（计算机软件与理论专业论文）基于net平台的警务移动办公系统的安全性研究.pdf

山东大学硕士学位论文 摘要 随着i n t e r n e t 的普遍应用和发展，使其与移动通信的结合成为当 前热点研究课题。移动数据通信的兴起及应用，使通用包无线服务 ( g p r s ) ，无线应用协议( w a p ) 及蓝牙技术( b l u et o o t h ) 等新技术蜂拥而 出。移动通信设备与i n t e r n e t 网络相结合，人们通过手机不仅可以传 话音，还能上网收发传真、电子邮件等文字信息，实现真正意义上 的“移动办公”。 然而，网络上存在许多不安全因素，尤其是目前网络上刚刚起 步的移动办公业务，使用户更加担心自己的数据被偷窃、拦截或更 改。如果事先采取相应的安全保密措施来堵塞隐患，系统的安全性 将会大大提高。 本课题的研究重点就是在基于无线网络的警务移动办公业务这 一新的应用领域中如何区分登录用户身份的真假、如何保证对登 录用户的访问控制，防止越权操作、内部信息以及个人隐私信息如 何保密等新的信息安全问题。使系统具有强大的备灾能力和安全性， 具有可靠的通信数据安全机制，以便让用户可以放心地使用。 本课题分析并研究了目前移动通信技术的优缺点及基于n e t 平 台的移动w e b 应用的特点、实现安全机制的重要性与可行性。课题 将w a p 技术与n e t 的移动控件开发平台结合起来，针对公安业务的 实际情况，实现了警务移动电子政务的应用。 山东大学硕士学位论文 然后在包含w e b 层、业务外观层、业务规则层、数据访问层的 四层应用结构的基础上，设计并实现了一种r o l e b a s e d 多层应用体 系授权管理系统( r b m a s ) 。即通过了身份验证的合法用户会被赋予 定的用户角色，从而保证用户根据角色成员身份的授权对系统进 行合法的操作。这样提高了应用程序的安全性和结构的可伸缩性， 为适应各种授权管理安全策略的要求提供了基础。 为了提高通信数据的安全性和可靠性，本课题又提出了一种基 于警务移动办公系统的通信数据加密模型，并建立了一个短信加密 传输系统的体系结构，这是一种利用移动通信设备和无线应用服务 平台的加密机制，在无线网络和有线网络间实现数据加解密及加密 数据传输的解决方案。该方案通过使用用户识别应用发展工具s t k 卡替代手机中的s i m 卡，实现手机设备端的信息加，解密功能。在选 择具体的加角￥密机制时课题采用公钥基础设施p k i ，并描述了公钥 密码算法r s a 对数据的加解密过程，分析了采用这种算法的系统安 全性与运行速度。该短信加密传输系统具有技术领先性与现实可行 性，对于研究与开发无线通信数据加密系统具有一定的指导意义。 总之，本课题针对公安业务的实际需求，通过将基于角色的身 份验证和授权策略与移动通信数据加密等安全机制和技术应用于基 于无线网络的警务移动办公系统中，使系统更加完善，更具有安全 性和实用性。 关键词：移动办公、通信数据安全机制、身份验证、授权策略、短 信加密传输系统、公钥基础设施p k i i l 山东大学硕士学位论文 a b s t r a c t a l o n gw i t ht h ep r e v a l e n ta p p l i c a t i o na n dd e v e l o p m e n to fi n t e r n e t ， i th a sb e e nah o t s p o tt a s kt ou n i ti n t e r n e tw i t hm o b i l ec o m m u n i c a t i o n s t h ea p p e a r a n c ea n dd e v e l o p m e n to fm o b i l ed a t ac o m m u n i c a t i o n sm a k e m a n yn e wt e c h n o l o g i e sp o u ro u t ，s u c ha sg e n e r a lp a c k e tr a d i os e r v i c e w i r e l e s s a p p l i c a t i o n p r o t o c o l ， b l u et o o t he t c b y m o b i l e c o m m u n i c a t i o ne q u i p m e n t s c o m b i n i n gw i t hi n t e r n e tn e t w o r k s ，w ec a n t r a n s m i tv o i c e ，d i s p a t c h a n dr e c e i v e f a xa n de m a i lw i t hm o b i l e t e l e p h o n e s ，t or e a l i z er e a l “m o b i l ew o r k s ” b u tt h e r ea r em a n yi n s e c u r e e l e m e n t si nn e t w o r k s ，t h eu s e r so f