（通信与信息系统专业论文）scws卡远程管理服务器关键技术研究.pdf

二一辍i 独创性( 或创新性) 声明- 翻省掣幽 申请学位论文与资料若有不实之处， 本人签名：i 冱孬扯 本人签名：；冱函霉z 本人承担一切相关责任。 日期： 盈lq ：三：肇 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位 本人签名： 导师签名： 适用本授权书。 日期： 逸【! ：；：生 日期：习砷码j r 一一 北京邮电大学硕士论文 s e w s 卡远程管理服务器关键技术研究 矿 。o “ 碰，m - 北京邮电大学硕士论文s c w s 卡远程管理服务器关键技术研究 s c w s 卡远程管理服务器关键技术研究 摘要 s c w s ( s m a r tc a r dw e bs e r v e r ) 卡是下一代内置w e bs e r v g r 的s i m 卡，它可以提高用户的使用体验并实现更多的增值业务功能。s c w s 卡远程管理服务器负责对s c w s 卡进行远程管理，通过向卡中传输 各种数据和命令，实现s c w s 卡的增值业务功能。 本文以o m a 的s c w s 规范为基础，对s c w s 卡远程管理服务 器的关键技术进行了深入分析和研究，针对数据传输和安全方面存在 的一些不足之处，提出了相应的解决方案和改进意见，并通过实验验 证了这些方案和改进的有效性。 本文首先对传输协议进行了研究，针对t c p 和u d p 协议在有线 和无线环境下的性能差异，提出了t c p u d p 协议的选择机制，并采 用o p n e t 软件仿真测试了t c p 和u d p 协议的传输性能，验证了该选 择机制的有效性。该机制可以使服务器根据实际情况选择最合适的传 输协议，以提高数据传输性能。 在安全协议方面，针对p s k - t l s 握手协议在安全方面的不足， 本文对其进行了改进，通过对握手时传输的关键信息进行加密，实现 了p f s ( 完全前向保密) ；并利用o p c n s s l 软件包，设计实现了 p s k - t l s 协议的通信过程，实验结果证明改进后的p s k - t i 3 协议的 安全性得到改善，但握手效率变化不大，达到了安全和效率的兼顾。 同时，针对p s k - t l s 记录协议需要基于可靠传输通道的安全性要求， 本文引入u d p + c a tt p 模式，保证了p s k - t l s 协议的安全实施。 最后，本文结合p s k 预共享密钥技术，提出了基于s c w s 卡的 o t p 动态口令身份认证方案，该方案可以提高身份认证的安全性，是 对安全协议的有效补充。一 关键词：s c w s 卡t c p u d p 选择机制p s k - t l s 协议o t p 动态 口令 北京邮电大学硕士论文 s c w s 卡远程管理服务器关键技术研究 北京邮电大学硕士论文 s o n s 卡远程管理服务器关键技术研究 k e yt e c 矾o l o g yr e s e a r c hi ns c w sc a r d r e m o t em a n a g e m e n ts e r v e r s c w s ( s m a r tc a r dw e bs e r v e r ) c a r di st h en e x tg e n e r a t i o ns i mc a r d ，i nw h i c ha w e bs e r v e ri sb u i l t s c w sc a r di m p r o v e su s e r s e x p e r i e n c ea n da c h i e v e sm o r e v a l u e a d d e db u s i n e s sf u n c t i o n s t h er o l eo fs c w sc a r dr e m o t em a n a g e m e n ts e r v e ri s t om a n a g et h es c w sc a r dr e m o t e l ya n dh e l ps c w sc a r dt oa c h i e v ev a l u e - a d d e d s e r v i c ef u n c t i o n sb yt r a n s m i t t i n gd a t aa n dc o m m a n d s a ni n - d e p t ha n a l y s i sa n dr e s e a r c ho ft h ek e yt e c h n o l o g i e so