多媒體

移動(dòng)通信

  移動(dòng)通信,你了解嗎
  窮移動(dòng)通信之理
  我國移動(dòng)通信網(wǎng)
  手機(jī)之魅
  潮流擋不住

計(jì)算機(jī)網(wǎng)絡(luò)

智能網(wǎng)

光通信

微波通信

衛(wèi)星通信

交換網(wǎng)

接入網(wǎng)

電信管理網(wǎng)

 

 

  
  電信博物館 > 移動(dòng)通信 > 潮流擋不住 > 潮流話題――手機(jī)上網(wǎng)


 


TLS與WTLS

  TLS的前身是SSL,它是Internet上最重要的安全標(biāo)準(zhǔn)。SSL是由Netscape的工程師于1993年發(fā)布的,意在不改變現(xiàn)存的應(yīng)用和協(xié)議的前提下提供一種安全機(jī)制。SSL的有效性使得它在Internet上十分流行。SSL已經(jīng)成為了Internet標(biāo)準(zhǔn),并且由IETF(InternetEngineeringTaskForce)繼續(xù)管理和發(fā)展。如今SSL被更名為TLS,WAP討論組就在TLS的基礎(chǔ)上實(shí)現(xiàn)了WAP安全。

  雖然TLS是建立在傳輸層,其實(shí)它是介于應(yīng)用層和真正的傳輸層之間的附加層。同樣,WTLS也是建立在傳輸層之上,但在它上面是WTP事務(wù)層和WSP會(huì)話層,這2層在Internet模型中是不存在的。這種安排使得它們與應(yīng)用層所要求的服務(wù)無關(guān)。

  TLS同WTLS最顯著的不同是:TLS需要一個(gè)可靠的傳輸層,也就是TCP。TLS無法在UDP上工作。WAP協(xié)議棧沒有提供可靠的傳輸層,而且在分組網(wǎng)絡(luò)上優(yōu)先選擇了UDP。它只在協(xié)議棧的上層通過WTP和WSP實(shí)現(xiàn)了可靠性。因此,這也是設(shè)計(jì)另一套安全協(xié)議的動(dòng)機(jī),使得WTLS工作在WDP和UDP之上。WTLS幀中定義了序列號(hào),而這在TLS中是不存在的。該序列號(hào)確保WTLS可以工作在不可靠的傳輸層上。WTLS不支持?jǐn)?shù)據(jù)的分組和重裝,它將這個(gè)工作交給了下層協(xié)議處理。與此不同的是,TLS可以對(duì)上層協(xié)議的數(shù)據(jù)包進(jìn)行分組。

  TLS和WTLS都認(rèn)為會(huì)話和連接是不同的。連接一般認(rèn)為比會(huì)話更短暫。在無線網(wǎng)絡(luò)中,連接的生存期依賴于任何時(shí)候網(wǎng)絡(luò)的覆蓋質(zhì)量,因此當(dāng)火車穿越隧道或天氣變化時(shí)它都會(huì)受到影響。會(huì)話比連接要持久,它可以存在于多個(gè)連接之上,我們可以用一個(gè)ID標(biāo)識(shí)一個(gè)會(huì)話。該會(huì)話的安全參數(shù)用于確保連接的安全。這意味當(dāng)連接被破壞時(shí),會(huì)話仍然可以存在,并且能夠在以后恢復(fù)它。

  一個(gè)會(huì)話可以與另一個(gè)會(huì)話具有相同的安全參數(shù),它可以來自當(dāng)前某個(gè)有效的連接,也可以來自過去有效的連接;謴(fù)連接可以使用一種優(yōu)化的"握手"方式,而不用交換所有的消息。它也可以用來同時(shí)打開若干個(gè)連接,而使用相同的安全參數(shù)。一般由服務(wù)器決定是否允許會(huì)話被恢復(fù)。

  WTLS允許通過匿名方式或證書對(duì)客戶機(jī)與服務(wù)器進(jìn)行認(rèn)證,一般需要客戶機(jī)或服務(wù)器在會(huì)話建立消息中提供他們的公鑰。為了便于實(shí)現(xiàn),一共定義了3類WTLS,在這3類中,有些特性是必備的,有些是可選的,還有些是不需要的。第1類實(shí)現(xiàn)必須支持公鑰交換、加密和消息認(rèn)證碼(MAC,Message Authentication Code),而客戶機(jī)和服務(wù)器證書、共享秘密握手(即客戶機(jī)和服務(wù)器已經(jīng)知道了秘密,因而不再需要對(duì)這些秘密進(jìn)行交換)是可選的。第1類WTLS實(shí)現(xiàn)不需要支持壓縮算法和智能卡接口。第1類實(shí)現(xiàn)可以選擇通過證書實(shí)現(xiàn)客戶機(jī)和服務(wù)器的認(rèn)證,但不是必須的。第2類實(shí)現(xiàn)必須支持服務(wù)器證書,第3類實(shí)現(xiàn)必須同時(shí)支持客戶機(jī)和服務(wù)器證書。第2類和第3類中的壓縮和智能卡接口都是可選的。

