WAP建站相关安全知识.pdf

wap 建站相关安全知识 第 1 页 共 34 页 wapwapwapwap 建站相关安全知识建站相关安全知识 无论是因特网还是无线网络，安全总是一个十分重要的问题。可以说：没有安全，也就没有网络世界的繁荣。在本章中 首先介绍有关安全的一些基本概念，包括密钥学、数字证书、数字签名、安全认证等等。然后再了解有关 wap 安全的专题， 包括服务器认证、wtsl、客户端认证等等。 数字证书数字证书 数字证书是一些用来标识和唯一确定在网络（例如：因特网）上的人和资源的电子文件。数字证书同样能够保证两个 组织间的安全和可信任的信息交流。 打个比方，当某个人在其他国家旅行的时候，他的护照为他提供了一个身份证明，使得他可以在每个国家之间往来。 数字证书提供了一个类似的身份证明。它是通过一个可信的第三方组织来发放的。该组织被称为 certification authority（c a）。和护照发放处的角色一样，ca 的角色就是验证持有者的身份并且“签字”，以防止身份被伪造或者篡改。一旦 ca 在证明上签字，持有者就可以向其他人、其他站点和其他网络上的资源出示他的证明，并建立加密的和可靠的信息交流。 一 个认证包括了持有者和 ca 发放的各种信息，例如： 持有者的名字以及其他可以唯一确定持有者身份的信息，例如：使用该认证的 wap 服务器的 url，个人的 e-mail 地址。 持有者的公开密钥。公开密钥可以用来加密送往持有者的敏感信息。 发放 ca 认证的组织名称。 一个序列号。 证书的有效期，也就是起止日期。 在创建这个证书的时候，这些信息都被 ca 以数字化的方式写在证书里。ca 的签名就好像是信封封口处的一个防伪章。 数字证书是基于公共密钥密码系统的。公共密钥是成对地加密和解密密钥。这对密钥一个被称作公开密钥，另一个被称 作私有密钥。在密码系统中，公开钥匙是指一个数值。加密算法将利用这个数值来改变原始的信息内容，使得这些内容无法 被其他没有持有相应私有密钥的人所识别。 公开密钥可以自由地分发，并且不影响私有密钥的安全。但是持有者必须保护好私有密钥。既然这对密钥是成对工作的， 那么只有相互持有对方公共密钥的人之间才能相互进行信息交流。 简而言之：一个数字认证安全地绑定了用户的身份和公开密钥，并且通过了第三方的 ca 认证。 密钥学简介密钥学简介 安全信息通过加密传输的方法已经有很长的历史了。其实，恺撒大帝就是最早将密码学应用到战争的人。他通过密码系 统将作战命令传达给将军们。在今天，有一个关键的问题限制了密码学的发展，那就是钥匙的管理。在密码系统中，钥匙指 的是一个数值。加密算法就是应用这个数值来改变原始的信息，或者从改变后的信息中恢复出原始信息。自然地，钥匙的管 理指的就是在用户需要的时候为他们提供密钥的安全管理。 在传统的密码系统中大多是对称密码系统， 也就是加密密钥和解 密密钥相同。在使用对称密码系统时，发送加密信息的时候无须担心被截取（因为截取的人无法破译信息）。然而，如何安 全地将密钥传送给需要接收消息的人是一个难点。 这就是现在的公开密钥密码系统的一个优势。 公开密钥密码系统的一个基 本特征就是它采用不同的密钥进行加密和解密。使用公开密钥密码系统，公开密钥和私有密钥是成对的。而且公开密钥可以 wap 建站相关安全知识 第 2 页 共 34 页 自由分发而无须威胁私有密钥的安全， 但是私有密钥一定要保管好。 通过公开密钥加密的信息只有配对的私有密钥才能解密。 在公开密码系统发明之前，来维护一个庞大的密钥管理系统几乎是不可能的。因为在采用对称加密密码系统的情况下， 随着用户数目的增加，密码的需求量也随之增大。例如：对 100 个用户，可能需要维护 5000 个密钥；但是对 200 个用户， 可能需要维护 20000个密码。如果只使用对称密码系统，那么密钥的维护即使是在小范围内都没有办法实现。 公开密钥密码系统的发明对一个大规模网络的密钥管理起了极大的推动作用。虽然公开密钥密码系统有那么多优点，但 是它并没有提供一个非常完美的密钥管理解决办法。 而且公开密钥密码系统的工作效率没有对称密钥密码系统好。 另外公开 密码的使用也带来了一系列的问题。例如： “如何使用密钥只做一次加密文件，并将文件发送给不同的人？” “用户如果丢失了私有密钥，如何打开他经过加密的文件？” “怎么知道 alice 的公开密钥是 alice 的，而不是其他人的？” “怎么知道公开密钥还值得信赖？” 现在一般都采取对称密码和公开密钥混合系统来解决这个问题。也就是使用公开密钥密码系统来传送密码，使用对称密 钥密码系统来实现对话。例如：假设 alice 和 peter 相互要进行通话，他们是按照以下步骤进行的。 alice 想和 peter 通话，并向 peter 提出对话请求。 peter 响应请求，并给 alice 发送 ca 证书（ca 证书是经过第三方认证和签名，并且无法伪造或篡改） 。这个证书中 包括了 peter 的身份信息和 peter 的公开密钥。 