基于位置服務的無線網(wǎng)絡應用程序

    移動設備的基于位置的服務適合于用戶的位置和狀態(tài)。它們過濾并傳遞與用戶關系最大的信息�；�于位置的服務的一項重要優(yōu)勢是，用戶不必向它們輸入郵政編碼或其它位置標識。位置信息構成了移動技術的靈魂。

    有幾種方法可以確定無線設備的位置。大多數(shù)方法涉及使用信號到達時間差（TDOA）、增強觀測時間差（E-OTD）和輔助全球定位系統(tǒng)（GPS）技術。

  一、TDOA 需要多個基站來偵聽移交訪問脈沖，并用三角測量法計算無線設備的位置。這種方法的優(yōu)點是可以使用現(xiàn)有的 GSM 移動設備，但必需對支持基礎設施進行大量投資。
  二、使用 E-OTD 時，手機偵聽來自多個基站的脈沖并測量觀測時間差。使用三角測量法計算出無線設備的位置。E-OTD 要求對手機進行更改，但所需的定位基礎設施支持少于 TOA。
  三、輔助 GPS 依賴擁有集成 GPS 接收器的無線設備�？梢詮木W(wǎng)絡傳送輔助數(shù)據(jù)以促進 GPS 信號搜索，并有可能提高靈敏度。盡管 GPS 有可能是最精確的方法，但因為其信號來自人造衛(wèi)星，所以穿透力較弱，因而受到限制。象 CyberLocator 這樣的公司使用專利技術和專用 GPS 硬件來利用 GPS 數(shù)據(jù)獲得位置信息。

位置信息交換的標準
    過去，不同的各方曾經(jīng)提出幾種交換位置信息的提議。最近，他們已開始了標準化的努力，以將不同的提議合并成一個公認的標準。讓我們看一看部分已經(jīng)提出的位置信息交換標準。

    移動定位協(xié)議（Mobile Positioning Protocol，MPP）是由 Ericsson 提出的協(xié)議。MPP（目前版本是 4.0）是基于因特網(wǎng)的協(xié)議，“知道位置”的應用程序使用該協(xié)議與移動定位系統(tǒng)（Mobile Positioning System，MPS）交互。通過這個協(xié)議，使請求移動終端的位置成為可能。移動定位系統(tǒng)（MPS）是 Ericsson 用于提供基于位置的服務的特殊解決方案，作為該系統(tǒng)的一部分，移動定位中心（Mobile Positioning Center，MPC）是移動網(wǎng)絡和“知道位置”的應用程序之間的網(wǎng)關。MPC 根據(jù)源于網(wǎng)絡的信息計算移動設備的位置，并將它傳送到應用程序。

    MPP 還定義了一個 URL，“知道位置”的應用程序可以使用它來請求移動設備的位置。作為對位置請求的響應，MPC 傳送一個應答來把對移動設備位置的估計告訴應用程序。MPP 完全基于 HTTP，這使得 MPC 可以供任何具有 TCP/IP 功能的平臺使用，例如，負責動態(tài)生成 WAP 內(nèi)容的 Java servlet。

    IETF 及其成員公司也提出了另一個標準，稱為空間位置協(xié)議（Spatial Location Protocol，SLoP）。SLoP 的目的是解決以下問題：應用程序如何以可靠的、安全的和可伸縮的方式，獲取因特網(wǎng)上提供的可標識資源的空間位置？這個協(xié)議將確定地球上的絕對位置，并將使用 WGS84 大地基準點作為缺省參考系統(tǒng)。位置信息的格式最好由下列數(shù)據(jù)項組成（假設某些項的功能可用）：
  1.用戶位置類型（例如，絕對／描述型位置）
  2.框架（例如，WGS84、UTM）
  3.語法／格式（例如，經(jīng)度、緯度和海拔高度）
  4.地心位置
  5.精確度
  6.時間戳記（日期、時間、時區(qū)）
  7.剩余時間
  8.其它（方向、速度、方位等）

    這個協(xié)議目前支持 UDP 傳輸（為了可靠性帶有重試計時器），也可選用 TCP 傳輸以及 RTP 和／或 SCTP。因此，可從具有 TCP/IP 功能的任何平臺訪問 SLoP 服務器。預計將來，無論網(wǎng)絡是層次關系還是對等關系，空間位置服務器之間都將選用 IPSec 作為通信方法。

    Open GIS Consortium，Inc.（OGC）是一個非贏利的國際性業(yè)界聯(lián)盟，參加聯(lián)盟的 230 多家公司、政府機構和大學參與了開發(fā)公開可用的地理處理規(guī)范的共識過程。Open GIS 規(guī)范支持使 Web 和主流 IT 具有地理能力的互操作解決方案，并使技術開發(fā)人員能夠?qū)�復雜的空間信息和服務對于各種應用程序都是可訪問的和有用的。

