?
快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

ag真人百家家樂是真的嗎:MIDP 2.0安全機制 與 MIDlet 數字簽名

?

本文檔是 WoTrust 根據 Forum Nokia 供給的技巧文檔《MIDag真人百家家樂是真的嗎P 2.0: Tutorial On Signed MIDlets》翻譯收拾的,請同時參考此英文原文文檔。請用戶在編寫 MIDlet 和署名 MIdlet 之前涉獵此文檔,以便對 MIDP2.0 的安然機制有一個深刻的理解,有助于用戶能用好 MIDlet 代碼署名證書。

充分理解 MIDP2.0 的安然機制后就可以向 WoTrust 申請 Thawte 或 VeriSign 的 Java 代碼署名證書來署名 MIDlet ,請同時參考:

Nokia MIDlet(MIDP 2.0) 代碼署名證書申請和應用指南

J2ME MIDlet( MIDP 2.0) 代碼署名證書申請和應用指南

一、概述

MIDP2.0 采納了全新的安然機制,這對付必要調用一個敏感的(緊張的)函數和 API 的 MIDlet 開拓者來講是必須懂得的,如:收集連接 API 、消息 API 和推 (Push) 函數等,還有一些可選的 MIDP 包也有許多受限定的 API 。

雖然購買代碼署名證書必要用度,但署名 MIDlet 對開拓者來講是收益非淺的,由于許多受保護的 API 都是必要署名的,以保護開拓者和用戶的利益。當然,有些利用是不必要署名的,如有些不必要聯網的僅用到一些圖形 API 的小游戲軟件。但一些緊張的利用,如:銜吸收集、發送短消息 ( 短信和彩信 ) 或造訪移動終端 ( 智妙手機、 PDA 等,以下簡稱為手機 ) 上的 PIM( 小我信息治理 ) 數據等等都必要署名。

數字署名 MIDlet 的好處包括:

(1) 基于 MIDlet 的安然策略,某些功能是必須署名才能應用的,而有些功能雖然不署名也可以應用,但必須要求用戶在應用時確認和改動其安然策略,如:寫用戶數據缺省是不容許沒有署名的 MIDlet 操作的;

(2) 基于手機的系統安然和移動收集的安然斟酌,某些手機制造商、移動運營商等可能回絕沒有署名的 MIDlet 在手機上安裝和運行;

(3) 大年夜大年夜改良用戶體驗,讓用戶應用方便,使得用戶不會蒙受調用受保護 API 時的安然警告的煩惱;

(4) 出于安然斟酌,安裝沒有署名的 MIDlet 是會有安然警告的,而相反,安裝已經署名的 MIDlet 則不會呈現煩人的警告,手時機自動驗證署名而順利地安裝成功;

(5) 已經署名的 MIDlet 將使得用戶能改良其低安然策略設置,前進手機的安然性;

(6) 確保已經署名的 MIDlet 不會被不法竄改和不法盜用。

二、 MIDP 2.0 安然機制

MIDP 是一個開放的平臺,使得任何人都可以為支持 MIDP 的設備開拓各類利用軟件,一樣平常都是移動終端設備。 MIDlet 套件可以以匿名要領經由過程收集下載,異常方便,但這也會帶來許多安然問題和隱私信息保護問題,用戶會問: MIDlet 能把用戶的小我信息發給不知道的辦事器嗎?會自動孕育發生沒有授權的呼叫或短消息而給用戶帶來用度嗎?惡意軟件會破壞手機?等等。

除了 Java 說話的安然特點外, MIDP 還增添了許多安然斟酌。 MIDP ag真人百家家樂是真的嗎2.0 比 MIDP 1.0 增強了安然策略,把 API 分為通俗 API 和敏感 API ,如:經由過程HTTP 協議造訪移動收集,因為會給用戶孕育發生用度, 以是被列為 敏感 API 。 MIDlet 2.0 推出了可托任 MIDlet(trusted) 和弗成相信 MIDlet(untrusted) 的觀點,一個弗成相信 MIDlet 只能造訪有限的 API ,同時還必要用戶手動確認并改動其安然策略;而可托任 MIDlet 則自動承襲系統中的安然策略而得到造訪許可。

許可 (Permissions) 用于必要身份認證的 敏感 API 。 MIDP 2.0 要求調用 敏感 API 之前必須得到需要的許可,這些許可包的命名同 J2SE 許可,如: HTTP 連接許可同樣稱為: javax.microedition.io.Connector.http 。 有關許可的文檔批準歸類在受保護 API 中。

2.1 Protection Domains( 保護域 )

保護域是 MIDP 2.0 中一個異常緊張的安然觀點,一個保護域便是一個許可集和一種交互模式,這些許可既可所以自己承襲的,也可能是用戶設置的,前者稱為容許 (allowed) ,而后者稱為用戶容許 (user permission) 。當一個 MIDlet 被安裝后,它被分配到一個指定的保護域而得到它的許可和交互模式。

