交易类WAP站点在数据传输过程中的风险

现在中国移动提供的GPRS大致分为两类,一类是CMWAP,另一种是CMNET。

CMNET

CMNET拥有完全的Internet访问权,CMNET就像我们使用电脑连接互联网,CMNET其实就是移动的Internet,分配的IP是公网的地址。采用的实现方式是“终端+服务器”的工作模式。

CMWAP

CMWAP接入方式只开放HTTP代理协议(80和8080端口)和WAP网关协议(9201端口),仅支持http和WAP协议(数据通过WTLS传输)。采用的实现方式是“终端+WAP网关+WAP服务器”的模式。主要的目的是通过WAP网关完成 WAP-WEB的协议转换以达到节省网络流量和兼容现有WEB应用等目的(本文档仅针对WAP1.X)。

在CMWAP中最为关键的就是WAP网关,它起到了代理、数据加解密、编码处理等作用。WAP网关对数据的处理机制请参考下图:

4e59172cb82261d806876ab94731360c.gif - 大小: 7 KB - 尺寸: 399 x 175 - 点击打开新窗口浏览全图

我这里用一些图例来说明wap数据的传输过程
43047fe5c4623e564cbeaa25c778d4b3.png - 大小: 120.63 KB - 尺寸:  x  - 点击打开新窗口浏览全图

在上图(仅考虑非HTTPS的情况,WTLS协议本身不在本文档讨论范围内)中:

  • 手机通过CMWAP上网,需要先到WAP网关(主要是做代理、数据加解密、编码处理),这一部分的数据是通过WTLS来走的,数据是加密传输的,从WAP网关到后端服务器的过程中都是明文传输的(如要保证WAP网关到后端服务器间也是加密传输,需要和SP进行协商处理)。
  • 手机通过CMNET上网,就直接达到了Internet上,和ADSL拨号上网基本一样。在这个过程中的所有数据都是明文传输的。
  • 如果手机通过WIFI连接上Internet,整个过程和通过电脑连接情况一致

从上面的分析来看,整个过程中最大的风险点在于数据在传输过程中是否进行了加密。现在有部分手机银行等交易类站点中,已经做到了HTTPS + 仅允许通过CMWAP来进行登录、交易,这就保证的整个传输过程中数据的安全性。@dmgapp

doubanclaim340e31fcd083a606个人拙见,欢迎斧正,@amxku

关键词: 安全 , 工作 , 技术

上一篇: 说说Filter JS
下一篇: Visual Studio的广告剧

相关文章
访客评论
#1
回复 niuniu 2010-04-04, 13:13:31
没有说WAP网关的安全
#2
回复 niuniu 2010-04-04, 13:19:57
引用 niuniu 说过的话:
没有说WAP网关的安全
哦,说错了,哈哈,WAP网关是在SP,我们应该是不可控的,也太多必要了
#3
回复 过路人 2010-04-12, 20:31:52
学习了。。。。最近我们公司也要上了
#4
回复 xi4oyu 2010-04-18, 11:08:47
手机通过CMNET上网,就直接达到了Internet上,和ADSL拨号上网基本一样。在这个过程中的所有数据都没明文传输的

这个是笔误?还是我理解错了?
#5
回复 amxku 2010-04-19, 09:15:42
引用 xi4oyu 说过的话:
手机通过CMNET上网,就直接达到了Internet上,和ADSL拨号上网基本一样。在这个过程中的所有数据都没明文传输的
这个是笔误?还是我理解错了?
笔误,呵呵
#6
回复 甲甲人 2010-04-25, 15:44:17
macbook好用不,呵呵
#7
回复 mach11 2010-04-27, 19:58:02
引用 甲甲人 说过的话:
macbook好用不,呵呵
macbook好啊,牛b无处不在
#8
回复 ssj 2010-05-02, 14:36:01
macbook 还是不错的,呵呵
#9
回复 xixihh 2010-05-06, 13:19:40
路过学习。。。
#10
回复 路过jia 2010-05-08, 20:17:21
都多长时间没写了啊。。。
#11
回复 路人甲 2010-06-09, 10:34:40
从来不上wap站点的人路过~~
#12
回复 ely 2011-01-14, 15:35:49
手机上网只看小说的人路过....
发表评论

评论内容 (必填):