m o b i l ew o r ka r ea f r a i do ft h e i rd a t at o b es t o l e n ，h o l du po rc h a n g e d m u c hm o r e i fw ec a na d o p te n o u g hs e c u r es e c r e tm e a s u r e st op r e v e n t h i d d e nt r o u b l e si na d v a n c e ，t h es y s t e m ss e c u r i t yw i l li m p r o v e sg r e a t l y t h ist h es is e m p h a s i z e s o nh o wt od i s t i n g u i s ht h el o g g i n g u s e r s i d e n t i t y 。h o w t oc e r t i f i c a t eu s e r sa u t h o r i z a t i o nt op r e v e n te x c e e d h i s a u t h o r i t y ，h o wt ok e e pi n s i d ea n dp r i v a t e i n f o r m a t i o ns e c r e ti nt h en e w d o m a i n ，w h i c hi sp o l i c em o b i l ew o r k sb a s e do nw i r e l e s sn e t w o r k s t h e s y s t e mc a nb ep r o v i d e dw i t hp o w e r f u ld i s a s t e r p r e v e n t i n gc a p a c i t ya n d s e c u r i t y ，c o m m u n i c a t i o nd a t a s e c u r i t y m e c h a n i s me t c t h eu s e r sm a y u s ei ts e tt h e i rh e a r t sa t r e s t t h i st h es isa n a l y z e sa n dr e s e a r c h e st h em e r i ta n dd e f e c t o ff o r m e r 1 1 1 山东大学硕士学位论文 m o b i l ec o m m u n i c a t i o nt e c h n o l o g y ，t h ec h a r a c t e r i s t i c so fm o b i l ew e b a p p l i c a t i o n w h i c hi sb a s e do n n e t p l a t f o r m ，t h ei m p o r t a n c e a n d f e a s i b i l i t y o fr e a l i z i n gs e c u r em e c h a n i s m a c c o r d i n gt ot h e p o l i c e s m a t t e r so ff a c t ，w ec o m b i n ew a p t e c h n o l o g ya n d n e tm o b i l ec o n t r o l d e v e l o p m e n tp l a t f o r m ，t or e a l i z ep o l i c em o b i l ee l e c t r o n i cp o l i c yt a s k a f t e r w a r d s ，b a s i n g o nt h e f o u r l a y e r sa p p l i c a t i o n s t r u c t u r e c o n t a i n i n gw e b ，b u s i n e s sf a c a d e ，b u s i n e ssr u l e sa n dd a t aa c c e s s ，w e d e s i g na n d r e a l i z ear o l e b a s e dm u l t i p l a y e ra u t h o r i z a t i o nm a n a g e m e n t s y s t e m ( r b m a s ) t h el e g a l u s e rt h r o u g hi d e n t i t ya u t h e n t i c a t i o nw i l l b ee n d u ew i t hac e r t a i nr o l e ，w h i c hc a nu n d e r t a k et h eu s e rt oc a r r yo u t l e g a lo p e r a t i o n i n s