alice 验证 ca 证书，并产生一个会话密钥。将这个会话密钥，使用 peter 的公开密钥加密，送往 peter peter 接收到信息，并使用私有密钥恢复出会话密钥。 双方通过这个会话密钥会话。 会话结束，会话密钥也就废弃。 数字签名数字签名 为了更好地理解密码是如何在电子通讯中应用的，下面以一个发送电子支票的简单过程来讲解。 ..1 安全的电子版本安全的电子版本 最简单的电子支票就是一个使用字处理器生成的文本文件，包含有你的银行应该给某个人付给指定的金额。但是通过电 子网络来发送你的支票将遇到几个安全问题： o文件的保密性棗防止任何人截取和阅读文件； o文件的确认性棗以防别人创建一个类似的文件； o文件的可靠性棗防止你否认你创建了这个文件，银行需要担保； o文件的完整性棗既然某个人可以改变文件，你和银行都希望保持文件的完整性。 为了解决上面的问题，需要执行下面一系列的步骤来实现以上的目的： ..2 电子签名电子签名 电子签名的过程是从创建一个数学上的总体检测（叫做哈希编码）开始的。这个哈希编码类似于文件的指纹。它唯一确 定了文件特征。即使文件中有一个位有所不同，哈希编码也会大不相同。第二步就是创建签名，也就是使用用户的私有密钥 来给这个哈希编码加密。那么如何被称作签名呢？当银行接收到用户的支票时，就可以使用用户的公开密钥来检查、解开哈 wap 建站相关安全知识 第 3 页 共 34 页 希编码，然后使用同样的算法生成所收到支票的哈希编码。比较这两个哈希编码，如果相同就说明的确是该用户的支票。 这 是因为只有该用户拥有这个私有密钥能产生这样的签名。 ..3 保密与加密保密与加密 一旦数字支票经过了数字签名，那么下一步就是对支票使用私有密钥进行加密。这一步一般是指使用对称密钥对文件进 行加密。经过加密的信息在网络上传输时，即使被截获，没有密钥也是无法阅读所传输的文件。那么接下来就是如何向银行 秘密地传送用户的对称密钥。 ..4 公开密钥的密钥传送系统公开密钥的密钥传送系统 公开密钥密码系统常用来解决密钥的发送问题。为了做到这一点，用户必须使用银行的公开密钥给对称密钥进行加密。 既然只有银行拥有相应的私有密钥。那么只有银行能知道用户发送的对称密钥。 为什么要混合使用公开密钥系统和对称密钥系统呢？最简单的原因就是公开密钥系统相对来说很慢，只适合小信息量的 传递。而对称密码系统相对来说要快得多，适合于大信息量的传送。 ..5 整个过程整个过程 整个过程如图 4-1 与图 4-2 所示。 图 4-1 发送过程 wap 建站相关安全知识 第 4 页 共 34 页 图 4-2 接收过程 安全信任安全信任 任何一个安全系统都建立在信任的基础之上的。在系统的用户之间，这种信任可能表现为不同的形式。总的来说，不同 形式的信任能解决不同的问题，减少某种情况下的冒险。采取哪一种形式的信任大多取决于合作方式。 在网络环境下，用户需要了解有两种最主要形式的信任：第三方信任和直接信任。本节将主要介绍这些概念并提供一些 附加的信息，让用户来理解在给定的环境下，应该采取何种信任方式。 ..1 第三方信任第三方信任 第三方信任是指使从来没有建立过联系的双方建立一个相互之间的完全信任（如图 4-3 所示）。在这种情况下，双方都 完全相互信任，因为他们有共同的第三方，并且第三方声明这两个人都值得信任。 第三方信任是一个大型网络基于公共密钥密码系统产品的基础。公共密钥密码系统需要操作用户的公共密钥。在一个大 型网络中，寄希望于每个用户之间都已经建立了联系是不现实也是无法实现的。另外，这就意味着用户的公共密钥必须广为 人知， 并且持有该公共密钥的用户必须由第三方来保证其可信， 防止冒充。 事实上， 用户完全信任由第三方发放的公共密钥， 因为他们的组织以一种安全的方式拥有和运作着第三方证书代理。 一般来说，第三方证书代理就是指认证机构（certification authority，ca）。 图 4-3 第三方信任 ..2 认证机构认证机构 wap 建站相关安全知识 第 5 页 共 34 页 认证机构（certification authority，ca）是一个可以被信任的实体，它的中心责任是保证用户是可信任的。从某种意义 上来说，ca 就是政府护照发放机构的一个别名。护照是一个由权威机构发放的公民安全文件，保证公民和他所声明的身份 一致。其他国家相信这个政府护照发放机构，同样会相信公民的护照棗这是一个典型的第三方信任。 类似于一个护照，一个网络用户的“电子身份证”是通过 ca 来发放的。这就表明用户是值得 ca 信任的。因此通过第三 方信任，任何信任 ca 的人应该同样信任这个用户。 护照发放机构和 ca 都是政治和社会的混合体。在护照发放局的例子当中，政府要决定哪些公民是被认为是自己的公民 并可以获得一个护照。同样的，ca 也是一个组织，它决定了在网络这个政治实体中，哪些人是这个组织值得信任的，并可 以给他们发放一个电子证书。 从实际的角度来看，一个护照发放部门可以被看作是一个授权安全文件的创造者。