    有兩種類型的規(guī)范：摘要和實現(xiàn)。Open GIS 摘要規(guī)范提供了 Open GIS 實現(xiàn)規(guī)范的框架或參考模型。這種高級指導對于了解 Open GIS 規(guī)范背后的核心技術和概念模型非常有用。Open GIS 實現(xiàn)規(guī)范詳細描述了 OGC 通過其共識過程開發(fā)的一致同意的接口。這些是軟件工程規(guī)范 — 任何軟件開發(fā)人員都可以使用這些信息來構建實現(xiàn)這些規(guī)范中的一個或多個規(guī)范的產(chǎn)品。該軟件應該能夠與實現(xiàn)相同規(guī)范的任何其它軟件通信。有些規(guī)范詳細描述了到 OLE/COM、CORBA、SQL、地理標記語言（Geography Markup Language，GML）等的接口。
無線應用程序安全性
    正如先前提到的，解決與無線應用程序相關的信息安全性問題很重要，尤其是對于那些與移動電子商務相關的應用程序。對于實現(xiàn)移動商務和無處不在的移動設備所提供的機遇，安全性方面是關鍵因素。移動電子商務使企業(yè)暴露在大量新的威脅和攻擊面前。無線應用程序的整體安全性只能取決于其最薄弱環(huán)節(jié)的強度，在移動商務網(wǎng)絡中，最薄弱環(huán)節(jié)是移動設備。無線信號的可攔截本質(zhì)和大多數(shù)移動設備有限的內(nèi)存和計算能力使無線系統(tǒng)容易受到數(shù)據(jù)竊賊的攻擊。關于無線應用程序安全性的一些關鍵的安全性問題包括：
  一、機密性。對機密和敏感數(shù)據(jù)的訪問應該僅限于那些需要它的用戶。
  二、完整性。數(shù)據(jù)在無線網(wǎng)絡上從一點傳輸?shù)搅硪稽c的完整性需要得到極好地維護。
  三、可用性�？蓪⑷蝿贞P鍵數(shù)據(jù)和服務用于應急計劃，以便處理諸如基礎結構故障、安全性缺口之類的災難性事件。
  四、隱私。無線應用程序開發(fā)人員應該小心地遵守保護用戶的隱私的法律要求。對于基于位置的服務這尤其重要，因為本來就存在著用戶被跟蹤的可能性。但是，正如我們不久將要看到的，位置信息的可用性可以轉變?yōu)榘踩�性�?yōu)勢。下圖全面描述了無線應用程序基礎結構中的不同弱點。
圖 1. 不安全無線傳輸?shù)那榫?/center>

    那么對于無線應用程序完整性而言，風險和威脅是什么呢？
  1.可以使用數(shù)字式 RF 掃描設備捕獲無線網(wǎng)絡上傳輸?shù)臄?shù)據(jù)（如密碼和個人信息）。大多數(shù)無線協(xié)議不具備內(nèi)置加密機制。尤其是對于那些傳送敏感數(shù)據(jù)的應用程序而言，確實需要額外的安全性措施（如安全連接和密碼術）。但是，用于安全連接的 HTTPS/SSL 或密碼術標準（如 IPSEC 和 WTLS）的采用，帶來了與之相關的問題。鄰近設備或基站的信號干擾會導致無線設備和網(wǎng)絡中斷和不可用。
  2.移動設備本來就是小型的和可移動的，并容易放錯地方或丟失。此外，它們的設計本身就有風險。它們有限的安全性特性增加了未經(jīng)授權地使用移動設備來訪問敏感公司或個人數(shù)據(jù)的機會。移動設備中的 SIM 卡可以被克隆并在另一個設備中使用。如果應用程序安全性是基于對設備的用戶認證的（從 SIM），那么假扮成真實用戶也是有可能的。
  3.無線應用程序技術相當新，這意味著沒有針對用戶、設備或應用程序安全性的成熟標準。大多數(shù)無線通信協(xié)議還沒有對加密標準的內(nèi)置支持，這使得供應商使用第三方或?qū)＠�方法來強制加密。這種無線基礎結構方面的不成熟，再加上巨大的用戶基礎，使得無線應用程序很容易遭到來自病毒和惡意代碼的攻擊。存在著大量解決移動電子商務風險和弱點的安全性解決方案（以過程、技術和組織模型的形式）。

