WTK的安全特性

1. MIDlet套件签名的背景知识

    MIDP 2.0 (JSR-118) 把“受信任的(trusted)”和“不可信的(untrusted)”概念引入了MIDlet套件,trusted套件可以被赋予设备访问更多API的权限。untrusted MIDlet套件如果想访问javax.microedition.io.HttpConnection API,则需要用户确认是否允许MIDlet套件使用这个API;而trusted MIDlet套件则不需要用户明确授权就可被赋予该API的访问权限, 而且可以访问那些禁止不可信MIDlet访问的API。

    当打包MIDlet套件时,可以使用J2ME提供的安全工具(公钥和私钥)对MIDlet套件进行签名。每对密钥与一个证书相关联,通过密匙给证书赋予一个安全域,使证书的持有者有访问受到保护的API。安全域类型:Untrusted or Minimum:所有访问受到保护的APIs权限都被拒绝,包括访问推入(push)功能和网络协议;Trusted or Maximum:所有访问受到保护的APIs权限都被允许,包括访问推入(push)功能和网络协议。


2. 对MIDlet套件进行数字签名

    Java代 码签名证书主要用于证明软件开发者开发的软件代码符合Sun Java规范。您可以使用Java代码签名证书来为您的Java代码进行数字签名,以便通过互联网安全分发,使得最终用户能确信您的代码已经通过权威的第 三方认证,而且没有在传输过程中被非法篡改和被破坏。其主要特点有:(1)支持jar(Java Applet)文件和 J2ME MIDlet Suite文件 ;(2)保护您的代码的完整性(未被篡改或破坏) ;(3)让最终用户能确信此代码确实是您提供的

    Java代码签名证书支持nokia和sonyericssion等手机的 MIDlet应用软件,运行签名后的MIDlet Suite就会显示软件开发商名称,否则会显示让用户不敢下载的警告“应用软件来源未知,继续?”。同时,签名后访问网络等都不会弹出烦人的警告框了,让 手机应用更加安全,更有利于软件开发商推广其应用软件。

    WoSign、Thawte和VeriSign都有自己的Java代码签名证书产品,建议您根据您的需求来选择合适产品:

    (1)如果您需要签名J2ME MIDlet代码,则推荐您选购套餐C:Thawte Java代码签名证书(对索爱手机支持多些) + VeriSign Java代码签名证书(对诺基亚手机支持多些) ,6200元/1年,11000元/2年。您可以提供使用两种证书签名的两种版本供用户选择。就单个证书来讲,VeriSign Java代码签名证书 (3992元) 的通用性要好些,比Thawte Java代码签名证书(2392元)支持更多类型的手机和PDA等移动终端。如果您的MIDlet应用只针对某个手机类型,而Thawte或 VeriSign Java代码签名证书支持此手机类型的话,则可以只购买其中一种Java代码签名证书。

    注:由于 VeriSign/Thawte 和 WoSign工程师都只是数字证书专家,并没有MIDlet开发经验,所以无法提供与开发有关的技术支持,只有靠用户您自己参考有关文档(MIDP 2.0安全机制) ,实现签名MIDlet的成功部署。您可以先使用VeriSign证书签名测试,不行的话,再使用Thawte证书签名测试,都不行的话,则我们承诺 您购买的两款Java代码签名证书都可以在28 天内取消订单退回全款,确保您放心购买和加紧测试。当然,我们希望您能与我们分享成功部署的经验(已经有许多用户成功部署,如:中国移动、搜狐等),以便更多的用户受益。

    (2)如果需要签名J2SE的jar代码,则推荐您购买Thawte Java代码签名证书,因为其价格比VeriSign的便宜。

    (3)如果您希望有比Thawte Java代码签名证书更便宜的Java代码签名证书,则您可以选购WoSign Java代码签名证书,但请注意,WoSign Java代码签名证书只支持Java J2SE 1.5.008版本或以上版本。

    (4) Java代码签名证书不支持时间戳服务,证书过期后签名就无效了,所以推荐购买多年有效期证书。

    > VeriSign 代码签名证书 : 3992 元/年, 7160 元/2年, 10360 元/3年
    > Thawte 代码签名证书 : 2392 元/年, 4392 元/2年
    > WoSign代码签名证书-多用途版 : 1388 元/年, 2498 元/2年, 3538 元/3年

你可能感兴趣的:(java,网络应用,软件测试,网络协议,中国移动)