1©NokiaSiemensNetworksPresentation/Author/DateForinternaluseWAP和MMS安全Presenter'snameLocationDate2©NokiaSiemensNetworksForinternaluse目标本胶片将帮助我们理解WAP和MMS业务系统的安全基础,学习完此课程,您将会:•能够理解WAP和MMS系统的标准•能够理解WAP和MMS的安全威胁•能够理解WAP和MMS系统的典型安全案例•能够了解WAP和MMS系统的安全解决方案。3©NokiaSiemensNetworksForinternaluse§§WAPWAP系统概述系统概述§§WAPWAP安全案例分析安全案例分析§§WAPWAP安全解决方案安全解决方案§§MMSMMS系统系统概述概述§§MMSMMS安全案例分析安全案例分析§§MMSMMS安全解决方案安全解决方案Agenda4©NokiaSiemensNetworksForinternaluseWAP采用Internet协议满足无线网络需求Internet宝贵的无线资源显示屏较小èWAP为移动用户带来Internet服务无线网络与无线电话有特殊的需求TCP/IPHTTPHTMLCopper,fiberInternetProtocolWirelessBearersWDPWSP,WTP,WTLSWMLWAPProtocolWAPGatewayWTLSWirelessTransportLayerSecurityWSPWirelessSessionProtocolWDPWirelessDatagramProtocolHTMLHyperTextMark-upLanguageHTTPHyperTextTransferProtocolTCPTransportControlProtocolIPInternetProtocolWAPWirelessApplicationProtocolWMLWirelessMark-upLanguageWTPWirelessTransactionProtocoln将Internet应用与电话特性相结合n为无线数据应用提供标准支持5©NokiaSiemensNetworksForinternaluseWAPFORUM概述•WAPFORUM开发移动网络上类似互联网应用的一系列规范的组合。•WAPFORUM与现在通行的互联网协议类似,专为小屏幕、窄带的用户装置(如移动电话)优化。•WAP是公开的、全球性的标准,由有兴趣参加WAPFORUM的成员共同讨论、制定和拥有,它使无线装置可以轻易、实时地交流信息和服务。•WAP尽可能少地利用手持设备的有限资源,通过丰富的网络功能来弥补。•WAP是全面的和可扩展的协议•任何具有相关功能的移动电话•任何现有或设计中的无线服务,如SMS,USSD和GPRS等•任何移动网络标准如CDMA、GSM、或UMTS•支持多种输入终端,如手写板、键盘、触摸屏和笔•WAP1.x和WAP2.06©NokiaSiemensNetworksForinternaluseRASEDSS1(HS)CSDSMSCMAPSMSUSSDServerUSSDMAPSGSNGiGPRSGnGGSNWAP可应用于多种无线承载网络LANWAPGatewayHLRMSCBSSBSCPCUMSCUSSDUnstructuredSupplementaryServiceData(HS)CSDHighSpeedCircuitSwitchedDataSMSShortMessageServiceGPRSGeneralPacketRadioServiceRASRemoteAccessServerSMSCShortMessageServiceCenterEDSS1EnhancedDigitalSubscriberSignallingNo17©NokiaSiemensNetworksForinternaluseWAP客户端:n支持WAP协议栈n提供编码/解码功能n浏览WAP内容n用户交互操作nSIM卡交互WTA服务器:n位于运营商安全网络域,提供无线电话相关的业务n通过WAP网关与客户端通信n可以向WAP客户端PUSHWAP内容WAP网关:n提供代理服务n提供标准互联网协议与WAP协议之间的协议映射n为数据高效传输实施编码/解码n为移动数据承载提供接入途径WAP服务器:n支持标准Internet协议n提供WAP格式或标准Internet格式的应用内容WAP系统组成及其功能WTAServerWAPGatewayWAPServerWirelessNetworkInfrastructureWAPClient8©NokiaSiemensNetworksForinternaluseWAP特定架构加强移动Internet接入(MIA)WTAServerApplicationServerVMSINHLRairlinebankApplicationServerFirewallsnotshownLANWAPGatewayUSSDServerRASSMSC(HS)CSDSMSUSSDGPRSVMSVoiceMailServerINIntelligentNetwork9©NokiaSiemensNetworksForinternaluseWAP应用体系结构WAP系统包括WAP网关、WAP内容服务器和WAP手机:WAP内容服务器存储着大量的信息,供WAP手机用户访问、查询、浏览WAP网关起着协议的翻译和转换作用,是联系无线通信网络与标签:标签:<<aahrefhref==wtaiwtai://wp/mc;1://wp/mc;133159731233159731200>拨打>拨打电话<电话</a/a>>10©NokiaSiemensNetworksForinternaluseWAP安全服务§WTLS:无线传输层安全提供认证、加密、密钥交换、完整性§WPKI:无线公钥基础设施提供基于公钥的密钥管理§WIM:无线身份模块提供可信任的终端11©NokiaSiemensNetworksForinternaluseWAP1.X安全模型WEB服务器WTLSSSLWAP网关WTLS:无线传输层安全WIM:无线身份模块WPKI:无线PKIWAP:无线应用协议SSL:安全套接层WPKIPortal事务安全(E2E)WIMWMLScript加密库WMLScript加密库信道安全12©NokiaSiemensNetworksForinternaluseWAP1.1安全qWAP1.1通过WTLS实现传输层数据的机密性、完整性和通信双方的身份认证.