WAP规范的最新版本是1.2。虽然WAP1.2规范在较早就通过了,但是目前多数的手机和网关产品仍然只支持WAP1.1。然而本文中所讨论的安全技术对于WAP1.1和1.2版本来说是相同的。在近期未来对WTLS不可能有很大改动,主要是因为WTLS是基于很成熟的TLS协议的。这对于WAP开发者是一个好消息,因为这表示他们在与一个经过检验和尝试的技术打交道。虽然这并不代表WAP安全不会有任何发展,但是在可预见的将来,WTLS将作为新的WAP安全技术的稳定基础。
有一点可能的改变是以后的设备和软件产品可能会支持第2、3类WTLS,它们将使用基于服务器和客户机证书的认证。另外,WAP1.2还有一项特性没有被广泛支持,那就是WIM。
WIM规范是WAP1.2中新加的内容。WIM的目的是将安全功能从手机转移到抗损害设备中。这种设备可以是智能卡或者SIM卡。智能卡有自己的处理器,可以在卡上的芯片中实现加解密算法和哈希功能。与手机上的软件实现相比,WIM有若干优点,其中之一是较好的性能,因为它可以设计专门的加解密芯片。智能卡还可以存储数据,比如一些经常需要访问的数据,包括私钥和共享秘密等,它们通常用于建立长时间的会话。从共享秘密中继承密钥是很有效的,因而,从性能上看,保持这些长时间的会话,并且可以随时挂起和恢复它们显得十分重要的。当然,这也表示需要长时间存储这些共享秘密和继承的密钥。既然已经在智能卡上保存了这些数据,那么手机中就不用留有备份。当手机遗失时,任何人都不能轻易地重用这些会话。另外,即使手机电池耗尽,密钥也不会丢失,并无需重新建立。
WIM规范中并没有包含API(Application Programming Interface,应用程序编程接口),而且不能被WML和WMLScript直接访问,以后这点可能会有所改变。规范主要定义了卡的行为以及底层接口,这样生产商在移动设备上实现WTLS时就能够与任何兼容的WIM相配合。这表示该功能主要依赖于设备生产商。
将私钥与一些敏感的安全信息从手机中分离出来还可以解决其它问题,如由于用户可以将智能卡与手机分开保存,那么个人的合法性认证与设备的合法性认证的安全问题就迎刃而解了。当然,还有智能卡遗失的现象,不过我们仍有办法。比如我们可以将电话存储在SIM卡中,而将私钥存储在智能卡上,那么用户每次必须输入他的PIN码以获取安全服务,这样我们或许可以获得比目前的有线网络更安全的服务。 |