  當(dāng)開始建立安全會(huì)話時(shí),客戶機(jī)向服務(wù)器發(fā)送一條請(qǐng)求消息,要求開始安全會(huì)話設(shè)置的協(xié)商過程(一般都是由客戶機(jī)開始協(xié)商過程的)。服務(wù)器可以向客戶機(jī)發(fā)送消息,請(qǐng)求它開始會(huì)話協(xié)商,但客戶機(jī)可以選擇是否忽視該請(qǐng)求。在會(huì)話的任何時(shí)候,客戶機(jī)都可以發(fā)送消息以請(qǐng)求對(duì)設(shè)置進(jìn)行重新協(xié)商。如果有數(shù)據(jù)竊聽威脅WAP安全,那么該重新協(xié)商過程將通過產(chǎn)生新的密鑰以保證盡可能少的數(shù)據(jù)被暴露。當(dāng)客戶機(jī)請(qǐng)求安全會(huì)話的協(xié)商時(shí),它將提供它所支持的安全服務(wù)列表。另外客戶機(jī)還需要指出經(jīng)過多少條消息之后這些安全參數(shù)需要被刷新,極端的情況是每條消息之后都要刷新這些參數(shù)。

  如果雙方所認(rèn)同的公鑰交換機(jī)制不是匿名的,那么服務(wù)器需要向客戶機(jī)發(fā)送證書以標(biāo)識(shí)自己。所發(fā)送的證書必須符合他們所認(rèn)同的鑰交換算法。事實(shí)上,服務(wù)器所發(fā)送的這條消息中包含了一條從服務(wù)器自身的證書到CA(Certification Authority)根的證書鏈,發(fā)送者的證書必須位于鏈表頭,每個(gè)后續(xù)的證書必須驗(yàn)證它的前驅(qū)(上一個(gè))。CA根的證書可以在鏈表中省略,因?yàn)镃A根證書是自由發(fā)放的,客戶機(jī)可能已經(jīng)擁有該證書,而且即使沒有,客戶機(jī)也能輕易地獲取它。

  如果鑰交換不是匿名的,服務(wù)器還可以向客戶機(jī)要求證書。如果客戶機(jī)沒有證書,則它需向服務(wù)器發(fā)送一條不包含證書的消息,然后由服務(wù)器決定是否繼續(xù)與這個(gè)沒有合法證書的客戶機(jī)進(jìn)行會(huì)話。通過這條消息,客戶機(jī)可以證明它具有與公鑰相關(guān)的私鑰,其中的公鑰包含在了它發(fā)送給服務(wù)器的證書中?蛻魴C(jī)發(fā)送這條消息,其中包含了客戶機(jī)與服務(wù)器之間的先前所有的交換握手消息,并且用它的密鑰簽名。這使得服務(wù)器可以進(jìn)行相似的計(jì)算,檢查簽名中的消息摘要,然后與它所產(chǎn)生的進(jìn)行比較,如果相符,則服務(wù)器認(rèn)為客戶機(jī)是可靠的,否則認(rèn)為有錯(cuò)誤。

  TLS使用X。509證書,而WTLS定義了新的專為移動(dòng)設(shè)備使用的證書。雖然WTLS可以使用X。509,但是多數(shù)移動(dòng)設(shè)備并不支持它,因?yàn)樗捏w積太大。WTLS證書更適合于移動(dòng)終端貧乏的存儲(chǔ)資源。WTLS證書與X。509證書的格式對(duì)比如表1所示。

X。509  WTLS
版本(Version)  版本(Version)
序列號(hào)(Serialnumber)   
算法標(biāo)識(shí)(Algorithmidentifier)  算法標(biāo)識(shí)(Algorithmidentifier)
發(fā)行者名稱(Nameofissuer) 發(fā)行者名稱(Nameofissuer)
有效時(shí)期(Periodofvadility) 有效時(shí)期(Periodofvadility)
證書所有者(屬主)(subject) 屬主(Subject)
屬主公鑰(Subject'spublickey) 屬主公鑰(Subject'spublickey)
發(fā)行者ID(IssuerID)   
屬主ID(SubjectID)   
發(fā)行者簽名(Issuer'ssignature) 發(fā)行者簽名(Issuer'ssignature)

  TLS和WTLS在我們所討論的通信中的2個(gè)角色上--客戶機(jī)與服務(wù)器--都可以實(shí)現(xiàn)。在客戶機(jī)上,TLS/WTLS發(fā)起與遠(yuǎn)端服務(wù)器的通信,并提出對(duì)安全選項(xiàng)的建議。在服務(wù)器上,它檢查所提交的選項(xiàng),并選擇那些它實(shí)際使用的以確保通信安全。在任何協(xié)議中(包括TLS與WTLS)都有一組消息以確保客戶機(jī)與服務(wù)器的信息交換,并有一套規(guī)則約束該交換的進(jìn)行。


[上一頁] [下一頁]