护照机构有一系列的设备将公民的各 种信息（例如：姓名、相片、生日）和护照捆绑在一起。这样使得护照很难被更改。然后，当某个人检查这个护照的时 候，就可以假设这个护照的信息是真实的。当护照机构使用物理设备来创建安全文件的时候，ca 使用计算机平台和算法来 创建和验证一个网络用户的电子身份。特别地，ca 创建电子“证书”，其权威性和可靠性都是使用 ca 的私有密钥的电子 签名来保证的。用户可以使用 ca 的公开密钥来验证 ca 电子签名的可靠性。 护照机构必须保证其物理设备创造的护照的权威性。同样 ca 的私有密钥的电子签名必须小心保护，这样才能保证其领 域内的个体的高度可信。 在讨论证书之前，这儿有一个附加的网络安全信任概念，有点类同于护照发放机构。一个国家的护照发放机构没有权利 发放其他国家的护照，而且一个国家只有一个护照发放机构。类似的，网络安全信任概念也具有信任域和唯一性，这个概念 就是 ca 域（ca domain）。ca 域是指拥有该 ca 发放的证书的用户的团体。 ..3 电子证书电子证书 一个网络用户的证书和一个电子护照等价。因此，一个电子证书包含了可以用来检验和识别用户的安全信息，例如：一 个证书包含了用户的名字。 一个非常关键的信息就是用户的公开密钥。 这个公开密钥是用来给证书的所有者加密数据或者是 验证用户的电子签名。 考虑到信任的各个方面，有两个关键的问题与证书有关。第一个就是证书如何来保证证书内信息的安全。就是如何使别 人相信证书内的姓名和公开密钥的确是证书的所有者。的确，如果没有这个保障，那么公开密钥系统早就完全瘫痪了。因为 没有人能够保证他的数据或者签名一定是他真正指定的人才能打开。 为了在用户的公共密钥和用户的信息之间建立信任关系。ca 采用了对这些信息使用私有密钥进行数字签名的方式来保 证。ca 的数字签名提供三种重要的安全方式来保证证书的可靠性。首先，一个有效的数字签名就保证了其可信任性。第二， 既然 ca 是唯一持有这个私有密钥的实体， 任何人可以校验 ca 在证书上的签名，保证只有 ca 能够生成这样的签名。第三， 既然只有 ca 是唯一持有这个私有密钥的实体，ca 无法抵赖它所签过名的证书。 既然证书是包含了 ca 的电子签名， 那么第二个和信任相关的问题是关系到 ca 自己是否是值得信任的。 如果我们把这个 问题和护照发放机构联系起来， 那么正确的解释就是如何衡量一个护照发放机构的可靠性。 例如， 一个公民进入一个国家 a， 他持有一个有效的 b 国护照，海关必须保证 b 国的护照发放机构是否值得信任。为了做出这个决定，a 国海关官员将要检 查现在的可信任国家的列表，就好像决定高级别的政治组织是否在所控制的边界内。 这个可信任的国家集合，在网络安全中被称作交叉认证域（cross-certified ca domains）。 ..4 交叉认证交叉认证 交叉认证是指在两个 ca 认证机构之间交换钥匙信息的过程，这样使得双方可以有效地验证对方钥匙的可靠性（图 4-4）。 实质上，交叉 ca 认证是第三方认证的一个简单意义上的拓展。在某个 ca 域内的网络用户将完全信任由自己 ca 通过交叉 认证的其他 ca 域内的用户。 从技术角度来说，交叉认证包括在两个 ca 域之间创建交叉证书。当 ca 域x和 ca 域y交叉校验的时候，ca 域x实际 上创建和签名一个包含了 ca 域y的公开密钥的证书（反之也这样）。接下来，在任一域内的用户都假设这两个 ca 之间相 互信任，因而在一个域内的用户可以通过扩展的第三方信任来信任另一个域内的用户。 关于交叉认证，在安全地交换钥匙信息（在它们之间这是不冒风险的）方面还有更多的技术细节。既然交叉认证是拓展 的第三方认证，那么在任何一个 ca 域内都将能和其他安全模式打交道。回到先前的护照的比喻，在没有考察对方的护照创 wap 建站相关安全知识 第 6 页 共 34 页 造和发放的过程之前，是不可能申明对对方机构的信任。例如在建立信任之前，每个国家将会想知道对方国家是如何验证公 民的身份并发放护照的。 在 ca 交叉认证的时候也有类似的情况。例如在交叉认证之前，两个 ca 都想知道对方的安全模式，包括知道对方人员的 操作高级安全功能所能得到的信息。 双方还要签订有关的法律文件。 这个文件是一个安全手段， 并签名保证这个手段将实施。 图 4-4 交叉认证 ..5 直接信任直接信任 直接信任是指双方之间直接建立信任关系（图 4-5）。与第三方认证所不同的是允许双方直接建立信任而无须第三方的参 与。直接信任的基础是在交换安全信息之前的个人关系的基础上建立的。在网络安全中，直接信任是指在两个独立 ca 域中 的个人通过交换钥匙信息来建立他们的通信。因为这些 ca 域的代表之间还没有建立信任关系（通过交叉认证），因此用户 必须通过个人关系来信任对方。 没有个人信任，交换钥匙信息是没有意义的。因为钥匙信息本身就不可以信赖。当直接信任应用于信息安全通信的时候， 它的唯一责任就是双方都能保证他们能接受对方的信任条件。 