大学生毕业论文：无线宽带ip网络系统安全技术研究

大学生毕业论文：无线宽带ip网络系统安全技术研究内容摘要：

章 WAP 协议分析和研究 3 .1 WAP 基本概念 无线应用协议 (WAP)是无线终端和互联网之间进行通信时使用的开放性全球标准。 它由一系列协议组成，用来标准化无线通信设备，定义用户访问的内容的组织格式，以及通信使用的协议等。 WAP 可以支持目前使用的绝大多数无线设备，包括移动电话、 FLEX 寻呼机、双向无线 电通信设备等等。 这些设备相对于台式个人计算机而言， CPU 功能和电池容量有限、内存和显示屏较小、输入不便等。 WAP 也可以支持目前存在的各种移动网络，如 GSM、 CDMA、管理学院院 (系 ) 信管 2K11 班 学生 葛磊 毕业设计（论文） 第 9 页 共 30页 济南大学毕业设计（论文）用纸 PHS 等，并考虑了对未来第三代移动通信系统的支持。 相对有线网络带宽而言，无线网络的带宽、连接可靠性及网络的可预测性都相对较低，网络时延也比有线网络大。 考虑到以上的限制和不利因素， WAP 充分借鉴了 Inter 的思想，并加以一定的修改和简化。 一个典型的 WAP 应用系统定义了三类实体 : WAP 用户代理功能的移动终端 (Client)。 典型 的终端为 WAP 手机，它相当于Inter中的 PC机。 在它的显示屏上运行有微浏览器 (microbrowser)，用户可以采用简单的选择键实现 WAP 服务请求，并以无线方式发送和接收所需的信息。 WAP 移动终端使用WML(Wireless Markup Language)无线标记语言显示各种文字、图像或数据。 wML 是一种基于 XML(Extension Markup Language)的标记语言，主要用于标记和说明 WAP移动终端收发的 Inter 信息和用户接口。 WML 使得设计者可以采用与设备独立的方式定义 WAP应用的用户接口。 网关。 包括协议网关 — 实现 WAP 协议栈 (WSP、 WTP、 WTLS 和 WDP)与 Inter 协议栈之间的转换；信息内容编解码器 (Content Encoders and Decorders)—— 把 WAP 数据压缩编码，以减少网络数据流量，最大限度地利用无线网络缓慢的数据传输速率。 服务器。 服务器中存有用 WML 或 WMLScript 编写的 WAP 内容和应用。 WEB 编程模型和 WAP 编程模型 WAP 编程模型和 Web 编程模型非常相似。 对熟悉 Web 编程模型的人来说，理解 WAP 基本原理是一件很容易的事。 在 Web 编程模型中，用户发起一个页面请求，请求参数中包括所请求的页面的 URL。 Web浏览器将解析这个 URL 并向 Web 服务器发送一个 HTTP 或 HTTPS GET 请求 (HTTP 与 HTTPS 的区别在于， HTTPS 会对传输内容进行加密处理，而 HTTP 没有加密措施 )。 Web 服务器接收到该请求后对其进行解析，如果请求是合法的，服务器将把 URL 指定的静态页面的内容或 CGI程序的输出作为 HTTP 的响应返回给 Web 浏览器。 响应的内容部分是用 Web 浏览器可识别的HTML 语言书写的。 浏览器收到响应后 将其内容显示在用户界面上 (通常为计算机屏幕 )。 WAP 编程模型与 Web 的编程模型类似，但还是有一些区别的 : 在 WAP 用户终端和内容服务器之间必须有一个 WAP 网关，而 Web 编程模型中网关或代理服务器的存在并不是必须的。 WAP 网关的主要工作是将用户终端一侧的 WAP 协议和内容服务器一侧的 HTTP 协议互相转换，从而实现用户终端和内容服务器的通信。 同时， WAP 网关在将来自内容服务器的 WML 和 WMLScriPt 文件送到用户终端之前，必须对它们进行编译，转换成传输效率更高的二进制格式，而 Web 编程模型中消息以文本格式传送 ，传输效率低下。 为便于理解 WAP 编程模型，在此先澄清几个名词概念。 在用户终端和内容服务器 (web server 或 content server)之间也许还有一个或多个网关 (gateway)或代理服务器 (Proxy)。 