專利名稱:一種基于wap1.2網(wǎng)關實現(xiàn)端到端的安全的系統(tǒng)及其方法
技術領域:
本發(fā)明涉及WAP網(wǎng)關問題,尤其涉及一種基于WAP1.2網(wǎng)關實現(xiàn)端 到端的安全的系統(tǒng)及其方法��。
背景技術:
WAP業(yè)務通常由以下幾方面設備的合作來實現(xiàn)WAP終端、無線傳 輸網(wǎng)絡(GSM CSD/GPRS) ��、 WAP網(wǎng)關設備��、WAP應用服務器����、數(shù)據(jù) 業(yè)務管理平臺、防火墻等���。WAP網(wǎng)關設備可以分為若千功能模塊WAPPull代理���、WAPPush代 理、WTAJ良務器���、WAP支持服務器�、操作與維護平臺(0&M)等����。WAP網(wǎng)關是將互聯(lián)網(wǎng)與手機終端結(jié)合的關鍵設備,早在上世紀末就已 在移動網(wǎng)絡上應用��,WAP網(wǎng)關作為手機上網(wǎng)代理��,手機的任何上網(wǎng)請求首 先發(fā)送給WAP網(wǎng)關,再由WAP網(wǎng)關發(fā)送到互聯(lián)網(wǎng)的網(wǎng)站系統(tǒng)�����;同時網(wǎng)站 系統(tǒng)向手機終端返回的網(wǎng)頁信息也是首先通過WAP網(wǎng)關���,再傳送到手機終 端����。由于手機終端的處理能力較弱���,而且無線網(wǎng)絡的空中帶寬比較小�����, WAP網(wǎng)關需要將網(wǎng)頁內(nèi)容轉(zhuǎn)換成手機終端可展現(xiàn)的內(nèi)容�,例如畫面變小�、 畫面的復雜度降低等,并且將內(nèi)容進行壓縮傳輸從而減少空中帶寬占用�����。 可見WAP網(wǎng)關在手機上網(wǎng)方面起到格式轉(zhuǎn)換�����、內(nèi)容壓縮等功能�。隨著WAP瀏覽業(yè)務的普遍應用,特別是應用到一些安全要求較高的 領域����,例如銀行、公安等行業(yè)�,由于WAP1.2版本的WAP網(wǎng)關需要將 內(nèi)容進行格式轉(zhuǎn)換和壓縮,導致WAP網(wǎng)關不能實現(xiàn)端到端安全���,所謂的 端到端安全是指在手機終端與互聯(lián)網(wǎng)上的網(wǎng)站之間不能實現(xiàn)安全連接�,由 于WAP網(wǎng)關設備的不安全性破壞了端到端安全的形成����。具體地說,WAP網(wǎng)關在手機與互聯(lián)網(wǎng)上的網(wǎng)站系統(tǒng)之間傳遞數(shù)據(jù)時���,必須進行數(shù)據(jù)的格式轉(zhuǎn)換和壓縮���,導致端到端的安全性很難達到。特別是針對現(xiàn)有網(wǎng)絡使用�,用戶首先接入的是運營商建設和維護的WAP網(wǎng)關�����, 而對端到端安全需求很強的行業(yè)用戶�����,例如銀行�、公安等是不可能對運 營商維護的WAP網(wǎng)關完全信任的�����,而且運營商對此類行業(yè)用戶在WAP1.2 網(wǎng)關上也不敢承諾端到端的安全應用��。此外�����,有一些人也提出在手機終端 和WAP網(wǎng)關之間采用無線傳輸層安全協(xié)i義(Wireless Transport Layer Security �,WTLS )方式加密,在網(wǎng)關與網(wǎng)站系統(tǒng)之間采用SSL ( Secure Sockets Layer)加密��,WAP網(wǎng)關進行WTSL到SSL之間的轉(zhuǎn)換����,顯然這 個方法還是沒有解決WAP網(wǎng)關由運營商管理維護所帶來的問題。因為���, WTLS是WAP的安全模塊���,它為WAP應用提供加密、鑒別和數(shù)據(jù)完整 性服務��,作為WAP協(xié)議棧的一個層次向上層提供安全傳輸服務接口����。 WTLS是以TLS標準為基礎發(fā)展而來的,并針對無線網(wǎng)絡環(huán)境中的連接 方式��、計算能力����、帶寬限制等特點進行了必要的改造,并具有支持數(shù)據(jù)報 服務�、支持優(yōu)化的分組大小以及握手、動態(tài)密鑰更新等特點��。