专利名称:一种基于wap1.2网关实现端到端的安全的系统及其方法
技术领域:
本发明涉及WAP网关问题,尤其涉及一种基于WAP1.2网关实现端 到端的安全的系统及其方法。
背景技术:
WAP业务通常由以下几方面设备的合作来实现WAP终端、无线传 输网络(GSM CSD/GPRS) 、 WAP网关设备、WAP应用服务器、数据 业务管理平台、防火墙等。WAP网关设备可以分为若千功能模块WAPPull代理、WAPPush代 理、WTAJ良务器、WAP支持服务器、操作与维护平台(0&M)等。WAP网关是将互联网与手机终端结合的关键设备,早在上世纪末就已 在移动网络上应用,WAP网关作为手机上网代理,手机的任何上网请求首 先发送给WAP网关,再由WAP网关发送到互联网的网站系统;同时网站 系统向手机终端返回的网页信息也是首先通过WAP网关,再传送到手机终 端。由于手机终端的处理能力较弱,而且无线网络的空中带宽比较小, WAP网关需要将网页内容转换成手机终端可展现的内容,例如画面变小、 画面的复杂度降低等,并且将内容进行压缩传输从而减少空中带宽占用。 可见WAP网关在手机上网方面起到格式转换、内容压缩等功能。随着WAP浏览业务的普遍应用,特别是应用到一些安全要求较高的 领域,例如银行、公安等行业,由于WAP1.2版本的WAP网关需要将 内容进行格式转换和压缩,导致WAP网关不能实现端到端安全,所谓的 端到端安全是指在手机终端与互联网上的网站之间不能实现安全连接,由 于WAP网关设备的不安全性破坏了端到端安全的形成。具体地说,WAP网关在手机与互联网上的网站系统之间传递数据时,必须进行数据的格式转换和压缩,导致端到端的安全性很难达到。特别是针对现有网络使用,用户首先接入的是运营商建设和维护的WAP网关, 而对端到端安全需求很强的行业用户,例如银行、公安等是不可能对运 营商维护的WAP网关完全信任的,而且运营商对此类行业用户在WAP1.2 网关上也不敢承诺端到端的安全应用。此外,有一些人也提出在手机终端 和WAP网关之间采用无线传输层安全协i义(Wireless Transport Layer Security ,WTLS )方式加密,在网关与网站系统之间采用SSL ( Secure Sockets Layer)加密,WAP网关进行WTSL到SSL之间的转换,显然这 个方法还是没有解决WAP网关由运营商管理维护所带来的问题。因为, WTLS是WAP的安全模块,它为WAP应用提供加密、鉴别和数据完整 性服务,作为WAP协议栈的一个层次向上层提供安全传输服务接口。 WTLS是以TLS标准为基础发展而来的,并针对无线网络环境中的连接 方式、计算能力、带宽限制等特点进行了必要的改造,并具有支持数据报 服务、支持优化的分组大小以及握手、动态密钥更新等特点。按照WTLS 规范,并釆用网络协议实现中常用的一些机制,如队列模型等,根据规范 中定义的事件和状态转化表对WAP网关方的WTLS的事件进行处理。对 于处理中涉及到的安全处理,如密钥交换、加密解密、完整性检查和证书 的鉴别机制等,在实现时采用相关的公开编程接口。 WTLS是WAP提供 安全的端到端连接的初步尝试。把支持的算法按合适的方法结合起来,能 够保证一定的安全性,从而解决大多数情况下的安全问题。但同时仅仅依 赖WTLS所提供的安全功能要达到绝对的安全是不可能的。发明内容本发明所要解决的技术问题在于提供一种基于WAP1.2网关实现端到 端的安全的系统及其方法,以解决基于WAP1.2网关实现端到端的安全的 问题。