当直接信任的时候，个人之间钥匙的交换是以个人关系之间强大的机制来保证安全通信的。 图 4-5 直接信任 服务器认证服务器认证 wap 建站相关安全知识 第 7 页 共 34 页 一个 wap 服务器的 wtls 认证是一个认证证书。它授权给确认的站点可以访问移动设备内的微型浏览器。当微型浏览 器的用户想发送一个加密信息给 wap 服务器时，微型浏览器将操作服务器的数字证书。这个证书包含了 wap 服务器的公 共密钥，微型浏览器将用来授权给确认的 wap 服务器，并且使用无线传输加密协议（wireless transport layer security， wtls）加密。 既然 wap 服务器是唯一拥有这个私有密钥，因此只有这个服务器能够解密这些信息。即使信息通过因特网传播，它仍然 是可信的，而且无法伪造的。 cacacaca 认证认证 ca 认证是一个通过了 ca 认证的证书。ca 认证就好像其他的电子认证一样，除了他们是自签名。ca 认证是被用来决 定是否信任由 ca 所签发的证书。 在护照的那个例子中，护照发放局将要验证有效性和你的权利，并且决定是否允许你进入。同样的 ca 认证是用来授权 和验证 wap 服务器的认证。当一个 wap 服务器的 ca 认证出现在微型浏览器前面，微型浏览器将使用 ca 认证来决定是 否信任这个 wap 服务器的认证。如果服务器的认证是有效的，那么 wtls 对话将被执行。如果是无效的，那么这个服务器 的认证被拒绝，并且不执行 wtls 会话。 无线传输安全协议无线传输安全协议 无线传输安全协议（wireless transport layer security，wtls）技术是一种安全协议。它是被用来保证无线网络的安全 通信和传输。wtls 将主要被用在微型浏览器和 wap 服务器之间，并且将成为电子商务的主角。 wtls 协议使用数字证书在两个实体之间创建一个安全的秘密的通信“管道”，典型的例子是一个移动电话和一个 wap 服务器之间的通信。通过 wtls 连接来进行传输的数据，是不可能在不知道的情况下被篡改或者伪造。 一个一个 wapwapwapwap 服务器认证是如何应用在服务器认证是如何应用在 wtlswtlswtlswtls 传输中的呢？传输中的呢？ 假设 alice 想使用她的移动电话连接到一个安全的 wap 站点买点东西。 当 alice 访问 wap 站点时， 手机里具有 wtls 功能的微型浏览器向指定的 wap 服务器发出“客户呼叫”， 请求建立 一个 wtls 连接。 wap 服务器响应 alice，并发还一个服务器证书。 （里面包含了公共密钥） alice 的微型浏览器将验证这个服务器证书是否有效，同时查看微型浏览器的数据库，检查在这些认证当中哪些是 alice 所信任的。 如果证书是有效的，alice 的微型浏览器将产生一个会话密钥，并将这个会话密钥使用服务器的公共密钥加密传送 给服务器。 服务器将用私有密钥解密信息，恢复会话密钥。在这个时刻 alice 可以被保证两个事情： 她所联系的 wap 站点是和申明中所说的站点是一致的。 （也就是站点的身份是经过校验的） 只有 alice 的微型浏览器和 wap 服务器拥有这份会话密钥。 wtls 的“握手”校验需要建立 wtls 会话的双方完成以后，一个秘密的通讯“管道”就已经建了。alice 的微 型浏览器和 wap 服务器之间在知道对方的身份和防伪的状态下，就可以使用会话密钥相互发送加密的信息。 服务器认证过程服务器认证过程 为了说明 wap 服务器的认证过程。下面将以 entrust 公司的 wap 服务器认证过程为例子。具体的情况请查看该公司的 站点。 wap 建站相关安全知识 第 8 页 共 34 页 ..1 验证用户的权限验证用户的权限 因为用户的组织名字将出现在用户收到的证书当中。在发放证书之前必须保证用户有权利使用那个名字。这是为了防止 未经授权地在 wap 服务器中使用用户所在组织的名字。 dundundundun & bradstreetbradstreetbradstreetbradstreet (d-u-n-s)(d-u-n-s)(d-u-n-s)(d-u-n-s) 数字是一个最简单的办法来证明用户有权利在证书中使用这个组织的名字。在美国本土或 其他地方，大多数组织都有 d-u-n-s 数字。用户可以在 查询他的 d-u-n-s 数字。如果用户没有 d-u-n-s 数 字，可以免费在线索取一个。请按照图 4-6 填写 d-u-n-s 数字： 请在空白处记录你的 d-u-n-s 数字和企业类型。 d-u-n-sd-u-n-sd-u-n-sd-u-n-s 企业类型企业类型 图 4-6 填写 d-u-n-s 数字 注意：注意：在线的认证将会连接到 dun & bradstreet 站点，来确认用户所填的内容是否属实。 然后，用户用传真将他的权利认证交给 e。表 4-1 列出了需要提交给 e 的文件。 