按照WTLS 規(guī)范�,并釆用網(wǎng)絡協(xié)議實現(xiàn)中常用的一些機制,如隊列模型等��,根據(jù)規(guī)范 中定義的事件和狀態(tài)轉(zhuǎn)化表對WAP網(wǎng)關方的WTLS的事件進行處理。對 于處理中涉及到的安全處理�����,如密鑰交換�、加密解密、完整性檢查和證書 的鑒別機制等���,在實現(xiàn)時采用相關的公開編程接口��。 WTLS是WAP提供 安全的端到端連接的初步嘗試���。把支持的算法按合適的方法結(jié)合起來,能 夠保證一定的安全性�����,從而解決大多數(shù)情況下的安全問題�����。但同時僅僅依 賴WTLS所提供的安全功能要達到絕對的安全是不可能的��。發(fā)明內(nèi)容本發(fā)明所要解決的技術問題在于提供一種基于WAP1.2網(wǎng)關實現(xiàn)端到 端的安全的系統(tǒng)及其方法,以解決基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的 問題�。為了解決上述問題,本發(fā)明提供了一種基于WAP1.2網(wǎng)關實現(xiàn)端到端 的安全的方法�����,使數(shù)據(jù)內(nèi)容通過WAP手機終端�、主網(wǎng)關�、從網(wǎng)關、應用 服務器和安全應用服務器的應用�����,實現(xiàn)端與端之間的安全��,其特征在于���,包括以下步驟(1 )所述WAP手機終端發(fā)出請求需要安全數(shù)據(jù)傳送的地址鏈接給所 述主網(wǎng)關�����,所述主網(wǎng)關將此地址鏈接傳送給所述應用服務器�����;(2) 所述應用服務器對此地址鏈接判斷是否是具有安全保護內(nèi)容的 地址鏈接��,如果有則產(chǎn)生HTTP重定向消息給所述主網(wǎng)關����,其中附帶一個 導航文檔;(3) 所述主網(wǎng)關收到該HTTP重定向消息后���,對其進行有效性分析����, 以確定該消息中規(guī)定的策略是否與所述主網(wǎng)關的策略一致���,如果輸出結(jié)果 為一致���,則所述主網(wǎng)關將有效的導航文檔發(fā)到所述WAP手機終端上;(4) 所述WAP手機終端通過對有效的導航文檔進行分析�����,得到與 安全應用服務器相關聯(lián)的從網(wǎng)關信息���,并建立與從網(wǎng)關的安全鏈路����;(5) 所述WAP手機終端向從網(wǎng)關發(fā)送請求需要安全數(shù)據(jù)傳送的地 址鏈接,同時所述從網(wǎng)關與安全應用服務器建立安全鏈接���,所述從網(wǎng)關將 該請求需要安全數(shù)據(jù)傳送的地址鏈接轉(zhuǎn)發(fā)給所述安全應用服務器�,所述安 全應用服務器向所述從網(wǎng)關返回被安全保護的數(shù)據(jù)內(nèi)容����;(6 )此后WAP手機終端和安全應用服務器直接通過從網(wǎng)關實現(xiàn)之間 安全的數(shù)據(jù)內(nèi)容傳送��。本發(fā)明所述的方法�����,其中�,所述步驟(2)中的產(chǎn)生HTTP重定向消 息給所述主網(wǎng)關,其中附帶一個導航文檔���,包括產(chǎn)生以狀態(tài)碼為300的 HTTP重定向消息給所述主網(wǎng)關�,其中附帶一個可擴展標記語言(XML) 格式的導航文檔�����。本發(fā)明所述的方法,其中�,步驟(2)中的所述導航文檔,包括從 網(wǎng)關的IP地址和安全保護內(nèi)容的地址鏈接信息��。本發(fā)明所述的方法���,其中��,步驟(3)中的所述HTTP重定向消息進 行有效性分析�����,包括分析導航文檔的內(nèi)容格式���、分析重定向消息的來源、 核對所述從網(wǎng)關信息是否正確以及所述WAP手機終端是否具有訪問權限�����;步驟(3 )中的所述有效的導航文檔���,包括所述主網(wǎng)關需要配置的 應用服務器具有重定向到從網(wǎng)關的能力���,以及所述從網(wǎng)關是主網(wǎng)關所定義 的�。