为了解决上述问题,本发明提供了一种基于WAP1.2网关实现端到端 的安全的方法,使数据内容通过WAP手机终端、主网关、从网关、应用 服务器和安全应用服务器的应用,实现端与端之间的安全,其特征在于,包括以下步骤(1 )所述WAP手机终端发出请求需要安全数据传送的地址链接给所 述主网关,所述主网关将此地址链接传送给所述应用服务器;(2) 所述应用服务器对此地址链接判断是否是具有安全保护内容的 地址链接,如果有则产生HTTP重定向消息给所述主网关,其中附带一个 导航文档;(3) 所述主网关收到该HTTP重定向消息后,对其进行有效性分析, 以确定该消息中规定的策略是否与所述主网关的策略一致,如果输出结果 为一致,则所述主网关将有效的导航文档发到所述WAP手机终端上;(4) 所述WAP手机终端通过对有效的导航文档进行分析,得到与 安全应用服务器相关联的从网关信息,并建立与从网关的安全链路;(5) 所述WAP手机终端向从网关发送请求需要安全数据传送的地 址链接,同时所述从网关与安全应用服务器建立安全链接,所述从网关将 该请求需要安全数据传送的地址链接转发给所述安全应用服务器,所述安 全应用服务器向所述从网关返回被安全保护的数据内容;(6 )此后WAP手机终端和安全应用服务器直接通过从网关实现之间 安全的数据内容传送。本发明所述的方法,其中,所述步骤(2)中的产生HTTP重定向消 息给所述主网关,其中附带一个导航文档,包括产生以状态码为300的 HTTP重定向消息给所述主网关,其中附带一个可扩展标记语言(XML) 格式的导航文档。本发明所述的方法,其中,步骤(2)中的所述导航文档,包括从 网关的IP地址和安全保护内容的地址链接信息。本发明所述的方法,其中,步骤(3)中的所述HTTP重定向消息进 行有效性分析,包括分析导航文档的内容格式、分析重定向消息的来源、 核对所述从网关信息是否正确以及所述WAP手机终端是否具有访问权限;步骤(3 )中的所述有效的导航文档,包括所述主网关需要配置的 应用服务器具有重定向到从网关的能力,以及所述从网关是主网关所定义 的。本发明所述的方法,其中,所述步骤(4)中包括所述WAP手机终 端通过对有效的导航文档进行分析,得到与安全应用服务器相关联的从网 关的IP地址,并建立与从网关的无线传输层安全协议的安全链路。本发明所述的方法,其中,所述WAP手机终端,为支持WAPL2版 本的、具有二级WAP代理功能、并能进行简单的XML格式文档分析的 WAP手机终端;所述主网关,为支持WAP1.2版本的、由运营商维护的WAP网关;所述从网关,为支持WAP1.2版本的、由行业用户维护的WAP网关。本发明所述的方法,其中,所述步骤(2)中,进一步包括如果没 有则所述应用服务器不需要进行端到端安全保护,安全保护的要求是由其 内容要求的;所述步骤(3)中,进一步包括如果输出不一致,则所述主网关丢 弃该重定向消息,不进行端到端的安全保护,对WAP手机终端而言,是 失败的浏览页面显示。为了解决上述问题,本发明还提供了一种基于WAP1.2网关实现端到 端的安全的系统,其特征在于,包括WAP手机终端、主网关、从网关、 应用服务器和安全应用服务器;其中,所述WAP手机终端,用于发出请求需要安全数据传送的地址链接给 所述主网关;并通过对所述主网关发来的有效的导航文档进行分析,得到 与安全应用服务器相关联的从网关信息,建立与所述从网关的安全链路; 以及向所述从网关发送请求需要安全数据传送的地址链接;所述主网关,用于将所述地址链接传送给所述应用服务器;并对来自 所述应用服务器的HTTP重定向消息进行有效性分析,以确定该消息中规 定的策略是否与所述主网关的策略一致,如果输出结果为一致,将有效的 导航文档发到所述WAP手才几终端上;所述从网关,用于接收来自WAP手机终端发送请求需要安全数据传 送的地址链接,同时与安全应用服务器建立安全链接,将该请求需要安全 数据传送的地址链接转发给所述安全应用服务器;并且,所迷WAP手机 终端和安全应用服务器直接通过其实现之间安全的数据内容传送;所述应用服务器,用于对此地址链接判断是否是具有安全保护内容的 地址链接,如杲有则产生HTTP重定向消息给所述主网关,其中附带一个 导航文档;所述安全应用服务器,用于与从网关建立安全链接,接收来自所述从 网关的请求需要安全数据传送的地址链接;并向所述从网关返回被安全保 护的数据内容。