【行业标准】 无线应用协议(WAP)系统安全框架指南

ICS33.040
中华人民共和国通信行业标准
YD/T 2250-2011
无线应用协议（WAP）系统安全框架指南Wireless application protocol gateway system securityframeworkguidebook
2011-06-01 发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语：
3.1术语和定义
3.2缩略语
4WAP系统安全框架
4.1概述
4.2WAP系统安全框架的拓扑结构“WAP系统安全威胁分析·
5.1业务应用安全威胁…
网络拓扑安全威胁
I基础设施安全威胁
5.4物理设施安全威胁
WAP系统安全要求
业务应用安全要求…
网络拓扑安全要求.
IT基础设施安全要求.
6.4物理安全要求
6.5安全运营管理要求
附录A（资料性附录）WAP系统典型外部接口参考文献
TTKANTKACA
YD/T 2250-2011
YD/T2250-2011
本标准按照GB/T1.1-2009给出的规则起草。本标准的附录A为资料性附录。
本标准由中国通信标推化协会提出并归口。前言
本标准起草单位：国家计算机网络应急技术处理协调中心。恒安嘉新（北京）科技有限公司。本标准主要起草人：何清林、舒敏、郭代飞、王维晟、杨满志、张晓明、阅攀。I
TTKANYKACA
1范围
无线应用协议、（WAP）系统安全框架指南YD/T 2250-2011
本标准规定了移动通信网无线应用协议（WAP）系统的安全框架，从IT基础设施安全，网络拓扑安全、业务应用安全，物理设施安全和安全运营管理等方面提出了WAP系统的安全实施与安全管理要求。本标准适用于数字蜂宽移动通信网承裁的WAP系统。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1821免费标准bzxz.net
YD/T 2057
YD 5002
YD S098
3术语：定义和缩略语
3.1术语和定义
通信中心机房环境条件要求
通信机房安全管理总体要求
邮电建筑防火设计标准
通信（站）防雷与接地工程设计规范下列术语和定义适用于本文件。3.1.1
服务提供商ServiceProvider
基于WAP系统提供WAP服务的机构。3.1.2
网管信惠采集设备Management Information Gathering Device部署于WAP系统中用于采集WAP系统的运行状态信惠和性能信息，并传输到网管系统。3.1.3
话单服务器 Billing Server
部署于WAP系统中用于采集WAP系统中用户上网详细话单的设备，并传输到EOSS系统中。3.2缩略语
下列缩略语适用于本标准。
Authentication, Authorization, nd AccountingBusiness & Operation Support SystemData Communications Network
Domain Name Server
Gateway GPRS Support Node
General Packet Radio ServiceTTTKAONYKACA
认证、授权、计费
BOSS是业务运营支撑系统
数据通信网
域名服务器
网关GPRS支持节点
通用分组无线业务
YD/T 2250-2011
MsCserver
MSISDN
RADIUS
TD-SCDMA
Hyper Text Transfer ProtocolInternationat Mobile Subscriber IdentificationMubile Statior
Mobile Switching Center ServerMobile Station ISDN Nurnber
Network Access Server
Push Access Protocol Push
Packet Data Network
Push Over-the-Air Protocol PushPush Proxy Gateway
Remote Authentication Dial In User ServiceService Indicaticn
Service Load
Short Message Service
Service Provider
Secure Sockets Layer
Time Division Synchronous Code Division Multiple AccessUniform Resource Locator