网关为内容服务器充当中间层。 网关最常见的应用是防火墙。 用户终端通信时意识不到网关的存在，也就是说，网关对用户终端来说是透明的。 和网关一样，代理服务器也是用户终端和服务器的中间层。 但与网关不同的是，代理服务器需要代表客户端向服务器发送请求。 因此，代理服务器通常必须既能发送请求又能应答请求。 代理 服务器一般都具有缓存功能，可以缓存来自内容服务器的响应消息，用户若在消息的有效时限内再次对其发出请求，代理服务器将直接从缓存中调出该消息，而不是再向内容服务器发出请求，这样就降低了响应时间。 客户端必须知道其代理服务器的地址，也就是说，代理服务器对用户终端来说是不透明的。 我们通常把网关和代理服务器这管理学院院 (系 ) 信管 2K11 班 学生 葛磊 毕业设计（论文） 第 10 页 共 30页 济南大学毕业设计（论文）用纸 两个词混用。 在下面的章节中，你会经常遇到 WAP网关 (WAP gateway)这个词，这只是一个习惯提法，其实 WAP 网关更确切的来说是一个代理服务器。 3. 3 WAP 的编程模型分析 下面用一个简单的例子来说明 WAP编程模型的处理过程 : ①用户发出 URL 请求，用户终端对此 URL 解析后产生一个 GET 请求； ②用户终端先将请求转换成二进制的格式，再通过无线网络将 GET 请求发送到 WAP网关； ③ WAP 网关接收到请求消息后，将该信息转换成基于文本的 HTTP 的 GET 请求，然后转给 URL 所指的服务器。 URL 所指的服务器将接收请求，处理并发回响应； ④相应地， WAP 网关接收来自内容服务器的响应，并将响应转换成简化的二进制格式，然后通过无线网络将其发送到用户终端，用户终端接收到响应后，分析信息体，并在用户WAP 终端上显示。 因为 WAP论坛尽可能地使用现成的标准，所以 WAP 和 Web 编程模型是十分类似的，这给开发者带来了非常明显的好处 :可以使用现有的 Web知识来创建 WAP应用。 许多现有的 Web软件开发工具都可用于 WAP 应用的开发。 例如，现有的 CGI 工具、 ASP 和 PHP 工具不必做任何改动就可以直接用于 WAP 应用的开发。 如果己经有基于 Web 的应用，可以保留现有数据库、内容、应用逻辑和应用编程接口，从而节省开发投资和开发周期。 WAP 协议栈的系统结构 [2] WAP 协议栈和 WWW 协议栈一样，有着清晰的层次结构，各层完成特定的功能。 两协议 栈各层之间的对应关系，如图 31示 : Wireless Aplication Protocal Other Servuice and applications 图 31 Web 协议栈与 WAP 协议栈的比较 WAP 协议栈中的每一层都可以被其上层，或者其它应用通过定义好的标准接口调用。 实际使用时 WAP 协议栈中定义的协议不一定要全部使用，用户可根据实际需要选择合适的协议完成所需功能。 HTML Javascript HTTP TCP/IP UDP/IP TLSSSL Wireless Application Environment(WAE) Session Layer (WSP) Transacion Layer (WTP) Security Layer (WTLS) Transport Layer (WDP) Bearer SMSS CDMA CSD USSD ETC 管理学院院 (系 ) 信管 2K11 班 学生 葛磊 毕业设计（论文） 第 11 页 共 30页 济南大学毕业设计（论文）用纸 3. 5 WAP 协议栈各层协议功能描述 WDP 层功能描述 [3] WDP(Wireless Datagram Protocol)层是 WAP 协议栈的最底层，它平行于 Web 协议栈中的 UDP 层。 当前的无线网络中存在着各种各样的承载网络，它们的传输速率和数据传输方式各不相同， WDP 协议针对当前的网络服务质 量提供了不同服务等级间的补偿平衡，使位于其上的 WAP 协议层无须考虑到不同的网络层服务 (如网络吞吐量，误码率和延时等 )带来的差异。 