而用戶容許則必要用戶自己抉擇是否批準,用戶既回絕一個許可,也可以批準。用戶容許有 3 種交互模式: blanket( 普遍適用 ) 、 session( 短期適用 ) 和 oneshot( 本次適用 ) , 普遍適用 模式便是 MIDlet 安裝時得到的許可不停有效,除非用戶取消這些許可;而 短期適用 模式則是指第一次調用 API 時必要用戶容許,有效期到此 MIDlet 套件運行停止;而 本次適用 模式則在每次調用 API 時都要求用戶容許。保護域為用戶許可定義了缺省的交互模式。

一個 MIDlet 套件應用 MIDlet-Permissions 和 MIDlet-Permissions-Opt 屬性來明確地定義其許可,可所以在 JAD 文件中定義,也可以在 manifest 文件中定義。此中: MIDlet-Permissions 定義了 MIDlet 套件中必須具有的許可,而 MIDlet-Permissions-Opt 則定義盼望具有的許可。如:一個利用軟件的基礎要求是要有 http 連接才能正常事情,同時,也可以應用 https 連接 ( 辦事器支配了 SSL 證書 ) 來增強安然性,但不是必須的,這樣,這個利用軟件的利用描述可所以這樣:

MIDlet-Permissions: javax.microedition.io.Connector.http

MIDlet-Permissions-Opt: javax.microedition.io.Connector.https

請留意:一個 MIDlet 所要求的許可必須是安裝時分配的保護域所具有的許可的子集。如: Nokia S60 MIDP Emulator Pag真人百家家樂是真的嗎rototype 2.0 (SDK) 有一個叫做“ minimum ”的域,此域沒有任何許可。以是,假如一個含有許多許可的已經署名的 MIDlet 假如被安裝到此域,則會安裝掉敗,由于此域不支持這些許可。同樣,假如一個許可的名稱有拼寫差錯,則一樣會導致安裝掉敗,由于域中沒有此拼寫差錯的許可。

MIDP 2.0 為 GSM/UTMS 設備定義了 4 種保護域: manufacturer( 設備制造商 ) , operator( 移動運營商 ) , trusted third party( 可托任的第三方 ) , and untrusted( 不受相信域 ) ,除了 untrusted 域外,每個保護域都對應一組根證書,用于署名 MIDlet 的署名證書的根證書必須包孕在這些根證書中,應用不合的署名證書署名的 MIDlet 將被自動歸類予根證書所屬的保護域,根證書與保護域的關系是:一個保護域可以有許多個根證書,而一個根證書只能對應于一個保護域。

詳細來講, manufag真人百家家樂是真的嗎acturer 域屬于設備制造商,其根證書是設備制造商自己的根證書;而 operator 域運營商,一樣平常應用其 SIM 卡中的根證書;而 trusted third party 域則預置了舉世有名的數字證書揭橥機構 (CA) 的根證書,用于驗證由 CA 揭橥的 MIDlet 署名證書;而 untrusted 域沒有根證書,將用于沒有署名的 MIDlet 和 MIDP 1.0 。

Thawte 和 VeriSign 的根證書已經預置在 trusted third party 域中,其 Java 代碼署名證書可以用于署名 MIDlet 。當然,用戶也可以選擇應用設備制造商和移動運營商揭橥的證書,只要其根證書已經包孕在手機的 4 個保護域中。據 WoTrust 懂得,大年夜多半摩托羅拉 (Motorola) 手機只支持設備制造商域,以是,只能向 Motorola 申請署名辦事了。

請留意:因為 MIDP 2.0 也在賡續地改動和補充,以是,可能不用的移動收集運營商有不合的保護域和許可,用戶可能必要向移動運營商懂得具體信息。而最簡單的措施是反省目標用戶所應用的手機的根證書是否有計劃購買的 MIDlet 署名證書的根證書。

2.2 Untrusted MIDlet ( 不受相信的 MIDlet)

MIDP 2.0 定義了那些 API 是 untrusted 的,這些 Jar 文件的濫觴和完備性是不能被手機驗證的。但這并不料味著這些 MIDlet 不能被安裝和運行,而是運行這些 MIDlet 必要用戶人工確認容許。而所有 MIDP 1.0 的 MIDlets 都被定義為 untrusted 。

untrusted 的 MIDlets 只能調用一個不必要許可保護的 API ,如:

javag真人百家家樂是真的嗎a.util

java.lang

java.io

javax.microedition.rms

javax.microedition.midlet

javax.microedition.lcdui

javax.microedition.lcdui.game

javax.microedition.media

javax.microedition.media.control

假如 untrusted MIDlet 套件試圖調用一個被保護的 API 而且沒有被人工容許,則會孕育發生一個 SecurityException 而被 MIDlet 按照安然策略處置懲罰。請留意: Nokia 的 UI API 是不被保護的,包括類: com.nokia.mid.sound 和 com.nokia.mid.ui 。