fs c w sc a r dr e m o t e m a n a g e m e n ts e r v e rb a s e do no m a s c w ss p e c i f i c a t i o nh a sb e e nd o n ei nt h i st h e s i s f o rt h e i s s u e si nd a t at r a n s m i s s i o na n ds e c u r i t y , s o l u t i o n sa n di m p r o v e m e n t s 峨 p r o p o s e di nt h i st h e s i s s i m u l a t i o n sa r ep r o v i d e dt os h o wt h eb e n e f i t so ft h ep r o p o s e d m e t h o d t h i st h e s i sf i r s t l ys t u d i e st h ep e r f o r m a n c ed i f f e r e n c eo ft c pa n du d p p r o t o c o l s b e t w e e nt h ew i r e da n dw i r e l e s se n v i r o n m e n t at c p | u d p p r o t o c o l s e l e c t i o n m e c h a n i s mi st h e np r o p o s e d t h i ss e l e c t i o nm e c h a n i s mt e s tb e di si m p l e m e n t e du s i n g o p n e ts o f t w a r e t h ep r o p o s e ds c h e m ei sv a l i d a t e df r o mt h es i m u l a t i o nr e s u l t s i nt h i s m e c h a n i s m ，t h es e r v e rc a nc h o o s et h em o s ta p p r o p r i a t et r a n s p o r tp r o t o c o lf o rt h e c u r r e n te n v i r o n m e n t ，i no r d e rt oi m p r o v ed a t at r a n s m i s s i o np e r f o r m a n c e s e c o n d l y , i nt e r m so fs e c u r i t yp r o t o c o l ，c e r t a i ni m p r o v e m e n to ft h es h o r t c o m i n g o fp s k - t l ss h a k e h a n dp r o t o c o li ns e c u r i t yi sc a r r i e do u t b ye n c r y p t i n gt h ec r i t i c a l i n f o r m a t i o ni ns h a k e h a n dp r o t o c o l ，t h i s s t u d ym a k e sp s k - t i a c h i e v ep e r f e c t f o r w a r ds e c r e c y t h ec o m m u n i c a t i o np r o c e s so fp s k - t l sp r o t o c o li sa l s od e s i g n e d a n di m p l e m e n t e du s i n go p e n s s l p a c k a g e t h ep e r f o r m a n c et e s t i n gd e m o n s t r a t e st h a t t h ei m p r o v e dp s k - t l sp r o t o c o le n h a n c e st h es e c u r i t yw h i l ei t ss h a k e h a n de f f i c i e n c y d e c r e a s e sai r t l e i tr e a c h e sat r a d e o f fb e t w e e ns e