表 4-1 提交文件 如果你的组织是：如果你的组织是：将要提交：将要提交： 公司、企业、股东、所有者公司的注册文件；或者是经过有关方面盖章的股东证明或所有权的复印件 政府部门或机构一封由部门总负责人签字的原始信件。 信件中必须包括部门的相关信息和当时 负责人所在的职位 非政府组织(ngo)一封由主席、首席执行官、或者总管理人签署的申请信 大学一封由所在院校的院长或者副院长签名的申请信。 信中必须包含所在院校的信 息 商业组织(dba)一份有关商业组织的注册文件， 税务和纳税人证明， 或者是官方相应的书面证 明，表明你有权利使用这个组织的名称 一个这里没有列出的组织请和 entrust 联系商讨应该提交哪些文件 ..2 sscrsscrsscrsscr 和域信息和域信息 在这一步，用户将要提供他的域名和签名证书（self-signed certificate request，sscr）他可以选择你的证书有效期限、 口令和指定 wap 服务器所使用的软件。 1. 1. 1. 1. 域信息域信息 wap 建站相关安全知识 第 9 页 共 34 页 用户所收到的证书当中还包括他的 wap 服务器的域名（例如：）。这个名字包含了用户所在组织的名字。 e 只能给那些拥有该注册名的用户发放证书。例如：当用户收到一个域名为 的证书，那么他一定是 e 组织名字的所有者。 要想注册成为域名的所有者，可以查阅域名注册数据库（whois database）。whois 数据库是由一个叫做网络信息中 心（network information centers，nic）来维护的。每个 nic 负责不同的顶级域名。例如：network solutions （http:/ww ）保存了一系列注册.com、.edu、.org 和.net 的域名。表 4-2 列出了经常访问的 nic。如果用户的顶级 域名不在里面，请查看 http:/www.uninett.no/navn/domreg.html。 表 4-2 查询域名 如果你的域名为：如果你的域名为：请查看：请查看： .com、.edu、.org 或者.netnetwork sulutions /cgi-bin/whois/whois .milu.s. military /cgi-bin/whois .auaustralia /cgi-bin/whois.aunic .cacanada http:/www.cdnnet.ca/search/index.html .frfrance http:/www.nic.fr/outils/whois.html .degermany http:/www.nic.de/servlet/whois .ititaly /db/whois.html .mxmexico http:/www.nic.mx/cgi/whois .ukunited kingdom http:/www.nic.uk/whois.html .jpjapan http:/www.nic.ad.jp/cgi-bin/whois_gw 记录用户的域名以及注册所有者的名字和地址。如果用户需要申请多个证书，那么就需要记录每个域名及其所有者的 信息。请按照图 4-7 填写信息。 域名 wap 建站相关安全知识 第 10 页 共 34 页 所有者 公司名 地址 图 4-7 填写域名信息 2. 2. 2. 2. 产生和递交一个产生和递交一个 wapwapwapwap sscrsscrsscrsscr 自签名请求（self-signed certificate request，sscr）包含用户的 wap 服务器的公开密钥，当然还包括其他一些关于用 户的服务器辨别名（distinguished name, dn）的信息。用户可以生成一个关于 wap 服务软件的 sscr，并且在线将它提 交给 e。当用户的申请被确认以后，所有的申请数据将打包到由 e 发放的 ca 认证证书当中。 用户必须根据以下的指导来产生一个有关 wap 服务文件的 sscr。当用户填写在线申请的时候，将 sscr 粘贴到申请上 合适的位置即可。如果用户的 wap 服务是向 isp 租用的，那么就由 isp 提供给用户一个 sscr。在提交每一个 sscr 只需 要简单地在线申请表单中点击“another certificate”，并粘贴 sscr 到空白位置就可以了。 当用户产生一个 sscr 时，一对密钥也就产生了。公共密钥放入到 sscr 中并且提交给 e 认证。私有的密钥保 存在用户的计算机里。用户一定要将私有密钥保存好，如果用户丢失或者损坏了私有密钥，将无法使用他的证书。 重点重点：私有密钥是一个十分敏感的信息私有密钥是一个十分敏感的信息。任何人得到你的私有密钥将有解密在你的任何人得到你的私有密钥将有解密在你的 wapwapwapwap 服务器上由服务器上由 wtlswtlswtlswtls 保护的数据保护的数据 的可能。请采取适当的措施防止未经授权的人员得到该密钥。的可能。请采取适当的措施防止未经授权的人员得到该密钥。 3. 3. 3. 3. 