果这些摘要值相匹配，用户将通过验证。要进行这种验证，您的目录服务器必须有权访问明文形式的用户密码。如果使用基于外部数据库的摘要验证，此插件要会计算服务器端的摘要值，并将该值与客户机提供的摘要值进行比较。如果这些摘要值相匹配，用户将通过验证。如果您使用的是基于文件的验证数据库，则不需要这样的要求。流程图如下所示：4.2.4 扫描器验证安全扫描工具通常分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围（IP地址或路由器跳数）。扫描器不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们测试和评价目标的安全性，并及时发现内在的安全漏洞。5 系统结构及功能模块5.1 安全性证书认证的系统结构当用户尝试访问受限资源时，首先，客户机服务器会传送它的服务器证书，手机用户端会自动的分析服务器证书，来验证客户机服务器的身份。其次，客户机服务器会要求用户出示客户端证书（即用户证书），客户机服务器完成客户端证书的验证，来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效（即是否被窜改等）和客户端证书是否被吊销等。验证通过后，客户机服务器会解析客户端证书，获取用户信息，并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成，对用户是透明的。在这种情况下，插件充当的是安全性证书解析模块。系统结构示意图如下：5.1.1 手机客户端手机客户端可以接入Internet，在其应用插件层安装了一个高系统权限的验证插件，以控制其他插件的运行及访问网络情况。在安全性证书认证模式下，该验证插件也就相当于证书解析模块的作用。主要的功能有：l 访问Internet；l 运行相关插件；l 安装有客户机服务器对应的安全性数字证书；l 发送安全性数字证书信息；l 接受由证书解析模块所返回的信息；l 实现目标插件登录。5.1.2 证书解析模块证书解析模块是安全性证书验证的核心模块，连接这手机客户端和客户机服务器，保证两者的安全通信。证书解析模块以动态库的方式提供给各种Web服务器。主要的功能有：l 可以解析证书中包含的信息；l 提取证书中的用户信息，根据获得的用户信息；5.1.3 客户机服务器客户机服务器是指手机客户端所运行的商用插件的所有者。客户机服务器是拥有安全性证书的商用服务器端。服务器上必需安装一个Web服务器证书，用来表明服务器的身份，并对Web服务器的安全性进行设置。服务器证书由CA认证中心颁发，在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效期。主要的功能有：l 提供能供鉴别的web服务器安全性证书；l 发送web服务器安全性证书信息；l 查询访问控制列表，获取用户的访问权限；l 返回允许插件运行指令。5.1.4 ACL（访问控制列表）访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。5.2 数字签名的系统结构基于签名及签名验证的身份认证和访问控制是利用数字签名技术实现的，数字签名技术的实现是指使用数字证书的私钥，对被签名数据的摘要值进行加密，加密的结果就是数字签名。在进行签名验证时，是用数字证书（即公钥）来进行验证，用公钥解密数据，得到发送过来的摘要值，然后用相同的摘要算法对被签名数据做摘要运算，得到另一个摘要值，将两个摘要值进行比较，如果相等，则数字签名验证通过，否则验证无效。数字签名技术的实现依赖于下列两个事实：一是每一个信息的摘要值是唯一的，找不到两个摘要值相同的不同信息；二是证书的私钥只有数字证书的拥有者才拥有，其他人得不到拥有者的私钥。这样，通过签名及签名验证，可以确定数据的确是数字证书的拥有者发送的，发送者不能进行抵赖。