本发明所述的系统,其中,所述应用服务器中产生HTTP重定向消息 给所述主网关,其中附带一个导航文档,包括产生以状态码为300的 HTTP重定向消息给所述主网关,其中附带一个可扩展标记语言(XML) 格式的导航文档。本发明所述的系统,其中,所述导航文档,包括从网关的IP地址 和安全保护内容的地址链接信息。本发明所述的系统,其中,所述主网关对来自所述应用服务器的HTTP 重定向消息进行有效性分析,包括分析导航文档的内容格式、分析重定 向消息的来源、核对所述从网关信息是否正确以及所述WAP手机终端是 否具有访问权限;所述有效的导航文档,包括所述主网关需要配置的应用服务器具有 重定向到从网关的能力,以及所述从网关是主网关所定义的。本发明所述的系统,其中,所述WAP手机终端中的通过对所述主网 关发来的有效的导航文档进行分析,得到与安全应用服务器相关联的从网 关信息,建立与所述从网关的安全链路,包括通过对所述主网关发来的 有效的导航文档进行分析,得到与安全应用服务器相关联的从网关的IP 地址,并建立与从网关的无线传输层安全协议的安全链路。本发明所述的系统,其中,所述WAP手机终端,进一步包括用于支持WAP1.2版本的、具有二级WAP代理功能、并能进行简单的XML 格式文档分析;所述主网关,进一步包括用于支持WAPL2版本的、由运营商维护 的WAP网关;所述从网关,进一步包括用于支持WAPL2版本的、由行业用户维 护的WAP网关。本发明所述的系统,其中,所述应用服务器,进一步包括如果没有 则不需要进行端到端安全保护,安全保护的要求是由其内容要求的;所述主网关,进一步包括如果输出不一致,则丢弃该重定向消息, 不进行端到端的安全保护,对WAP手机终端而言,是失败的浏览页面显因此,本发明所述的基于WAP1.2网关实现端到端的安全的系统及其 方法,解决了 WAP网关由运营商管理维护所带来的问题,保证了基于 WAP1.2网关实现端到端的安全。附困说明
图1是本发明实施例所述的基于WAP1.2网关实现端到端的安全的系 统的具体结构图;图2是本发明实施例所述的基于WAP1.2网关实现端到端的安全的方 法的具体流程图。
具体实施方式
本发明为了解决传统技术方案存在的弊端,通过以下具体实施例进一 步阐述本发明所述的 一种基于WAP 1.2网关实现端到端的安全的系统及其 方法,以下对具体实施方式
进行详细描述,但不作为对本发明的限定。本发明实施例所述的系统,如附图1所示,WAP手机终端具备支持 多个代理服务器功能,这些代理服务器存在主次之分,该WAP手机终端支持WAP1.2版本的、具有二级WAP代理功能、并能进行简单的XML 格式文档分析;手机通常与主代理服务器相连,在需要的情况下也可以和次代理服务 器相连,WAP网关就是手机终端的代理服务器;其中,主WAP网关,为支持WAPL2版本的、由运营商维护的WAP 网关;主WAP网关是指用户普通情况使用的WAP网关,不具有安全特 性,但具有配置和管理其他从WAP网关的功能。从WAP网关,为支持WAP1.2版本的、由行业用户维护的WAP网关; 从WAP网关在本实施例中是一个具有安全特性的WAP网关,并且管理维 护由安全行业人员维护。应用服务器是指不具备安全性要求或者安全性要求不高的应用服务 器,是普通的网站应用系统,能按照一定的规则判断WAP手机终端的请 求链接是否为安全链接。安全应用服务器是指对安全要求很高的应用服务器,其中部署的应用 属于高安全应用的网站系统,例如银行业务的帐号密码信息、公安行业 的秘密文档等。