产生产生 sscrsscrsscrsscr 的技巧的技巧 当用户要生成他的 sscr 时，将被询问整个组织的情况和用户的 wap 服务器。这些信息将用来产生 wap 服务器的辨别 名（distinguished name，dn）。用户按照以下的几点来输入信息： 国家代码：这个是两个字符的 iso 标准缩写。它代表了用户所在的国家。例如：ch 代表中国。 地区或者省份：这个名字是用户的组织总部所在的地区或省份。请输入全部的名字，不要使用缩写。 位置：这是用户的组织总部所在的城市名。 住址：这是用户组织的注册名字。这个名字必须和 wap 服务器拥有同样的域名。不要简写组织名称，也不要使用以下字 符： ! # $ % * / ( ) ? 单位：将要使用这个证书的部门或小组。 域名：这个名字是用户的 wap 服务器将要使用的 url（例如，）。不要使用其他字符，例如“*”或者 “?”, 并且不要使用 ip 地址。 4. 4. 4. 4. 将将 sscrsscrsscrsscr 粘贴到表单上粘贴到表单上 在将要上交表单的时候，只需要把以上内容粘贴到表单中，特别注意要在表单内容的前后加上“-begin certifica te request-”和“-end certificate request-”这两行以标志表单的开始和结束。在大多数情况下，ss cr 和下面的事例类似： -begin certificate request- aaaackzvckvudhj1c3qiaic4gofpe7wh4ofmsgul ia6s4q1m/i61tux3w38ndl5ln72uvjxisxxci5wt ay3scejjk4q6lbyfsay7xddmkapwr6ggknae56sl ulxea9r81ddfb+sisb/cep74lru4tkmbhpnuafn5 q9xlof/ptattachjq9hhrvverzq2e8nrdqadaqab -end certificate request- wap 建站相关安全知识 第 11 页 共 34 页 重点：当用户生成重点：当用户生成 sscrsscrsscrsscr 的时候，提示输入用户所在组织的名字。请用户输入他和以前的权利提交中所使用的组织名称的时候，提示输入用户所在组织的名字。请用户输入他和以前的权利提交中所使用的组织名称 保持一致。如果不一致，将拖延用户的申请时间。保持一致。如果不一致，将拖延用户的申请时间。 ..3 选择证书有效期选择证书有效期 e 提供一年或者两年的有效期。这两种方式都提供十分有效的安全保障。但是许多客户选择两年期来减少与 wa p 相关的认证。 请按图 4-8 填写 wap 服务器认证的有效期。 认证有效期 图 4-8 服务器认证的有效期 ..4 选择口令选择口令 当用户想撤消证书或和 entrust 支持部门联系的时候，都是需要口令的。所以用户必须选择一个口令，并将它填写在如图 4-9 所示的表格中。为了安全起见，请使用至少 8 个字符，并最好至少有一个小写字母、一个大写字母和一个非字母表的字 符（例如“%”或者“!”）。一个好的口令是应该是易记而难猜的。 重点：如果用户要将口令写下来，请将它保存在一个安全的地方。重点：如果用户要将口令写下来，请将它保存在一个安全的地方。 口令 图 4-9 填写口令 ..5 输入用户的输入用户的 wapwapwapwap 服务器类型服务器类型 用户要记录他的 wap 服务器类型和 wap 服务器的软件，这可以从以下列表（如图 4-10 所示）中选取： wap 服务器 图 4-10 填写 wap 服务器类型 ..6 定制多个证书定制多个证书 在线申请多个证书是十分方便的，用户只需要点一下“another certificate”就可以输入下一个域名、sscr、口令和 wa p 服务器。 ..7 选择联系人选择联系人 在申请证书时，需要知道有关用户所在组织的四点内容： 一个用户所在组织的有权利申请证书的高级成员。 这个成员将会收到证书的副本。 如果在处理用户的申请的时候遇 到某些更深层次的问题，可以与他取得联系。 一个技术人员将会收到这个申请书的副本，他将被通知证书的更新和升级。技术联系人一般是负责安装该证书到 wap 服务器中的人。如果用户的服务器是由第三方的 isp 在管理，那么应该在第三方中有人作为用户的技术联系 人。 wap 建站相关安全知识 第 12 页 共 34 页 一个安全负责人，他应熟悉安全方面的事务，有关安全的信息和 wap 安全警告将发送他。安全负责人可能和技术 人员是同一个人。 一个付账的人。 根据以上组织的内容，在线申请证书时需要填写的表格如下： 授权人授权人 需要按图 4-11 所示的内容填写名字、公司名、电话号码、职位名称、e-mail 地址。 名字名字 公司名公司名 电话号码电话号码 职位职位 e-maile-maile-maile-mail 地址地址 图 4-11 填写授权人 技术联系人技术联系人 需要按图 4-12 所示内容填写名字、公司名、电话号码、职位名称、e-mail 地址。 