WAP数字凭证的使用与防范

 
网上数字凭证使用时，一般都要应用密码技术、数字签名、数字时间戳等安全手段，这一过程目前都是参与双方通过第三方认证中心实现的。而数字凭证在申请、颁发、使用和认证等操作时因为要通过Internet与认证中心联系，所以其中又涉及到安全与防范问题。本节就讨论WAP客户端、服务器及网关数字凭证的使用方法及安全防范，具体的操作实例我们在下一节专门给出。

　　12.3.1　WAP客户端凭证的使用
　　WAP客户端数字凭证的使用主要涉及申请、颁发、获得和签发等几个方面。介绍这些内容之前，我们先来了解一下客户端凭证的实现方法。

　　凭证实现方法
　　WAP客户端数字凭证包含一个专用密钥和数字签名逻辑，客户端的用户使用这种凭证不仅可以给对方提供认证功能，同时还可以实现客户端的数字签名功能。WAP客户端数字凭证可以应用于大多数的无线设备或手持设备，甚至是内嵌SIM 3的智能卡。

　　我们知道，普通Internet的个人数字凭证成功申请后都是安装在客户端的浏览器里。然而，手机等无线设备的客户端浏览器比较特殊，它没有足够的存储能力来存放WAP数字凭证，为此，VeriSign等认证机构通过将凭证小型化和微型化，使得客户端无须存储或者处理相应的数字凭证和公共密钥验证。具体实现的方法是将客户端的数字凭证保存在认证构架中的一个目录或者其他形式的存储设备中。这样，当用户数字签名等需要被验证的时候，就可以从那个地方提取用户的凭证。而且，在这种方式下，我们无须考虑数字凭证规模的大小，所以即便是标准的X.509格式的凭证，也可以在无线网络中应用。这种方式最主要的优点是，服务器能在同一个地方完成无线或者有线用户的签名校验。

　　当然，如果条件允许，数字凭证也可以保存在客户端的用户设备或者SIM卡中，而且这样能提供更好的认证速度。

　　在电子商务中，除了无线用户需要验证自己所连接的无线网关(如无线服务提供商)或者应用服务器(如银行或者股票代理)外，无线用户的对方，如无线服务提供商或银行等也同样需要对用户身份进行认证，由于这一过程通常需要经过WAP网关，所以他们可能需要对无线用户及网关同时进行认证。为此，WAP提供了“用户-网关”认证，该认证建立在WTLS基础之上，并可通过VeriSign等认证机构申请到相应的数字凭证。这种凭证我们也把它归属于客户端的数字凭证。

　　凭证的申请
　　WAP客户端凭证的申请一般都在普通的Internet浏览器上进行。客户端凭证主要分为两个级别。第1级(Class 1)数字凭证，仅仅能为用户提供个人E-mail地址等简单项目的认证，不能对用户个人的真实姓名等信息进行认证。当用户获得该级数字凭证后，认证中心即会将用户的E-mail地址等简单项目的证书列在公共目录中。网上活动中，凡因E-mail地址等简单凭证的丢失、误用或舞弊而引起的经济损失，认证中心的服务部门将会给予一定数量的经济赔偿。例如VeriSign公司就规定这种情况下可给予用户1000美金以内的赔偿。

　　第2级(Class 2)数字凭证可以对用户的个人姓名、身份等重要信息进行认证。当用户获得该级数字凭证后，认证中心也会自动将认证信息列入公共目录中，并对数字凭证因丢失、误用或舞弊而引起的经济损失进行担保。如VeriSign公司对此可给予用户25000美金以内的损失赔偿。

　　凭证的颁发与获得
　　用户申请客户端凭证后，认证中心将对申请者的E-mail地址、个人身份及信用卡号等信息进行核实，通常需要几个小时甚或3~5天的时间，核实后即可颁发数字凭证。

　　数字凭证颁发时是由认证中心给用户发回一个确认的E-mail，通知用户有关凭证中的信息，同时根据凭证的性质及客户端环境，将该凭证安置在认证构架的目录或存储设备中，或者安置在客户端的浏览器、SIM卡中。这样，用户就获得了自己的数字凭证。

　　凭证的签发及使用
　　用户获得客户端凭证后，就可以通过无线设备或WAP服务提供商来选择使用凭证的认证功能和数字签名等功能了。具体设置与选择方法因WAP设备、服务器、凭证发布机构的不同而不同，用户需要参考他们提供的相关资料来确定。