本發(fā)明所述的方法�,其中,所述步驟(4)中包括所述WAP手機終 端通過對有效的導航文檔進行分析�,得到與安全應用服務器相關聯(lián)的從網(wǎng) 關的IP地址,并建立與從網(wǎng)關的無線傳輸層安全協(xié)議的安全鏈路��。本發(fā)明所述的方法��,其中��,所述WAP手機終端��,為支持WAPL2版 本的����、具有二級WAP代理功能�����、并能進行簡單的XML格式文檔分析的 WAP手機終端��;所述主網(wǎng)關�����,為支持WAP1.2版本的、由運營商維護的WAP網(wǎng)關���;所述從網(wǎng)關�,為支持WAP1.2版本的����、由行業(yè)用戶維護的WAP網(wǎng)關。本發(fā)明所述的方法�����,其中�����,所述步驟(2)中�����,進一步包括如果沒 有則所述應用服務器不需要進行端到端安全保護��,安全保護的要求是由其 內(nèi)容要求的����;所述步驟(3)中��,進一步包括如果輸出不一致�,則所述主網(wǎng)關丟 棄該重定向消息��,不進行端到端的安全保護���,對WAP手機終端而言����,是 失敗的瀏覽頁面顯示�����。為了解決上述問題�,本發(fā)明還提供了一種基于WAP1.2網(wǎng)關實現(xiàn)端到 端的安全的系統(tǒng),其特征在于����,包括WAP手機終端��、主網(wǎng)關��、從網(wǎng)關�����、 應用服務器和安全應用服務器;其中�,所述WAP手機終端,用于發(fā)出請求需要安全數(shù)據(jù)傳送的地址鏈接給 所述主網(wǎng)關����;并通過對所述主網(wǎng)關發(fā)來的有效的導航文檔進行分析,得到 與安全應用服務器相關聯(lián)的從網(wǎng)關信息����,建立與所述從網(wǎng)關的安全鏈路; 以及向所述從網(wǎng)關發(fā)送請求需要安全數(shù)據(jù)傳送的地址鏈接����;所述主網(wǎng)關,用于將所述地址鏈接傳送給所述應用服務器���;并對來自 所述應用服務器的HTTP重定向消息進行有效性分析��,以確定該消息中規(guī) 定的策略是否與所述主網(wǎng)關的策略一致��,如果輸出結(jié)果為一致���,將有效的 導航文檔發(fā)到所述WAP手才幾終端上��;所述從網(wǎng)關��,用于接收來自WAP手機終端發(fā)送請求需要安全數(shù)據(jù)傳 送的地址鏈接��,同時與安全應用服務器建立安全鏈接���,將該請求需要安全 數(shù)據(jù)傳送的地址鏈接轉(zhuǎn)發(fā)給所述安全應用服務器;并且�����,所迷WAP手機 終端和安全應用服務器直接通過其實現(xiàn)之間安全的數(shù)據(jù)內(nèi)容傳送����;所述應用服務器,用于對此地址鏈接判斷是否是具有安全保護內(nèi)容的 地址鏈接�,如杲有則產(chǎn)生HTTP重定向消息給所述主網(wǎng)關,其中附帶一個 導航文檔�;所述安全應用服務器,用于與從網(wǎng)關建立安全鏈接���,接收來自所述從 網(wǎng)關的請求需要安全數(shù)據(jù)傳送的地址鏈接;并向所述從網(wǎng)關返回被安全保 護的數(shù)據(jù)內(nèi)容��。本發(fā)明所述的系統(tǒng),其中��,所述應用服務器中產(chǎn)生HTTP重定向消息 給所述主網(wǎng)關�,其中附帶一個導航文檔,包括產(chǎn)生以狀態(tài)碼為300的 HTTP重定向消息給所述主網(wǎng)關�����,其中附帶一個可擴展標記語言(XML) 格式的導航文檔���。本發(fā)明所述的系統(tǒng)�����,其中���,所述導航文檔,包括從網(wǎng)關的IP地址 和安全保護內(nèi)容的地址鏈接信息���。本發(fā)明所述的系統(tǒng)����,其中,所述主網(wǎng)關對來自所述應用服務器的HTTP 重定向消息進行有效性分析��,包括分析導航文檔的內(nèi)容格式�����、分析重定 向消息的來源���、核對所述從網(wǎng)關信息是否正確以及所述WAP手機終端是 否具有訪問權限�;所述有效的導航文檔���,包括所述主網(wǎng)關需要配置的應用服務器具有 重定向到從網(wǎng)關的能力����,以及所述從網(wǎng)關是主網(wǎng)關所定義的����。