名字名字 公司名公司名 电话号码电话号码 职位职位 e-maile-maile-maile-mail 地址地址 图 4-12 填写技术联系人 安全联系人安全联系人 需要按图 4-13 所示内容填写名字、公司名、电话号码、职位名称、e-mail 地址。 名字名字 公司名公司名 电话号码电话号码 职位职位 wap 建站相关安全知识 第 13 页 共 34 页 e-maile-maile-maile-mail 地址地址 图 4-13 填写安全联系人 账单联系人账单联系人 需要按图 4-14 所示内容填写名字、地址、城市、省份或地区、邮政编码、国家、电话号码、e-mail 地址。 姓名姓名 地址地址 城市城市 省份或地区省份或地区 邮政编码邮政编码 国家国家 电话号码电话号码 e-maile-maile-maile-mail 地址地址 图 4-14 填写账单联系人 ..8 确认确认 确认页将包含着用户每一步所输入的信息。这个页给用户提供了表单提交前验证所输入内容的机会。如果用户可以按“e dit”键对内容做修改。必须指出任何的应用错误将拖延申请的时间。 以下信息将显示在确认页上： d-u-n-s 数字和企业类型 授权人 技术联系人 安全联系人 账单联系人 在附加的信息中，每个证书都将显示以下内容： o域名 o辨别名 o有效期 owap 服务器 ..9 签署文件签署文件 wap 建站相关安全知识 第 14 页 共 34 页 这一步要求用户阅读有关的条款。这些条款是 e 针对每一个使用 wap 服务认证的使用者。用户必须同意这些条 款才能到达下一步。 ..10 付费信息付费信息 用户可以通过在线付费 american express、visa 和 master card。发放用户的证书后才从信用卡里面收取费用。在收取费 用之后，用户将收到一个在线的收。 当用户完成订购之后，用户将收到一个订购序列号，请记录这个号码。用户可以使用这个号码来在线跟踪申请的状况。 一旦用户完成了注册技术联系人和授权人，将收到一个 e-mail，通知他们，申请正在被考虑之中。如果用户的申请成功， e-mail 将包含一个 url， 那儿有用户可以使用的 wap 服务认证证书。 请用户查阅他的 wap 服务软件来指导如何安装证书， 并启动 wtls。 配置配置 nokianokianokianokiawapwapwapwapserverserverserverserver ..1 nokia wap server v1.0 从本地安装从本地安装 e wap root 证书证书 本节描述了如何配置 nokia wap server v1.0， 使得移动用户得到和安装本地的 e wap root 证书。 为了安全起 见，root 认证被选作为可靠的使用方式。 注意：注意：本文假设移动终端已经配置好，并且可以访问 nokia wap server。 配置 nokia wap server 有三个主要的步骤： 创建一个流量映射，让内建的文件服务组件（built-in file servlet，fileservlet）来处理本地的文件。 配置 fileservlet，让它来处理 ewaproot 证书。 建立一个 wml 服务页面链接来操纵waproot 证书。 1. 1. 1. 1. 建立一个流量映射建立一个流量映射 在任务栏中点击“start”按钮，选择“programs”“nokiawapserver”“nokiawapserver manager”。 登录到“nokiawapserver manager”，管理窗口就出现了。 从菜单条中选择“servlets”。 从“servlets”菜单选择“mappings”。 “servlet mappings”控制面板出现。在这个窗口，用户可以为 wap 服务器建立一个新的流量映射。默认的是所有的 http 请求都由 httt manger 来处理。 http manger 向 internet 发送请求。 对于本地安装的 ewaproot 证 书，用户必须创建一个新的文件请求到 fileservlet。 点击“create”，一个新的“mapping”对话框出现。 在 url 一栏输入“http:/myhost/”。这里 myhost 是你的主机名。 从“servlet”列表中选择“fileservlet”。点击“ok”按钮。 至此，已经建立了一个新的映射。任何到 wap 服务器的 http:/myhost/请求都将被引导到 fileservlet。 注意注意：为了编辑映射，从“servlet mapping”窗口选择一个项目，并选择“edit”按钮。当“new mapping”对话框出现 的时候，就可以编辑映射了。 在流量映射正确建立的情况下，必须在 fileservlet 中指定证书的文件类型。文件类型（mime）必须正确配置，使得 wa p 服务器可以正确地将文件发送给移动设备终端。mime 文件类型就意味着文件中有 root 证书的内容。 