c u r i t ya n de f f i c i e n c y b e c a u s et h e s e c u r i t yo fp s k - t l sr e c o r dp r o t o c o lm u s tb eb a s e do n ar e l i a b l et r a n s m i s s i o nc h a n n e l ， t h i st h e s i si n t r o d u c e st h e u d p + c a t t pp a t t e r n ，w h i c h c a ne n s u r et h es a f e i m p l e m e n t a t i o no fp s k - t l sp r o t o c 0 1 北京邮电大学硕士论文s a s 卡远程管理服务器关键技术研究 f i n a l l y , w i t ht h ep r e s h a r e dk e yt e c h n o l o g y , ad y n a m i cp a s s w o r da u t h e n t i c a t i o n s c h e m eb a s e do ns c w sc a r di sp r o p o s e d ，w h i c hi sa ne f f e c t i v es u p p l e m e n tt o s e c u r i t yp r o t o c 0 1 b yu s i n gt h i sa u t h e n t i c a t i o ns c h e m e ，t h es e c u r i t yo fs c w s c a r dc a n b ef u r t h e ri m p r o v e d k e yw o r d s ：s c w sc a r d ，t c p u d ps e l e c t i o nm e c h a n i s m 、p s k - t l s p r o t o c o l ， o t p d y n a m i cp a s s w o r d 北京邮电大学硕士论文 s c w s 卡远程管理服务器关键技术研究 目录 第一章绪论1 1 1 研究背景及意义1 1 2 国内外研究现状2 1 3 本文的主要研究内容。3 1 4 本文的组织结构4 第二章s c w s 卡远程管理系统5 2 1s c w s 卡远程管理系统的传输协议栈5 2 2s c w s 卡远程管理系统的安全协议。7 2 3s c w s 卡远程管理系统的通信过程。7 第三章传输协议的研究及改进9 3 1t c p 和u d p 协议的性能分析9 3 1 1t c p 协议在无线环境下的不足。9 3 1 2 改进的t c p 协议1 0 3 1 3u d p 协议的性能分析1 1 3 2t c p u d p 协议的选择机制1 2 3 2 1 现状及问题1 2 3 2 2 解决方案。1 2 3 2 3 具体流程1 3 3 2 4 性能分析1 4 3 3t c p 和u d p 协议的性能仿真1 5 3 3 1t c p 和u d p 协议的性能对比仿真1 5 3 3 1 1 仿真环境1 6 3 3 1 2 仿真内容1 6 3 3 1 3 结果分析2 1 3 3 2 不同版本t c p 协议的性能对比仿真2 1 3 3 2 1 仿真环境2 1 3 3 2 2 仿真内容2 2 3 3 2 3 结果分析2 4 3 4 小结2 5 第四章安全协议的研究及改进2 7 4 1t l s 协议简介2 7 4 2p s k - t l s 握手协议的研究和改进2 8 北京邮电大学硕士论文s c w $ 卡远程管理服务器关键技术研究 4 2 1 握手协议的工作流程2 8 4 2 2 握手协议存在的不足3 0 4 2 3 握手协议的改进3 1 4 2 4 软件验证及分析3 3 4 2 4 1r s a - t l s 协议的实现3 3 4 2 4 2p s k - t l s 协议的实现。3 6 4 2 4 3 改进后p s k - t l s 协议的实现。