数据在发送的过程中，没有被别人窜改过的，是完整的。因此，利用这种技术可以实现对用户身份的认证，一旦对签名数据进行验证，就可以知道签名者是谁，根据签名者的证书可以得到签名者的信息，查询访问控制列表，就知道是签名者的访问权限，从而实现身份认证和访问控制。 5.2.1 手机客户端手机客户端可以接入Internet，在其应用插件层安装了一个高系统权限的证插件，以控制其他插件的运行及访问网络情况。在数字签名认证模式下，该插件也就相当于数字签名模块的作用。主要的功能有：l 访问Internet；l 运行相关插件；l 安装有客户机服务器对应的数字证书；l 发送加密后的签名信息；l 接受由验证插件所返回的信息；l 实现目标插件登录。5.2.2 验证插件手机客户端数据签名模块，即签名插件，以控件的方式提供给手机客户端，实现数字签名功能。在用户使用手机对某商业插件进行系统访问时，手机客户端调用数据签名模块，使用用户选择的客户端证书的私钥对客户端发送的数据进行数字签名，提供服务器端认证用户身份时使用。主要的功能有：l 对被签名数据值的摘要进行加密；5.2.3 客户机服务器服务端签名验证模块以插件或动态库方式提供，安装在客户服务器端，实现对客户端数据签名的验证，对客户端数据签名证书的有效性验证。通过验证签名数据，可以判断客户端签名者的确拥有签名证书，通过对签名证书的验证，可以判断客户端证书持有者的身份。主要的功能有：l 安装有验证数字签名的模块；l 提取手机客户端签名者的信息；l 查询访问控制列表，获取用户的访问权限；l 返回允许运行指令。5.2.4 ACL（访问控制列表）访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。5.3 摘要认证的系统结构摘要认证是一个简单的认证机制。其身份验证机制是采用了杂凑式（hash）加密方法，以避免用明文传输用户的口令。 摘要认证就是要核实参与通信的双方，都知道双方共享的一个秘密（即口令）。      当服务器想要查证用户的身份，它产生一个摘要盘问，并发送给用户，用户使用这些参数，来产生正确的摘要回答，并发送给服务器。5.3.1 手机客户端手机客户端可以接入Internet，在其应用插件层安装了一个高系统权限的证插件，以控制其他插件的运行及访问网络情况。在数字签名认证模式下，该插件也就相当于数字签名模块的作用。主要的功能有：l 访问Internet；l 运行相关插件；l 发送摘要信息；l 接受由摘要值插件所返回的信息；l 实现目标插件登录。5.3.2 摘要值插件摘要值插件是手机客户端产生正确摘要值的核心部分。它连接着手机客户端和客户机服务器，是保证两者具有相同口令的重要组成部分主要的功能有：l 计算手机客户端摘要值，产生正确的摘要响应；l 接收客户机服务器的返回指令信息5.3.3 客户机服务器对手机客户端返回的摘要响应做有效性验证。通过验证验证后，可以判断客户端证书持有者的身份。主要的功能有：l 能对手机客户端发来的摘要响应的参数值进行重新计算；l 利用客户端提供的参数值，和服务器上存储的口令，进行比对；l 查询访问控制列表，获取用户的访问权限；l 返回允许运行指令。5.3.4 ACL(访问控制列表)访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。5.4 扫描器验证的系统结构不论是什么类型的安全扫描器，其最重要的就是安全资料库的更新，这样才能完全地扫描出系统的漏洞。同时在做完更新后，一定还要再作一次新的扫描，因为操作系统的漏洞随时都在发布，因此，在选择一个安全漏洞扫描器时，必须考虑到之后知识库更新的内容及能力。