wtls

c_c++技巧集.zip

作者：asp2001
email: asp2001@163.net
日期：2000-08-03 21:08:54
从安全的角度来考虑，WAP最重要的方面就是无线传输安全协议(Wireless Transport Layer Security,WTLS)。WTLS是SSL的一个近亲。WTLS用户使用两种证书：

WTLS服务器证书，WAP1.1的一个部分，是用来验证WTLS服务器到WTLS用户（手持设备）并且提供一个通过密钥加密的客户服务对话。 他们和SSL服务器认证很象，除了两点：1）X.509证书用于SSL。WTLS使用一个小型化的证书。该证书和X.509很象，但是更加简单小巧。 2）WAP服务器认证是强制的。但是SSL服务器认证是可选的。 
WTLS客户端认证，WAP1.2的一个部分，是用来验证一个WTLS用户（手持设备）到服务器的。它可以是X.509证书，或者是小型证书。 
    WAP 1.2也定义了一个十分有趣的基于PKI的功能，但是确不是WTLS的部分。这个功能允许WAP客户端对一个事务处理进行数字签名。或者被称做为WML2 Script SignText功能。这个功能是为那些不需要名誉保证的用户来使用的。

    在无线的网络中一般不会遇到向有线网络中网关的配置问题。一个无线网关，典型是一个网络服务的提供者，为提供无线环境和有线Internet之间提供连接。网关就好象是一个内容的传输者。从安全的角度来考虑，无线网关可能执行一个立即的安全功能，例如将WAP/WTLS转换成HTTP/SSL。



    对于服务或者网关的证书，微型证书(mini-certificate）的格式非常重要。这些证书需要在无线网络中传输，需要在具有有限资源的无线用户端进行处理。既然这样，VeriSign 提供了一种WTLS微型证书来保证WAP服务/网关。VeriSign现在正在和不同的WAP服务和网关提供商合作，包括：Motorola, Nokia, 和 Phone.com，来保证那些厂商能很顺利的处理安全过程。这个服务包括新客户的免费试用以及一拦子WAP/WTLS解决方案。

    电子商务应用需要有证书撤回功能，来保证当服务器的证书安全被危及的时候，或者失效的时候，用户无法知道自己所正在和一个“流氓”服务器在进行事务处理。VeriSign提出在产业界一种广泛使用的构架方案。这个方案能方便地识别那些证书已经失效的服务器。

    WAP服务器/网关证书是基于移动用户设备的处理。就现有的资源和带宽，它不可能象在有线世界中那样，能在本地进行证书失效处理，例如：证书失效清单（Certificate revocation lists,CRLs)或者在线的证书状态协议（Online Certificate Status Protocol,OCSP)。那么，VeriSign为用户提供一种短期的证书服务，来保证证书撤消服务。一个网关或者服务器一旦拥有了一个长时间的有效证书——例如一年——除了那个还将有一对在那段时间里面使用的密钥。但是不同于简单地发放一个一年期的证书，证书可以发放一个新的短时间的证书，或者说可能是一个25小时证书，在一年的每一天。那么服务器或者网关就使用那个短时间的证书来与客户建立会话。如果证书的所有者想撤回服务器或者网关的证书，只要简单地停止发放短期证书就可以了。客户将再也无法得到当前有效的证书，因此也会停止认为这个服务器是有效的。VeriSign将再2000后期推出该服务。



    一个非常吸引人的在无线网络上操作Web Server的可选择方案，特别是为那些已经建立了基于Intene的使用HTTP/SSL的应用。在无线网络浏览器中使用HTTP/SSL已经不再是问题——避免了在无线网络中承担起大量的证书和检验SSL服务器证书的难度。后来的解决办法就是在SSL路径上增加一个网关功能。那就是将SSL服务器证书换成短期微型证书。一个经过改造的微型浏览器的用户可以使用在使用SSL证书的地方使用微型证书。但是服务器可以仍然是标准的SSL服务器。

    同样的技术可以用在代码签名和内容签名上面。一个网关粘贴上一个短期的微型证书来对事物签名。用户可以使用微型证书来验证签名的有效性，而不需要附加的有效期检测。

    除了支持WTLS服务/网关, VeriSign的短期微型证书服务将可以用来支持以下功能：网关支持的SSL功能和网关支持的数字签名功能。