3 9 4 2 4 4p s k - ，n 协议的性能分析4 1 4 3p s k - t l s 记录协议的研究和改进4 3 4 3 1 记录协议的工作流程4 3 4 3 2 记录协议的安全性要求4 4 4 3 3 解决方案4 5 4 4 j 、结4 8 第五章基于s c w s 卡的动态口令身份认证方案4 9 5 1o t p 动态口令4 9 5 1 1 基本原理4 9 5 1 2 实现方法4 9 5 2 基于s c w s 卡的动态口令身份认证方案5 0 5 2 1 设计目标5 0 5 2 2 设计思想5 0 5 2 3 系统构成5 1 5 2 4 具体实现5 2 5 3 方案分析5 8 5 3 1 安全性分析5 8 5 3 2 功能分析5 9 5 3 3 优点分析6 0 5 4 小结6 0 第六章总结与展望6 1 6 1 本文的主要工作6 1 6 2 不足及展望6 l 参考文献6 3 附录：缩略语6 5 致谢6 6 攻读学位期间发表论文6 7 北京邮电大学硕士论文 s o n s 卡远程管理服务器关键技术研究 1 1 研究背景及意义 第一章绪论 在过去的几年中，s i m 卡的发展经历了巨大的变化，它的容量不断增加，功 能也越来越丰富，s i m 卡的发展历程可以大致划分为3 代【1 】： 1 早期的s i m 卡：容量非常有限，只有8 k 甚至更少，只具有用户认证功能。 2 现在的s i m 卡：容量已经达到了3 2 k 以上，并具有了s t k 功能，可以存储 一些数据及应用，从而实现增值业务功能。借助o t a 空中下载技术，用户 可以随时下载和更新卡内的业务菜单，享受各种个性化的增值服务，如信息 点播、互动娱乐、位置服务等。 3 下一代s i m 卡：容量将达到兆级甚至更高，可以存储大量的数据及应用，并 将拥有s c w s 功能，从而实现更多更新的增值业务功能。 s c w s ( s m a r t c a r dw e bs e r v e r ) 卡指的是拥有s c w s 功能的下一代s i m 卡，卡 中内置w e bs e r v e r ，将网络技术融入到s i m 卡中，大大增强了s i m 卡和手机用 户、移动网络之间的交互能力，可以实现更多更新的增值业务功能。相比现有的 s i m 卡，s c w s 卡拥有以下几个独特功锹2 j ： 1 即时上网功能：只要用户订阅了某个网站的内容，远程服务器将把该网站的 数据及时传输到s c w s 卡中，用户使用手机访问该网站时，卡中的w e bs e r v e r 会把这些数据处理并呈现给用户。由于此时手机不需要连接到外部服务器， 因此网站的访问速度将是非常快的，给用户的感受就是不再需要漫长的等待， 可以即时上网了。 2 生动丰富的手机界面：现有的s i m 卡由于容量和功能的限制，只能提供简单 的文字界面。s c w s 卡的容量大大提高，并内置w e bs c r v c r ，可以将数据以非 常生动的形式呈现给用户，例如它可以将电话本、通信录以网页的形式展现 出来，用户看到的将不再是黑白的文字。这将为用户带来非常好的使用体验。 3 安全功能：s c w s 卡可以对卡内的某些资源进行保护，只有获得相应权限才 可以访问，s c w s 卡还可以建立一个可靠的安全通道，在通过手机访问网上 银行等涉及用户隐私的网站时提供安全保护。 可以说，s c w s 卡无论对于用户还是运营商来说，都是非常具有吸引力的。 对于用户来说，拥有s c w s 卡可以大大提高使用体验，可以更快更安全的使用 手机上网。对于运营商来说，s c w s 卡可以促进各种增值业务的发展，提高运营 北京邮电大学硕士论文s o a $ 卡远程管理服务器关键技术研究 收入和利润。 但是要想充分发挥s c w s 卡的功能，除了拥有s c 、嬲卡外，还必须拥有一 个s c w s 卡远程管理服务器，通过服务器及时地将各种数据和命令传输到卡中， 经过卡内w e bs e l w g a 的处理，实现各种增值业务功能。 目前s c w s 卡远程管理服务器的设计主要依据o m a 的s c w s 规范( 见下 文) ，但该规范侧重于应用层的描述，在数据传输和安全方面存在一些不足之处： 1 首先，由于服务器需要传输的数据量比较大，因此s c w s 规范建议采用b i p 通道进行数据传输，在b i p 通道的基础上采用t c p 或u d p 作为传输协议。 但由于t c p 和u d p 协议在不同环境( 有线和无线) 下的传输性能不同，如 果不考虑实际情况随意采用某个协议，会导致数据的传输效率降低，占用更 多的无线带宽资源，影响服务器的传输性能。 2 其次，为了保证传输数据的安全，s c w s 规范建议采用p s k - t l s 协议建立 安全通道，对数据进行加密保护。p s k - t l s 协议是简化的t l s 协议，根据 相关资料，它在安全性方面存在一定的不足，而且底层传输协议能否支持 p s k - t l s 协议也需要进行进一步的研究。此外，在用户身份认证方面，静态 口令已经很难满足安全要求，需要采用一种新的身份认证方案代替静态口 令。 针对数据传输和安全方面存在的不足，本文提出了相应的解决方案和改进意 见，并通过实验验证了这些方案的有效性。