密码学及安全应用9讲义.pptVIP

WTLS握手协议流程 Client Hello Certificate* Server Key Exchange* Certificate Request* Server Hello Server Hello Done Certificate* Client Key Exchange* Certificate Verify* [Change CipherSpec] Finished [Change CipherSpec] Finished 服务器端 客户端 WTLS握手协议的一个实例 ① 客户端发起连接请求，提供加密算法、认证算法以及压缩算法候选列表，并提供安全性需求、客户随机数等数字化信息到服务器。 ② 服务器通过选择适合自己的算法信息并发送服务器随机数，接着发送服务器证书到客户端，此时，WPKI证书以证书链的形式存在。 ③ 服务器发送获取客户证书的请求。 ④ 客户端利用存储在WIM卡中的CA中心公钥验证证书链，以检验服务器证书的有效性。 ⑤ 客户端发送自己的证书URL到服务器。服务器向证书中心申请客户证书进行验证。 ⑥ 客户端生成预主密钥并用服务器端公钥加密后传送到服务器。通知服务器应该采用协商好的会话密钥，并发送结束握手报文以结束整个流程。 10.4.4 无线网络的物理安全技术 1. 跳频技术 2. SSID访问控制 3. WEP与WPA 习题 1. 在移动互联网中，下面哪些实体的证书不需要使用短时证书形式。 （ ） A. Web服务器 B. WAP网关 C. 移动终端 D. CA 2. 移动终端要访问Internet主要通过 访问。 （ ） A. 目录服务器 B. WAP网关 C. PKI Portal D. RA 3. 在WPKI模型中，PKI Portal具有 和 的功能。 4. 简述PKI与WPKI的区别。 5. 简述SSL协议与WTLS协议的区别 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * 第9章 移动电子商务安全 目录 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 无线应用通信协议(WAP) WAP设计目标 能通过手机等无线终端方便安全地访问Internet上的信息资源 能独立运行于各种无线网络之上而不必考虑这些无线网络之间的差异 WAP协议设计原则 （1）操作能力。 （2）伸缩性。能够根据用户的需求对移动网络的服务进行定制。 （3）效率。提供适合于移动网络特点的服务质量（QoS）保证。 （4）可靠性。提供一致的和可靠的服务应用平台。 （5）安全性。即使在不具有保护能力的移动网络和设备上，仍能通过WAP提供的服务来保护用户数据的完整性。 WWW和WAP协议特点的比较 WWW WAP 数据传输 文本格式数据 二进制数据（高度压缩） 网页格式 HTML WML 脚本语言 JavaScript等 WMLScript 对中低带宽的优化 无 有 对信号不连续问题的处理 无 有 WAP的应用模型和结构 WAP 网关 Web服务器 移动终端 Internet 无线网络 WAP应用基本工作流程 ① 用户使用移动终端将编码后的HTTP请求通过移动信息网络发送给WAP网关。 ② WAP网关接收到请求，将其解码并转换为标准的HTTP请求提交给内容服务器。 ③ 内容服务器将响应信息返回给WAP网关。 ④ WAP网关再将响应信息解码并返回给用户 WAP的体系结构 无线应用环境（WAE） 无线会话协议（WSP） 无线事务协议（WTP） 无线传输层安全（WTLS） 无线数据报协议（WDP） 无线承载网络：GSM、CDMA等 其他服 务和 应用 HTML HTTP SSL/TLS TCP/IP UDP/IP 应用层 会话层 事务层 安全层 传输层 网络层 OSI WAP Internet 10.1.3移动网络技术 1. 移动IP技术解决节点移动（即IP地址变化）而导致通信中断的问题 2. IEEE 802.11标准无线局域网标准 3. 蓝牙技术采用分散式网络结构以及跳频技术，支持点对点及点对多点通信 目录 10.1移动电子商务的实现技术 10.2移动电子商务面临的安全威胁 10.3移动电子商务的安全需求 10.4移动电子商务安全技术 移动电子商务面临的安全