Wireless Application EnvironmentWireless Application ProtocolWideband CodeDivision MultipleAccessWireless Datagram Pnptocol
Wireless Markup Language
WirelessPublicKeyInfrastructureWireless Session Protocol
Wireless Telephony ApplicaticnWireless Transport Layer SecurityWireless Transac tion Protocol4WAP系统安全框架
4.1概述
超文本传送协议
国际移动用户识别码
移动台
移动交换中心服务器
移动用户国际号码
网络接入服务器
访问协议
分组数据网
空中协议
推送代理网关
远程用户拨号认证系统
业务指示
业务加载
短消息业务
服务提供商
套接字安全层
时分同步码分多址
统一资源定位
无线应用环境
无线应用协议
宽带码分多址
无线数据报协议
无线标签语言
无线公钥基础设施
无线会话协议
无线电话应用
无线传输层安全
无线事务协议
WAP系统的架构如图1所示，主要由WAP网关、推送代理网关（PPG）、数据库，管理服务器、统计服务器、网络设备和安全设备等组成，内部还部署与计费和网管等相关的信息采集设备。WAP系统在移动互联网中的位置描述参见YDT1392-2005的第5意。WAP系统为移动终端访问互联网和电信增值业务提供协议转换、代理转发和访控制等服务。在实际网络部署中WAP系统要和GPRS/PDN网络、彩信系统、短信系统、计费系统、网管系统及电信增值系统等连接，因此WAP系统的安全威助来自移动终端、互联网及其他移动通信系统，同时WAP系统遭到安全攻击时也有可能会或助其他移动通信系统的安全。
TTTKANTKACA
专用DNS
WAP网关
PPa网关
管理服务誉
统计服务器
话单服务器
鸭酱采象投备
图 WAP 系统的架构
Interne
网管系统
YD/T2250-2011
业务服
务系统
PI服务器
基于WAP系统的安全特点，WAP安全框架可划分为IT基础设施安全、网络服务安全、业务成用安全，物理安全和安全运营管理等。WAP安全框架如图2所示，物理环境安全是WAP系统安全的基础，业务应用安全基于IT基础设施和网络拓扑安全：安全运营管理则贯穿WAP系统的整个运营过程，业务应用安全
网络拓扑安全
IT基础没施安全
物理环绩安全
图2WAP系统安全框架
4.2WAP系统安全框架的拓扑结构4.2.1业务应用安全
WAP系统作为网关或代理通过WSP/WTP/WDP/WTLS协议和HTTP/HTTPS协议提供代理服务，通过PAP协议支持增值业务提供系统接入从而提供WAPPUSH服务。根据协议划分，WAP系统支持WAP代理业务、HTTP代理业务、HTTPS代理业务和WAPPUSH业务。WAP业务安全包括业务协议，业务防护、业务流程和业务管理等方面的安全要求。4.2.2网络拓扑安全
WAP系统网络拓扑安全涉及WAP系统内部的安全域划分以及和外部系统连接的接口安全。内部安全域划分包括WAP网关和数据库、WAP管理服务器、统计服务器、网管信息采集设备和话单服务器等的安全隔离。WAP系统典型的网络拓扑如图3所示，WAP系统和外部连接的系统包括GPRS/PDN、AAA认证系统、DNS系统、增值业务提供系统、短信系统、彩信系统、计费系统和网管系统。WAP系3
TTKNTKACA
YD/T 2250-201t
统的接口安全涉及移动终端接口、AAA 认证接口、短信接口、DNS 接口、彩信接口、计费接口、网曾接口和SP接口的安全。
AAA认证
移动终墙
4.2.3IT基研设施安全
GPRS/PDN
短值系统
DNS系统
WAP系统
影信系就
图3WAP系统网络的拓扑结构
计费系统
网管系统
业务服务
换供系统
WAP系统IT基础设施包括主机操作系统、数据库、网络设备和安全设备等。WAP网关、推送代理网关（PPG），数据库，管理服务器、统计服务器、网管信息采集设备和话单服务器等其他的辅助设备主要基于遁用撼作系统Linux,Solaris,AIX,Windows，通用操作系统的安全性将直接影喇整个WAP系统的安全性。数据库用于保存话单、日志等信息，数据库和WAP系统的运行和维护紧密相关。WAP系统的所有设备通过网络设备连接，并通过安全设备进行安全域隔离和安全，因此这些设备的基础配置安全也是WAP系统安全的基础。4.2.4物理安全