主要的功能有：l 扫描器的一般功能: l 发现一个主机或网络 l 发现什么服务正运行在这台主机上 l 通过测试这些服务,发现漏洞6 系统设计功能模块6.1 安全性证书认证模块设计6.1.1 手机客户端手机客户端由商用插件子系统，证书解析子系统和登录子系统组成。（1） 商用插件子系统手机客户端安装的商业应用插件系统，使用GUI显示。根据手机用户的动作做出相应的反应。（2） 证书解析子系统整数解析子系统是该插件的具体功能的实现，包括证书信息的提取以及证书安全的评估。解析客户机服务器端的安全性证书，确定客户机服务器证书的信息。提取服务器端安全性证书中的信息，与数据库中的信息进行对比，提取证书颁发机构、客户端证书有效期等，进行安全评估，并计算证书有效期限。（3） 登录子系统实现插件的安全登录。6.1.2 客户机服务器客户机服务器证书解析系统客户机整数解系统实现对手机客户端的安全性证书进行解析，提取客户端的安全性证书，并对其进行安全性评估。6.2 数字签名认证模块设计6.2.1 手机客户端手机客户端由商用插件子系统，数字签名子系统和登录子系统组成。（1） 商用插件子系统手机客户端安装的商业应用插件系统，使用GUI显示。根据手机用户的动作做出相应的反应。（2） 数字签名子系统整数解析子系统是该插件的具体功能的实现。指的是使用数字证书的私钥，对被签名数据的摘要值进行加密，并发送至客户机服务器。（3） 登录子系统实现插件的安全登录。6.2.2 客户机服务器（1） 安全评估子系统客户机服务器解系统实现对手机客户端的安全性证书进行解析，提取客户端的安全性证书，并对其进行安全性评估。（2） 数字签名解析系统在确定手机客户端的安全性后，用数字证书（即公钥）来进行验证，用公钥解密数据，得到发送过来的摘要值，然后用相同的摘要算法对被签名数据做摘要运算，得到另一个摘要值，将两个摘要值进行比较。6.3 摘要认证模块设计6.3.1 手机客户端手机客户端由商用插件子系统，证书解析子系统和登录子系统组成。（1） 商用插件子系统手机客户端安装的商业应用插件系统，使用GUI显示。根据手机用户的动作做出相应的反应。（2） 加密子系统摘要值解析子系统是该插件的具体功能的实现，包括摘要值的重新计算和摘要值对比。通过MD5算法计算摘要值，发送至客户机服务器端。（3） 登录子系统实现插件的安全登录。6.3.2 客户机服务器摘要值解析系统客户机服务器也要用摘要值运算来对摘要值进行重新计算，然后和发送来的客户端摘要值进行对比，确定安全性。6.4 扫描器模块设计基于手机终端的电子商务安全插件系统综合运用检测、测试、评估等技术，根据用户制定的安全策略，在对目标系统进行全面漏洞扫描的基础上，对系统进行测试，并对测试结果进行分析，最后对系统存在的安全漏洞提出修补建议，并对网络系统的安全状况给出综合评价。    安全隐患检测系统采用基于C/S模型的远程检测技术。服务器实现安全隐患的检测，客户端实现对服务器的管理。其体系结构图如下图所示：6.1 客户端客户端主要由策略管理子系统、安全评估子系统和结果报告子系统组成。     策略管理子系统策略管理子系统使用GUI（图形界面）或网页界面实现可视化的策略管理，根据需要设置检测策略，配置扫描参数，实现不同内容、不同级别、不同程度、不同层次的漏洞检测。    安全评估子系统    安全评估子系统根据检测结果库提供的数据，选取评估指标，采用定性和定量相结合的评估方法，对目标系统的安全状况给出评价。    结果报告子系统    结果报告子系统根据安全评估子系统提供的信息，生成各种形式的统计图表，不但提供目标网络存在的安全漏洞和这些安全漏洞的危险级别，同时还给出安全解决建议，防范恶意攻击者利用这些安全漏洞入侵系统。结果报告子系统支持饼状图、柱状图和HTML三种报告形式，以直观、清晰的方式从总体上分析网络上的漏洞分类，方便决策者制定安全策略。6.2 数据库不安全插件库   不安全插件库是漏洞检测子系统的核心，它存储了常见的各类系统不安全插件的特征、相应的解决方案和应对措施，以及与不安全插件的分析和实施应对相关的系统安全配置策略。