y s t e ma c c o r d i n g t oh isa u t h e n t i c a t i o n t h i s m e c h a n i s mc a ni m p r o v e t h e s e c u r i t y o f a p p l i c a t i o np r o g r a m a n d e x t e n d s h r i n ko fs t r u c t u r e ，a n dp r o v i d eb a s i sf o ra d a p t i n gt o a l lk i n d s o fs e c u r ea u t h o r i z a t i o ns t r a t e g y i no r d e rt oi m p r o v et h es e c u r i t ya n dr e l i a b i l i t y o fc o m m u n i c a t i o n d a t a ，t h i st h e s i se x p o u n dac o m m u n i c a t i o n d a t ae n c o d em o d e lb a s e do n d o l i c em o b i l e w o r k s s y s t e m ，a n d e s t a b l i s ham e s s a g e e n c o d e t r a n s m is s i o ns y s t e mf r a m e w o r k ，w h i c hi s ad a t ae n c o d em e c h a n i s mb y m e a n so fm o b i l ec o m m u n i c a t i o ne q u i p m e n t s a n dw i r e l e s sa p p l i c a t i o n s e r v i c e 口l a t f o r m ，as o l u t i o np r o j e c to fr e a l i z i n gd a t ae n c o d e d e c o d ea n d e n c o d e dd a t at r a n s m i s s i o nb e t w e e nw i r e l e ssa n dw i r en e t w o r k s t h i s p r o j e c t r e a l i z e s t h e m e s s a g e e n c o d e d e c o d e f u n c t i o ni nm o b i l e i v 山东大学硕士学位论文 t e l e p h o n e sb yt a k i n gt h ep l a c eo fs i m c a r dw i t hs i mt o o lk i t ( s t k ) c a r d a n dt h i s p r o j e c t c h o o s esp u b l i ck e yi n f r a s t r u c t u r e ( p k i ) d es c r i b e st h e d a t ae n c o d e ，d e c o d e p r o c e s sb y u s eo f p u b l i c k e y c r y p t o g r a mm e t h o d o l o g y ，a n a l y z e st h es e c u r i t ya n do p e r a t i o ns p e e do f s y s t e m t h i s m e s s a g e e n c o d et r a n s m i s s i o ns y s t e m h a s t e c h n o l o g y p r i o r i t y a n dr e a l i t yf e a s i b i l i t y ，a n di th a sc o n d u c tm e a n i n gt or e s e a r c h a n dd e v e l o pw i r e l e s sc o m m u n i c a t i o n d a t ae n c o d et r a n s m i s s i o n i naw o r d ，t h i st h e s i sm a k e st h es y s t e mb e b e t t e ri m p r o v e da n d m o r es e c u r ea n dp r a c t i c a l ，b yu s i n gas e r i e s o fs e c u r em e c h a n i s ma n d t e c h n o l o g i e s s u c ha si d e n t i t ya u t h e n t i c a t i o na n d a u t h o r i z a t i o ns t r a t 。