本发明所述系统,其中,WAP手机终端,用于发出请求需要安全数 据传送的地址链接给主WAP网关;并通过对所述主WAP网关发来的有效 的导航文档进行分析,得到与安全应用服务器相关联的从WAP网关信息, 建立与所述从WAP网关的无线传输层安全协议(WTLS)的安全链路; 以及向所述从WAP网关发送请求需要安全数据传送的地址链接;主WAP网关,用于将所述地址链接传送给所述应用服务器;并对来 自所述应用服务器的HTTP重定向消息进行有效性分析(包括分析导航 文档的内容格式、分析重定向消息的来源、核对所述从网关信息是否正确 以及所述WAP手机终端是否具有访问权限等),以确定该消息中规定的策 略是否与所述主网关的策略一致,如果输出结果为一致,将有效的导航文 档发到所述WAP手机终端上;如果输出不一致,则丢弃该重定向消息, 不进行端到端的安全保护;从WAP网关,用于接收来自WAP手机终端发送请求需要安全数据传 送的地址链接,同时与安全应用服务器建立安全链接,将该请求需要安全 数据传送的地址链接转发给所述安全应用服务器;并且,所述WAP手机 终端和安全应用服务器直接通过其实现之间安全的数据内容传送;所述应用服务器,用于对地址链接判断是否是具有安全保护内容的地 址链接,如果有则产生以状态码为300的HTTP重定向消息给所述主WAP 网关,其中附带一个XML格式的导航文档(包括从网关的IP地址和安 全保护内容的地址链接信息等);如果没有则不需要进行端到端安全保护;所述安全应用服务器,用于与从WAP网关建立安全链接,接收来自 所述从WAP网关的请求需要安全数据传送的地址链接;并向所述从WAP 网关返回被安全保护的数据内容。本发明实施例所述的基于WAP1.2网关实现端到端的安全的方法流 程,如附图2所示,相应的实施例流程说明如下步骤201, WAP手机终端通过主WAP网关浏览网页内容,点击其中 一个具有安全保护的内容地址链接URL (Uniform Resource Locator,统一 资源定位符);步骤202,主WAP网关将此链接请求转换成HTTP重定向文档后, 发送给应用服务器;步骤203,应用服务器对此地址链接进行判断,发现是否具有安全保 护的内容地址链接,如果有,则应用服务器生成一个XML格式的导航文 档,其中包含从WAP网关的IP地址,以及安全链接的地址信息等,并且 HTTP消息的状态码为300;步骤204,主WAP网关对收到的HTTP重定向文档进行分析,核对 从WAP网关是否正确,WAP手机终端是否具有访问权限等,核对正确后, 主WAP网关将HTTP重定向文档中的导航文档转发给WAP手机终端;如 果不正确,则向WAP手机终端返回浏览失败页面,提示用户链接不存在;步骤205, WAP手机终端对收到的导航文档进行分析,确定需要与 从WAP网关建立安全链路后,WAP手机终端与从WAP网关建立WTLS安全链路,保证空中链路的安全性;步骤206, WAP手机终端继续向从WAP网关发送请求安全地址链接 的内容;步骤207,从WAP网关与安全应用服务器建立SSL安全链路,并将 请求安全地址链接的内容转发给安全应用服务器;步骤208,安全应用服务器向WAP手机终端返回被安全保护数据内 容,首先由安全应用服务器发送到从WAP网关,采用SSL安全链路方式, 再从从WAP网关发送到WAP手机终端;步骤209, WAP手机终端完成安全保护数据获取后,手机用户点击 一个非安全保护的地址链接,WAP手机终端将请求信息发送给从WAP网关;步骤210,从WAP网关将请求消息转发给安全应用服务器,安全应 用服务器对此地址链接进行分析,生成相应的重定向导航文档,文档格式 为XML格式,其中包含主WAP网关地址信息,及重定向后的地址链接;步骤211,安全应用服务器将导航文档发送给从WAP网关,其中文 档的HTTP响应状态石马为300;步骤212,从WAP网关对收到的导航文档进行分析,确认主WAP网 关地址信息是否正确,完成确认后,从WAP网关将收到的导航文档转发 给WAP手机终端;如果不正确,则由从网关生成缺省的到主网关的导航 文档,并将此导航文档转发给WAP手机终端;步骤213, WAP手机终端接收到该导航文档后,对该导航文档进行 分析,并与主WAP网关建立连接,WAP手机终端回到步骤201所处的状 态。