2. 2. 2. 2. 配置配置 fileservlet 关闭所有的窗口和对话框，除了“nokiawapserver manager”。 wap 建站相关安全知识 第 15 页 共 34 页 从菜单中，选择“servlets”。 从“servlets”中选择“file servlet”。“servlet:fileservlet”对话窗口出现。 点击“add” 按钮。“add property”对话框出现。 在“name”栏中输入“.cer”。 在“value”栏中输入：“application/vnd.wap.wtls-ca-certificate”。 点击“ok”按钮加入证书文件类型到 fileservlet。 点击“ok 按钮关闭配置“servelet:fileservlet”对话框。 3. 3. 3. 3. 加入一个加入一个 e root 证书文件到用户的证书文件到用户的 wml 页面中。页面中。 增加一个 wml 页面，使得终端用户可以选择操作 e wap root 证书文件。 以下的 wml 卡片例子包括了链接到 e wap root 证书。 这个例子假设： entrustwaproot 证书名字是 entrustroot.cer entrustwaproot 证书在 wap 服务根目录中 import e root certificate: (requires nokia 7110/7190) -ca root ? 2000 entrust technologies 现在这台 nokia wap 服务器就已经配置了证书，终端用户可以下载 e wap root 证书。 ..2 nokia wap server v1.0 从从 entrust web server 安装安装 e wap root 证书证书 本节描述了如何配置 nokia wap server v1.0 使得终端用户可以从 entrust web 站点下载并安装 e wap root 证书。 推荐在本地安装 e wap root 证书以避免一些安全隐患。 注意：注意：本文假设移动终端已经配置好，并且可以访问 nokia wap server。 配置 nokia 服务器有两个主要步骤： 创建一个流量映射，让 nokiawapserver http manager 处理 http 流量。 创建一个 wml 页面连接，使得终端用户可以从 e web 站点下载 ewaproot 证书。 1. 1. 1. 1. 创建一个流量映射创建一个流量映射 http 流量映射是 nokia web server 默认的映射。这个映射创建的过程在这里是一个参考。如果映射在用户的 nokia w ap server 并不存在，执行以下过程。否则跳到下一个步骤。 wap 建站相关安全知识 第 16 页 共 34 页 1.在任务栏中点击“start”按钮，选择“programs”“nokiawapserver”“nokiawapserver manager”。 2.登录到“nokiawapserver manager”，管理窗口就出现了。 3.从菜单条中选择“servlets”。 4.从“servlets”菜单选择“mappings”。 5.“servlet mappings”控制面板出现。在这个窗口，用户可以为 wap 服务器建立一个新的流量映射。默认的是所有的 http 请求都由 httt manger 来处理。 http manger 向 internet 发送请求。 对于本地安装的 ewaproot 证 书，必须创建一个新的文件请求到 fileservlet。 6.点击“create”，一个新的 mapping 对话框出现。 7.在 url 一栏输入“”。 8.从“servlet”列表中选择“fileservlet”。点击“ok”按钮。 至此，已经建立了一个新的映射。任何到 wap 服务器的，且与所输入的 url 相符合的请求都将被引导到 fileservlet。 注意注意：为了编辑映射，可以从“servlet mapping”窗口选择一个项目，并选择“edit”按钮。当“new mapping”对话框 出现的时候就可以编辑映射了。 2. 2. 2. 2. 加入一个加入一个 e root 证书文件到用户的证书文件到用户的 wml 页面中页面中 增加一个 wml 连接页面，从而可以连接到 e 站点，并下载 e wap root 证书。 以下是一个简单的例子： import e root certificate: (requires nokia 7110/7190) - ca root ? 2000 entrust technologies 这样，nokia wap server 就配置好了，用户终端可以下载 e wap root 证书。 认证证书管理认证证书管理 从安全的角度来考虑，wap 最重要的方面就是无线传输安全协议（wireless transport layer security，wtls）。wtls 是 ss