g y ， m o b i l ec o m m u n i c a t i o nd a t ae n c o d ee t c k e yw o r d s ：m o b i l ew o r k s ，c o m m u n i c a t i o n d a t as e c u r i t ym e e h a n i s m i d e n t i t y a u t h e n t i c a t i o n a u t h o r i z a t i o ns t r a t e g y ，m 。8 8 8 9 e e n c o d et r a n s m i s s i o ns y s t e m ，p u b l i ck e y i n f r a s t r u c t u r e v 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名： 趋l 堡 日期：洫垒。圭。拉 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅：本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：j 过上婪导师签名： 期：泼幺i ：1 2 山东大_ 硕士学位论文 第一章引言 1 1 基于手持设备的移动办公业务 历史告诉我们，有人发明了蒸汽机，于是有了火车；有人发明了如何产生电， 于是世界变得一片光明：有人发明了计算机，于是为我们的生活带来了质的飞跃。 到了今天，e 时代来了，企业开始思考高效率的工作水准，高速度的利润收 入，高科技的办公方式，高份额的市场占有，高增长的商业价值我们开始 追求无拘无束的工作方式，随时随处的办公环境，及时便捷的获取信 息基于手持设备的移动办公业务将满足你的需求，将移动电话与互联网完美 的结合在一起，为您提供更为完美的办公方式，为您创造更为自由的办公空间! 移动办公是目前很多行业、领域的要求。例如，教师需要在不同的教室进行 多媒体教学演示；新闻工作者要求在移动过程中处理文字和进行信息沟通；销售 人员在外联系业务时，需要企业后台的一些数据；公安人员现场办案时，需要最 快速度调出一些相关资料。股票证券业、旅游业、保险业、银行业、军事部门、 野外工作人员等行业都有各自不同的，侈动办公需求。 1 2 无线网络应用安全性概述 计算机安全事业始于本世纪6 0 年代。当时，计算机系统的脆弱性已日益为 美国政府和私营的一些机构所认识。进入8 0 年代后，计算机的性能得到了成百 上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且， 人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随 之而来并曰益严峻的问题是计算机信息的安全问题。人们在这方面所做的研究与 计算机性能和应用的飞速发展不相适廊，因此，它已成为未来信息技术中的主要 问题之一。 由于计算机信息有共享和易扩散等特性，它在处理、存储、传输和使用上有 山东大学硕士学位论文 着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、 冒充和破坏，还有可能受到计算机病毒的感染。 而我们所要实现的无线网络通信技术的数据传输，主要是通过我们日常所见到 的墒壁，屋顶，而我们需要用一种非常灵敏的天线来接收这些数据一一这种天线比 我们日常生活所用到的设备的天线要灵敏的多。但是问题在于数据的传播是开放的， 换句话说就是其他用户甚至那些怀有恶意的黑客通过某些特殊手段也能够接受到这 些信号，所以即使是简单的家庭用户也需要采取一些措施来避免自己的数据受到别 人的监视或者偷窥。 随着无线网络的不断升温，与之相关的安全技术开始大量涌现。无线安全技 术的焦点集中在加密和认证两方面，人们可以采用i p s e c v p n ( 虚拟专用网v i r t u a l p r i v a t en e t ) 或者w i f i 专用安全标准，加以解决，也可以根据系统的实际情况 自行开发加密和认证方法。 加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实 现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而 这一类安全保障技术的基石是适用的数据加密技术及其在分布式系统中的应用。 认证要实现只有经授权的用户，才允许访问特定的系统资源。可以通过定义 用户角色，将应用程序中共享同一安全权限或功能的用户组合起来，这样用户均 被映射到应用程序中的角色。而角色成员身份用来控制对应用程序公开的特定操 作的访问权， 当然，无线安全技术不像有线网络发展那么成熟，而且目前的无线网络速度 是个瓶颈安全系数的提升，无疑会对本来已经捉襟见肘的速度雪上加霜，提高 安全系数的同时会造成速度的降低、使用的复杂。 1 3 国内外发展现状 1 3 1 国内外市场 随着i n t e r n e t 的爆炸性应用和发展，使其与移动通信的结合成为当前热点研 山东大学硕士学位论文 究课题。