这些解决方案和改进意见有助于提高 服务器和卡之间数据传输的效率和安全性，使服务器能够快速、高效、安全地将 数据传输到s c w s 卡中，为今后设计实现s c w s 卡远程管理服务器提供了一定 的理论依据和参考价值。 1 2 国内外研究现状 s c w s 卡是一个比较新的概念，目前国内外很多研究机构和组织都在积极从 事s c w s 卡和远程管理服务器的研究和设计。 全球知名的开放移动联盟o m a ( o p e nm o b i l ea l l i a n c e ) 在2 0 0 7 年1 0 月推出了第 一份s c w s 卡远程管理服务器的规范一o m a t s s m a r t c a r dw e bs e r v e r v 10 - 2 0 0 7 1 0 0 2 ，并不断进行修改和完善，目前该规范的最新版本为2 0 0 9 年5 月1 2 日公布的o m a - t s s m a r t c a r dw e bs e r v e r - v 11 - 2 0 0 9 0 5 1 2 - a i 引。o m a 的s m a r tc a r d w e bs e r v e r 规范对s c w s 卡的功能及远程管理服务器对s c w s 卡的管理都进行了 介绍，并详细描述了服务器和s c w s 卡之间通信时使用的各种命令语言；由于 o m a 的s c w s 规范的目标是建立一个开放式的标准框架，因此它侧重于对应用层 的描述，而对服务器与s c w s 卡通信时采用的传输和安全协议只是进行了简单的 2 北京邮电大学硕士论文s c w $ 卡远程管理服务器关键技术研究 引用和说明。 国内外的通信运营商也在关注s c w s 技术，中国移动于2 0 0 8 年9 月推出了 中国移动多媒体卡应用服务平台规范1 4 l ，该规范对s c w s 卡远程管理服务器的业 务流程、传输协议及与其他平台的接口都进行了描述，不过该规范还只是初稿， 很多信息都不够全面。 目前s c w s 卡远程管理服务器还处于研究和设计阶段，其中以o m a 的 s c w s 规范最为详细，还没有一个成熟稳定的s c w s 卡远程管理服务器投入到 实际应用中。 1 3 本文的主要研究内容 本文的重点在于对s c i w s 卡远程管理服务器的关键技术传输协议和安 全协议进行分析、研究和改进。为此，本文首先以o m a 的s c w s 规范为基础对 s c w s 卡远程管理系统进行了简单介绍，然后针对数据传输和安全方面存在的不 足之处，进行了深入的研究和改进： 1 在传输协议方面，针对t c p 和u d p 协议在有线和无线环境中的传输性能差 异，本文提出了t c p 舢d p 协议的选择机制作为解决方案，s c w s 卡远程管 理服务器能够根据实际情况，采用最合适的传输协议，以提高数据传输性能， 减小对无线带宽资源的占用。同时，本文还采用o p n e t 软件仿真了无线通信 环境，测试了不同情况下t c p 和u d p 协议的传输性能，验证了t c p 舢d p 选择机制的有效性。 2 在安全协议方面，本文针对p s k - t l s 握手协议在安全方面的不足，进行了 一定的改进，通过对握手时传输的关键信息进行加密保护，实现了p f s ( 完 全前向保密) ，改善了协议的安全性；并利用o p e n s s l 软件包，设计实现了 p s k - t l s 协议的通信过程，实验结果证明改进后p s k - t l s 的安全性得到改 善，但握手效率变化不大，达到了安全和效率的兼顾。同时，针对p s k - t l s 记录协议需要基于可靠传输通道的安全性要求，本文引入u d p + c a t _ t p 模 式，在采用u d p 作为传输协议时，在其上部署c a tt p 层，建立一个可靠 传输通道，保证p s k - t l s 协议的安全实施。 3 最后，针对身份认证时静态口令的安全问题，本文结合p s k - t l s 协议的p s k 预共享密钥技术，提出了基于s c w s 卡的o t p 动态口令身份认证方案，该 方案可以有效抵御各种常见攻击，提高身份认证的安全性，是对安全协议的 有效补充。 3 北京邮电大学硕士论文s e w s 卡远程管理服务器关键技术研究 1 4 本文的组织结构 本文一共分为六个章节，其中第三、四、五章是本文的重点： 第一章，绪论。介绍了本文的研究背景及意义，国内外对s c w s 卡的研究 现状，和本文的主要研究内容。 第二章，s c w s 卡远程管理系统。介绍了s c w s 卡远程管理系统的传输协 议栈、采用的安全协议以及s c w s 卡和服务器通信的具体过程。 第三章，传输协议的研究及改进。