本發(fā)明所述的系統(tǒng),其中���,所述WAP手機終端中的通過對所述主網(wǎng) 關發(fā)來的有效的導航文檔進行分析��,得到與安全應用服務器相關聯(lián)的從網(wǎng) 關信息��,建立與所述從網(wǎng)關的安全鏈路����,包括通過對所述主網(wǎng)關發(fā)來的 有效的導航文檔進行分析���,得到與安全應用服務器相關聯(lián)的從網(wǎng)關的IP 地址���,并建立與從網(wǎng)關的無線傳輸層安全協(xié)議的安全鏈路。本發(fā)明所述的系統(tǒng)���,其中��,所述WAP手機終端�����,進一步包括用于支持WAP1.2版本的�����、具有二級WAP代理功能���、并能進行簡單的XML 格式文檔分析��;所述主網(wǎng)關����,進一步包括用于支持WAPL2版本的����、由運營商維護 的WAP網(wǎng)關;所述從網(wǎng)關�,進一步包括用于支持WAPL2版本的、由行業(yè)用戶維 護的WAP網(wǎng)關����。本發(fā)明所述的系統(tǒng),其中���,所述應用服務器����,進一步包括如果沒有 則不需要進行端到端安全保護��,安全保護的要求是由其內(nèi)容要求的���;所述主網(wǎng)關����,進一步包括如果輸出不一致,則丟棄該重定向消息���, 不進行端到端的安全保護�����,對WAP手機終端而言,是失敗的瀏覽頁面顯因此�����,本發(fā)明所述的基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的系統(tǒng)及其 方法���,解決了 WAP網(wǎng)關由運營商管理維護所帶來的問題���,保證了基于 WAP1.2網(wǎng)關實現(xiàn)端到端的安全。附困說明
圖1是本發(fā)明實施例所述的基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的系 統(tǒng)的具體結(jié)構(gòu)圖�;圖2是本發(fā)明實施例所述的基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的方 法的具體流程圖。
具體實施方式
本發(fā)明為了解決傳統(tǒng)技術方案存在的弊端�����,通過以下具體實施例進一 步闡述本發(fā)明所述的 一種基于WAP 1.2網(wǎng)關實現(xiàn)端到端的安全的系統(tǒng)及其 方法,以下對具體實施方式
進行詳細描述��,但不作為對本發(fā)明的限定��。本發(fā)明實施例所述的系統(tǒng)����,如附圖1所示,WAP手機終端具備支持 多個代理服務器功能���,這些代理服務器存在主次之分���,該WAP手機終端支持WAP1.2版本的、具有二級WAP代理功能����、并能進行簡單的XML 格式文檔分析;手機通常與主代理服務器相連�,在需要的情況下也可以和次代理服務 器相連,WAP網(wǎng)關就是手機終端的代理服務器�;其中,主WAP網(wǎng)關����,為支持WAPL2版本的�、由運營商維護的WAP 網(wǎng)關�����;主WAP網(wǎng)關是指用戶普通情況使用的WAP網(wǎng)關�,不具有安全特 性,但具有配置和管理其他從WAP網(wǎng)關的功能�。從WAP網(wǎng)關,為支持WAP1.2版本的���、由行業(yè)用戶維護的WAP網(wǎng)關; 從WAP網(wǎng)關在本實施例中是一個具有安全特性的WAP網(wǎng)關���,并且管理維 護由安全行業(yè)人員維護�。應用服務器是指不具備安全性要求或者安全性要求不高的應用服務 器�,是普通的網(wǎng)站應用系統(tǒng),能按照一定的規(guī)則判斷WAP手機終端的請 求鏈接是否為安全鏈接����。