基于位置服務的無線網絡應用程序

基于位置服務的無線網絡應用程序

    移動設備的基于位置的服務適合于用戶的位置和狀態。它們過濾并傳遞與用戶關系最大的信息。基于位置的服務的一項重要優勢是，用戶不必向它們輸入郵政編碼或其它位置標識。位置信息構成了移動技術的靈魂。

    有幾種方法可以確定無線設備的位置。大多數方法涉及使用信號到達時間差（TDOA）、增強觀測時間差（E-OTD）和輔助全球定位系統（GPS）技術。

  一、TDOA 需要多個基站來偵聽移交訪問脈沖，并用三角測量法計算無線設備的位置。這種方法的優點是可以使用現有的 GSM 移動設備，但必需對支持基礎設施進行大量投資。
  二、使用 E-OTD 時，手機偵聽來自多個基站的脈沖并測量觀測時間差。使用三角測量法計算出無線設備的位置。E-OTD 要求對手機進行更改，但所需的定位基礎設施支持少于 TOA。
  三、輔助 GPS 依賴擁有集成 GPS 接收器的無線設備。可以從網絡傳送輔助數據以促進 GPS 信號搜索，并有可能提高靈敏度。盡管 GPS 有可能是最精確的方法，但因為其信號來自人造衛星，所以穿透力較弱，因而受到限制。象 CyberLocator 這樣的公司使用專利技術和專用 GPS 硬件來利用 GPS 數據獲得位置信息。

位置信息交換的標準
    過去，不同的各方曾經提出幾種交換位置信息的提議。最近，他們已開始了標準化的努力，以將不同的提議合并成一個公認的標準。讓我們看一看部分已經提出的位置信息交換標準。

    移動定位協議（Mobile Positioning Protocol，MPP）是由 Ericsson 提出的協議。MPP（目前版本是 4.0）是基于因特網的協議，“知道位置”的應用程序使用該協議與移動定位系統（Mobile Positioning System，MPS）交互。通過這個協議，使請求移動終端的位置成為可能。移動定位系統（MPS）是 Ericsson 用于提供基于位置的服務的特殊解決方案，作為該系統的一部分，移動定位中心（Mobile Positioning Center，MPC）是移動網絡和“知道位置”的應用程序之間的網關。MPC 根據源于網絡的信息計算移動設備的位置，并將它傳送到應用程序。

    MPP 還定義了一個 URL，“知道位置”的應用程序可以使用它來請求移動設備的位置。作為對位置請求的響應，MPC 傳送一個應答來把對移動設備位置的估計告訴應用程序。MPP 完全基于 HTTP，這使得 MPC 可以供任何具有 TCP/IP 功能的平臺使用，例如，負責動態生成 WAP 內容的 Java servlet。

    IETF 及其成員公司也提出了另一個標準，稱為空間位置協議（Spatial Location Protocol，SLoP）。SLoP 的目的是解決以下問題：應用程序如何以可靠的、安全的和可伸縮的方式，獲取因特網上提供的可標識資源的空間位置？這個協議將確定地球上的絕對位置，并將使用 WGS84 大地基準點作為缺省參考系統。位置信息的格式最好由下列數據項組成（假設某些項的功能可用）：
  1.用戶位置類型（例如，絕對／描述型位置）
  2.框架（例如，WGS84、UTM）
  3.語法／格式（例如，經度、緯度和海拔高度）
  4.地心位置
  5.精確度
  6.時間戳記（日期、時間、時區）
  7.剩余時間
  8.其它（方向、速度、方位等）

    這個協議目前支持 UDP 傳輸（為了可靠性帶有重試計時器），也可選用 TCP 傳輸以及 RTP 和／或 SCTP。因此，可從具有 TCP/IP 功能的任何平臺訪問 SLoP 服務器。預計將來，無論網絡是層次關系還是對等關系，空間位置服務器之間都將選用 IPSec 作為通信方法。