介绍了t c 肌7 d p 协议的选择机制，以及 为了验证该机制有效性而进行的t c p 和u d p 协议的性能仿真。 第四章，安全协议的研究及改进。分别介绍了p s k - t l s 握手协议、记录协 议和对它们的改进，以及利用o p e n s s l 软件包设计实现p s k - t i _ s 协议的通信过 程和测试结果。 第五章，基于s c w s 卡的动态口令身份认证方案。介绍了基于s c w s 卡和 p s k 技术的o t p 动态口令身份认证方案，它是对安全协议的有效补充。 第六章，总结。对论文的主要工作进行总结，指出论文的不足之处，对下一 步工作进行展望。 4 北京邮电大学硕士论文s c w s 卡远程管理服务器关键技术研究 第二章s c w s 卡远程管理系统 s c w s 卡远程管理系统主要由s c w s 卡和远程管理服务器组成，本章介绍 的s c w s 卡远程管理系统是以o m a 的s c w s 规范为基础设计的。 2 1s c w s 卡远程管理系统的传输协议栈 根据s c w s 规范的要求，s c w s 卡将采用b i p 通道与远程管理服务器进行通 信。如下图所示： t e r m i n a l 图2 - 1s c w s 卡的通信过程f 3 l b i p ( b e a r e ri n d e p e n d e n tp r o t o c 0 1 ) 全称承载独立协议，根据e t s it s1 0 2 2 2 3 对 b i p 协议的描述，b i p 命令是一种s i m 卡主动命令，具体包括o p e nc h a n n e l 、 c l o s ec h a n n e l 、g e tc h a n n e i ，s 1 = f 气矾，s 、s e n dd a t a 、r e c e i v ed a t a 5 1 。 当s i m 卡和外界实体进行通信时，s i m 卡首先采用b i p 命令和手机进行通信， 然后手机采用一种无线传输协议作为承载与其它实体进行通信，这种无线传输协 议包括很多种，包括蓝牙、红外、g s m 电路交换、g p r s 分组交换、3 g 技术等。 目前作为s i m 卡载体的手机主要依靠以下4 种方式进行通信： 1 短消息方式：目前的s i m 卡远程管理系统主要依靠o t a 短消息方式向s i m 卡中传输数据，服务器将各种命令数据按照短消息格式进行打包，然后通过 短消息网关发送出去，经过短消息中心的存储转发最终到达手机和s i m 卡【6 1 。 采用短消息方式的最大缺点在于传输的数据量非常有限而且速度很慢，一条 短信的最大容量为2 5 5 个字节，如果要发送更大的数据，需要将数据拆开分 条发送，s i m 卡收到后再将数据拼接组合起来，这大大降低了传输的速度和 效率。根据对现有的s i m 卡远程管理系统的测试，发送1 k 的数据需要通过 5 北京邮电大学硕士论文 s c w $ 卡远程管理服务器关键技术研究 1 条短消息，大概1 2 秒才能完成，发送1 0 k 的数据需要通过7 条短消息， 大概5 0 秒才能完成。 2 g s m 电路交换：g s m 电路交换是指我们用手机打电话时使用的连接方式， 采用这种方式的传输速率为9 6 k b i t s 。 3 g p r s 无线分组交换：g p r s 是一种较快的无线连接方式，它的理论传输速 率可以达到1 7 1 k b i t s ，实际应用中的下行速率在5 4 k 左右。g p r s 技术正在 被越来越广泛的推广和应用，目前手机上网主要采用g p r s 技术，一些工业 设备终端也开始采用g p r s 和远程服务器进行通信【7 1 。 4 3 g 技术：目前3 g 技术正在全国范围内推广和普及，相比2 g 技术，3 g 的 传输速率有了很大提高，手机的下载速率可以到达几兆。不过目前3 g 技术 还不够成熟，需要逐步完善。 目前，s c w s 卡和远程服务器进行通信的较好方式是通过g p r s 或3 g 技术， 考虑到g p r s 技术更为成熟，应用也最为广泛，本文的研究将以g p r s 作为s c w s 卡和服务器之间的通信方式。采用g p r s 方式时，s c w s 卡远程管理系统的传输 协议栈如下图所示： 应用层应用层 p s k t l s p s k t l s t c pt c p b 口b i pa j d pu d p i pi p 链路层链路层 t = 0t = 0g p r sg p r s 物理层物理层 s c w s 卡手机移动网络远程服务器 图2 - 2 数据传输协议栈 s c w s 卡通过b i p 命令和手机进行通信，手机再采用g p r s 连接到移动网络 的基站，然后经由基站通过有线方式连接到远程服务器。