商城类
APP开发系统程序安全关于WAP1.x与WAP2.0的安全性详解。
APP开发公司提醒WAP1.x由于无法提供端到端的加密与身份认证,并且数据的解密在连接移动网络与IP网络的WAP网关上进行,因此,不能提供可靠的保护机制,无法满足大额交易的安全需求。这一缺陷在WAP2.0中得到了改进。WAP2.0不仅完全兼容WAP1.x,还能够满足WAP1.x的所有安全需求,安全性得到较大的加强。深圳APP开发公司资深工程师提醒WAP2.0还针对WAP1.x中存在的问题和当前移动通信的发展趋势,补充了若干安全规范和标提供。网关协议层的安全问题可由WPKI体系中的数字证书与密钥管理功能解决,移动终端与服务器间交互的信息通过加密、数字签名实现端到端的安全保障。应用服务层的安全问题主要集中于交易抵赖行为方面,针对此问题,可利用数字签名技术解决,客户端与服务器端都要使用自己的私钥对交易信息进行数字签名,凭借已经签名的记录作为仲裁的依据。
商城类APP开发系统程序安全关于WIM的安全应用
WIM(WAPIdentity Module,WAP身份模块)的主要作用是将原先由移动终端实现的安全功能转移到防篡改设备中实现。这里所说的防篡改设备指智能卡或者SIM卡。智能卡内部含处理器,能够实现加/解密和散列功能。相较利用移动终端上的应用软件实现安全功能,WIM实现有着诸多优点:具有良好的性能,能够利用它设计加/解密芯片;较强的数据存储能力,能够存储经常访问的重要数据,包括私钥、共享密钥等,能够利用它们建立长时间的会话。由于智能卡中已存储这些重要数据,移动终端中无需备份。纵使手机被不法分子窃取,对方也无法获取其中的重要数据信息。此外,在手机电池耗尽的情况下,密钥也不会丢失,并且无需重新建立。把私钥等敏感数据与手机相分离有诸多好处,最重要的优势在于用户能够将手机和智能卡分开保存,这就解决了用户的身份认证和针对设备的合法性认证问题。WIM是一个独立的安全模块,主要用于存储和处理用户身份认证和授权所需的信息。该功能的实现都以WIM中能够存储敏感数据为基础,同时,要求与密钥相关联的操作能够在WIM中执行。
智能卡为实现WIM的方式之一。在移动电话中,这可以是用户身份模块(SIM)卡或者是扩展的智能卡。电话和智能卡的交互在命令响应协议中进行详细说明,可使用应用协议数据单元(APDU)。这些规范是基于智能卡的ISO7816系列标准和相关GSM规范的。WIM的基本特点是要具备防篡改的能力。因此,需要采用特定的物理硬件来保护,这样就不能提取或者修改模块中的信息,通常智能卡都是采用这类保护技术。平常的移动电话和PDA不能看作是防篡改的设备。PKI功能(包括用私钥进行WTLS客户端鉴别和WMLScript数字签名)可以在通常的PDA或电话中利用应用软件实现,并使用密码保护、加密功能,但是这些操作不能看作是WIM的操作。
商城类APP开发系统程序安全关于WIM的结构
WIM与WAP的分层结构模型关系如图6-6所示。
WAP协议的分层和功能与OSI参考模型[ISO/498]的上层很相似。通常使用单独的密钥,同时要求用户对每一个签名输入鉴别信息(PIN)。需要注意的是,为了支持不可否认性,签名密钥不能离开防篡改的设备。对数据的签名,首先由移动终端计算数据的散列值,根据应用程序的要求对数据进行格式化,并将格式化后的数据发送给WIM。WIM用私钥计算数字签名并返回数字签名。
商城类APP开发系统程序安全关于签名验证
APP开发公司提示:在这种情况下需要进行签名验证,即应用程序需要有签名验证的能力。但是,移动终端中没有验证算法或者验证算法在WIM中执行的效率更高。在验证过程中,移动终端发送公钥、签名以及数据的散列值给WIM,WIM返回验证的状态。WAP是在无线网络传输慢、手机处理能力弱、内存小、屏幕小的背景下提出并广为应用的。目前,随着越来越多智能手机处理能力的加强,浏览器支持HTML、CSS以及JavaScript,运营商流量资费下降,带宽大幅提高,移动电子商务对网页的适配及流量的控制需求越来越少。自2013年以来,基于WAP的应用逐渐减少。此外,由于WAP使用的加密认证的WTLS协议建立的安全通道必须在WAP网关上终止,形成了安全隐患,所以WAP网页访问的安全问题对安全性要求极为严格的政务系统来说也是一个严重的问题。这些问题也使得WAP难以满足用户的要求。好了,
深圳APP开发公司本文关于“商城类
APP开发系统程序安全关于WAP1.x与WAP2.0的安全性详解”知识就分享到这里。如果您有定制类型的安卓或者iosAPP应用需要开发,请联系我们在线客服,免费获取安全以及开发解决方案。谢谢关注,博纳网络编辑整理。