    Open GIS Consortium，Inc.（OGC）是一個非贏利的國際性業界聯盟，參加聯盟的 230 多家公司、政府機構和大學參與了開發公開可用的地理處理規范的共識過程。Open GIS 規范支持使 Web 和主流 IT 具有地理能力的互操作解決方案，并使技術開發人員能夠將復雜的空間信息和服務對于各種應用程序都是可訪問的和有用的。

    有兩種類型的規范：摘要和實現。Open GIS 摘要規范提供了 Open GIS 實現規范的框架或參考模型。這種高級指導對于了解 Open GIS 規范背后的核心技術和概念模型非常有用。Open GIS 實現規范詳細描述了 OGC 通過其共識過程開發的一致同意的接口。這些是軟件工程規范 — 任何軟件開發人員都可以使用這些信息來構建實現這些規范中的一個或多個規范的產品。該軟件應該能夠與實現相同規范的任何其它軟件通信。有些規范詳細描述了到 OLE/COM、CORBA、SQL、地理標記語言（Geography Markup Language，GML）等的接口。
無線應用程序安全性
    正如先前提到的，解決與無線應用程序相關的信息安全性問題很重要，尤其是對于那些與移動電子商務相關的應用程序。對于實現移動商務和無處不在的移動設備所提供的機遇，安全性方面是關鍵因素。移動電子商務使企業暴露在大量新的威脅和攻擊面前。無線應用程序的整體安全性只能取決于其最薄弱環節的強度，在移動商務網絡中，最薄弱環節是移動設備。無線信號的可攔截本質和大多數移動設備有限的內存和計算能力使無線系統容易受到數據竊賊的攻擊。關于無線應用程序安全性的一些關鍵的安全性問題包括：
  一、機密性。對機密和敏感數據的訪問應該僅限于那些需要它的用戶。
  二、完整性。數據在無線網絡上從一點傳輸到另一點的完整性需要得到極好地維護。
  三、可用性。可將任務關鍵數據和服務用于應急計劃，以便處理諸如基礎結構故障、安全性缺口之類的災難性事件。
  四、隱私。無線應用程序開發人員應該小心地遵守保護用戶的隱私的法律要求。對于基于位置的服務這尤其重要，因為本來就存在著用戶被跟蹤的可能性。但是，正如我們不久將要看到的，位置信息的可用性可以轉變為安全性優勢。下圖全面描述了無線應用程序基礎結構中的不同弱點。
圖 1. 不安全無線傳輸的情景

    那么對于無線應用程序完整性而言，風險和威脅是什么呢？
  1.可以使用數字式 RF 掃描設備捕獲無線網絡上傳輸的數據（如密碼和個人信息）。大多數無線協議不具備內置加密機制。尤其是對于那些傳送敏感數據的應用程序而言，確實需要額外的安全性措施（如安全連接和密碼術）。但是，用于安全連接的 HTTPS/SSL 或密碼術標準（如 IPSEC 和 WTLS）的采用，帶來了與之相關的問題。鄰近設備或基站的信號干擾會導致無線設備和網絡中斷和不可用。
  2.移動設備本來就是小型的和可移動的，并容易放錯地方或丟失。此外，它們的設計本身就有風險。它們有限的安全性特性增加了未經授權地使用移動設備來訪問敏感公司或個人數據的機會。移動設備中的 SIM 卡可以被克隆并在另一個設備中使用。如果應用程序安全性是基于對設備的用戶認證的（從 SIM），那么假扮成真實用戶也是有可能的。
  3.無線應用程序技術相當新，這意味著沒有針對用戶、設備或應用程序安全性的成熟標準。大多數無線通信協議還沒有對加密標準的內置支持，這使得供應商使用第三方或專利方法來強制加密。這種無線基礎結構方面的不成熟，再加上巨大的用戶基礎，使得無線應用程序很容易遭到來自病毒和惡意代碼的攻擊。存在著大量解決移動電子商務風險和弱點的安全性解決方案（以過程、技術和組織模型的形式）。