2.3 Trusted MIDlets ( 可托任的 MIDlets)

假如手性能驗證 MIDlet 的身份和完備性 ( 也便是已經數字署名 ) ,則會自動分配一個相宜的保護 域這種 MIDlet 套件就稱為可托任的 MIDlet 。一個可托任的 MIDlet 套件所要求的許可將被答應,只要所屬的保護域擁有這種許可,要是許可: javax.microedition.io.Connector.http 已經在所屬保護域中是容許的,則 MIDlet 在打開一個 http 連接時是不必要用戶確認的。

請不要肴雜了可托任的 MIDlet 套件和可托任的保護域的不合,每個可托任的 MIDlet 套件依據安然策略被分配到一個特定的保護域。

您必要應用一個手機中已經預置的根證書的證書揭橥機構揭橥的代碼署名證書來署名 MIDlet ,否則將不能經由過程身份驗證。成功署名后的 JAD 文件中必然會包孕有全部署名證書的證書鏈,屬性名稱為: MIDlet-Certificate-1-1 便是您的署名證書,而 MIDlet-Certificate-1-2 便是 CA 的中級根證書,而 MIDlet-Certificate-1-3 便是 CA 的頂級根證書。同時還會有一個 MIDlet-Jar-RSA-SHA1 屬性便是 JAR 文件的擇要。

當一個 MIDlet 被下載或被安裝時, MIDlet 利用治理器首先會反省 JAD 文件中是否包孕了 MIDlet-Jar-RSA-SHA1 屬性,假如有,則啟動如下驗證歷程:首先會讀出 MIDlet-Certificate-1-1 、 MIDlet-Certificate-1-2 和 MIDlet-Certificate-1-3 屬性中的證書,并與已經預置的根證書相對照,假如證書鏈能被根證書驗證,則注解開拓者身份已經被驗證。接著就會應用用戶證書來解密 MIDlet-Jar-RSA-SHA1 屬性的擇要,再謀略出已經下載的 Jar 文件的擇要,對照兩個摘如果否相等,假如相等,則注解 MIDlet 代碼自署名后沒有被改動。這樣,既驗證了身份又反省了完備性的 MIDlet 會被分配到所屬根證書所對應的保護域中。然則,假如 MIDlet 中的許可屬性 ( MIDlet-Permissions ) 中有一個或多個不屬于所屬的保護域,則仍舊不容許安裝。而假如 MIDlet 中的可選許可屬性 ( MIDlet-Permissions-Opt ) 中有一個或多個不屬于所屬的保護域,會容許安裝??梢?,精確設置許可屬性和可選許可屬性異常緊張。

2.4 Function Groups ( 功能分組 )

為了簡化用戶治理操作, MIDlet 把一些類似功能分組,這樣,用戶只需對功能組設置許可即可。如:許可 “Net Access”( 收集造訪 ) 組來代替許可 javax.microedition.io.Connector.http ,這對付簡化手機的交互操作異常有用。

MIDP 2.0 和 JTWI 定義了如下 7 個功能組:

(1) Net Access: 包括所有收集連接許可;

(2) Messaging: 包括所有與發送和接管短消息 ( 短信和彩信 等 ) 相關的許可;

(3) Auto Invocation : 包括與自動啟動 MIDlet 相關的許可,如: Push Registration

(4) Local Connectivity : 包括與本地連接相關的許可,如: IrDA 或 藍牙;

(5) Multimedia Recording : 包括與容許錄音、拍照、攝像等相關的許可;

(6) Read User Data : 包括讀取用戶數據相關的許可,如:通訊錄、日程表等;

(7) Write User Data : 包括寫用戶數據相關的許可。

不合的手機支持不合的功能組,如: Multimedia Recording 就不會包孕在沒有攝錄裝配的手機中。當然,也有可能將來會增添更多的功能組。

功能組也同時定義了不合的域的不合交互要領,如:在不相信域, “Net Access” ( 收集造訪 ) 被設置為 session( 短期適用 ) 或 denied( 回絕 ) ,而在可托任域則可以設置為 oneshot 、 blanket 和 denied 的。

三、仿真器和手機的缺省安然設置

讓我們來看看詳細的應用 Thawte 或 VeriSign 代碼署名證書署名后的 MIDlet 在 trusted third party 域中的所出缺省許可,如下圖 1 所示,點擊 NDS 3.0 的“ Config Emulators ”就可以看到仿真器在 trusted third party 域的缺省安然設置是“ Ask first time ”,即第 1 次應用是必要確認:

如下圖 2 所示,您可以下拉所有功能組的許可設置,如“ Network Access ”就有 4 個選項可以改動: Ask first time 、 Ask every time 、 Always allowed 和 Not allowed :

而如下圖 3 所示,在“ Real Life ”模式,也便是實際手機的運行模式,可以看出:定義的 7 個功能組都是“ Always allowed ” ( 老是容許 ) ,這就顯示出 MIDlet 署名對付開拓商來講是多么的緊張,將大年夜大年夜方便了用戶的應用,再也不必要用戶操作煩人的系列確認了。

免責聲明:以上內容源自網絡,版權歸原作者所有,如有侵犯您的原創版權請告知,我們將盡快刪除相關內容。

您可能還會對下面的文章感興趣:

快三平台开户