移动网络推送业务技术报告——华为.doc

YD/T ××××—××××移动网络推送业务技术报告ICS 19目 次1 业务概述 31.1 Push安全需求 31.2 系统元素 52 业务特征 62.1 PAP 62.2 Push OTA协议 82.3 Push特定的媒体类型 92.4 寻址 102.5 安全考虑 123 Push 代理网关服务 133.1 概述 133.2 PPG 的操作 133.3 客户端寻址 214 Push访问协议 244.1 概述 244.2 PAP协议处理过程分析 244.3 PAP寻址 284.4 消息格式 294.5 控制元素和属性 314.6 版本控制 424.7 能力协商 454.8 PAP 参考信息 454.9 举例 514.10 基于HTTP的PAP 535 Push OTA 协议 545.1 概述 545.2 协议变量 545.3 WSP上的Push OTA协议（OTA-WSP） 555.4 HTTP上的Push OTA （OTA-HTTP） 625.5 SIP上的PushOTA协议（OTA-SIP） 805.6 会话初始请求 966 Push 消息 1056.1 概述 1056.2 Push 消息定义 1066.3 代理规则 1097 Push客户端与应用接口 1107.1 概述 1107.2 Push客户端-应用接口（Push-CAI）定义 1107.3 安全考虑 113附　录　A （资料性） 114附　录　B 114（资料性） 114I1　 业务概述1.1　 Push安全需求本技术报告定义与Push业务相关技术及安全相关的安全要求。

Push技术允许业务的使用者能接收推送的数据到他们的移动客户端上最初一个用户可以去浏览Push发起者PI维护的网页PI将提供业务给用户一个Push业务的例子可以是本地的天气预报业务，PI每天早上推送本地天气预报到用户的客户端 Push的结构定义了三个实体：Push业务发起者PI， Push代理网关PPG和客户端当推送无连接的内容到用户的客户端时，PI与PPG使用PAP协议进行交互PPG依次编译Push消息，并经过OTA协议发送到用户的客户端Push的安全方面的定义当前还不能满足行业中各类提供WAP Push业务供应商的安全需要因此，定义Push的各种安全需求是必要的最终的目的是为了在PI与客户端之间有一个完整的安全链，这样用户将可以完全相信客户端将收到的Push消息是来自可信任的发起者的图 1 Push框架上图展示了 Push框架中的四个实体不同实体间的安全/信任关系是Push 安全的关键方面这些关系及相关的关键问题有：Ø 用户应能够信任PI传递的内容是其请求的内容Ø 用户应能够信任PPG传递的内容是其从PI请求的内容，并且用户支持相应的Push-OTA的操作e.g. 会话初始请求Ø PI应该能够信任PPG不会对Push内容做目标Push客户端及Push-OTA协议需要转化的格式之外的任何修改。

PI和PPG之间的交互一般将会在面向连接的协议上发送，e.g. .HTTP并且能够使用已经建立的Internet安全协议，如SSL等，来确保保密性，完整性和鉴权PPG与客户端的交互按以下两种方式进行：Ø 面向无连接PushØ 面向连接Push面向无连接Push可以使用OTA方法发送，最常用的为SMS当前，当使用面向无连接的Push时，未陈述安全问题当使用面向连接的Push时，各自承载层使用底层的安全协议，例如如果HTTP协议则使用SSL在NAT和公共IP地址的终端情况时将要注意安全相关问题1.1.1　 威胁分析安全风险解释：l 未授权的会话初始：尝试使一个设备与一个未授权的PPG建立一个Push会话（通过SIR）这个未授权的会话发起可能引发攻击，导致用户的个人信息（信息盗取）盗取或向用户发送垃圾邮件l SIR一般通过SMS传递，未授权的SIR通过IP层上传递的风险或许很低，但仍需要验证 l 有害的内容传递：任何破坏用户业务或威胁网络安全的内容的传递有害内容传递的目的可能使业务中断，盗取，导致用户被攻击或病毒扩散它可以直接在设备上操作，或欺骗设备或用户来取回一些有害的内容l 业务的拒绝：重复Push消息的传递干扰用户业务。

业务拒绝的目的可能为了困扰用户或骚扰用户而更换网络提供商l 未授权的Push：尝试传递未请求的Push内容下表表示了当使用Push时，不同情景的威胁分析的评估， l 高：相对容易实行，尽管可能不常见网络阻挡的能力较低l 中：更多的工作完成l 低：很难意识到，网络办法容易实行场景风险类别公共IP地址私有IP地址运营商IP策略或授权的第三方PPG 网络初始的移动终止SMS移动初始的SMS开放接入控制未授权的会话初始LowLowNoneNoneHighHigh有害的内容传递HighMediumHighHigh to low (1)HighHigh业务的拒绝HighMediumHighHigh to low (1)HighHigh未授权的PushHighMediumHighHigh to low (1)HighHigh表 1 Push威胁分析评估. 有效的接入控制可以大量减少风险情景解释：l 公共IP设备地址移动网络为设备分配公共IP地址运营商可以提供一个PPG或依靠第三方PPG l 私有IP设备地址移动网络为设备分配私有IP地址第三方PPG 实现的Push传递非常复杂，需要私网到公网的地址转换（NAT），运营商专门提供一个PPG。