用于安全性的位置信息
    麻煩在于現有的無線安全性控制不足以提供下一波移動電子商務所要求的安全性級別。廣泛采用移動商務的最大障礙之一就是贏得客戶的信任。單個安全性缺口就會以極其鮮明的姿態使無線應用程序開發人員為之努力的一切都大打折扣。開發出安全性策略來解決移動商務的嶄新而復雜的挑戰是很重要的。現在，讓我們研究一下這個有趣的概念：將位置信息合并到無線應用程序和網絡安全性機制中。合并到現有安全性機制中的位置信息可以用來增強認證、授權和訪問控制的功效。

    有效的無線應用程序安全性依賴于認證用戶和相應地授予訪問權的能力。現有的認證和授權機制基本上依賴于用戶知道的信息（密碼或密鑰）、對認證設備（訪問令牌或加密卡）的擁有或從唯一的個人特征（生物測量學）派生出來的信息。這其中任何一種方法都不是徹底安全的。

    移動設備或用戶的位置信息（經度、緯度、高度等）為無線應用程序安全性增添了第四個新特性。它向希望執行敏感操作（如金融事務、訪問重要信息或遠程控制重要系統）的無線應用程序用戶提供了額外的保證。它可以對現有的安全性機制進行補充。位置信息還可以在其它系統受到威脅時用作安全性機制。對于高度敏感的無線應用程序，因為可以將一片廣闊的地理區域指定為一套已授權位置，所以認證機構可以對任何惡意行為進行反跟蹤，以發現入侵者的位置。不合并位置信息，就難以發現惡意行為的源頭。

    幾乎不可能復制位置信息并在別處用它來獲取未經授權的入口。即使信息在通信期間遭到攔截，入侵者也無法從其它地方復制該數據。位置信息是不斷實時生成的，對于特定的地點和時間而言是唯一的。在短暫的時間間隔之后，此類信息就變為無效了，這意味著無法用所攔截的位置數據來掩飾未經授權的訪問，尤其是當它與作為校驗和或數字簽名的無線協議消息綁定時。即使作惡者用其它方法假扮成合法用戶，還是可以用整套位置信息簽名來搜尋訪問的蹤跡。

    也有可能進一步處理，在無線客戶機（移動設備）和后端系統之間合并雙向認證。后端系統可以根據安全性機制和位置信息向無線客戶機授予訪問權；客戶機接收后端系統位置簽名的逆向過程保證了更高級別的安全性，尤其是在定期進行這樣的“握手”的情況下。這需要在無線設備和后端系統之間額外地傳輸少量信息。

    位置信息可以為解除無辜用戶的罪責提供證據。如果非法活動是由某個未經授權而獲取對某個特定用戶帳戶訪問權的人從該帳戶進行的，那么，該帳戶的合法主人或許能夠證明他們不曾出現在發起這些非法行為的位置。基于位置的認證可以持續地以對用戶透明的方式執行。這意味著，與大多數其它類型的認證信息不同，位置信息可以用作用戶訪問的所有系統的常用認證者。這個特性使得基于位置的認證成為結合單點登錄使用的好技術。

    總之，將基于位置的認證添加到安全性機制有助于限制對敏感信息或事務的訪問，防止未經授權的訪問，跟蹤非法行為并有可能確保在一定區域內只有被定位的設備才能接收加密信息。
Web 服務和無線應用程序安全性
    Web 服務將在移動商務和無線安全性的發展中起著重要作用。通過使用 XML 消息傳遞對主要安全性解決方案（如 Kerberos 認證和授權、數字證書、數字簽名和公／私鑰加密）進行標準化和集成，Web 服務可以用來提供無線安全性解決方案。XML 消息傳遞被認為是無線通信協議的首選，有多種安全性協議用于基于它的無線應用程序。其中包括以下協議：
  一、安全性斷言標記語言（Security Assertion Markup Language，SAML）是用來以 XML 消息傳輸認證和授權信息的協議。它可以用來提供單點登錄 Web 服務。
  二、XML 數字簽名定義了如何對 XML 文檔的一部分或全部內容進行數字簽名，以保證數據完整性。可以用 XML 密鑰管理規范（XML Key Management Specification，XKMS）格式封裝使用 XML 數字簽名分發的公鑰。
  三、XML 加密允許應用程序引用預先約定的對稱密鑰來加密 XML 文檔的部分或全部內容。
  四、Web 服務安全 XML 協議簇（WS-Security）是由 IBM 和 Microsoft 認可的向 Web 服務提供安全性的完整的解決方案。它基于 XML 數字簽名、XML 加密和類似于 SAML 的認證和授權方案。
    以上所有安全性協議都可以綁定到 Web 服務消息傳遞協議。例如，我們可以將 SAML 段嵌入到 SOAP 消息頭以對所請求的服務的訪問進行認證和授權。我們還可以將 XML Digital Signature 段嵌入到 SOAP 頭以認證該消息中的信用卡號。