移动数据通信的兴起及应用，使通用包无线服务g p r s ( g e n e r a lp a c k e t r a d i os e r v i c e ) ，无线应用协议w a p ( w i r e l e s s a p p l i c a t i o np r o t o c 0 1 ) 及蓝牙技术 ( b l u et o o t h ) 等新技术蜂拥而出。 移动通信手机与i n t e r n e t 网络相结合，通过手机不仅可以传话音，还能上网 收发传真、电子邮件等文字信息，实现真正意义上的“移动办公”。目前，各大 手机商已在此领域注入大力，成为竞争焦点。在今后2 5 年时间，通过移动电 话上网需求量将会出现爆炸式增长，全新一代移动通信工具将会闪亮登场，2 年 内市场上销售手机将有1 0 一1 5 具备网上浏览功能。 利用无线技术与i n t e r n e t 所形成的交叉，无线访问为i n t e m e t 经济，特别是为 娱乐、电子商务、移动式办公及定点服务等领域注入新的成分与机遇。据统计， 目前国内外利用移动互联网进行的即时通信主要有以下几个方面： 移动办公 公众信息服务 移动电子商务 个人信息助理 邮件到达通知管理 目前我国移动通信业务发展迅速，这样的发展速度和市场规模使移动通信成 为我国经济的新增长点和重要的支柱产业。这方面的业务主要包括短信息服务、 移动无线接x n 务( 实现“移动上网”和“移动办公”、“手机传真”) 、w 廿手 机上网服务、g p r s 服务及互联网服务。此外，我国社会经济继续快速发展、人 民生活水平日益改善，将使得人们对移动通信的需求不断提高。目前，我国的移 动电话普及率刚超过2 0 ，与欧洲发达国家8 0 的普及率相比，市场潜力依然 巨大。 1 3 2 技术演进 到目前为止，现有的移动数据通信技术还不很成熟，移动数据通信技术演迸 是从最初的g s m 电路交换方式的9 6 k b i t s 到未来几年内将采用的第三代 山东大学硕士学位论文 ( 3 g ) ( i m t - 2 0 0 0 ) 的2 m b i t s ，期间经历第二代g s m ，二代半的过渡技术，最后融 合到第三代3 g 技术，下面分别介绍这几种移动数据通信技术。 ( 1 ) g s m 电路交换方式 这是最初的移动数据通信方式，采用g s m 电路交换方式，通过手机或者无 线调制解调器接入数据网，由于无线接口速率很低，只有9 6 0 0 b i t s ，而且还不稳 定，这种接入方式的服务质量不能为用户所接受，因此用户很少。 ( 2 ) w a p 技术 w a p 技术可以将无线通信技术和i n t e r n e t 结合起来，通过提供通用的平台， 把目前i n t e m e t 网上h t m l 语言的信息转换成为w m l 描述的信息，显示在手机 显示屏上。 w a p 被认为是一种综合性可伸缩的协议，它主要用于： 各种移动电话 各种现有的和规划的无线服务，如s m s ，u s s d ，g p r s 等 各种移动网络标推。如：c d m a 、g s m u m t s 多种接入终端：如触摸屏、键盘等 w a p 通过w a p 服务器来增加各种增值服务，只需要在移动电话增加一个微 浏览器即可，不必对硬件作太大改动。 ( 3 ) 高速电路交换数据h s c d s ) h c s d 是在现行电路交换数据传输方式上的发展，它把4 个信道( 时隙) 捆绑 起来，同时传输数据，理论上可把1 4 4 k b i t s 的w a p 速率提高到5 7 6 k b i t s ，这 属于- - e e 过渡模式，对现有网络改进要求不大，无需进行昂贵的硬件升级，只需 更换手机就可完成从电路交换数据( c s d ) 到h s c d s 的过渡。 ( 4 ) 通用分组无线服务g p r s 这也是在g s m 基础上发展的一种过渡性技术。但它是一个分组交换协议， 意味着只有在用户真正发送和接收数据时才1 会占用无线资源，因而提高了对无线 资源的利用率。 g p r s 速率达1 1 5 k b i f f s ，理论最大值为1 7 1 2 k b i t s ，保证了更大的数据传送， 4 山东大学硕士学位论文 更大的因特网接入，可以同时进行话音、数据通信业务，支持各类多媒体业务和 图象、视频等。 ( 5 ) e d g e ( 改进数据率g s m 服务) e d g e 在空中接口上采用了一种新的调制方式，以改善频率利用率。e d g e 用于分组交换称为“增强型的g p r s 模式”( e g p r s ) ，是一种有效提高g p r s 信 道编码速率的高速移动数据标推。它可以充分满足未来无线多媒体应用的带宽需 求，它是一种第二代移动网络与第三代之间的过渡技术，因此也有人称为“二代 半”技术。 当然不论使用什么技术实现移动通信业务，首先要解决好信息安全问题，例 如登陆用户身份如何区分真假、提交信息如何认证、内部信息如何保密以及个人 隐私信息、个人行踪定位等新的信息安全问题等，否则利用移动通信实现办公业 务始终是一句空话。 1 3 3 无线通信安全技术 合理保护无线网络通信的目的在于，将无线网络与无权使用服务的外人隔离 开来。往往说来容易做时难。