l 运营商或授权的第三方PPG指定开放的PI策略PPG不提供特殊的Push来源、地址、内容类型、或服务质量的控制l 运营商或授权的第三方PPG进行接入控制的PI策略PPG 对Push来源、地址、内容类型、或服务质量提供一些级别的接入控制l 网络发起的止于移动设备的SMSPush消息由基于网络的SMS源发起的，可能包含一些其它承载网络中的不安全来源没有根据SMS来源，目的地，或内容设定特定的控制l 移动设备发起SMS移动设备发起Push消息没有根据SMS来源，目的地，或内容特定的控制1.2　 系统元素Push安全需求应在当前Push结构框架中提出PI为在普通web服务器上运行的一种典型的应用，与PPG使用PAP通过HTTP连接进行通信PPG使用Push-OTA协议传递Push内容到客户端PAP基于标准的Internet协议，用来XML表达传递指令并且Push内容可以为任何MIME媒体类型 PPG负责传递Push内容到客户端这样，其转换PI提供的客户端地址成为 一个移动网络可以识别的格式，如果客户端当前不可用时存储内容等PPG不只完成传递消息的功能，它还可以通知PI关于Push提交的最终结果，选择性的取消，覆盖或为PI请求客户端能力。

Push-OTA协议是完成Push框架的一部分，负责从PPG传输内容到客户端及其用户代理通过HTTP（OTA-HTTP），WSP（OTA-WSP）或其他协议实现PPG为Push框架中主要功能实体其责任包括作为从Internet向移动网络Push内容的接入点，及随之相关的所有事情（鉴权，抵制解析等）PPG为移动网络的接入点，将执行网络的接入控制策略例如，Push内容发送权限控制2　 业务特征2.1　 PAPPAP协议为PI推送内容到移动网络的方法，并且能够寻址其PPG 图 2 PAP框架PAP原来设计是独立于底层传输机制HTTP为首选PAP传输的协议，其他协议（例如SMTP）可以在未来描述PAP携带Push 相关PPG使用的控制信息这些信息使用XML表达例如，一个新的消息被提交到 PPG， 控制信息和Push内容都携带在MIME multipart/related[RFC2387]体中这意味一个单独的MIME实体被传输独立于操作类型2.1.1　 PAP操作 PAP 支持以下操作：l Push提交（PI到PPG）l 结果通知（PPG到PI）l Push取消（PI到PPG）l 之前提交的Push消息的替换（PI到PPG）l Push操作的状态询问（PI 到PPG）l 无线设备的能力查询（PI到PPG）2.1.1.1　 Push提交 Push提交消息包含三个实体：控制实体，内容实体和可选的能力实体。

它们封装放入一个的multipart/related消息中，从PI发送到PPG控制实体为一个XML文件，包含给PPG的传递指令，内容实体是传递给客户端的在通过OTA传递之前，PPG可转换或不转换内容实体成优化带宽的形式可选的能力实体包含的终端能力，该信息以UAProf形式PI可以包含此实体指示其假设的客户端能力情况如果此假设的能力信息与PPG识别的能力信息不一致 ，PPG可以拒绝该消息2.1.1.2　 结果通知如果PI请求关于最终传递的结果，结果通知消息将从PPG传递到PI指定的URI该消息可以是XML实体，指示传递成功或失败（客户端不可达，超时等）Push框架的一个主要特点是：PI有可能依赖PPG发来的响应当且仅当目标应用已经接受Push内容时，终端才会返回确认如果不能接受，必须中断操作，PI知道内容不能到达目的地2.1.1.3　 Push取消该消息是PI给PPG传输的XML实体，用来取消之前提交的消息PPG用一个XML实体进行响应，指示取消操作是否成功2.1.1.4　 Push替换如果PI请求替换一个之前Push提交操作中提交的消息，重置可能有两种情况：新的消息只发送给那些未接收到原始消息的接受者，或新的消息应发送给所有的接收者。

任何一种情况，对于未被传递的接收者的原消息应被取消2.1.1.5　 状态询问状态询问是从PI到PPG的XML实体，用来请求之前提交消息的状态PPG用一个包含当前状态的XML实体进行响应2.1.1.6　 客户端能力询问客户端能力询问从PI传递到PPG的XML实体，请求网络中一个特定设备的能力PPG的响应包含一个multipart/related实体，包含两个部分，第一部分包含请求结果，第二部分包含UAProf格式祖师的设备能力信息2.1.1.7　 HTTP传输当PAP使用HTTP作为传输协议时，信息传输使用HTTP POST请求和响应方法当HTTP传输成功，HTTP的响应包含202响应码（已经接受待处理），当HTTP处理成功， PAP的响应文件可以包含PAP错误信息， 关于HTTP1.1具体参见RFC26162.2　 Push OTA协议Push OTA协议是Push框架组成部分，负责将Push内容从PPG传递给客户端和其用户代理它运行在HTTP（OTA-HTTP）或WSP（OTA-WSP）之上OTA-WSP经常用于在PPG和客户端之间执行无连接的Push面向连接的Push，使用OTA-HTTP或OTA-WSP是可选的。

图 3 OTA框架2.2.1　 OTA-WSPOTA-WS。