安全應用服務器是指對安全要求很高的應用服務器,其中部署的應用 屬于高安全應用的網(wǎng)站系統(tǒng)���,例如銀行業(yè)務的帳號密碼信息�、公安行業(yè) 的秘密文檔等。本發(fā)明所述系統(tǒng)���,其中�����,WAP手機終端���,用于發(fā)出請求需要安全數(shù) 據(jù)傳送的地址鏈接給主WAP網(wǎng)關;并通過對所述主WAP網(wǎng)關發(fā)來的有效 的導航文檔進行分析�,得到與安全應用服務器相關聯(lián)的從WAP網(wǎng)關信息, 建立與所述從WAP網(wǎng)關的無線傳輸層安全協(xié)議(WTLS)的安全鏈路��; 以及向所述從WAP網(wǎng)關發(fā)送請求需要安全數(shù)據(jù)傳送的地址鏈接�����;主WAP網(wǎng)關��,用于將所述地址鏈接傳送給所述應用服務器�;并對來 自所述應用服務器的HTTP重定向消息進行有效性分析(包括分析導航 文檔的內(nèi)容格式、分析重定向消息的來源����、核對所述從網(wǎng)關信息是否正確 以及所述WAP手機終端是否具有訪問權限等)��,以確定該消息中規(guī)定的策 略是否與所述主網(wǎng)關的策略一致�����,如果輸出結(jié)果為一致�����,將有效的導航文 檔發(fā)到所述WAP手機終端上���;如果輸出不一致,則丟棄該重定向消息�, 不進行端到端的安全保護;從WAP網(wǎng)關�����,用于接收來自WAP手機終端發(fā)送請求需要安全數(shù)據(jù)傳 送的地址鏈接���,同時與安全應用服務器建立安全鏈接,將該請求需要安全 數(shù)據(jù)傳送的地址鏈接轉(zhuǎn)發(fā)給所述安全應用服務器���;并且����,所述WAP手機 終端和安全應用服務器直接通過其實現(xiàn)之間安全的數(shù)據(jù)內(nèi)容傳送;所述應用服務器�,用于對地址鏈接判斷是否是具有安全保護內(nèi)容的地 址鏈接,如果有則產(chǎn)生以狀態(tài)碼為300的HTTP重定向消息給所述主WAP 網(wǎng)關���,其中附帶一個XML格式的導航文檔(包括從網(wǎng)關的IP地址和安 全保護內(nèi)容的地址鏈接信息等)��;如果沒有則不需要進行端到端安全保護��;所述安全應用服務器����,用于與從WAP網(wǎng)關建立安全鏈接�,接收來自 所述從WAP網(wǎng)關的請求需要安全數(shù)據(jù)傳送的地址鏈接;并向所述從WAP 網(wǎng)關返回被安全保護的數(shù)據(jù)內(nèi)容��。本發(fā)明實施例所述的基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的方法流 程���,如附圖2所示����,相應的實施例流程說明如下步驟201, WAP手機終端通過主WAP網(wǎng)關瀏覽網(wǎng)頁內(nèi)容,點擊其中 一個具有安全保護的內(nèi)容地址鏈接URL (Uniform Resource Locator,統(tǒng)一 資源定位符)�;步驟202,主WAP網(wǎng)關將此鏈接請求轉(zhuǎn)換成HTTP重定向文檔后����, 發(fā)送給應用服務器;步驟203,應用服務器對此地址鏈接進行判斷����,發(fā)現(xiàn)是否具有安全保 護的內(nèi)容地址鏈接,如果有����,則應用服務器生成一個XML格式的導航文 檔,其中包含從WAP網(wǎng)關的IP地址�,以及安全鏈接的地址信息等,并且 HTTP消息的狀態(tài)碼為300;步驟204,主WAP網(wǎng)關對收到的HTTP重定向文檔進行分析���,核對 從WAP網(wǎng)關是否正確��,WAP手機終端是否具有訪問權限等,核對正確后�, 主WAP網(wǎng)關將HTTP重定向文檔中的導航文檔轉(zhuǎn)發(fā)給WAP手機終端;如 果不正確�,則向WAP手機終端返回瀏覽失敗頁面,提示用戶鏈接不存在;步驟205, WAP手機終端對收到的導航文檔進行分析���,確定需要與 從WAP網(wǎng)關建立安全鏈路后����,WAP手機終端與從WAP網(wǎng)關建立WTLS安全鏈路�,保證空中鏈路的安全性;步驟206���, WAP手機終端繼續(xù)向從WAP網(wǎng)關發(fā)送請求安全地址鏈接 