    現在，我們要討論將位置信息與 SAML 安全性規范合并到一起的好處，并研究它是如何增強無線應用程序安全性的。尤其我們要討論基于位置的認證是如何加入單點登錄體系結構的。

與 SAML 合作的位置信息
    SAML 是對供應商中立的 XML 框架，用于在因特網上交換安全性信息。SAML 使全異的安全性服務系統能夠通過交換與安全性相關的信息（稱為“斷言”）來進行互操作。用戶的認證、授權、概要和首選項，都是從用戶在會話期間選擇的原始源服務供應商傳送到后續的目的地服務供應商的。SAML 被設計用來與 HTTP、簡單郵件傳送協議（Simple Mail Transfer Protocol）、文件傳送協議和幾種 XML 框架（包括簡單對象訪問協議（Simple Object Access Protocol，SOAP）和電子商務 XML）一起工作。它提供了以 XML 文檔定義用戶認證、授權和屬性信息的標準方式。SAML 的主要組件包括：
  1.斷言。SAML 定義了三種斷言類型，都是關于用戶（人或計算機）的一個或多個事實的聲明。認證斷言要求用戶證實自己的身份。屬性斷言包含關于用戶的特定細節，如他的信用額度。授權判定斷言標識了用戶可以做什么（例如，是否授權該用戶購買某種產品）。
  2.請求／響應協議。這個協議定義了 SAML 請求和接收斷言的方式。例如，SAML 目前支持 HTTP 上的 SOAP。將來，SAML 請求和響應格式將綁定到其它通信和傳輸協議。
  3.綁定。這個組件確切地詳細描述了 SAML 請求應如何映射到諸如 HTTP 上的 SOAP 消息交換之類的傳輸協議。
  4.概要。這些組件規定了如何將 SAML 斷言嵌入通信系統或在通信系統之間傳遞。
    盡管 SAML 進行關于憑證的斷言，但實際上它并不對用戶進行認證或授權。那是由認證服務器和輕量級目錄訪問協議（Lightweight Directory Access Protocol）目錄一起完成的。SAML 創建到實際認證的鏈接并根據該事件的結果進行其斷言。簡單來說，SAML 支持基于 Web 的開放和可互操作的設計、單點登錄服務功能。基于 SAML 的應用程序的體系結構如下所示。
圖 2. SAML 體系結構

    在典型的 SAML 體系結構中，稱為信任方的符合 SAML 的服務將 SAML 請求發送到發行認證機構，該機構返回 SAML 斷言響應。所有請求和響應都是通過 HTTP 用 SOAP 封裝傳送的，但應用程序可以用各種請求／響應協議定義和交換斷言。但是，這些擴展會限制互操作性。例如，當移動設備客戶機請求訪問后端應用程序時，它向發行認證機構發送認證信息。然后，發行認證機構可以根據移動設備客戶機提供的憑證發送肯定或否定認證斷言。盡管用戶仍然擁有與無線應用程序的會話，但是發行認證機構可以使用更早的引用來發送認證斷言，聲明用戶實際上是在特定時間內使用特殊的方法認證的。正如先前提到的，基于位置的認證可以定期進行，這意味著只要對用戶憑證的認證是肯定的，發行認證機構就會定期發表基于位置的斷言。研究下面的 SAML 認證請求。它包含用戶憑證（如用戶名和加密密碼）、認證方法、響應請求、憑證類型和位置信息。

<samlp:Request MajorVersion="1" MinorVersion="0" 