在这个过程中，移动网 络只在物理层和数据链路层对数据进行处理和传输，手机和服务器之间采用t c p 或u d p 作为传输层协议，采用口作为网络层协议，来自应用层的数据先后被分 割打包成t c p u d p 报文、口数据包，然后经过移动网络进行传输，接收方收到 后再解析成应用层数据。 根据t c p 和u d p 协议的特点，在不同环境( 有线网络和无线网络) 下，采 用t c p 和u d p 协议进行数据传输的性能将有较大差别，s c w s 规范并没有规定 t c p 和u d p 协议的使用原则，本文将在后文中进行详细说明。 6 北京邮电大学硕士论文s o n s 卡远程管理服务器关键技术研究 2 2s c w s 卡远程管理系统的安全协议 s c 、s 规范中指出：“t l s 协议可以为通信双方提供一个安全可靠的传输机 制，它可以为传输的数据提供机密性和完整性保护，它能实现单向或者双向的认 证。1 1 峪协议的工作模式是客户端服务器，发起者称为客户端，响应者称为 服务器。 当s c w s 卡作为客户端，远程管理服务器作为服务器进行通信时，将 采用p s k - t l s 协议，s c w s 规范还建议采用以下3 种p s k - t l s 协议： t l s _ p s k _ w 1 t h _ 3 d e s _ e d e _ c b c _ s h a 【p s k - t l s 】 t l s _ p s k _ w i t h _ a e s _ 1 2 8 _ c b c _ s h a 【p s k - t l s 】 t l s _ p s k _ w i t h _ n u l l - s h a 【r f c 4 7 8 5 】 由于s c w s 规范侧重于对应用层的描述，对于安全协议，s c w s 规范只进 行了p s k - t l s 协议的简单引用，要求采用p s k - t l s 建立安全通道，并没有进行 深入的分析和说明。本文将在后文中对p s k - t l s 协议进行深入研究和改进。 2 3s c w s 卡远程管理系统的通信过程 s c w s 卡和服务器之间采用h i t p 命令进行通信，包括p u t 、d e l e t e 、 g e t 、p o s t 命令。其中，p u t 命令用来向s c w s 卡中添加数据，d e l e t e 用来 删除数据，g e t 用来读取数据，p o s t 则是用来执行特殊命令，比如配置s i m 卡。 s c w s 卡和服务器的通信过程如下图所示： 一c 如椰憎垮横w l f s 辩如i i s t a t t p s i ( t l s 嘲1 1 2 一1 r 伊p o s t 擒哟 3 一d f l t p p o s t 娜u 恤由嘲m 惴啪i “一 孵1 p p o 耵枷p o n 瞄o 棚础咖涮嗍胁埔卜- 一m p p o s t 咖删 渤一一一i d 卜c 如t l $ 疆蝴翻m n 埒酾秤秘嘻曩啪f 1 0 卜一 嘲埘培 恕p 伸瓣 图2 - 3s c w s 卡和服务器的通信过程【3 l 7 北京邮电大学硕士论文s e w s 卡远程管理服务器关键技术研究 s c 、s 卡和服务器的通信可以分为s c w s 卡主动发起和服务器主动发起2 种，当服务器主动发起时，需要首先通过短信方式向s c w s 卡发送一个开通命 令，接下来的步骤和s c w s 卡主动发起相同。 1 建立远程连接。s c w s 卡利用b i p 命令与手机进行通信，手机收到后建立与 基站的g p r s 无线连接，基站再通过有线方式与远程服务器进行连接。 2 进行p s k - t l s 握手。s c w s 卡和服务器进行p s k - t l s 握手，核实彼此的身 份，并协商出一个会话密钥，用来对稍后传输的数据进行加密保护。 3 s c w s 卡向服务器发送一个h ，n 曙p o s t 请求，请求服务器提供服务。 4 服务器生成相应的命令数据后，通过h t f pp o s t 响应下发给s c w s 卡。 5 s c w s 卡收到唧响应后，将执行响应中的命令，然后再发送下一条h t y p p o s t 请求。 6 服务器继续下发相应的命令数据，当服务器没有数据需要下发时，将通过 h i t pp o s t 响应通知s c w s 卡。 7 s c w s 卡首先中断与服务器的p s k - t l s 连接，然后向手机发出c l o s e c h a n n e l 命令，手机断开与基站的g p r s 连接，整个过程结束。 