作者：asp2001
email: asp2001@163.net
日期：2000-08-03 21:08:54
從安全的角度來(lái)考慮，WAP最重要的方面就是無(wú)線傳輸安全協(xié)議(Wireless Transport Layer Security,WTLS)。WTLS是SSL的一個(gè)近親。WTLS用戶使用兩種證書：

WTLS服務(wù)器證書，WAP1.1的一個(gè)部分，是用來(lái)驗(yàn)證WTLS服務(wù)器到WTLS用戶（手持設(shè)備）并且提供一個(gè)通過(guò)密鑰加密的客戶服務(wù)對(duì)話。 他們和SSL服務(wù)器認(rèn)證很象，除了兩點(diǎn)：1）X.509證書用于SSL。WTLS使用一個(gè)小型化的證書。該證書和X.509很象，但是更加簡(jiǎn)單小巧。 2）WAP服務(wù)器認(rèn)證是強(qiáng)制的。但是SSL服務(wù)器認(rèn)證是可選的。 
WTLS客戶端認(rèn)證，WAP1.2的一個(gè)部分，是用來(lái)驗(yàn)證一個(gè)WTLS用戶（手持設(shè)備）到服務(wù)器的。它可以是X.509證書，或者是小型證書。 
    WAP 1.2也定義了一個(gè)十分有趣的基于PKI的功能，但是確不是WTLS的部分。這個(gè)功能允許WAP客戶端對(duì)一個(gè)事務(wù)處理進(jìn)行數(shù)字簽名。或者被稱做為WML2 Script SignText功能。這個(gè)功能是為那些不需要名譽(yù)保證的用戶來(lái)使用的。

    在無(wú)線的網(wǎng)絡(luò)中一般不會(huì)遇到向有線網(wǎng)絡(luò)中網(wǎng)關(guān)的配置問(wèn)題。一個(gè)無(wú)線網(wǎng)關(guān)，典型是一個(gè)網(wǎng)絡(luò)服務(wù)的提供者，為提供無(wú)線環(huán)境和有線Internet之間提供連接。網(wǎng)關(guān)就好象是一個(gè)內(nèi)容的傳輸者。從安全的角度來(lái)考慮，無(wú)線網(wǎng)關(guān)可能執(zhí)行一個(gè)立即的安全功能，例如將WAP/WTLS轉(zhuǎn)換成HTTP/SSL。



    對(duì)于服務(wù)或者網(wǎng)關(guān)的證書，微型證書(mini-certificate）的格式非常重要。這些證書需要在無(wú)線網(wǎng)絡(luò)中傳輸，需要在具有有限資源的無(wú)線用戶端進(jìn)行處理。既然這樣，VeriSign 提供了一種WTLS微型證書來(lái)保證WAP服務(wù)/網(wǎng)關(guān)。VeriSign現(xiàn)在正在和不同的WAP服務(wù)和網(wǎng)關(guān)提供商合作，包括：Motorola, Nokia, 和 Phone.com，來(lái)保證那些廠商能很順利的處理安全過(guò)程。這個(gè)服務(wù)包括新客戶的免費(fèi)試用以及一攔子WAP/WTLS解決方案。

    電子商務(wù)應(yīng)用需要有證書撤回功能，來(lái)保證當(dāng)服務(wù)器的證書安全被危及的時(shí)候，或者失效的時(shí)候，用戶無(wú)法知道自己所正在和一個(gè)“流氓”服務(wù)器在進(jìn)行事務(wù)處理。VeriSign提出在產(chǎn)業(yè)界一種廣泛使用的構(gòu)架方案。這個(gè)方案能方便地識(shí)別那些證書已經(jīng)失效的服務(wù)器。

    WAP服務(wù)器/網(wǎng)關(guān)證書是基于移動(dòng)用戶設(shè)備的處理。就現(xiàn)有的資源和帶寬，它不可能象在有線世界中那樣，能在本地進(jìn)行證書失效處理，例如：證書失效清單（Certificate revocation lists,CRLs)或者在線的證書狀態(tài)協(xié)議（Online Certificate Status Protocol,OCSP)。那么，VeriSign為用戶提供一種短期的證書服務(wù)，來(lái)保證證書撤消服務(wù)。一個(gè)網(wǎng)關(guān)或者服務(wù)器一旦擁有了一個(gè)長(zhǎng)時(shí)間的有效證書——例如一年——除了那個(gè)還將有一對(duì)在那段時(shí)間里面使用的密鑰。但是不同于簡(jiǎn)單地發(fā)放一個(gè)一年期的證書，證書可以發(fā)放一個(gè)新的短時(shí)間的證書，或者說(shuō)可能是一個(gè)25小時(shí)證書，在一年的每一天。那么服務(wù)器或者網(wǎng)關(guān)就使用那個(gè)短時(shí)間的證書來(lái)與客戶建立會(huì)話。如果證書的所有者想撤回服務(wù)器或者網(wǎng)關(guān)的證書，只要簡(jiǎn)單地停止發(fā)放短期證書就可以了。客戶將再也無(wú)法得到當(dāng)前有效的證書，因此也會(huì)停止認(rèn)為這個(gè)服務(wù)器是有效的。VeriSign將再2000后期推出該服務(wù)。



    一個(gè)非常吸引人的在無(wú)線網(wǎng)絡(luò)上操作Web Server的可選擇方案，特別是為那些已經(jīng)建立了基于Intene的使用HTTP/SSL的應(yīng)用。在無(wú)線網(wǎng)絡(luò)瀏覽器中使用HTTP/SSL已經(jīng)不再是問(wèn)題——避免了在無(wú)線網(wǎng)絡(luò)中承擔(dān)起大量的證書和檢驗(yàn)SSL服務(wù)器證書的難度。后來(lái)的解決辦法就是在SSL路徑上增加一個(gè)網(wǎng)關(guān)功能。那就是將SSL服務(wù)器證書換成短期微型證書。一個(gè)經(jīng)過(guò)改造的微型瀏覽器的用戶可以使用在使用SSL證書的地方使用微型證書。但是服務(wù)器可以仍然是標(biāo)準(zhǔn)的SSL服務(wù)器。

    同樣的技術(shù)可以用在代碼簽名和內(nèi)容簽名上面。一個(gè)網(wǎng)關(guān)粘貼上一個(gè)短期的微型證書來(lái)對(duì)事物簽名。用戶可以使用微型證書來(lái)驗(yàn)證簽名的有效性，而不需要附加的有效期檢測(cè)。

    除了支持WTLS服務(wù)/網(wǎng)關(guān), VeriSign的短期微型證書服務(wù)將可以用來(lái)支持以下功能：網(wǎng)關(guān)支持的SSL功能和網(wǎng)關(guān)支持的數(shù)字簽名功能。