物理安全包括构成WAP系统的物理环境及设备设施相关的安全性。4.2.5安全运营管理
安全运营管理包括WAP系统的IT基础设施、网络拓扑，业务应用和物理环境的安全管理，涉及的内容包括安全制度、流程和安全管理人员、系统信息管理、用户信息管理、安全应急、安全监控、评优化等。
5WAP系统安全威分析
5.1业务应用安全威
5.1.1WAP 业务协议安全威胁
WAP系统为移动终端提供代理服务的协议主要有WSP/WTP/WDP/WTLS、HTTP/HTTPS协议，而为SP提供PUSH服务的协议是PAP协议。基于这些协议对WAP系统进行畸形数据包或大流景攻击，可以对WAP系统造成性能下降、拒绝服务、缓冲区溢出等可能的后果，影响WAP系统的正常务，5.12WAP业务安全威助
利用WAP系统代理业务的访问控制不足，可以通过WAP的代理协议以AP网关为既板攻击任何与其相连的设备，比如通过WAP网关的HTTP代理功能可以访问WAP网关的Web管理接口，进而非授权访问WAP网关的管理动能进行配置候改、借息窃取等攻击：利用WAP系统的HITPS代理功能接入到WAP网关内部设备的FTP服务接口，进而上传业务木马或下载话单文件：另外，利用WAP系统的HTTPS代理4
TTKANYKACA
YD/T 2250-2011
功能还可以通过WAP网关访问短信中心的短信接入服务接口，进而假冒WAP网关接入短信中心发起伪源短信攻击。
如果算改经过WAP网关发送到SP的业务请求，则有可能假冒其他用户向SP发起业务请求或业务订购请求，比如利用WAP网关的HTTPS代理的隧道透传功能，把向付费SP发送的订购请求的源MSISDN撼改成别的用户的MSISDN，从而强制别的用户使用或订购付费业务。利用WAPPUSH业务的漏洞可以接入到PPG向移动用户发送假冒PUSH消息，或发送垃圾和欺诈PUSH消息：
5.1.3业务流程安全威胁
WAP话单包含用户上周过程的详细信息，利用话单或日志处理流程的漏洞，有可能会泄露、删除或算改用户上网信息。
移动终端通过WAP系统访问增值业务服务器，可以在增值业务服务器上订购各种付费增值业务，如果增值业务服务器利用基于WAP系统的认证结果来验证用户，则WAP系统就有可能被利用来冒其他用户发送订购请求，对用户和运营商造成损失。5.1.4业务管理安全威胁
利用业务管理接口的访间控制不足可以访问WAP系统的业务管理配置，可以非授权修改业务配置窃取用户信息和系统信息甚至关闭系统服务。5.2网络拓扑安全威胁
利用内部安全城隔离不足，攻市者可以通过渗透一台WAP系统的设备从而向所有WAP系绕的其他设备发起攻击，比如通过涨透并控制网管采集设备，可以进一步访问WAP系统或数据库的管理接口或FTP服务接口。另外，还可以通过控制的设备窃听业务流量和管理流最。对于没有进行内部安全域划分的WAP系统，可在控制的管理终端或网管采集设备上假置WAP网关向其他业务系统发起请求，从而绕过WAP网关的用户认证机制而假留其他用户使用电信业务，比如假其他用户向SP发起订购请求从而强制用户订购业务。
利用WAP系统外部接口的隔离不足，则可以访到WAP系统的内部接口或其他的接口，比如利用开放在互联网上的SP接口访问控制不足，可以直接访问到网管接口从而非授权访问WAP系统的内部设备。或者利用移动终端接口的访问控制不足，直接访问短信或彩信接口，从而对短信或彩信系统发起攻击。5.3IT基础设施安全威胁
IT基础设施安全贼胁涉及组成WAP系统的IT基础设施，包括主机操作系统、数据库、网络设备和安全设备等面临的可能的安全攻击。操作系统面临的安全成胁包括绕过操作系统的访问控制机制而非授权访问操作系统：窃取操作系统的机密信息为进一步攻击做准备；通过破坏、除操作系统的文件或廉务造成操作系统不可用，通过算改关键文件或配置影响操作系统的正常行为，从面成胁WAP系统相关设备提供正常服务。数据库安全感胁包括绕过数据库访间控制机制非授权访问数据库：通过窃取数据库的信息造成用户信息或系统信息的泄露：通过破坏数据库的正常运行或直接中断存储数据库的连接，使WAP系统的日志和话单存取出现异常，甚至出现服务中断：删除数据库数据或文件则会造成信息丢失，TTTKAONATKACA
YD/T 2250-2011
A卫系统所有设备追过网整设备连接在一起，通过除，中断，关闭感餐致配置等可以被坏换络设备的正常运行，从而影响WAP系统的服务能力，甚至使整个WAP系统摊痪。通过窃取网络设备的系统信息可以泄露WAP系统的拓扑信息。通过渗透安全设备来修改安全设备的配量、降低安全设备的性能、中断或关闭安全设备，可以降低整个WAP系统的安全性，影响WAP系统的服务，甚至使整个WAP系统摊痪，5.4物理设施安全威肋