　　12.3.2　WAP服务器/网关凭证的使用
　　WAP服务器的数字凭证与网关的数字凭证类似，我们这里就以服务器凭证为例，讲解凭证的申请、颁发、签发及认证等操作的一般方法。

　　凭证的可信度
　　与客户端凭证不同，WAP服务器数字凭证可以帮助WAP服务提供商或应用服务端建立一个网上虚拟环境中的信任度。我们知道，现实生活中，一个大商店的整洁环境、服饰一致的雇员和交易中的规范手续，如收款后出具发票或收据等，都可以给顾客一种可信度。而在网上虚拟环境中，服务方与客户方无法面对面地接触，他们所能凭籍的互相信任的手段就是企业站点的WAP服务器数字凭证。因此，WAP服务器凭证的建立是比较复杂的。

　　WAP服务器凭证包含了服务器的公共密钥并拥有唯一的专用密钥，能授权给确认的站点，以供移动设备内的微型浏览器访问和认证。当微型浏览器的用户想发送一个机密信息给WAP服务器时，微型浏览器就会操作WAP服务器的数字凭证，一是将接受信息的权限授权给对方WAP服务器，即对服务器进行认证，二是使用WTLS协议和服务器的公共密钥进行信息的加密。

　　由于WAP服务器拥有自己的专用密钥，所以只有这台经过认证的服务器能够解密用户发来的信息。从而实现信息传输的安全、可靠和对服务器的信任。

　　一般来说，WAP服务器凭证的可信度是建立在如下4个方面的基础上：

　　(1) 管理和操作该服务器的企业的可信度。因此，申请凭证时认证中心需要对该企业进行必要的信用调查，这也就等于替企业的客户们进行信用调查。

　　(2) 验证操作严密而且规范。这通常需要一个权威的认证中心对WAP服务器数字凭证的发放进行详细而严格的验证，并对凭证的签收和撤消程序进行严格管理及控制。

　　(3) 数字凭证操作的技术支持。技术支持越强，WAP服务器凭证的信用就越高。

　　(4) 企业及认证中心的设备可靠性。目前比较可靠的安全系统一般包括有多层逻辑访问控制、红外线监视器、生物统计扫描仪以及最新的防火墙等先进的设备和技术等。

　　凭证的申请验证
　　申请WAP服务器凭证时的验证要比用户个人身份的验证复杂得多。申请时，认证中心将给出一份申请表让企业如实填写，企业可以在认证中心的网页中填写，填完使用电子函件直接传给认证中心；也可以将填写结果打印出来，通过传真或普通邮件发送到认证中心。

　　该申请表就是认证中心对企业的调查文件，主要包括以下内容：

　　(1) 有关企业情况的详细证明项目；

　　(2) 有关企业合作伙伴的情况调查；

　　(3) 企业营业执照调查；

　　(4) 企业WAP服务器/网关的技术性能和技术环境；

　　(5) 企业WAP服务的内容、市场影响力；

　　(6) 企业资信调查；

　　(7) 企业纳税证明；等等。

　　建立WAP认证服务器
　　企业通过认证中心的申请调查后，认证中心就会向企业颁发数字凭证，企业在自己的网络站点服务器上安装该数字凭证后，即可建立企业的WAP认证服务器。为保证网络认证畅通，企业服务器必须能够支持SSL/WTLS的技术要求。建立企业WAP认证服务器的过程包括以下几项主要内容：

　　(1) 认证中心通知企业已通过认证申请；

　　(2) 企业为WAP服务器生成一个密钥对；

　　(3) 企业向认证中心提出安装WAP服务器数字凭证的请求；

　　(4) 认证中心通过网络为企业安装WAP服务器数字凭证；

　　(5) 企业配置和激活WAP服务器的安全机制，即可从事WAP服务。

　　WAP服务器凭证的使用方法
　　WAP服务器凭证生效后，企业就能够以被验证的身份在网上与外界通信和进行WAP服务、电子商务等活动。服务器数字凭证依据与之绑定的密钥对来表示自己的确定性，用该密钥对进行加密，即可保证该WAP服务器的真实身份。

　　这样，当认证的客户端与认证的WAP服务器进行通信或进行网上交互时，客户端就会自动验证企业端的WAP服务器数字凭证，而服务器绑定的密钥对又用来加密一个会话密钥(Session Key)，该会话密钥是用来对服务器和客户端无线设备的会话进行加密的。会话密钥是不同的，每个服务器和客户端的会话都要使用不同的会话密钥。每个会话密钥通常只有24小时(甚至更短)有效期，所以，要在认证的WAP服务器和客户端通信或交互时进行窃听是比较困难的，这就保证了双方通信或交互的安全性与保密性