利用CryptoAPI密码体系实现WTLS安全协议.pdfVIP

利用 CryptoAPI 密码体系实现 WTLS 安全协议 高丹，郭庆平，徐昶 武汉理工大学计算机科学与技术学院，湖北武汉（430063 ） E-mail ：gaodan66@ 摘 要：本文研究了无线应用协议 WAP 中的无线传输层安全WTLS 协议的体系结构，阐述 了无线传输安全协议的服务类型、运行流程，并介绍了在WindowsCE 嵌入式操作系统中利 用 CryptoAPI 密码应用编程接口实现该协议的方法，该方法有助于应用开发者可以在不了解 复杂的加密机制和加密算法情况下，简便、快速地实现 WTLS 协议。 关键词：无线安全；WTLS；CryptoAPI 中图分类号：TP393 1. 引言 随着移动用户数量的不断增加，移动市场对移动业务的需求也在不断上升，移动网络和 现有Internet 之间的融合将日渐广泛。无线应用协议WAP 的出现将移动网络与Internet 有线 网络紧密地联系起来，移动用户使用移动终端(如手机、PDA 等)就可以与Internet 网络进行 互通，方便地实现网络访问、数据共享等应用。 无论是因特网还是无线网络，没有安全就没有网络世界的繁荣。WAP 中的安全层被称 为无线传输层安全(Wirless Transport Layer Security，WTLS) ，被广泛应用于网上事务处理。 WTLS 为WAP 提供了一个安全的传送服务接口，另外，WTLS 还提供了一个管理安全连接 的接口(包括建立和终止安全连接) 。 2. WTLS 介绍 WTLS 由TLS1.0 发展而来，针对无线网络环境中特有的无线终端计算能力、无线网络 带宽限制等问题对进行了优化，主要表现在:支持数据报传输协议、优化了传输分组大小以 及允许动态密钥更新等。 WTLS 能够提供下列三种类别的安全服务： 1) 第一类服务：能使用交换的公共密钥建立安全传输，使用对称加密算法加密解密数 据，检查数据完整性，可以建立安全通信的通道，但没有对通信双方的身份进行鉴权。 2) 第二类服务：除完成第一类服务的功能外还可以交换服务器证书，完成对服务器的 鉴别。 3) 第三类服务：除完成第二类服务的功能外还可以交换客户证书，在服务器鉴别的基 础上又增加了客户鉴别，对恶意的用户冒充也能进行抗击。 从第一类服务到第三类服务安全级别逐级增高，可以根据应用对安全级别的要求选择性 的实现某一级别的安全服务。通常应该对这三种类别的服务都能支持，在握手协商的过程中 由客户端与服务端共同协商选定一个类别。 2.1 WTLS 安全问题解决方法 2.1.1 加密 WTLS 的保密性依靠加密通信通道来实现，所使用的加密方法和计算共享密钥所需的值 在握手时进行交换。首先，客户端和服务器交换Hello 消息，此后，客户端和服务器交换预 -1- 主密钥（Pre master Secret ），这个值用来计算主密钥（Master Secret ），计算所使用的加密 算法在服务器的Hello 消息中进行选择。在这条消息中，服务器通知客户端已经选择了一个 密码组，客户端向服务器提供一个密码组列表。如果服务器未发现合适的密码组，则握手失 败，连接关闭。当前常用的大批量加密算法有：支持40 、56 和128 位密钥的RC5 ，支持40 和56 位密钥的DES ，支持40 、56 和128 位密钥的3DES 和IDEA 。所有的算法都是分组加 密算法，加密密钥在密钥分组的基础上进行操作，密钥分组根据协商的密钥刷新频率在一段 时间后重新运算。 2.1.2 密钥交换 为了保证安全的联系通道，加密密钥或计算密钥的初始值必须以安全方式进行交换。 WTLS 的密钥交换机制提供了一种匿名交换密钥的方法。在密钥交换过程中，服务器发送包 含服务器公钥的服务器密钥交换消息。密钥交换算法可能是RSA 、Diffie-Hellman 或Elliptic Curve Diffie-Hellman 。在RSA 和匿名RSA 中，客户端用服