就安全而言，无线网络通常比固定有线网络更难保 护，这是因为有线网络的固定物理访问点数量有限，而在天线辐射范围内的任何 一点都可以使用无线网络。尽管本身存在着困难，但合理保护无线网络系统是保 护系统避免严重安全问题的关键所在。为了最大限度地堵住这些安全漏洞，就要 确保采取保护无线网络的几项措施。 ( 1 ) 规划天线的放置 要部署封闭的无线访问点，第一步就是合理放置访问点的天线，以便能够限 制信号在覆盖区以外的传输距离。当然，完全控制信号泄露几乎是不可能的，所 以还需要采取其它措施。 ( 2 ) 使用数据加密技术 无线加密技术是对无线网络上的通信数据进行加密的一种方法。无线加密技 术有助于阻挠偶尔闯入的黑客。一旦采用这做法，黑客就能立即访问无线网络上 山东大学硕士学位论文 的流量，因为利用无线嗅探器就可以直接读取数据。 ( 3 ) 变更s s i d ( s e r v i c e s e ti d e n t i f i e r ) 及禁止s s i d 广播 服务集标识符( s s i d ) 是无线访问点使用的识别字符串，客户端利用它就能 建立连接。该标识符由设备制造商设定，每种标识符使用默认短语，如1 0 l 就是 3 c o m 设备的标识符。倘若黑客知道了这种口令短语，即使未经授权，也很容易 使用你的无线服务。对于部署的每个无线访问点而言，你要选择独一无二并且很 难猜中的s s i d 。如果可能的话，禁止通过天线向外广播该标识符。这样网络仍 可使用，但不会出现在可用网络列表上。 ( 4 ) 使用访问列表 为了进一步保护无线网络，请使用访问列表，如果可能的话。不是所有的无 线访问点都支持这项特性，但如果你的网络支持，你就可以具体地指定允许哪些 机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议 ( t f t p ) ，定期下载更新的列表，以避免管理员必须在每台设备上使这些列表保 持同步的棘手问题。 1 4 课题的提出、内容及意义 以电子政务为核心的政府信息化是推动我国国民经济信息化的关键。当前， 电子政务工程主要利用有线i n t e r n e t i n t r a n e t 技术，实现内部办公( 内网) 和 外部服务( 外网) 。但由于电脑拥有率、电脑操作知识普及率、网络通畅、群众 信息化意识等诸多因素的存在，电予政务的成效不够高。甚至有些政府机关的相 关系统形同虚设，这样，不但未能达到预期目的，反而浪费了政府相关资源。 我们根据中国手机用户飞速发展的现状，充分利用移动通讯网络，同时结合 现有的i m e r n e t i n t r a n e t 技术和资源，推出了“基于手持设备的移动办公系统”。 但是计算机信息网络在服务人们生活的同时，网络的安全问题也日益突出。【习此， 课题的核心就是是在实现警务移动办公功能的基础上，通过运用用户身份验证、 控制访问权限以防止越权操作、内部信息以及个人隐私信息加密等信息安全技 术，使系统具有强大的备灾能力和安全性，具有可靠的通信数据安全机制，以便 山东大学硕士学位论文 让用户可以放心地使用，从而达到了信息高效、安全、快捷地沟通的目的。 1 4 1 课题的背景 基于i n t e r n e t 的移动办公业务是安丘市公安局警务动态管理系统( e p d m s ) 的重要组成部分，我的课题需要完成的是治安案件办理流程予系统中移动办公业 务的安全技术保障工作。 治安案件办理流程子系统根据实际业务需求并结合办案流程，整个流程划分 为受理立案调查取证强制措施定性处理等子功能模块( 如图1 1 所 示) ，并且增加了工作督办、执法监督和绩效考评等先进的管理理念和有效的监 督考核体制，为工作效率与执法水平的提高提供有力的保障。 图1 1 ：治安案件办理流程 在此基础上的移动办公业务模块，即目前我们经常提到的“电子政务移动办 公业务”，主要任务是结合治安案件办理流程，通过无线移动设备实现工作督办、 案件实时审批、案件信息查询、请示报告等流程自定义功能，使办案人员的工作 不再受时间和地理位置的限制，免去了过去因工作繁忙而导致案件办理不便的困 山东大学硕士学位论文 扰。 更重要的事，基于公共网络的警务移动办公业务系统所要建立的网络和系统 应该具有较高的安全性，因为在网络上流动的都是安全要求较高的各种警务办公 信息，如果安全方面出现漏洞，不仅会造成信息的泄漏，而且会给犯罪分子提供 帮助。针对这一严肃的问题，该课题的主要任务就是加强对计算机无线通信网络 安全问题的研究，针对系统的具体情况，寻求解决网络安全问题的良方。 1 4 2 课题的内容 我们通过分析课题的背景及任务，针对课题的实际情况以及目前无线通信安 全方面的技术应用，确定了课题的研究方向和内容，并通过研究移动通信及通信 安全技术原理、警务移动电子政务的应用，以及实现安全机制的重要性与可行性， 从而保证建立良好的警务移动办公系统体系结构，使其具有强大的备灾能力和安 全性，具有可靠的通信数据安全机制。 将课题研究的主要内容概括为： 全面了解目前国内外移动通信办公业务的应用现状，重点了解在借鉴原有 i n t e r a c t 网络安全机制的基础上，人们所采取的无线通信安全解决方案。 