Поделиться через

Безопасность и шлюзы WAP

  • Статья

Обновлен: Ноябрь 2007

Шлюз с поддержкой протокола приложений для беспроводной связи (WAP) выступает в качестве посредника, расшифровывающего SSL-соединение пользователя и повторно шифрующего информацию для передачи на мобильное устройство.

wtwdsk4f.alert_note(ru-ru,VS.90).gifПримечание.

При обеспечении защиты канала передачи данных WAP использует протокол WTLS (Wireless Transport Layer Security — беспроводной протокол безопасности на транспортном уровне).

Если используются обозреватели настольных компьютеров, при подключении к узлу с использованием SSL/TLS обозреватель автоматически проверяет соответствие доменной части URL-адреса домену сертификата X.509, которые предоставляется сервером HTTPS при подключении к нему. Информация о нарушении безопасности сертификатов SSL сохраняется, так как выполняется проверка криптографической подписи на соответствие корневым сертификатам основных центров сертификации. Эта проверка позволяет удостовериться, что запрашивающая сторона подключена к правильному узлу, и обеспечивает защиту от атаки со стороны посредника.

Многие шлюзы WAP не выполняют эту проверку или, даже если и выполняют, не возвращают информацию о несоответствиях пользователю.

Операторы беспроводных сетей помогают обеспечивать определенную безопасность соединения беспроводного устройства с базовой станцией и безопасность физической сети, соединяющей базовые станции с коммутационными центрами. Однако меры безопасности, принимаемые оператором, ограничиваются сетью и не обеспечивают сквозную межплатформенную безопасность для любого беспроводного устройства. Например, доступ к Интернету посредством WAP имеет точку потенциальной уязвимости, когда протокол WTLS (который позволяет поддерживать закрытое соединение мобильного устройства со шлюзом) переключает SSL-соединение между шлюзом WAP и веб-сервером. Некоторые корпорации предпочитают осуществлять управление шлюзами на уровне предприятия, так как это позволяет обеспечивать надежность шлюзов.

Дополнительные сведения о безопасности см. в разделах Защита приложений и Безопасность веб-приложений ASP.NET документации SDK (пакет средств разработки программного обеспечения) для Windows.

См. также

Основные понятия

Разработка безопасных страниц веб-форм для мобильных устройств

Модель криптографии .NET Framework

Ссылки

RedirectFromLoginPage

MobileFormsAuthentication

SignOut

List

ObjectList

Другие ресурсы

Правила написания безопасного кода

Доступ к данным с помощью ASP.NET

Разработка веб-страниц ASP.NET для мобильных устройств

Руководство разработчика приложений