網上數字憑證使用時,一般都要應用密碼技術、數字簽名、數字時間戳等安全手段,這一過程目前都是參與雙方通過第三方認證中心實現的。而數字憑證在申請、頒發、使用和認證等操作時因為要通過Internet與認證中心聯系,所以其中又涉及到安全與防范問題。本節就討論WAP客戶端、服務器及網關數字憑證的使用方法及安全防范,具體的操作實例我們在下一節專門給出。
WAP客戶端憑證的使用
WAP客戶端數字憑證的使用主要涉及申請、頒發、獲得和簽發等幾個方面。介紹這些內容之前,我們先來了解一下客戶端憑證的實現方法。
憑證實現方法
WAP客戶端數字憑證包含一個專用密鑰和數字簽名邏輯,客戶端的用戶使用這種憑證不僅可以給對方提供認證功能,同時還可以實現客戶端的數字簽名功能。WAP客戶端數字憑證可以應用於大多數的無線設備或手持設備,甚至是內嵌SIM 3的智能卡。
我們知道,普通Internet的個人數字憑證成功申請後都是安裝在客戶端的浏覽器裡。然而,手機等無線設備的客戶端浏覽器比較特殊,它沒有足夠的存儲能力來存放WAP數字憑證,為此,VeriSign等認證機構通過將憑證小型化和微型化,使得客戶端無須存儲或者處理相應的數字憑證和公共密鑰驗證。具體實現的方法是將客戶端的數字憑證保存在認證構架中的一個目錄或者其他形式的存儲設備中。這樣,當用戶數字簽名等需要被驗證的時候,就可以從那個地方提取用戶的憑證。而且,在這種方式下,我們無須考慮數字憑證規模的大小,所以即便是標准的X.509格式的憑證,也可以在無線網絡中應用。這種方式最主要的優點是,服務器能在同一個地方完成無線或者有線用戶的簽名校驗。
當然,如果條件允許,數字憑證也可以保存在客戶端的用戶設備或者SIM卡中,而且這樣能提供更好的認證速度。
在電子商務中,除了無線用戶需要驗證自己所連接的無線網關(如無線服務提供商)或者應用服務器(如銀行或者股票代理)外,無線用戶的對方,如無線服務提供商或銀行等也同樣需要對用戶身份進行認證,由於這一過程通常需要經過WAP網關,所以他們可能需要對無線用戶及網關同時進行認證。為此,WAP提供了“用戶-網關”認證,該認證建立在WTLS基礎之上,並可通過VeriSign等認證機構申請到相應的數字憑證。這種憑證我們也把它歸屬於客戶端的數字憑證。
憑證的申請
WAP客戶端憑證的申請一般都在普通的Internet浏覽器上進行。客戶端憑證主要分為兩個級別。第1級(Class 1)數字憑證,僅僅能為用戶提供個人E-mail地址等簡單項目的認證,不能對用戶個人的真實姓名等信息進行認證。當用戶獲得該級數字憑證後,認證中心即會將用戶的E-mail地址等簡單項目的證書列在公共目錄中。網上活動中,凡因E-mail地址等簡單憑證的丟失、誤用或舞弊而引起的經濟損失,認證中心的服務部門將會給予一定數量的經濟賠償。例如VeriSign公司就規定這種情況下可給予用戶1000美金以內的賠償。
第2級(Class 2)數字憑證可以對用戶的個人姓名、身份等重要信息進行認證。當用戶獲得該級數字憑證後,認證中心也會自動將認證信息列入公共目錄中,並對數字憑證因丟失、誤用或舞弊而引起的經濟損失進行擔保。如VeriSign公司對此可給予用戶25000美金以內的損失賠償。
憑證的頒發與獲得
用戶申請客戶端憑證後,認證中心將對申請者的E-mail地址、個人身份及信用卡號等信息進行核實,通常需要幾個小時甚或3~5天的時間,核實後即可頒發數字憑證。
數字憑證頒發時是由認證中心給用戶發回一個確認的E-mail,通知用戶有關憑證中的信息,同時根據憑證的性質及客戶端環境,將該憑證安置在認證構架的目錄或存儲設備中,或者安置在客戶端的浏覽器、SIM卡中。這樣,用戶就獲得了自己的數字憑證。
憑證的簽發及使用
用戶獲得客戶端憑證後,就可以通過無線設備或WAP服務提供商來選擇使用憑證的認證功能和數字簽名等功能了。具體設置與選擇方法因WAP設備、服務器、憑證發布機構的不同而不同,用戶需要參考他們提供的相關資料來確定。
WAP服務器/網關憑證的使用
WAP服務器的數字憑證與網關的數字憑證類似,我們這裡就以服務器憑證為例,講解憑證的申請、頒發、簽發及認證等操作的一般方法。
憑證的可信度
與客戶端憑證不同,WAP服務器數字憑證可以幫助WAP服務提供商或應用服務端建立一個網上虛擬環境中的信任度。我們知道,現實生活中,一個大商店的整潔環境、服飾一致的雇員和交易中的規范手續,如收款後出具發票或收據等,都可以給顧客一種可信度。而在網上虛擬環境中,服務方與客戶方無法面對面地接觸,他們所能憑籍的互相信任的手段就是企業站點的WAP服務器數字憑證。因此,WAP服務器憑證的建立是比較復雜的。
WAP服務器憑證包含了服務器的公共密鑰並擁有唯一的專用密鑰,能授權給確認的站點,以供移動設備內的微型浏覽器訪問和認證。當微型浏覽器的用戶想發送一個機密信息給WAP服務器時,微型浏覽器就會操作WAP服務器的數字憑證,一是將接受信息的權限授權給對方WAP服務器,即對服務器進行認證,二是使用WTLS協議和服務器的公共密鑰進行信息的加密。
由於WAP服務器擁有自己的專用密鑰,所以只有這台經過認證的服務器能夠解密用戶發來的信息。從而實現信息傳輸的安全、可靠和對服務器的信任。
一般來說,WAP服務器憑證的可信度是建立在如下4個方面的基礎上:
(1) 管理和操作該服務器的企業的可信度。因此,申請憑證時認證中心需要對該企業進行必要的信用調查,這也就等於替企業的客戶們進行信用調查。
(2) 驗證操作嚴密而且規范。這通常需要一個權威的認證中心對WAP服務器數字憑證的發放進行詳細而嚴格的驗證,並對憑證的簽收和撤消程序進行嚴格管理及控制。
(3) 數字憑證操作的技術支持。技術支持越強,WAP服務器憑證的信用就越高。
(4) 企業及認證中心的設備可靠性。目前比較可靠的安全系統一般包括有多層邏輯訪問控制、紅外線監視器、生物統計掃描儀以及最新的防火牆等先進的設備和技術等。
憑證的申請驗證
申請WAP服務器憑證時的驗證要比用戶個人身份的驗證復雜得多。申請時,認證中心將給出一份申請表讓企業如實填寫,企業可以在認證中心的網頁中填寫,填完使用電子函件直接傳給認證中心;也可以將填寫結果打印出來,通過傳真或普通郵件發送到認證中心。
該申請表就是認證中心對企業的調查文件,主要包括以下內容:
(1) 有關企業情況的詳細證明項目;
(2) 有關企業合作伙伴的情況調查;
(3) 企業營業執照調查;
(4) 企業WAP服務器/網關的技術性能和技術環境;
(5
12下一頁