8 北京邮电大学硕士论文 s c w s 卡远程管理服务器关键技术研究 第三章传输协议的研究及改进 s c w s 卡和服务器之间经常需要传输大量的数据，为了使数据传输快速高效， s c w s 卡将利用g p r s 无线通道与移动网络建立连接，然后经由移动网络，以有 线方式连接到远程服务器。在这个过程中，将采用t c p 和u d p 作为传输层协议， 由于在不同的环境下( 有线和无线环境) t c p 和u d p 的传输性能有较大差异， 为了提高数据传输性能，本章提出了一个硎，d p 协议的选择机制，服务器可 以根据实际情况选择最合适的传输协议。同时，为了验证该机制的有效性，本章 利用o p n e t 软件，仿真了无线传输环境，从多个角度测试了t c p 和u d p 协议的 性能。 3 1t c p 和u d p 协议的性能分析 3 1 1t c p 协议在无线环境下的不足 t c p 协议起初是为有线网而专门设计的，在有线网中数据包的出错率非常 低，发生丢包的主要原因一般是网络拥塞，t c p 协议的拥塞控制可以在网络拥塞 时迅速减小发送的数据量，减轻拥塞状况，避免数据包的进一步丢失。 但在无线网络中，由于无线信道的高误码率、移动终端在各小区间的来回切 换等原因，数据包的丢失不再仅仅是因为网络拥塞，如果直接将t c p 协议应用 到无线网络中，那么一旦发生丢包，将会启动拥塞控制，降低发送的数据量，使 传输性能降低。t c p 协议在无线环境下主要有以下几点不足【8 】： 1 数据的传输效率较低：t c p 是可靠传输协议，每次进行数据传输时，要首先 建立握手连接，接收方还需要对收到的每一个数据包进行确认回复，传输完 毕后还要断开连接；而且t c p 报文段的首部也比较长，这导致t c p 协议的 数据传输效率比较低，尤其是少量数据传输时。在无线网络中，无线信道的 资源非常有限，采用t c p 协议会占用更多的无线资源，降低数据传输效率。 2 缺乏有效的错误检测机制：t c p 协议只能检测到错误的发生，而无法检测出 错误的性质。对于传输过程中出现的错误，t c p 通常假设丢包都是由于网络 拥塞而造成的。在无线环境下存在许多与拥塞无关但会导致丢包的原因，t c p 协议将丢包都归结于网络拥塞，而无法检测出错误的性质。 3 缺乏有效的错误恢复机制：一旦检测出丢包，t c p 便启动拥塞控制的处理过 程，首先重传未被确认的包，减小拥塞窗口，降低发送速率；然后激活拥塞 控制机制，包括超时时钟指数级回退、减小慢启动闽值等；最后进入拥塞避 免阶段以确保拥塞得以解除。在无线网络中，丢包不一定是由于网络拥塞， 日 北京邮电大学硕士论文s o n s 卡远程管理服务器关键技术研究 t c p 的这种错误恢复机制将会导致传输性能下降和传输延迟增加。 因此，在无线网络中并不适合直接采用t c p 协议，需要将t c p 协议进行改 进以提高性能。 3 1 2 改进的t c p 协议 为了提高t c p 协议在无线传输环境下的性能，需要对它的拥塞控制机制进行 改进，引入一些更有效的算法。t c p 协议的拥塞控制算法主要包括以下几个【9 】： 1 慢开始算法：拥塞窗n ( c w n d ) 是指在没有收到确认a c k 的情况下最多能发 送的数据包的数量。在建立t c p 连接之后，首先采用慢开始算法进行拥塞控 制，初始拥塞窗口为一个最大报文段大小，然后每收到一个对新报文段的 a c k 确认，拥塞窗口增加一个报文段，慢开始算法的拥塞窗口大小呈指数 级快速增长。 2 拥塞避免算法：在采用慢开始算法一定时间后，拥塞窗口的大小到达了一定 值，此时将采用拥塞避免算法，慢开始阶段和拥塞避免阶段的分界点称为慢 开始阀值。采用拥塞避免算法时，发送方每收到一个a c k 确认，拥塞窗口 增加1 c w n d ，拥塞避免算法使拥塞窗口的大小呈线性缓慢增长。 3 快速重传算法：快速重传算法要求当发送方接收到3 个或3 个以上重复的 a c k 确认时，就判定有数据包已经丢失了，然后立即启动重传，而通常的 方法则是等到超时重传时间到了，才进行重传。快速重传算法可以有效减少 重传等待时间。 4 快速恢复算法：快速恢复算法是指在进行报文段重传时，拥塞窗口的大小降 低为当前发送窗口的一半加3 个报文段，而不是按照通常的做法直接将拥塞 窗口降低为1 个报文段。因此，采用快速恢复算法可以使拥塞窗口不会突然 变得非常小，数据的发送速率可以保持在较高的水平上。 5 选择性确认算法：选择性确认算法是指在报文段被确认丢失时，发送方只需 要发送丢失的数据包，而不需要发送丢失报文段之后的所有数据包。选择性 确认算法可以有效减少重传的数据量，提高发送效率。 目前常用的t c p 协议主要有三种：t c pt a h o e 、t c pr e n o 和t c ps a c k 。