不安全插件库信息是不安全插件检测的主要判断依据，不安全插件库信息不但应具备完整性和有效性，也应具有简易性的特点，便于对不安全插件库进行添加配制，从而实现对不安全插件库的即时更新。CVE将众所周知的安全漏洞的名称标准化，使不同的漏洞库和安全工具更容易共享数据，使得在其他数据库中搜索信息更容易。在设计漏洞库时，定义与CVE标准兼容的漏洞相关数据的描述。 测试用例库    测试用例库是一个由测试方法和测试用例组成的多级分类插件库，是按照被测目标系统的类型、测试性质与目的、测试危害级别、攻击阶段等方面进行分类的测试程序和工具库。测试用例包括自主开发的测试程序，商用或开发源代码测试工具，以及恶意代码等。每一个测试用例由测试用例描述、测试程序、测试输入以及期望输出等数据表项组成，通过测试模块的调用，对目标实施攻击测试。    检测结果库    检测结果库用于记录不安全插件检测和攻击的测试结果，以进行测试结果的管理，便于查询和维护。6.3 服务器服务器对网络系统实施脆弱性检测，包括网络漏洞检测子系统、网络测试子系统。网络漏洞检测的范围可以是单个设备或主机系统，也可以是特定的局域网络。网络测试则是利用不安全插件检测的结果，结合完备的网络攻击技术，对网络设备实施攻击行为，以此检测目标的安全性。    不安全插件检测子系统   不安全插件检测子系统主要是检测主机或者网络的端口开放情况、安全漏洞、错误配置等信息。不安全插件检测利用TCP/IP协议的原理和缺陷，对目标系统进行端口扫描，在端口扫描的基础上，根据端口的开放情况以及系统的一些基本信息，采取不同的漏洞检测方法，找出可能会被黑客利用的漏洞。    测试子系统   测试子系统接受来自客户端的测试策略，调用测试用例库中的测试用例，完成对被测网络及安全设备的攻击测试，对测试状态进行监控和收集测试数据，并将测试结果传输到客户端，为安全分析做进一步处理。7 通信流程7.1 安全性证书认证通信流程手机用户与客户机服务器都需要一份安全性证书来证明自己的身份，来实现安全性登录。 安全性证书认证的通信流程如下：1.手机端用户启动插件；2.手机客户端对客户机服务器的安全性证书进行验证；3.客户机服务器对手机客户端证书进行解析；4.查询ACL列表，确定用户的访问权限；5.返回允许登录指令；7.2 数字认证通信流程手机客户端要访问一商用插件，实行数字签名体制，当客户机服务器的数字证书解析模块证实手机用户的身份后，方可允许登录。数字证书认证的通信流程如下：1用户启动商用插件；2. 数字签名插件对签名实行加密；3. 客户机服务器的签名解析系统对签名进行解析；4. 确认签名匹配后查询ACL，确定用户访问权限；5. 返回允许登录指令；7.3 摘要认证通信流程摘要认证中，当手机客户端的摘要值和客户机服务器端的摘要值相匹配的时候，系统通过用户的身份认证。摘要认证的通信流程如下：1. 用户打开商用插件；2. 客户机服务器发来一个摘要盘问；3. 摘要值加密，并发送摘要响应；4. 客户机服务器对摘要值进行重新计算；5. 摘要值匹配后查询ACL；6.返回允许登录指令；7.4 扫描器通信流程用户如果要访问商用插件，则需经过验证插件验证，保证其安全性后，验证插件才会允许用户访问该商用插件服务器。 商用插件验证流程如下：1. 用户启动商用插件2. 验证插件截获商用插件信息，并提交至验证服务器3. 验证服务器检测该插件是否有安全证书，若有，则返回证书给用户签名。4. 用户输入正确密码后实现安全登录。5. 商用插件服务器返回相应消息。8 基于手机终端的电子商务安全插件系统的安全性基于手机终端的电子商务安全插件应该置于防火墙保护之下，所有的重要设备软硬件、数据均应有冗余备份。服务数据在互联网上传输时，应采取必要的加密、完整性保护等安全措施，保证信息范围