12.3 WAP数字凭证的使用与防范

网上数字凭证使用时，一般都要应用密码技术、数字签名、数字时间戳等安全手段，这一过程目前都是参与双方通过第三方认证中心实现的。而数字凭证在申请、颁发、使用和认证等操作时因为要通过Internet与认证中心联系，所以其中又涉及到安全与防范问题。本节就讨论WAP客户端、服务器及网关数字凭证的使用方法及安全防范，具体的操作实例我们在下一节专门给出。

12.3.1  WAP客户端凭证的使用
WAP客户端数字凭证的使用主要涉及申请、颁发、获得和签发等几个方面。介绍这些内容之前，我们先来了解一下客户端凭证的实现方法。

凭证实现方法
WAP客户端数字凭证包含一个专用密钥和数字签名逻辑，客户端的用户使用这种凭证不仅可以给对方提供认证功能，同时还可以实现客户端的数字签名功能。WAP客户端数字凭证可以应用于大多数的无线设备或手持设备，甚至是内嵌SIM 3的智能卡。

我们知道，普通Internet的个人数字凭证成功申请后都是安装在客户端的浏览器里。然而，手机等无线设备的客户端浏览器比较特殊，它没有足够的存储能力来存放WAP数字凭证，为此，VeriSign等认证机构通过将凭证小型化和微型化，使得客户端无须存储或者处理相应的数字凭证和公共密钥验证。具体实现的方法是将客户端的数字凭证保存在认证构架中的一个目录或者其他形式的存储设备中。这样，当用户数字签名等需要被验证的时候，就可以从那个地方提取用户的凭证。而且，在这种方式下，我们无须考虑数字凭证规模的大小，所以即便是标准的X.509格式的凭证，也可以在无线网络中应用。这种方式最主要的优点是，服务器能在同一个地方完成无线或者有线用户的签名校验。

当然，如果条件允许，数字凭证也可以保存在客户端的用户设备或者SIM卡中，而且这样能提供更好的认证速度。

在电子商务中，除了无线用户需要验证自己所连接的无线网关(如无线服务提供商)或者应用服务器(如银行或者股票代理)外，无线用户的对方，如无线服务提供商或银行等也同样需要对用户身份进行认证，由于这一过程通常需要经过WAP网关，所以他们可能需要对无线用户及网关同时进行认证。为此，WAP提供了“用户-网关”认证，该认证建立在WTLS基础之上，并可通过VeriSign等认证机构申请到相应的数字凭证。这种凭证我们也把它归属于客户端的数字凭证。