的內(nèi)容�;步驟207����,從WAP網(wǎng)關與安全應用服務器建立SSL安全鏈路,并將 請求安全地址鏈接的內(nèi)容轉(zhuǎn)發(fā)給安全應用服務器�����;步驟208�����,安全應用服務器向WAP手機終端返回被安全保護數(shù)據(jù)內(nèi) 容���,首先由安全應用服務器發(fā)送到從WAP網(wǎng)關����,采用SSL安全鏈路方式, 再從從WAP網(wǎng)關發(fā)送到WAP手機終端����;步驟209, WAP手機終端完成安全保護數(shù)據(jù)獲取后,手機用戶點擊 一個非安全保護的地址鏈接����,WAP手機終端將請求信息發(fā)送給從WAP網(wǎng)關;步驟210��,從WAP網(wǎng)關將請求消息轉(zhuǎn)發(fā)給安全應用服務器����,安全應 用服務器對此地址鏈接進行分析,生成相應的重定向?qū)Ш轿臋n�����,文檔格式 為XML格式�,其中包含主WAP網(wǎng)關地址信息,及重定向后的地址鏈接��;步驟211����,安全應用服務器將導航文檔發(fā)送給從WAP網(wǎng)關,其中文 檔的HTTP響應狀態(tài)石馬為300;步驟212��,從WAP網(wǎng)關對收到的導航文檔進行分析��,確認主WAP網(wǎng) 關地址信息是否正確���,完成確認后���,從WAP網(wǎng)關將收到的導航文檔轉(zhuǎn)發(fā) 給WAP手機終端;如果不正確���,則由從網(wǎng)關生成缺省的到主網(wǎng)關的導航 文檔�,并將此導航文檔轉(zhuǎn)發(fā)給WAP手機終端���;步驟213��, WAP手機終端接收到該導航文檔后��,對該導航文檔進行 分析��,并與主WAP網(wǎng)關建立連接�,WAP手機終端回到步驟201所處的狀 態(tài)。當然��,本發(fā)明還可有其他多種實施例�,在不背離本發(fā)明精神及其實質(zhì) 的情況下,熟悉本領域的技術人員可根據(jù)本發(fā)明做出各種相應的改變和變 形��,但這些相應的改變和變形都應屬于本發(fā)明所附的權利要求的保護范 圍�。
權利要求
1. 一種基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的方法,使數(shù)據(jù)內(nèi)容通過WAP手機終端�、主網(wǎng)關、從網(wǎng)關�、應用服務器和安全應用服務器的應用,實現(xiàn)端與端之間的安全�,其特征在于,包括以下步驟(1)所述WAP手機終端發(fā)出請求需要安全數(shù)據(jù)傳送的地址鏈接給所述主網(wǎng)關�,所述主網(wǎng)關將此地址鏈接傳送給所述應用服務器;(2)所述應用服務器對此地址鏈接判斷是否是具有安全保護內(nèi)容的地址鏈接�,如果有則產(chǎn)生HTTP重定向消息給所述主網(wǎng)關,其中附帶一個導航文檔�;(3)所述主網(wǎng)關收到該HTTP重定向消息后,對其進行有效性分析����,以確定該消息中規(guī)定的策略是否與所述主網(wǎng)關的策略一致��,如果輸出結(jié)果為一致����,則所述主網(wǎng)關將有效的導航文檔發(fā)到所述WAP手機終端上��;(4)所述WAP手機終端通過對有效的導航文檔進行分析����,得到與安全應用服務器相關聯(lián)的從網(wǎng)關信息�����,并建立與從網(wǎng)關的安全鏈路��;(5)所述WAP手機終端向從網(wǎng)關發(fā)送請求需要安全數(shù)據(jù)傳送的地址鏈接����,同時所述從網(wǎng)關與安全應用服務器建立安全鏈接,所述從網(wǎng)關將該請求需要安全數(shù)據(jù)傳送的地址鏈接轉(zhuǎn)發(fā)給所述安全應用服務器�����,所述安全應用服務器向所述從網(wǎng)關返回被安全保護的數(shù)據(jù)內(nèi)容�����;(6)此后WAP手機終端和安全應用服務器直接通過從網(wǎng)關實現(xiàn)之間安全的數(shù)據(jù)內(nèi)容傳送。