WAP系统所在的物理环境可能出现的水惠、电力不足中断、地震、雷击、火灾、静电电击等安全威助，可对WAP系统的设备造成部分损坏或完全摄坏，从而降低WAP系统的性能或破环WAP系统的服务能力。另外，物理上非授权的访问、修改或破坏也会对WAP系统的服务造成影响或引起信息泄露。6WAP系统安全要求
6.1业务应用安全要求
6.1.1协议实现安全要求
业务协议安全主要指WAP系统提供WAP代理服务及PUSH服务的协议栈的健壮性与可靠性。业务协设实现安全要求期下：
一一一应能拒绝WSP/WTP/WDP/WTLS、HTTP/HTTPS和PAP协议的超长数据包及畸形数据包：一对于利用WSP/WTP/WDP/WTLS、HTTP/HTTPS和PAP协议进行的大流量洪水攻击，应自动进行流量限制。
6.1.2WAP业务安全
a）WSP/WTP/WDP/WTLS、HTTP和HITPS代理业务应对WSP/WIP/WDP、HTTP和HTTPS请求的移动终端信息（包括手机号、终端类型）进行识别和验证：
应控制移动终端信息（包括手机号、终端类型）的传输，避免向不可信的服务器发送移动终端信息；
-应对移动终端的WSP/WTP/WDP/WTLS、HTTP和HTTPS访问请求进行安全检测与过滤，防止利用WAP网关为既板访问电信网关键设备的Web服务：防止利用WAP网关HITPS隧道访问WAP网关的TELNET、SSH、FIP和SMPP服务。6）PUSH业务
一应确保只有合法的PUSH源服务器才能接入WAP系统的PPG进行WAPPUSH：应对接入PPG的源服务器进行认证，防止假目PUSH源服务器恶意PUSH消息；一应限制PUSH源服务器的流量，防止恶意PUSH源服务器发起大流量PUSH洪水攻击：一应限制PUSH源服务器发送的PUSH消息的大小，防止发送超大PUSH消息：一应保存并审计PUSH源服务器发送的PUSH消息，防止传播不良蓓息。c）电子邮件业务
为避免WAP系统被利用发送垃圾邮件，对于提供邮件代理功能的WAP系统，应对发送的电子邮件进行垃圾邮件检测、告萧或过滤垃圾邮件。6.1.3业务流程安全
a）话单处理流程
TTTKAONYKACA
YD/T2250-2011
一WAP话单中保存有移动用户的隐私信息，包括移动终端MSISDN号、终端型号及上网记录等，应控制话单的访问权限，避免AP话单被非授权访问或泄露一WAP话单应采用认证手段确保只有授权实体可以访问到：一WAP话单的访问权限应与WAP系统的其他应用权限相分离，防止处理话单的外部应用能访问WAP系统的其他服务与座用：
一应对话单的完整性进行监测，防止非授权修改话单内容：一应保存话单访问或处理过程的操作记录，并可以进行审计。b）订购业务流程
应启用AAA认证来认证合法的用户请求：一应对假胃进行AAA认证的尝试进行监测与控制一应对WAP系统处理的订购请求进行监控，以发现可疑的假置的强制订购流量：-应对WAP系统内部发起订购的进程进行监控，以及时发现并阻止恶意订购软件假官WAP网关进程发起强制订购请求：
一通过采用交互认证及二次确认等方式，确保只有合法的用户才能发起订购请求；-应对用户订购请求的手机号进行AAA认证与验证，同时对假管的订购请求的手机号进行自动更正：
一一应对利用HTTPS代理功能进行隧道传输订购请求的流量进行过滤，防止利用隧道请求来进行假置订购：
一应保存用户的订购请求话单记录，并可以进行审计。6.1.4业务管理安全
业务管理安全要求如下：
应通过访问控制和认证措施确保只有可信的实体才能访问业务管理接口：一应对业务管理的账号进行分权限管理一应对业务管理操作进行日志记录并保证记录的完整性从而用于审计：一应通过加密协议接入管理接口进行业务管理操作，比如SSH或HTTPS协议；一应对关键的业务配置文件进行究整性检测与保护；一应防止通过业务管理接口泄用户的信息，比如话单数据。6.2网络拓扑安全要求
6.2.1WAP系统安全域
对WAP系统划分安全城如图4所示，WAP系统内部划分为核心域、管理城、接入域1和接入城2.通过WAP系统的业务平面和管理平面进行隔离，限制通过WAP管理服务器、统计服务器及其他相关的管理设备访问到WAP网关的代理业务、推送代理网关的PUSH业务服务。另外，也应防止通过WAP网关的代理业务、PUSH业务访问到WAP系统设备的管理接口。7
TTKANYKACA
YD/T2250-2011
