【文章內容簡介】 絡特性有選擇的使用或取消 WTLS功能 無線傳輸層安全（ WTLS）特征 ? 數(shù)據(jù)完整性 ? 私有性：保證數(shù)據(jù)傳輸過程中的隱秘性，不能被中間截取者所理解 ? 認證 ? 服務拒絕保護：保護系統(tǒng)免受拒絕服務攻擊影響 無線數(shù)據(jù)報協(xié)議（ WDP） ? Wireless Datagram Protocol ? 一種通用的數(shù)據(jù)傳輸服務可以支持多種無線承載網絡 ? 給上層提供一致服務，對底層網絡透明，使得上層的 WAE、 WSP、 WTP、 WTLS獨立于下層的無線網絡，從而使全球性的互操作得以實現(xiàn)。 承載網絡（ Bearers) ? WAP協(xié)議可運行于不同的承載服務上，包括短消息服務、電路交換數(shù)據(jù)和分組交換數(shù)據(jù) ? 根據(jù)吞吐量、誤碼率和時延的不同，承載網絡提供了不同的服務質量級別 ? WAP協(xié)議根據(jù)這些不同的服務級別進行了補償或容忍 其它的服務和應用 ? 包括電子郵件、電話簿、記事本、電子商務、白頁和黃頁等 ? 隨著網絡，特別是終端的發(fā)展，移動網絡與固定網絡在傳輸性能上的差異減小，協(xié)議（ TCP、 HTTP），但為保證對于已有的只支持 ，還必須提供對 ， 雙協(xié)議棧架構 ：包括 （一） ? 引入 WAP環(huán)境。在 3G上提供比 ? 對能提供 IP連接的承載網絡， 議棧用 WPTCP，對不能提供 IP連接的承載網絡，依然采用 WSP/WTP/WDP協(xié)議棧，可以說， HTTP/TCP協(xié)議。 （二） ? 協(xié)議棧支持方面 ：在 WAP協(xié)議棧的基礎上， 特網協(xié)議棧的支持和服務，包括對 TCP TLS和HTTP的支持。擁有了這兩個協(xié)議棧， 在更大范圍的網絡和無線載體上提供了連接模型 ? 速度更快 ： WAP網關不用做 HTTP/TCP和WSP/WTP/WDP的協(xié)議轉換；手機側不做WSP/WTP/WDP的解析；但需要做 HTTP/TCP的無線配置 （三） ? 性能提高 ：因不做大量的協(xié)議轉換，同樣的硬件設備支持更多的并發(fā)用戶 ? 豐富的內容 ：因 聯(lián)網兼容的語言，因此獲得了更為廣泛的支持，更多的應用能更容易的被用在移動互聯(lián)網上，這種兼容性也使 使用期限和穩(wěn)定的產品形態(tài)（不用在協(xié)議和標記語言上進行頻繁升級），使移動用戶享受到有線互聯(lián)網的豐富的內容 （四） ? 標記語言的發(fā)展 ： XHTML是下一代WML的基礎。具有 WAP CSS的XHTML Mobile Profile標記語言是構成。它能夠對原有的WML提供一些增強功能，特別是在內容的表現(xiàn)方面 （五） ? ： 加強開發(fā) WAP的實用性，適應了當前更高帶寬、更快的數(shù)據(jù)傳輸速度、更強大的接入能力和不同的屏幕規(guī)格大小等最新的行業(yè)發(fā)展趨勢，使用戶在使用上獲得更高的效率 （六） ? 采用了 WTLS和 WIM（ Wireless identity Module無線身份識別模塊技術），使得其在支持多種鑒權方式（匿名訪問、客戶端鑒權和服務器端鑒權）、安全會話控制和數(shù)字簽名等多種 安全措施 方面，比 到端的安全機制 第 4節(jié) WAP的安全問題 WAP中的安全問題 WIM體系結構概述 WAP安全操作 WIM服務接口定義 * WTLS中的 WIM操作 WAP中的安全問題 ? 問題 ? 無線傳輸，容易被竊聽 ? 偵聽竊聽不容易 ? 優(yōu)勢 ? 終端的私有性使身份認證更為可靠 ? 