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质 的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变 形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范 围。
权利要求
1. 一种基于WAP1.2网关实现端到端的安全的方法,使数据内容通过WAP手机终端、主网关、从网关、应用服务器和安全应用服务器的应用,实现端与端之间的安全,其特征在于,包括以下步骤(1)所述WAP手机终端发出请求需要安全数据传送的地址链接给所述主网关,所述主网关将此地址链接传送给所述应用服务器;(2)所述应用服务器对此地址链接判断是否是具有安全保护内容的地址链接,如果有则产生HTTP重定向消息给所述主网关,其中附带一个导航文档;(3)所述主网关收到该HTTP重定向消息后,对其进行有效性分析,以确定该消息中规定的策略是否与所述主网关的策略一致,如果输出结果为一致,则所述主网关将有效的导航文档发到所述WAP手机终端上;(4)所述WAP手机终端通过对有效的导航文档进行分析,得到与安全应用服务器相关联的从网关信息,并建立与从网关的安全链路;(5)所述WAP手机终端向从网关发送请求需要安全数据传送的地址链接,同时所述从网关与安全应用服务器建立安全链接,所述从网关将该请求需要安全数据传送的地址链接转发给所述安全应用服务器,所述安全应用服务器向所述从网关返回被安全保护的数据内容;(6)此后WAP手机终端和安全应用服务器直接通过从网关实现之间安全的数据内容传送。
2、 如权利要求l所述的方法,其特征在于,所述步骤(2)中的产生 HTTP重定向消息给所述主网关,其中附带一个导航文档,包括产生以 状态码为300的HTTP重定向消息给所述主网关,其中附带一个XML格 式的导航文档。
3、 如权利要求l所述的方法,其特征在于,步骤(2)中的所述导航 文档,包括从网关的IP地址和安全保护内容的地址链接信息。
4、 如权利要求1所述的方法,其特征在于,步骤(3)中的所述HTTP 重定向消息进行有效性分析,包括分析导航文档的内容格式、分析重定 向消息的来源、核对所述从网关信息是否正确以及所述WAP手机终端是 否具有访问才又限;步骤(3)中的所述有效的导航文档,包括所述主网关需要配置的 应用服务器具有重定向到从网关的能力,以及所述从网关是主网关所定义 的。
5、 如权利要求l所述的方法,其特征在于,所述步骤(4)中包括 所述WAP手机终端通过对有效的导航文档进行分析,得到与安全应用服 务器相关联的从网关的IP地址,并建立与从网关的无线传输层安全协议 的安全链路。
6、 如权利要求1所述的方法,其特征在于,所述WAP手机终端, 为支持WAPL2版本的、具有二级WAP代理功能、并能进行简单的XML 格式文档分析的WAP手机终端;所述主网关,为支持WAP1.2版本的、由运营商维护的WAP网关;所述从网关,为支持WAPL2版本的、由行业用户维护的WAP网关。
7、 如权利要求l所述的方法,其特征在于,所述步骤(2)中,进一 步包括如果没有则所述应用服务器不需要进行端到端安全保护;所述步骤(3)中,进一步包括如果输出不一致,则所迷主网关丢 弃该重定向消息,不进行端到端的安全保护。
