關(guān)鍵字:SCWS技術(shù) 圖形化界面 接口與安全
1 引言
隨著移動通信技術(shù) 3G 時代的到來,,三大電信運營商相繼推出了全新的3G 業(yè)務(wù),其中 增值業(yè)務(wù)將取代語音業(yè)務(wù)成為電信運營商的主要收入,。但如何利用3G 網(wǎng)絡(luò)優(yōu)勢采用與2G 時代不同的市場推銷手段,,三大電信運營商不約而同地采用了多媒體技術(shù)作為主要推介手 段,確保用戶獲悉并使用3G 新業(yè)務(wù),。
圖形化界面 SIM 卡不同于原來的僅借用SMS 短信技術(shù)[1],,而是使用戶可以通過手機上 的瀏覽器,訪問儲存在SIM 卡上的數(shù)據(jù)信息,,發(fā)現(xiàn)并選擇運營商的數(shù)據(jù)業(yè)務(wù),;同時運營商 可以利用后臺服務(wù)器,及時更新數(shù)據(jù)業(yè)務(wù),,也可將用戶群體細分,,達到個性化業(yè)務(wù)推介和體 驗。圖形化界面SIM 卡采用SCWS(Smart Card Web Server,,智能卡網(wǎng)絡(luò)服務(wù)器)技術(shù),,將 Internet、移動網(wǎng)絡(luò),、移動服務(wù)器平臺結(jié)合起來,,依靠3G 網(wǎng)絡(luò)的數(shù)據(jù)傳輸速度,將各類應用 放在SIM 卡中,,用戶只需更換手機的SIM 卡達到使用這些應用的目的,,使運營商掌握新增 值業(yè)務(wù)推介的主動權(quán)。 本文介紹基于 SCWS 技術(shù)的圖形化界面SIM 卡的系統(tǒng)應用環(huán)境,、接口技術(shù),、安全協(xié)議。
2 圖形化界面卡
早期的手機SIM 卡主要作為個人的身份認證與識別信息的載體,,隨著芯片技術(shù)的快速 發(fā)展和移動技術(shù)的發(fā)展,,手機SIM 卡已日益成為增值業(yè)務(wù),、電子商務(wù)等移動業(yè)務(wù)的載體, 目前運營商在現(xiàn)有的SIM 卡中,,已經(jīng)置入了品牌服務(wù),、超級號碼本、地圖,、目錄等本地服 務(wù),,也采用短信方式對其進行更新,但其可視性及速度不盡人意,。
圖形化界面 SIM 卡使得用戶利用手機上的瀏覽器,,以圖形方式瀏覽預儲存在圖形化界 面SIM 卡中的音樂、鈴聲,、視頻等,,在離線媒體庫中試用感興趣的數(shù)據(jù)業(yè)務(wù),引導用戶選 擇并購買該項業(yè)務(wù),;運營商在閑時可以根據(jù)業(yè)務(wù)推廣情況,,細分用戶群,及時更新圖形化界 面SIM 卡中的離線媒體庫,,確保運營商快速推廣新業(yè)務(wù),、提高數(shù)字服務(wù)的收入。
3 系統(tǒng)應用環(huán)境
圖形化界面 SIM 卡系統(tǒng)應用環(huán)境[2]如圖1 所示,。
1) 遠端管理服務(wù)器:該服務(wù)器是定位于 SCWS 的OTA(Over-The-Air 空中下載)服 務(wù)器,,用來實現(xiàn)SIM 卡上內(nèi)容的及時更新、管理,、統(tǒng)計等;
2) 支持 SCWS 的手機終端:用于手機終端與SIM 卡間的通信,,實現(xiàn)手機終端對卡片 的內(nèi)容訪問,,符合OMA-Smart_Card_Web_Server-V1_0-20080421-A [2]規(guī)范中的 SCWS Gateway(SCWS 門戶)軟件的所有必須功能要求;同時符合該規(guī)范要求,, 對外提供一個3516(HTTP),,4116(HTTPS)端口,并代理SCWS 卡作為HTTP-server 的服務(wù),;
3) 圖形化界面 SIM 卡:預置由開放移動聯(lián)盟(OMA)定義的SCWS 應用,,該應用定 位于SIM 卡端的HTTP/1.1 的WEB 服務(wù)器,向手機終端HTTP 客戶端軟件提供靜 態(tài)(xHTML 和相關(guān)文件)和動態(tài)(由servlets 生成)的數(shù)據(jù)信息,,實現(xiàn)了手機終 端與圖形化界面SIM 卡的通信,,實現(xiàn)了邏輯分離而不必依賴于目前基于電信的通 信;同時允許開放移動聯(lián)盟(OMA)定義的完全管理協(xié)議(Full Admin Protocol) 來管理圖形化界面SIM 卡的內(nèi)容,。
圖 1 SCWS 應用環(huán)境
SCWS 工作模式有兩類,,即服務(wù)器模式和客戶端模式:
1) 服務(wù)器端模式:當終端瀏覽器對圖形化界面SIM 卡作本地瀏覽時,,SCWS 處于BIP (Bearer Independent Protocol,承載無關(guān)協(xié)議)服務(wù)器模式,;通過BIP 協(xié)議,,手機 終端允許圖形化界面SIM 卡和遠程服務(wù)器之間進行透明的數(shù)據(jù)傳輸,更有利于實 現(xiàn)高速移動數(shù)據(jù)業(yè)務(wù)的傳輸,。此時,,SCWS 為手機瀏覽器提供靜態(tài)(xHTML 和相 關(guān)文件)和動態(tài)(由Servlets 生成)的內(nèi)容。Servlet 是一個標準Java 卡小應用 (JavaCard Applet),,它允許圖形化界面SIM 卡提供使用追蹤,、廣告橫幅管理、動 態(tài)頁面生成等服務(wù),;
2) 客戶端模式:運營商/服務(wù)提供商通過遠程服務(wù)器對圖形化界面SIM 卡進行更新時,, SCWS 處于BIP 客戶端模式。此時,,移動運營商可以定期更新SIM 卡的本地化內(nèi) 容,。手機終端用戶也可以主動向服務(wù)器發(fā)起更新請求,從服務(wù)器上獲取數(shù)據(jù),,此時SCWS 同樣也工作在客戶端模式,。
4 系統(tǒng)通信接口
在本系統(tǒng)應用環(huán)境中有兩種通信:圖形化界面 SIM 卡與遠端管理服務(wù)器;圖形化界面 SIM 卡與手機終端[3],。
4.1 圖形化界面SIM 卡與遠端管理服務(wù)器的通信接口
即 SCWS 與遠端管理服務(wù)器的通信接口,,用來實現(xiàn)管理SCWS 內(nèi)容,或更新SCWS 的 配置,。使用HTTP 協(xié)議或BIP 客戶端模式,,遵循OMA 定義的完全管理協(xié)議(Full Admin Protocol)來打開SCWS 和遠端管理服務(wù)器間的通道,也可使用HTTPs 定義的安全通道,。
4.2 圖形化界面SIM 卡與手機終端的通信接口
即 SCWS 與手機終端的通信接口,,用來實現(xiàn)手機終端瀏覽器對圖形化界面SIM 卡作本 地瀏覽。使用HTTP 協(xié)議或BIP 服務(wù)器端模式,。
SCWS 與手機終端的接口運行在一個邏輯獨立的通信通道上,,該通道獨立于電信通道, 使手機應用程序可與智能卡內(nèi)運營商部署的SCWS 通信,。
SCWS 與手機終端使用HTTP 協(xié)議通信,。手機終端瀏覽器不需要任*增功能來呈現(xiàn) SCWS 內(nèi)容。手機終端上的應用程序可以通過IP 地址連接SCWS,。SCWS 采用開放式體系 結(jié)構(gòu),,允許選用多種“智能卡-手機”協(xié)議作為傳輸HTTP 請求與應答的本地承載。SCWS 響應來自手機終端內(nèi)置的HTTP 應用程序(如,,瀏覽器)的HTTP 請求,。
手機終端通過內(nèi)置的網(wǎng)關(guān)訪問SCWS,,該網(wǎng)關(guān)將TCP/IP 協(xié)議轉(zhuǎn)化為手機終端和智能卡 間的本地傳輸協(xié)議,HTTP 的請求與應答是通過手機終端與智能卡間的本地傳輸協(xié)議直接送 至SCWS,。由終端內(nèi)部傳遞給SCWS 的本地訪問URL 被分配了兩個TCP 端口:HTTP 端口 3516 和HTTP 端口4116,。
SCWS 與移動手機HTTP 應用通信使用兩種協(xié)議:BIP 服務(wù)器模式;TCP/IP 傳輸協(xié)議,。
1) BIP 服務(wù)器模式 如果智能卡沒有自己的 IP 地址并且不直接支持TCP/IP 協(xié)議,,終端內(nèi)的BIP 網(wǎng)關(guān)可被用 作協(xié)議轉(zhuǎn)換器。TCP/IP 協(xié)議用于實現(xiàn)終端內(nèi)的HTTP 應用程序與BIP 網(wǎng)關(guān)間的通信,;BIP 協(xié)議用于BIP 網(wǎng)關(guān)和智能卡間的通信,。
移動手機中的 HTTP 應用程序(如,瀏覽器)將回送的IP 地址用作BIP 網(wǎng)關(guān)尋址,。BIP 網(wǎng)關(guān)*SCWS,,必須打開兩個端口:為來自手機的HTTP 應用程序的HTTP 請求打開端口; 為HTTP over TLS(HTTPs)請求打開端口,。 當一個手機中的HTTP應用程序經(jīng)BIP 網(wǎng)關(guān)連接到SCWS并開始進行數(shù)據(jù)交換時,,SCWS 可以打開另外的BIP 通道(使用Open Channel 命令),以允許手機中其他HTTP 應用程序連 接到SCWS,,實現(xiàn)多個應用程序的同時連接,。