  RequestID="<request id>">



  <samlp:RespondWith>AuthenticationStatement </samlp:RespondWith>



    <samlp:AuthenticationQuery>



      <saml:Subject>



        <saml:NameIdentifier Name="<user name>"/>



        <saml:SubjectConfirmation>



          <saml:ConfirmationMethod>



            http://www.oasis-open.org/committies/security/docs/



            draft-sstc-core-5/password



          </saml:ConfirmationMethod>



          <saml:SubjectConfirmationData>



            <password>



          </saml:SubjectConfirmationData>



        </saml:SubjectConfirmation>



        <saml:NameIdentifier Name="<location>" />



        <saml:SubjectConfirmation>



          <saml:ConfirmationMethod>



            <LocationURI> <-- For authenticating location information using 



              a SAML binding profile -->



          </saml:ConfirmationMethod>



          <saml:SubjectConfirmationData>



            <latitude>, <;longitude>,<timestamp>,



          </saml:SubjectConfirmationData>



        </saml:SubjectConfirmation>     



      </saml:Subject>



    </samlp:AuthenticationQuery>



</samlp:Request>

    對上述請求的響應（如下所示）包含帶有指定認證有效的時間段的屬性／條件的認證斷言。如果請求中提供的認證信息導致成功的認證，那么就向認證請求方返回一個表示成功的狀態碼。

<samlp:Response InResponseTo="<request id>" 



  MajorVersion="1" MinorVersion="0" 



  ResponseID="upuSGdmqx7ov01mExYlt+6bDCWE=">



  <samlp:Status>



    <samlp:StatusCode Value="samlp:Success"/>



  </samlp:Status>



  <saml:Assertion AssertionID="+1UyxJDBUza+ao+LqMrE98wmhAI="



    IssueInstant="2002-10-03T14:33:58.456" Issuer="SunONE"



    MajorVersion="1" MinorVersion="0">



    <saml:Conditions NotBefore="2002-10-03T14:33:58.466"



      NotOnOrAfter="2002-10-03T15:03:58.466"/>



      <saml:AuthenticationStatement



        AuthenticationInstant="2002-10-03T14:33:55.201"



        AuthenticationMethod="http://www.oasis-open.org/committies/security/



          docs/draft-sstc-core-25/password">



         <saml:Subject>



            <saml:NameIdentifier Name="<user>" />



            <saml:SubjectConfirmation>



              <saml:ConfirmationMethod>



                http://www.oasis-open.org/committies/security/docs/



                 draft-sstc-core-25/password



              </saml:ConfirmationMethod>



            </saml:SubjectConfirmation>           



          </saml:Subject>



        </saml:AuthenticationStatement>



     <saml:AuthenticationStatement



        AuthenticationInstant="2002-10-03T14:33:55.205"



        AuthenticationMethod="<LocationURI>" >



          <saml:Subject>



            <saml:NameIdentifier Name="<location>" />



            <saml:SubjectConfirmation>



              <saml:ConfirmationMethod>



                <LocationURI>



              </saml:ConfirmationMethod>



            </saml:SubjectConfirmation>            



          </saml:Subject>



        </saml:AuthenticationStatement>



  </saml:Assertion>



</samlp:Response>

    正如我們所見，雖然用 XML 指定安全性斷言對有限帶寬的無線網絡沒有特別大的意義，其好處卻遠超過帶寬開銷。XML 也是用于安全性服務的新一代開放的、可互操作的 Web 服務應用程序的通信數據格式選擇。SAML 為無線應用程序提供了符合 Web 訪問管理和安全性產品之間急需的互操作性。將用于認證與授權的位置信息添加到現有無線安全性機制，是信息保證的增值提議。

【基于位置服務的無線網絡應用程序】相關文章：

基于CSSCI的200108-18

基于你還愛我作文10-22

基于標準的教學設計08-06

基于高效的課堂展示08-25

為了學校 基于學校08-17

基于Internet的學習模式08-07

MicroWindows體系結構及應用程序接口08-06

應用程序指示圖標的實現方法研究08-06

系統服務與應用程序的相關性詳解08-12