WDP 可以在不同的载体上工作，为实现这种与底层无关的特性， WDP 需对不同的载进行适配。 WDP 协议明确制定了针对不同载体的协议栈结构。 从而使 WDP 可工作在 SMS(短消息服务 )、 USSD、 CSD、 GPRS、 CDMA 等承载层之上。 WDP 层为上层协议所提供的服务主要包括 : 1. 地址服务 WDP 层的地址服务主要通过端口号来实现， WDP 依靠端口号来区分与它通信的不同的高层协议，这些高层协议主要 指 WSP、 WTP 和邮件应用程序。 因此， WAP 可在单个承载网络服务上支持多个上层实例应用。 WDP 数据包中需写明发送端和接收端 WDP 上层协议的端口号，端口号位于 WDP 消息包头中。 WDP 平行于 TCP/IP 结构中的 UDP 层，它对数据本身的管理不多，但它也针对其下层各不相同的网络协议提供了一些简单的数据管理服务，例如数据的拆分发送、合并以及一些简单的校验和方式的差错识别。 WDP 对下层数据包的分段和重组功能，主要有长格式和短格式两种，其拆分方法如图32 示。 从图中可看到， WDP 消息包分为两 部分 :包头和数据区。 包头包括三个参数 : RefNumber(0255 短格式、 065525 长格式 )、 MaxFragments(最大为 255)、 Sequence(0255)。 RefNumber用来标识下层数据报的序号。 MaxFragrnents用来标识下层数据报被拆成多个 WDP数据包后，数据包的总数。 Sequence 则用来标识 WDP 数据包的序号。 图 32 WDP 的拆分 方法 WDP 为上层协议提供无连接的数据报服务，其数据包包括以下的几个部分 : 源端口号、源地址、目的端口号、目的地址、用户数据需要强调的是， WDP 若工作在非IP的承载 (如 GSM)之上，需对底层进行适配，将数据打包到 WDP 的数据包中；若下层承载采用 IP 协议来进行路由选择，则 WDP 数据包就是 UDP 的数据包。 WDP 是非确认的传输协议，它所发送的消息不需接收方予以证实。 但 WDP 仍有错误控制机制，这种机制类似 TCP/IP 协议中的 ICMP 协议，称为 WCMP，它将接收方出现的缓冲区溢出、宕机等异常情况向发送方汇报，而不 是针对每个消息作出证实。 Ref Number MaxFragments Sequence Datagram 220 Datagram 221 220 3 3 Data 220 3 1 Data 220 3 2 Data a 221 2 1 Data 221 2 2 Data 管理学院院 (系 ) 信管 2K11 班 学生 葛磊 毕业设计（论文） 第 12 页 共 30页 济南大学毕业设计（论文）用纸 3. 5. 2 WTLS 层描述 [3] WTLS(Wireless Transport Layer Security)是 WAP 协议栈中的一个可选层，具体应用时可根据业务安全性要求及承载网络特性决定是否选择该层功能。 WTLS 的功能类似于 Web 中的 TLS ，可为高层提供数据完整性校验、加密解密、身份鉴别和其他安全保护功能。 安全系统有四个要素 :保密性、完整性、真实性和不可否认性。 在 Web 中采用安全套接字分层协议 (SSL)、数字证书、用户名 /口令或数字签名来保证系统的安全。 在 介绍 WAP系统的安全性是如何实现的之前，让我们先澄清几个概念 : :SSL(secure socketLayer)是 Netscape 公司设计的主要用于 Web 的安全传输协议。 这种协议在 Web 上获得了广泛的应用。 :IETF()将 SSL 作了标准化，即 RFC2246，并将其称为 TLS(Transport Layer Security)，从技术上讲， TLSI .0 与 的差别非常微小。 由于论文中没有涉及两者间的细小差别，本论文中这两个名字等价。 :在 WAP 的环境下，由于手机及手持设备的处理和存储能力有限， WAP 论坛()在 TLS 的基础上做了简化，提出了 WTLS 协议 (Wireless Transport Layer Security)以适应无线的特殊环境。 WTLS。