2�����、 如權利要求l所述的方法����,其特征在于,所述步驟(2)中的產(chǎn)生 HTTP重定向消息給所述主網(wǎng)關���,其中附帶一個導航文檔����,包括產(chǎn)生以 狀態(tài)碼為300的HTTP重定向消息給所述主網(wǎng)關���,其中附帶一個XML格 式的導航文檔��。
3�、 如權利要求l所述的方法��,其特征在于,步驟(2)中的所述導航 文檔��,包括從網(wǎng)關的IP地址和安全保護內(nèi)容的地址鏈接信息��。
4��、 如權利要求1所述的方法�,其特征在于,步驟(3)中的所述HTTP 重定向消息進行有效性分析�����,包括分析導航文檔的內(nèi)容格式��、分析重定 向消息的來源���、核對所述從網(wǎng)關信息是否正確以及所述WAP手機終端是 否具有訪問才又限;步驟(3)中的所述有效的導航文檔��,包括所述主網(wǎng)關需要配置的 應用服務器具有重定向到從網(wǎng)關的能力����,以及所述從網(wǎng)關是主網(wǎng)關所定義 的。
5��、 如權利要求l所述的方法,其特征在于���,所述步驟(4)中包括 所述WAP手機終端通過對有效的導航文檔進行分析����,得到與安全應用服 務器相關聯(lián)的從網(wǎng)關的IP地址�����,并建立與從網(wǎng)關的無線傳輸層安全協(xié)議 的安全鏈路�。
6、 如權利要求1所述的方法���,其特征在于��,所述WAP手機終端����, 為支持WAPL2版本的��、具有二級WAP代理功能����、并能進行簡單的XML 格式文檔分析的WAP手機終端�;所述主網(wǎng)關�����,為支持WAP1.2版本的����、由運營商維護的WAP網(wǎng)關;所述從網(wǎng)關���,為支持WAPL2版本的��、由行業(yè)用戶維護的WAP網(wǎng)關。
7�����、 如權利要求l所述的方法�����,其特征在于����,所述步驟(2)中,進一 步包括如果沒有則所述應用服務器不需要進行端到端安全保護;所述步驟(3)中����,進一步包括如果輸出不一致,則所迷主網(wǎng)關丟 棄該重定向消息�,不進行端到端的安全保護。
8���、 一種基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的系統(tǒng)�����,其特征在于���, 包括WAP手機終端、主網(wǎng)關����、從網(wǎng)關、應用服務器和安全應用服務器����; 其中,所述WAP手機終端�����,用于發(fā)出請求需要安全數(shù)據(jù)傳送的地址鏈接給 所述主網(wǎng)關;并通過對所述主網(wǎng)關發(fā)來的有效的導航文檔進行分析���,得到 與安全應用服務器相關聯(lián)的從網(wǎng)關信息�,建立與所迷從網(wǎng)關的安全鏈路�����;以及向所述從網(wǎng)關發(fā)送請求需要安全數(shù)據(jù)傳送的地址鏈接����;所述主網(wǎng)關,用于將所述地址鏈接傳送給所述應用服務器�;并對來自 所述應用服務器的HTTP重定向消息進行有效性分析,以確定該消息中規(guī) 定的策略是否與所述主網(wǎng)關的策略一致����,如果輸出結(jié)果為一致�����,將有效的 導航文檔發(fā)到所迷WAP手機終端上��;所述從網(wǎng)關,用于接收來自WAP手機終端發(fā)送請求需要安全數(shù)據(jù)傳 送的地址鏈接�,同時與安全應用服務器建立安全鏈接,將該請求需要安全 數(shù)據(jù)傳送的地址鏈接轉(zhuǎn)發(fā)給所述安全應用服務器����;并且,所述WAP手機 終端和安全應用服務器直接通過其實現(xiàn)之間安全的數(shù)據(jù)內(nèi)容傳送�;所述應用服務器,用于對地址鏈接判斷是否是具有安全保護內(nèi)容的地 址鏈接�����,如果有則產(chǎn)生HTTP重定向消息給所述主網(wǎng)關����,其中附帶一個導 航文檔;所述安全應用服務器����,用于與從網(wǎng)關建立安全鏈接,接收來自所迷從 網(wǎng)關的請求需要安全數(shù)據(jù)傳送的地址鏈接�;并向所述從網(wǎng)關返回被安全保 護的數(shù)據(jù)內(nèi)容。