終端的隨身攜帶使直接竊密變得困難 WIM體系結構概述 ? WIM規(guī)范，即 WAP識別模塊（ WAP Identity Module） ? WIM規(guī)定了加密通信的智能卡及用數(shù)字簽名認證事務處理的內容 ? WIM是個抗干擾設備，用來增強 WAP安全層實現(xiàn)的安全性和應用層特定功能的安全性 ? WIM 信息格式以 PKCS15為基礎，提供一種靈活的加密信息格式，使用一種對象模型存取密鑰、證書、認證對象和屬性數(shù)據(jù)對象 WIM體系結構概述 ? WIM的功能可通過智能卡來實現(xiàn)，智能卡以 ISO7816系列標準為基礎，既可以是一個獨立卡，也可以作為多應用卡的一部分功能 ? WIM使用 ISO7816及 PKCS15一樣的標準接口，具有加密特征的一般性，也可以用于非 WAP應用 ? WIMSAP是所有 WIM應用的通用接口 WIM在 WAP協(xié)議分層模型中的位置 圖 WAP安全操作 ? WIM存儲和保護永久的、特別是認證的私有密鑰 ? WIM保存所需的證書： ? CA證書 ? 用戶證書或證書的 URL鏈接 ? WIM維持所支持的算法 ? WIM用來執(zhí)行 ? WTLS安全操作 ? WAP應用安全操作 WTLS安全操作 ? 在握手操作過程中執(zhí)行加密操作，特別是用于客戶端認證的加密操作 ? 保證 WTLS安全會話的長期安全性 WAP應用安全操作 ? 解開密鑰 ? 數(shù)字簽名 WAP應用安全操作 ——解開密鑰 1. 收到由 公開密鑰 加密的 消息密鑰 數(shù)據(jù)包 2. ME消息密鑰數(shù)據(jù)包送到 WIM中 3. WIM使用 私有密鑰 解密，將解開的 消息密鑰 送回 ME 4. ME使用 消息密鑰 對消息進行解密 WAP應用安全操作 ——數(shù)字簽名 ? 用作認證或保證消息的不可抵賴性 ? 為了支持不可抵賴性，用做簽名的的密鑰不能離開抗干擾設備 ? 簽名過程 1. ME對簽名數(shù)據(jù)計算出一個 hash值 2. WIM使用私有密鑰及這個 hash值計算出數(shù)字簽名并將其返回 WIM服務接口定義 * ? WIM定義的服務包括為 WTLS提供的簡單存儲功能和安全功能，及為應用層提供的安全功能 ? 這些服務接口都使用服務原語的形式進行描述，分為 5個方面： 1. 設備控制原語 2. 與認證相關的原語 3. 數(shù)據(jù)訪問原語 4. 加密用原語 5. 處理異常事件原語 WTLS中的 WIM操作 以 RSA握手為例，描述 WTLS握手期間在WTLS服務器和客戶端之間、 ME和 WIM之間發(fā)送的消息流程 1. 讀取配置： ME從 WIM中讀取密鑰、證書及WIM支持的算法 2. ME讀取 WIM生成的隨機值 3. 服務器讀取客戶端證書 4. ME驗證服務器證書的 CA簽名 5. WIM生成的隨機值，用服務器的公開密鑰加密，形成預主密鑰，并返回給 ME WTLS中的 WIM操作 6. WIM根據(jù)預主密鑰和從 ME收到的種子，使用 PRF（偽隨機函數(shù)）生成主密鑰 7. WIM對在客戶端和服務器之間傳遞的握手消息的 hash值進行簽名，簽名返回給 ME 8. WIM根據(jù)主密鑰和從 ME收到的種子，使用PRF計算所要求字節(jié)數(shù)值，并返回給 ME，在Finished消息中使用，客戶端完成校驗 9. 服務器端完成校驗，方法同客戶端，只是握手簽名值不同 WTLS中的 WIM操作 ME收到的種子，使用 PRF計算請求字節(jié)數(shù)值，返回給ME作為客戶端寫密鑰數(shù)據(jù)塊 ，方法同客戶端，只是種子值不同 ，包括地址和會話數(shù)據(jù)，用于以后恢復會話 智能卡實現(xiàn) ? WIM卡特征 ? WIM卡命令 WIM卡特征 ? 用于 WIM的卡，物理特征必須符合ISO7816 ISO78162標準，及