8、 一种基于WAP1.2网关实现端到端的安全的系统,其特征在于, 包括WAP手机终端、主网关、从网关、应用服务器和安全应用服务器; 其中,所述WAP手机终端,用于发出请求需要安全数据传送的地址链接给 所述主网关;并通过对所述主网关发来的有效的导航文档进行分析,得到 与安全应用服务器相关联的从网关信息,建立与所迷从网关的安全链路;以及向所述从网关发送请求需要安全数据传送的地址链接;所述主网关,用于将所述地址链接传送给所述应用服务器;并对来自 所述应用服务器的HTTP重定向消息进行有效性分析,以确定该消息中规 定的策略是否与所述主网关的策略一致,如果输出结果为一致,将有效的 导航文档发到所迷WAP手机终端上;所述从网关,用于接收来自WAP手机终端发送请求需要安全数据传 送的地址链接,同时与安全应用服务器建立安全链接,将该请求需要安全 数据传送的地址链接转发给所述安全应用服务器;并且,所述WAP手机 终端和安全应用服务器直接通过其实现之间安全的数据内容传送;所述应用服务器,用于对地址链接判断是否是具有安全保护内容的地 址链接,如果有则产生HTTP重定向消息给所述主网关,其中附带一个导 航文档;所述安全应用服务器,用于与从网关建立安全链接,接收来自所迷从 网关的请求需要安全数据传送的地址链接;并向所述从网关返回被安全保 护的数据内容。
9、 如权利要求8所述的系统,其特征在于,所述应用服务器中产生 HTTP重定向消息给所述主网关,其中附带一个导航文档,包括产生以 状态码为300的HTTP重定向消息给所述主网关,其中附带一个XML格 式的导航文档。
10、 如权利要求8所述的系统,其特征在于,所述导航文档,包括 从网关的IP地址和安全保护内容的地址链接信息。
11、 如权利要求8所述的系统,其特征在于,所述主网关对来自所述 应用服务器的HTTP重定向消息进行有效性分析,包括分析导航文档的 内$^式、分析重定向消息的来源、核对所述从网关信息是否正确以及所 述WAP手机终端是否具有访问权限;所述有效的导航文档,包括所述主网关需要配置的应用服务器具有 重定向到从网关的能力,以及所述从网关是主网关所定义的。
12、 如权利要求8所述的系统,其特征在于,所迷WAP手机终端中 的通过对所述主网关发来的有效的导航文档进行分析,得到与安全应用服务器相关联的从网关信息,建立与所述从网关的安全链路,包括通过对 所述主网关发来的有效的导航文档进行分析,得到与安全应用服务器相关 联的从网关的IP地址,并建立与从网关的无线传输层安全协议的安全链 路。
13、 如权利要求8所述的系统,其特征在于,所述WAP手机终端, 进一步包括用于支持WAP1.2版本的、具有二级WAP代理功能、并能 进行简单的XML格式文档分析;所述主网关,进一步包括用于支持WAP1.2版本的、由运营商维护 的WAP网关;所述从网关,进一步包括用于支持WAP1.2版本的、由行业用户维 护的WAP网关。
14、 如权利要求8所述的系统,其特征在于,所迷应用服务器,进一 步包括如果没有则不需要进行端到端安全保护;所述主网关,进一步包括如果输出不一致,则丢弃该重定向消息,不 进行端到端的安全保护。
全文摘要
本发明公开了一种基于WAP1.2网关实现端到端的安全的系统及其方法,包括终端发出请求地址链接给主网关,并将此地址链接传送给应用服务器;服务器对此地址链接判断是否是具有安全保护内容的地址链接,如有则产生重定向消息给主网关;主网关收到后进行有效性分析,如该消息中规定策略与其策略一致,则主网关将其中导航文档发到终端;终端通过对导航文档进行分析,得到从网关信息,建立与从网关安全链路;终端向从网关发送请求地址链接,从网关与安全应用服务器建立安全链接,将地址链接发给安全应用服务器,安全应用服务器向从网关返回被安全保护的数据内容;此后端到端直接通过从网关实现之间安全传送。本发明解决基于WAP1.2网关实现端到端的安全的问题。
文档编号H04L9/32GK101227277SQ200710000938
公开日2008年7月23日 申请日期2007年1月15日 优先权日2007年1月15日
发明者李凤军 申请人:中兴通讯股份有限公司