移动通信及通信安全技术理论基础的研究 主要包括无线应用协议w a p 技术、w a p 网络模型工作原理，以及专门为开 发移动设备所提供的。n e t 移动开发平台和m m i t 移动控件工具包。重点了解 m m i t 为解决无线通信安全问题所固有的安全机制。 建立基于n e t 平台的四层编程框架 系统的框架结构决定着应用程序的稳固性、安全性和可扩展性，因此我们设 计并建立了包含w e b 层、业务外观层、业务规则层和数据访问层的四层编程框 架。 移动办公系统用户的身份验证与授权 主要研究将用户划分成与其在组织结构体系相致的角色，以减少授权管理 的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂安全策略的环 山东大! ；7 硕士学位论文 境。探索在基于，n e t 平台的多层移动w e b 应用程序中，实现合法用户的安全登 录，进而被赋予一定的用户角色，从而保证用户根据角色成员身份的授权对系统 进行合法的操作。 移动通信数据加密 利用移动通信设备和无线应用服务平台的加密机制，建立在无线网络和有线 网络间实现通信数据加解密及加密数据传输的解决方案。使手持移动设备具有 数据加解密和数据完整性检验功能保证公安工作的办公信息在传输的过程中 不会被截取、篡改及破坏。 1 4 3 课题的意义 顺应政府加大电子政务推广和信息化建设潮流，该课题结合w a p 技术为公安 局内部人员提供了一套全方位的无线办公系统，并结合系统特点，从身份验证、 授权控制、信息加密等多方面实现了系统的安全性技术研究，从而帮助用户单位 节省开支、提高办案效率、优化办公方式、保障信息安全、提高竞争力。 本课题分析并研究了目前移动通信技术的优缺点及基于n e t 平台的移动 w e b 应用的特点、实现安全机制的重i ；性与可行性，在四层应用结构的基础上设 计并实现了一种r o l e b a s e d 多层应用体系授权管理系统( r b m a s ) ，提高了应用 程序的安全性和结构的可伸缩性，为适应各种授权管理安全策略的要求提供了基 础。在此基础上，又提出了基于警务移动办公系统的通信数据加密模型，并建立 了一个短信加密传输系统的体系结构，这是一种利用移动通信设备和无线应用服 务平台的加密机制在无线网络和有线网络间实现数据加解密及加密数据传输的 解决方案，具有技术领先性与现实可行性，对于研究与l 丌发无线通信数据加密系 统具有一定的指导意义。 因此，本课题在建立良好的警务移动办用系统体系结构的基础上，又使系统 具有强大的备灾能力和安全性，具有i 靠的通信数据安全机制。陔设计思想填补 了国内公安系统相关领域的空白，达到了国内领先水平，也必将为e p d m s 的推 广起到积极的推动作用。 山东大学硕士学位论文 第二章移动通信及通信安全技术原理 我国移动通信起步较晚，但是移动通信的需求日益增长，特别是改革开放以 来，移动通信已经成为通信的热门。而现在，正是移动通信如火如荼发展的时期。 有人预计，在未来的几年内，中国的移动用户将在世界上排首位! 随着移动通信技术的日益成熟，无线网络已被越来越多的企业用户所接受。 无线网络在各方面的发展，达到了企业用户对使用无线网络全方位的需求。从日 常办公环境到跨地区的网络互联，以无线网络为基础的移动通信业务都扮演着重 要的角色。无线网络的引入，为企业提供了一种新型的网络应用平台，为企业创 建了无线自由的工作空间。借助于移动通信技术，“随时随地，轻松办公”已逐 步成为越来越多的移动用户追求的理念，因此无线办公将是推动电子政务办公领 域及业务管理领域发展的新动力。 移动办公与电子政务的结合要首先解决好信息安全问题，例如登录用户身份 如何区分真假、审批文件如何认证、内部信息如何保密以及个人隐私信息、个人 行踪定位等新的信息安全问题等，否则移动办公始终是一句空话。 目前在技术上，这些问题都已经得到了解决。 2 1 开发警务移动办公业务的解决方案 在2 5 g 和3 g 移动通信技术还没有大规模推出的今天，些国家的无线互联 网技术和市场已经迅速发展起来，其中的代表是欧洲的w a p 。w a p 是由摩托罗 拉、诺基亚、爱立信和p h o n e c o m 公司联合开发的，它覆盖了欧洲、美洲和亚洲 等大部分地区和国家，它拥有一套开放的标准，可以在任何网络平台上工作。 w a p 使用的是w m l ( w i r e l e s sm a r k u pl a n g u a g e ) 无线标记语言。考虑到系统的 通用性和将来的可扩充性我们采用了w a p 技术来构建移动警务动态管理系统。 山东大学硕士学位论文 2 2w a p 技术的应用 w a p ，即无线应用协议，就是无线终端用户用以实现无线接入i m e m e t 从而 获取i n t e r n e t 上丰富的服务技术。【1 l 】刚 图2 1 w a p 技术应用模型 如图2 1 所示，它是实现数字移动电话( d i g i t a lm o b i l ep h o n e ) 、传呼机 ( p a g e r ) 、个人数字助理( p d a ) 等具有w a p 功能的无线终端和i m e m e t 之间通 信的开放性全球标准。 w a p 协议包括四层：会话层、事务层、安全层、数据报层，如图2 2 所示。 