移动端
AAA认证
GPRS/PDN
WAP系统
6.2.2WAP系统内部安全域
DNS系统
核心境
WAP网关
数据率
接入域1
PPG 网关
短值票烧
彩疽系统
長入城2
阿管采集设备
话单服务殊
管理服务腰器
统计照务器器
增值业务提供系续
图4WAP系统安全域划分示惠
网普系菀
计微系统
根据WAP系统内部设备不同的安全要求和业务需求，把WAP系统划分成4个子域：-WAP网关和数据库为WAP系统最核心的设备，划分在核心域中，在数据流上设置双间访问间控制策略：
一-PPG网关带要接收互联网或内部网（比如DCN网络）的增值业务提供系统的接入，划分在接入域「中：
网管采集设备和话单服务器与其他系统连接，划分在接入域2：其他的辅助服务器包括管理服务器、统计服务器等服务器统一放在管理域中。安全域间的安全策略应满足如下原则：安全域间不应当使用 any to any 或 any to host的安全策略，而应使用严格的访问控制策略限制不必要的安全域间的端口或服务的访问：应避免采用从核心安全域到其他安全域某台主机telnet、ash、tp的全通策略一应避免采用从接入域1到其他安全域某台主机telnet、ssh、tp的全通策略：一默认安全策略或显式定义安全策略拒绝一切无关的安全域之间互访的流量：应当限制管理域访问核心域或接入域1的业务服务端口。6.2.3WAP系统外部接口安全
WAP系统的典型外部接口包括移动终端接口、AAA认证接口、短信接口、DNS接口、彩信接口、计费接口、网管接口、SP接口和PI接口等，详细的外部接口定义参见附录A。应根据外部接口的业务需求进行访问控制和流量分离，防止通过某一-外部接口访问WAP系统的其他接口。外部接口的访问控制和流量分离应满足如下原则：一外部接口的访问控制应符合最小安全权限原则，只开放外部接口相关业务的端口和服务：应避免使用通过外部接口到内部主机的anytoany或anytohast的安全策略：8
一应避免通过网管和计费等管理接口访问到WAP系统的业务接口：YD/T2250-2011
一应避免通过移动终端接口、PI接口、短信接口、彩信接口访问到WAP网关的管理接口：一应通过P地址白名单等安全策略，确保只有合法的主机通过外部接口访问WAP系统一应限制通过SP接口，彩信接口、DNS接口和短信接口向WAP系统主动发起访间请求：默认安全策略或显式定义安全策略拒绝一切流量。6.3IT基础设施安全要求
6.3.1操作系统安全要求
操作系统的安全要求如下：
应采用静态口令，动态口令或指纹认证等认证技术对访问操作系统的实体进行认证；应通过访问控制确保只有可信的P地址的终端才能访问操作系统：一一应按照不同的用户分配不同的账号，避免不同用户间共享账号：一应删除锁定与设备运行、维护等工作无关的账号；一限制具备超經管理员技限的用户远程登录。远程执行管理员极限操作，应先以普通杖限用户远程登录后，再闭换到超级管理员权限账号后执行相应操作一一在设备校限配量能力内，根据用户的业务菌要，配量其所需的最小权限一一应配日志记录功能，对用户等录和操作便用的账号，等录时间，远程登求时便用的！地以及所进行的操作进行记录。
6.3.2数据库安全要求
数据库安全要求如下：
一应适过认证和访问控制措施确保只有可信的实体才能访问数据库：一一在数据库权限配置能力内，根据用户的业务需娶配置其所需的最小权限使用数据库角色来管理对象的权限；一启用数据字典保护，只有超级管理员权限的用户才能访问数据字典基础表：数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是成功、登录时间以及远程登录时用户使用的卫地址。6.3.3网络设备和安全设备安全要求网络设备和安全设备的安全要求如下：应通过认证和访问控制措施确保只有可信的实体才能访问网络设备和安全设备；一一应配置一个较短的登录超时时间，用户在登录超时时间内没有操作将被要求重新登录；一设备应支持远程日志功能，可通过远程日志功能传输到日志服务器：命令行普理和WEB管理远程管理应采用加密协设进行传输，比如SSH、HTTPS等：—对具备 consol 口的设备，应配置 coasol 口密码保护功能6.4物理安全要求
在机房的物理位置选择、防审、防火、防、防水、防尘、防潮、防静电、电力供、恒温恒湿等方面应满足YD/T1821、YD5002、YD5098的相关要求。机房音理应满足YD/T2057的相关要求。6.5安全运营管理要求
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。