2) TCP/IP 傳輸協(xié)議 如果智能卡擁有自己的 IP 地址并直接支持TCP/IP,而且手機終端支持來自智能卡的直 接IP 訪問,,TCP/IP 則被視作手機上HTTP 應用程序和卡上SCWS 間通信的首選協(xié)議,。
有一組預先設(shè)置的端口:用于 HTTP 通信的80 端口和用于HTTPS 通信的443 端口是 默認端口。這種情況下終端中的HTTP 應用程序可以不依賴手機內(nèi)置BIP 網(wǎng)關(guān)而直接與 SCWS 通信,。因此,,SCWS 將*默認端口和安全端口,以響應來自手機的HTTP 請求和 HTTP over TLS 請求,。
5 安全協(xié)議
為保證傳輸?shù)陌踩?,采用傳輸層安全TLS(Transport Layer Security)為通信的雙方提 供一種安全可靠的傳輸機制,以保證傳輸?shù)乃矫苄院屯暾?,也可根?jù)要求采用單向或雙向 認證。TLS 工作于客戶端-服務(wù)器方式,,其中發(fā)起認證的一端稱為客戶端,,響應的一端稱為服務(wù)器。大多數(shù)情況下,,TLS 客戶端使用公共密鑰證書方式來認證服務(wù)器,,而雙向認證可以 使用公共密鑰證書方式,或者是預共享密鑰PSK-TLS 方式,。
SCWS 作為本地的HTTPS 服務(wù)器時,,必須能夠采用公共密鑰實現(xiàn)HTTP over TLS,,也可以采用PSK-TLS 實現(xiàn)HTTP over TLS。
1) 采用 PSK-TLS 方式的HTTP over TLS
在SCWS 和已連接的主機(如遠程管理服務(wù)器)間共享一個對稱密鑰時,,采用PSK-TLS,。
SCWS 必須支持下列加密算法:
TLS_PSK_WITH_3DES_EDE_CBC_SHA [PSK-TLS]
TLS_PSK_WITH_AES_128_CBC_SHA [PSK-TLS]
2) 公共密鑰對和設(shè)備證書
SCWS 應該能使用一個公共鑰密鑰對,并把它們保存在安全的區(qū)域,,這些密鑰只能用于 TLS 的實現(xiàn)或卡應用的驗證,,這是由卡發(fā)行者的內(nèi)部安全策略決定的。SCWS 也應該為公共 密鑰嵌入一個設(shè)備證書,,該設(shè)備證書由卡發(fā)行者提供并由權(quán)威發(fā)行者簽署,。
公共密鑰對和設(shè) 備證書應該用于服務(wù)器在TLS 上的認證(如TLS 二級認證)。 如果 SCWS 采用公共密鑰對和設(shè)備證書,,則必須支持下列所有的加密算法:
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
SCWS 必須支持采用TLS1.0 的服務(wù)器認證,,并且應該能采用WAP profiled X.509 服務(wù)器證書[WAPCert]。
3) 支持 TLS 擴展
由于容量限制或者帶寬限制,, SCWS 必須確定一個較小的最大片段長度,,擴展允許使用以下定義的片段長度(默認值是2^14):
2^9(1), 2^10(2), 2^11(3), 2^12(4), (255)
卡管理代理可以使用[RFC3546]定義協(xié)商的最大片段長度,管理服務(wù)器需要支持 [RFC3546]定義協(xié)商的最大片段長度,,連接到SCWS 的HTTP 客戶端可以使用[RFC3546]定 義協(xié)商的最大片段長度,,SCWS 需要支持[RFC3546]定義協(xié)商的最大片段長度,也可以支持 最小到512byte 的最大片段長度,。如果客戶端沒有協(xié)商定義,,SCWS 需要接受預先定義的16K 作為TLS 片段長度。
4) 會話恢復
SCWS 應該支持TLS 定義的會話恢復,,能夠使用更長的會話周期(如12 小時),。會話 恢復流程應該遵守TLS1.0 中的相關(guān)定義。
6 總結(jié)
圖形化界面 SIM 卡技術(shù)的使用突破了以往SIM 卡只能支持SMS 短信類業(yè)務(wù)的局限,, 將圖形界面引入到SIM 卡中,,支持GPRS、EDGE,、UMTS 類數(shù)據(jù)網(wǎng)絡(luò)業(yè)務(wù)的推廣,,使用戶 不必連接網(wǎng)絡(luò),即使在網(wǎng)絡(luò)無法覆蓋的區(qū)域也可使用,,并且不產(chǎn)生任何費用,;同時運營商可 按需定制SIM 卡,及時更新智能卡網(wǎng)絡(luò)服務(wù)器SCWS 內(nèi)容,,可跟蹤,、統(tǒng)計用戶的使用行為, 定期發(fā)送到服務(wù)器統(tǒng)計分析,,以實時調(diào)整業(yè)務(wù)推廣策略,,為運營商創(chuàng)造了展示最佳服務(wù)和解 決方案的可控平臺,,助推3G 業(yè)務(wù)的快速發(fā)展。