•第一类应用,服务器和客户端不需要相互认证–支持公钥交换、加密和消息认证码(MAC)–基于证书的认证是可选的。•第二类应用,客户端需要认证服务器,但服务器不需要认证客户端–必须支持服务器证书。•第三类应用,服务器和客户端相互都进行认证–必须同时支持客户机和服务器证书。•第2类和第3类中的压缩和智能卡接口都是可选的。13©NokiaSiemensNetworksForinternaluseWAP1.2安全qWAP1.2提供不可否认性–WMLSCrypt提供签名机制来实现不可否认–提出采用WPKI实现签名–应用于智能卡的WIM规范,将安全功能从手机转移到防篡改设备中qWAP1.x安全问题–不支持端到端的安全解决方案–加密消息在网关被解密成明文14©NokiaSiemensNetworksForinternaluseWAP2.0传输层端到端安全架构无线IPTCP*TLSHTTPWAEWAP设备无线IPTCP*有线IPTCPWAP网关有线IPTCPTLSWAEWEB服务器HTTP在传输层引入了无线型TCP,在接入Internet时,WAP网关的协议栈中只需要实现无线型TCP和TCP的转换,TLS层的数据可以保持(TLS隧道)15©NokiaSiemensNetworksForinternaluseWAP2.0安全机制q实现一种端到端的安全。q提出了WPKI和WAP数字证书的规范说明,为无线应用客户的证书请求和使用提供了标准规范。q针对无线环境进行优化的TCP,同时认为可以直接在无线设备上使用TCP协议q传输层的安全便可以直接使用SSL/TLS来保护,真正解决了传输层端到端安全传输的问题。q从WAP网关变成了WAP代理,并支持PUSH功能16©NokiaSiemensNetworksForinternaluseWAP2.0端到端安全互联网无线网络企业网(安全域)源服务器c安全网络访问点安全下级pull代理可信主/缺省pull代理可信push代理无线端口代理源服务器a源服务器b11’2端到端安全即使WAP2.0提供了安全机制,但仍有很多问题17©NokiaSiemensNetworksForinternaluseWAP网关基本业务类型qWAP基本业务:•HTTP代理业务•HTTPS代理业务•WAPPUSH代理业务•订购业务•浏览业务•电子邮件类业务•下载类业务qWAP基本业务:•HTTP代理业务•HTTPS代理业务•WAPPUSH代理业务•订购业务•浏览业务•电子邮件类业务•下载类业务18©NokiaSiemensNetworksForinternaluseWAP业务(从应用角度)——国外WAP应用办公室信息n企业内网新闻n虚拟工作组n群体软件使用n工作时间表同步n移动办公室信息n网页浏览n新闻n天气预报、体坛动态、n时事要闻、票务信息n产品信息、商务速递n订购&预约n公共消息/广播n本地信息(黄页、旅游指南)联机服务n通讯业务服务n交通服务n导航协助n车辆追踪n车流管理n安全监听服务n家庭设备控制n遥感控制n交通监控n远程测量娱乐n虚拟存储n音乐n游戏n视频短片n彩票/赌博n电子明信片通讯n电子邮件,短消息n个人备忘记事本n远程控制财务服务n电子支付n在线银行n在线购物n拍卖19©NokiaSiemensNetworksForinternaluseWAPPUSH系统框架zWAPPUSH技术是一种建立在客户服务器上的机制,就是由服务器主动将信息发往客户端的技术。zPUSH技术的优势在于信息的主动性和及时性。PPG通过PUSH空间传输协议(PUSHOTA:PUSHover-the-Air)完成向客户PUSH信息的数据传输任务PPG通过PUSH接入协议(PAP:PUSHAccessProtocol)与PI通信PPGPPG::PUSHProxyPUSHProxyGatewayGateway20©NokiaSiemensNetworksForinternaluseWAP业务种类与协议qWAP的PUSH协议中定义了服务指示(SI:ServiceIndication)和服务加载(SL:ServiceLoad)两项服务。q服务指示(SI)是将新信息的指示和相关的通用资源标识符(URI)PUSH给用户,由用户选择是立即处理信息还是以后处理。q服务加载(SL)是将一项服务的URIPUSH给用户,然后客户端自动地使用PULL技术根据该URI启动服务。q两种服务的区别在于用户是否介入PUSH信息的处理过程。SL对PUSH信息的处理对用户来说是透明的,而SI则在指示用户的同时,请用户对随后的处理做出选择。qPAP:是PI(发起者)与PPG(网关)之间通信协议,目前采用HTTP承载。安全有§PI识别§HTTPS方式安全传送§PUSH内容明文传输qPushOTA:是WAP终端与PPPG使用的协议,可以在OTA-WSP和OTA-HTTP上。安全有:§SI有用户打扰级别(防止SPAM)§SL的自动进入危险网站21©NokiaSiemensNetworksForinternaluseWAPPUSH现网流程22©NokiaSiemensNetworksForinternalusePPG功能RRPIPI的标识、鉴权和访问控制的标识、鉴权和访问控制RR通过别名机制实现组播和广播,负