WAP安全性

　　在WAP安全性的實現(xiàn)上，我們需要以最小的代價獲得最大的利益。WAP論壇的一個目標就是不進行"重復發(fā)明"。他們希望利用一切現(xiàn)存的技術，包括使用Internet技術作為模型，因而與Internet和Internet協(xié)議的一致和互用就成為一個重要目標。如同Internet一樣，WAP的安全性也是在傳輸層實現(xiàn)的。外觀上唯一的區(qū)別是：Internet模型將它的多數(shù)安全特性在TLS中實現(xiàn)，而WAP則在WTLS中。協(xié)議的命名可以給我們提示：WTLS與TLS很相似，而且WTLS是以TLS為基礎的。然而，在實際的網(wǎng)絡配置中，它們有著微妙的不同，這些不同對于安全性有很重要的含義。

　　為了闡明這種區(qū)別，我們需要看看在WAP環(huán)境中通信是如何進行的。下圖是一張類似于Internet通信模型的圖解。

WAP通信模型

　　在該模型中，連接仍然是通過電話呼叫建立的，但是此時的連接是由網(wǎng)絡運營商而不是ISP進行處理的。在實際中并非必須這樣實現(xiàn)，但是它代表了多數(shù)的通信模型，因而我們在討論中只以該圖為參照。同Internet模型一樣，當運營商接收到電話呼叫時，會將其路由到它的某個調(diào)制解調(diào)器上，進而連接到RAS服務器。

　　WAP論壇曾經(jīng)指出移動設備應該使用PPP協(xié)議，但是這里的PPP本身只是OTA業(yè)務承載協(xié)議及其它相關的處理移動電話呼叫的協(xié)議的一個"隧道"。通信時，在手機與基站之間有一層加密機制，該加密機制與PPP或其它高層協(xié)議是無關的。這種加密被定義為GSM的一部分，雖然該附加的安全層使得電話竊聽變得較為困難，但是它并不是足夠健壯，而且不能保護范圍只限于基站之內(nèi)，所以它本質(zhì)上并不能提供安全的連接。

　　同Internet模型一樣，RAS服務器進行認證處理，但是同Internet模型不同的是，當數(shù)據(jù)包通過RAS服務器之后，它并沒有經(jīng)過Internet被路由到WEB服務器，而是被路由到了WAP網(wǎng)關。WAP網(wǎng)關負責WML、WMLScript與適合于無線傳輸?shù)亩�進制格式代碼之間的轉(zhuǎn)換，同時，它也作為手機的代理，代表手機用HTTP 1.1協(xié)議與WEB服務器通信。WEB服務器并不知道它在和WAP網(wǎng)關對話，它只是將WAP網(wǎng)關看作另一個客戶機設備。

　　一般作為信息服務的WEB服務器是網(wǎng)絡運營商所有的，因而數(shù)據(jù)包可能從未離開過運營商所控制的范圍。然而你可能需要訪問其它組織提供的服務，這時WAP網(wǎng)關就會通過防火墻向其它機構(gòu)網(wǎng)絡的遠端服務器發(fā)送它的HTTP包。網(wǎng)絡運營商可以在它們的WEB服務器上設置DMZ（非禁止區(qū)域），以向普通大眾提供WAP或Internet服務，但是主要的服務還是應該放置在公眾無法訪問的獨立的服務器上。

　　在安全性方面，可以明確的一點是：如果WAP網(wǎng)關作為手機的代理使用HTTP 1。1協(xié)議與WEB服務器通信，那么TLS是可以確保WAP網(wǎng)關和WEB服務器之間的一切通信安全的，這點與Internet一模一樣。但是TLS不能確保手機與WAP網(wǎng)關直接的通信安全，這是因為TLS需要可靠的傳輸層，即TCP，但是手機并沒有使用TCP與WAP網(wǎng)關通信。TCP適合于高帶寬和高可靠度的網(wǎng)絡，而移動網(wǎng)絡無疑不具備這樣的特征。而且普通的移動設備的處理器和資源無法應付TCP協(xié)議棧的需求，因此WAP討論組設計了另一種比較輕便和適合于移動網(wǎng)絡的協(xié)議棧，該協(xié)議棧在IP網(wǎng)絡上使用UDP或在非IP網(wǎng)絡上使用WDP作為其傳輸層協(xié)議。

［上一頁］ ［下一頁］