图2 2w a p 协议层次化体系结构 w a p 层次化体系规范为移动通信设备提供了灵活可扩展的应用开发环境， 山东大学硕士学位论文 其中的每一层即可以被其上层访问，也可以被其他服务和应用访问。【1 4 】 w a e ：综合了w w w 和移动电话技术的通用应用环境，其目标是使得服务提供者 以一种高效的方式开发能为各种各样的无线终端平台所用的应用和服务。w a e 定义的微型浏览器包括以下功能组件：w m l ( w i l e l e s sm a r k u pl a n g u a g e ) ，一个 为手持移动终端优化过的类似于h t m l 的轻量级的标记语言，它是x m l 的子集： w m l s c r i 口t ，一个类似于j a v a s c r i p t 的轻量级的脚本语言。 w s p ：为w a p 的应用层提供了两类会话服务，一个是基于w t p 之上的面向连 接的服务，另一个是基于安全或非安全w d p 的无连接服务。 w t p ：运行于数据报服务之上并且提供了一个适合“瘦客户端”( 小内存、小屏 幕、小键盘、有限的cpu 运算能力、高承载网络时延) 的轻量级面向事 务的协议。 w t l s ：基于工业标准t l s ( 传输层安全) ，即以前的s s l ( s e c u r es o c k e t sl a y e r 安全套接字层) 的安全协议。 w d p ：作为w a p 中的传输层，通过为安全、会话和应用层等上层协议提供一个 统一的接口使得它们可以独立于下层无线网络，这是通过将传输层适配到 下层无线网络的特征来实现的。【l 到 w a p 网络模型由c l i e n t 、w a p 代理或w a p 网关以及w e b 服务器三部分组 成，其工作流程如图2 3 所示：w a p 客户通过w a e 用户代理经由w a p 代理或 w a p 网关浏览i n t e r n e t 上的信息；w a p 网关负责无线网络和i n t e m e t 间的协议转 换和内容编解码功能，是w a p 客户无线网络和w e b 服务器问的桥梁；w e b 服 务器响应w a p 客户的请求，并返回动态w m l 页面；无线网络中传输的是二进 制w m l 页面( 适应“瘦w a p 客户”) 。 山东大学硕士学位论文 图2 3w a p 网络模型工作原理 ( 1 ) 用户键入u r l 地址 ( 2 ) 用户代理使用w a p 协议将u r l 请求发送到w a p 网关 ( 3 ) w a p 网关为这个特定的u r l 创建一个常规的h t t p 请求并发送到w e b 服务器 ( 4 ) w e b 服务器处理h t t p 请求，u r l 可以被看作一个静态的文件或一个c g i 或其他的脚本应用程序。对于第一种情况，w e b 服务器取出这个文件并 给他加上一个h t t p 头。如果这个u r l 指定了一个脚本应用程序，w e b 服务器使运行这个应用程序。 ( 5 ) w e b 服务器将上述结果返回w m l 卡片组 ( 6 ) 网关核实h t t p 和w m l 内容，并把他们编译成二进制格式，然后网关创 建一个包含二进制w m l 的w a p 请求并发送到用户代理。 ( 7 ) 用户代理接到w a p 请求，进行分段处理，最后将w m l 卡片组中的第一 张卡片展示给用户 在w a p2 0 中还融合了推服务( w a pp u s h ) 这种新技术。这种业务是一种基于 服务器的应用，利用推代理服务器( p u s hp r o x y ) 将内容送到或者推到手机设备 中。这种功能在w a p 2 0 发行版中得到了加强，这种推的功能实际上是将像短消 息、股票价格和交通信息之类的实时应用信息发给用户。没有这种推功能时，需 要这种实时应用信息的用户就要去轮询应用服务器以得到最新的信息，在无线 环境里这种轮询操作效率不仅低，而且还浪费了无线网络的资源。“” 山东大学硕士学位论文 图2 1w a pp u s h 网络结构及协议 如图2 4 所示，在p u s h 体系中主要包括p u s h 发起者( p i ) 、p u s h 代理网关( p p g ) 和w a p 客户机3 部分。 p i 运行在i n t e r n e t 环境中，w a p 客户机处于无线网络环境中。当一个p u s h 过 程启动时，p i 主动向w a p 客户机发出p u s h 信息，由于它们分别处于不同的网络环 境，使用不同的传输协议，无法直接建立连接，所以需要p p g 作为中介，它是 i n t e r n e t 网和无线网之间的访问接入点。一个完整的p u s h 过程如下：当有信息要 p u s h 到客户机时，p i 首先根据信息的内容和性质构造p u s h 信息，通过p u s h 接入协 议( p a p ) 向p p g 发送p p g 请求；在i n t e r n e t r j p p g 与p i 进行交互，p p g 负责接收从 p i 发出的信息，并完成压缩、协议转换、安全认证等工作，然后通过无线网络发 送到客户。 过去我们使用j s p s e r v l