9����、 如權利要求8所述的系統(tǒng)�����,其特征在于�����,所述應用服務器中產(chǎn)生 HTTP重定向消息給所述主網(wǎng)關��,其中附帶一個導航文檔���,包括產(chǎn)生以 狀態(tài)碼為300的HTTP重定向消息給所述主網(wǎng)關,其中附帶一個XML格 式的導航文檔��。
10���、 如權利要求8所述的系統(tǒng)�����,其特征在于�,所述導航文檔��,包括 從網(wǎng)關的IP地址和安全保護內(nèi)容的地址鏈接信息�����。
11��、 如權利要求8所述的系統(tǒng)����,其特征在于,所述主網(wǎng)關對來自所述 應用服務器的HTTP重定向消息進行有效性分析�,包括分析導航文檔的 內(nèi)$^式、分析重定向消息的來源���、核對所述從網(wǎng)關信息是否正確以及所 述WAP手機終端是否具有訪問權限��;所述有效的導航文檔�����,包括所述主網(wǎng)關需要配置的應用服務器具有 重定向到從網(wǎng)關的能力��,以及所述從網(wǎng)關是主網(wǎng)關所定義的�。
12���、 如權利要求8所述的系統(tǒng)�,其特征在于,所迷WAP手機終端中 的通過對所述主網(wǎng)關發(fā)來的有效的導航文檔進行分析�����,得到與安全應用服務器相關聯(lián)的從網(wǎng)關信息����,建立與所述從網(wǎng)關的安全鏈路,包括通過對 所述主網(wǎng)關發(fā)來的有效的導航文檔進行分析�,得到與安全應用服務器相關 聯(lián)的從網(wǎng)關的IP地址,并建立與從網(wǎng)關的無線傳輸層安全協(xié)議的安全鏈 路��。
13���、 如權利要求8所述的系統(tǒng)����,其特征在于���,所述WAP手機終端�, 進一步包括用于支持WAP1.2版本的��、具有二級WAP代理功能、并能 進行簡單的XML格式文檔分析���;所述主網(wǎng)關,進一步包括用于支持WAP1.2版本的��、由運營商維護 的WAP網(wǎng)關�����;所述從網(wǎng)關�,進一步包括用于支持WAP1.2版本的、由行業(yè)用戶維 護的WAP網(wǎng)關����。
14、 如權利要求8所述的系統(tǒng)����,其特征在于,所迷應用服務器���,進一 步包括如果沒有則不需要進行端到端安全保護����;所述主網(wǎng)關,進一步包括如果輸出不一致����,則丟棄該重定向消息,不 進行端到端的安全保護�����。
全文摘要
本發(fā)明公開了一種基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的系統(tǒng)及其方法�,包括終端發(fā)出請求地址鏈接給主網(wǎng)關,并將此地址鏈接傳送給應用服務器�����;服務器對此地址鏈接判斷是否是具有安全保護內(nèi)容的地址鏈接��,如有則產(chǎn)生重定向消息給主網(wǎng)關��;主網(wǎng)關收到后進行有效性分析���,如該消息中規(guī)定策略與其策略一致�,則主網(wǎng)關將其中導航文檔發(fā)到終端�;終端通過對導航文檔進行分析,得到從網(wǎng)關信息��,建立與從網(wǎng)關安全鏈路;終端向從網(wǎng)關發(fā)送請求地址鏈接����,從網(wǎng)關與安全應用服務器建立安全鏈接,將地址鏈接發(fā)給安全應用服務器��,安全應用服務器向從網(wǎng)關返回被安全保護的數(shù)據(jù)內(nèi)容�;此后端到端直接通過從網(wǎng)關實現(xiàn)之間安全傳送����。本發(fā)明解決基于WAP1.2網(wǎng)關實現(xiàn)端到端的安全的問題。
文檔編號H04L9/32GK101227277SQ200710000938
公開日2008年7月23日 申請日期2007年1月15日 優(yōu)先權日2007年1月15日
發(fā)明者李鳳軍 申請人:中興通訊股份有限公司