Download
1 / 23
230 likes | 361 Views
This document explores the Wireless Application Protocol (WAP) and its layered communication model, detailing the critical security vulnerabilities that may arise between clients and servers. The discussion includes content management and user rights, highlighting the importance of third-party integration and the role of mobile application user permissions. The layered architecture is examined from network to application layers, demonstrating how WAP facilitates mobile communication while ensuring data integrity and privacy, with a focus on technologies like WTLS and its optimization for low-bandwidth scenarios.
E N D
Agenda Teil 2: • Wireless Application Protocol • Das WAP - Schichtenmodell • Sicherheitslücke in der Kommunikation zwischen Client und Server • Pflege und Verwaltung von Inhalten und Benutzerrechten • Content Management • Personal Information Management • 3rd Party Integration • Anwenderberechtigungen für mobile Applikationen
Wireless Application Protocoll Einführung: • Grundlage für mobile Kommunikation • Protokoll zur Verständigung zwischen Client und Server bzw. Gateway • Entwickelt, standardisiert und .. vom WAP- Forum ( www.wap-forum.org) • basiert auf dem ISO/OSI-7- Schichtenmodell • TCP/IP Standard des WWW Modells bildet die Vorlage
Wireless Application Protocoll Quelle: WAP - Wireless Internet; Stefan Meier, S. 5
Kommunikation zwischen Client und Server Quelle: WAP Forum Technical White Paper S. 13f
WAP: Das Schichenmodell • Einteilung der Kommunikationsebenen in Schichen / Layer • Jeder einzelne Schicht übernimmt spezielle Funkionen • Definition von Schnittstellen zwischen Schichten • Separate Weiterentwicklung von Teilbereichen • hierarchisch gegliederte Kommunikation • einzelne Ebenen können ausgelassen werden
WAP: Networklayer • Fundament des WAP Stacks • Keine Spezifikation des WAP, externe Entwicklung • Für WAP keine explizite Schnittstelle vorgeschrieben • Aufbau der Verbindung sowie aushandeln der Verbindungsparameter (Einigung auf WAP) • Bearer-Schicht (GSM, GPRS, HSCSD, CSD, EDGE, SMS …)
WAP: Transport Layer • Umgebung für WDP und UDP (nur IP) • Handhabung kleiner, unabhängiger, in sich abgeschlossener Datenpakete • Grenzschicht, dient zur Vermittelung des optimalen Beares • Pendant zum TCP im WWW Modell
WAP: Security Layer • Optionale Schicht (kann übersprungen werden) • Beheimatet WTLS, welches auf dem Industriestandard TLS basiert • optimiert für schmal-bandige Kommunikation • Aufgaben: Sicherung der Authentifizierung und Privatsphäre, Wahrung der Integrität und der Verlässlichkeit der Verbindung • Pendant zu SSL im WWW Modell
WAP: Transaction Layer (1) • Aufgaben werden durch das WTP realisiert • Kontrolle der übermittelten Datenströme • Unzuverlässige Einwegübertragung • Zuverlässige Einwegübertragung • Zuverlässige Zweiwegverfahren • Pendant zu HTTP im WWW Modell
WAP: Session Layer • Aufgaben werden durch das WSP erfüllt • Optimierung auf langsame Übertragungs-medien: • Caching Funktion • langlebige Session • Unterbrechungen erlaubt • Implementierung eines Push-Dienstes • Pendant zum HTTP im WWW Modell
WAP: Application Layer (1) Quelle: WAP - Wireless Internet; Stefan Meier, S. 7
WAP: Application Layer (2) • Beheimatet WAE • Oberste Ebene des „Schichtengebirges“, somit Benutzerschnittstelle • Wichtigster Bestandteil WML User Agent und WTA User Agent • Interaktion zwischen Telefondiensten und WAP-Diensten, persistente Speicherung und Interaktion mit Sprachdiensten
Kommunikation zwischen Client und Server (1) Quelle: WAP Forum Technical White Paper S. 13f
Kommunikation zwischen Client und Server (2) • Interaktion zwischen WTLS und SSL • Basieren auf TLS, RSA Public Key Kryptographie • Daten liegen im Gateway im Klartext vor! • Absicherung des Gateway wichtig! • Vertrauen der Benutzer in den Betreiber • Problem der Tiefe der Verschlüsselung seit 2000 behoben
Aufbau einer sicheren Verbindung • Hallo-Phase: Austausch von Informationen und Möglichkeiten • Server sendet zertifizierte Public-, Privat-Key und Hash-Verfahren an den Client • Client generiert Session Key • Authentifizierung mittels Testnachrichten • (Authentifizierung des Clients)
Pflege und Verwaltung von Inhalten und Benutzerrechten • Umfang von Internetpräsenzen stark gestiegen • Pflege und Verwaltung kann nicht mehr manuell durchgeführt werden • Integration von Tools und Systemen • Somit Reduktion von Arbeitszeit und Kosten
Content Management Quelle:http://www.infopark.de/de/products/librar_public
Content Management • Trennung von Inhalt und Layout • datenbankbasierte Systeme • Differenzierung bei der Bereitstellung für unterschiedliche Systeme • Trennung von Redaktion und Onlinesystem • Verwendung von Editoren, keine Spezialisierung auf eine Programmiersprache => transformierbar • Sinkende Performance des Webauftritts
Personal Information Management Quelle: T-Mobile (2002), S. 14
Personal Information Management • Zugriff auf zentral gespeicherte Daten via Handy, PDA, Web • Integration von bestehenden Infrastrukturen (Firmen LAN, Exchange Server) • Integration von Mehrwertdiensten (DPA Nachrichten) • Optimiert drahtlose Anwendung und für eine Vielzahl von Endgeräten
3rd Party Integration • Erweiterung der Internetpräsenzen durch Integration von Drittanbietern • Linklösung vs. Integration von Anwendungen und Verknüpfung der Hardware • Einige Computer speichern beispielsweise das werthöchste Byte einer Ganzzahl in der niedrigsten Adresse, während andere das wertniedrigste Byte in der niedrigsten Adresse speichern.“ (Comer 2000, S. 552) • Middleware Konzept: • Sammlung von Technologien und Plattformen • direkter, objektorientierter Datenaustausch • Integration von dezentralen IT-Anwendungen
Anwenderberechtigungen für mobile Applikationen • Präsentation von Inhalte oder Informationen für zahlende oder autorisierte Kunden • Zeit-, Technologie und Ortsunabhängigkeit • Rollen- und Benutzerkonzepte • Authentifizierung und Personalisierung des Portals anhand der Benuzterdaten • Separate Speicherung der Benutzerdaten in globalen Datenbanken