用于安全性的位置信息
    麻煩在于現(xiàn)有的無線安全性控制不足以提供下一波移動電子商務所要求的安全性級別。廣泛采用移動商務的最大障礙之一就是贏得客戶的信任。單個安全性缺口就會以極其鮮明的姿態(tài)使無線應用程序開發(fā)人員為之努力的一切都大打折扣。開發(fā)出安全性策略來解決移動商務的嶄新而復雜的挑戰(zhàn)是很重要的。現(xiàn)在，讓我們研究一下這個有趣的概念：將位置信息合并到無線應用程序和網(wǎng)絡安全性機制中。合并到現(xiàn)有安全性機制中的位置信息可以用來增強認證、授權和訪問控制的功效。

    有效的無線應用程序安全性依賴于認證用戶和相應地授予訪問權的能力�，F(xiàn)有的認證和授權機制基本上依賴于用戶知道的信息（密碼或密鑰）、對認證設備（訪問令牌或加密卡）的擁有或從唯一的個人特征（生物測量學）派生出來的信息。這其中任何一種方法都不是徹底安全的。

    移動設備或用戶的位置信息（經(jīng)度、緯度、高度等）為無線應用程序安全性增添了第四個新特性。它向希望執(zhí)行敏感操作（如金融事務、訪問重要信息或遠程控制重要系統(tǒng)）的無線應用程序用戶提供了額外的保證。它可以對現(xiàn)有的安全性機制進行補充。位置信息還可以在其它系統(tǒng)受到威脅時用作安全性機制。對于高度敏感的無線應用程序，因為可以將一片廣闊的地理區(qū)域指定為一套已授權位置，所以認證機構可以對任何惡意行為進行反跟蹤，以發(fā)現(xiàn)入侵者的位置。不合并位置信息，就難以發(fā)現(xiàn)惡意行為的源頭。

    幾乎不可能復制位置信息并在別處用它來獲取未經(jīng)授權的入口。即使信息在通信期間遭到攔截，入侵者也無法從其它地方復制該數(shù)據(jù)。位置信息是不斷實時生成的，對于特定的地點和時間而言是唯一的。在短暫的時間間隔之后，此類信息就變?yōu)闊o效了，這意味著無法用所攔截的位置數(shù)據(jù)來掩飾未經(jīng)授權的訪問，尤其是當它與作為校驗和或數(shù)字簽名的無線協(xié)議消息綁定時。即使作惡者用其它方法假扮成合法用戶，還是可以用整套位置信息簽名來搜尋訪問的蹤跡。

    也有可能進一步處理，在無線客戶機（移動設備）和后端系統(tǒng)之間合并雙向認證。后端系統(tǒng)可以根據(jù)安全性機制和位置信息向無線客戶機授予訪問權；客戶機接收后端系統(tǒng)位置簽名的逆向過程保證了更高級別的安全性，尤其是在定期進行這樣的“握手”的情況下。這需要在無線設備和后端系統(tǒng)之間額外地傳輸少量信息。

    位置信息可以為解除無辜用戶的罪責提供證據(jù)。如果非法活動是由某個未經(jīng)授權而獲取對某個特定用戶帳戶訪問權的人從該帳戶進行的，那么，該帳戶的合法主人或許能夠證明他們不曾出現(xiàn)在發(fā)起這些非法行為的位置�；�于位置的認證可以持續(xù)地以對用戶透明的方式執(zhí)行。這意味著，與大多數(shù)其它類型的認證信息不同，位置信息可以用作用戶訪問的所有系統(tǒng)的常用認證者。這個特性使得基于位置的認證成為結合單點登錄使用的好技術。

    總之，將基于位置的認證添加到安全性機制有助于限制對敏感信息或事務的訪問，防止未經(jīng)授權的訪問，跟蹤非法行為并有可能確保在一定區(qū)域內(nèi)只有被定位的設備才能接收加密信息。
Web 服務和無線應用程序安全性
    Web 服務將在移動商務和無線安全性的發(fā)展中起著重要作用。通過使用 XML 消息傳遞對主要安全性解決方案（如 Kerberos 認證和授權、數(shù)字證書、數(shù)字簽名和公／私鑰加密）進行標準化和集成，Web 服務可以用來提供無線安全性解決方案。XML 消息傳遞被認為是無線通信協(xié)議的首選，有多種安全性協(xié)議用于基于它的無線應用程序。其中包括以下協(xié)議：
  一、安全性斷言標記語言（Security Assertion Markup Language，SAML）是用來以 XML 消息傳輸認證和授權信息的協(xié)議。它可以用來提供單點登錄 Web 服務。
  二、XML 數(shù)字簽名定義了如何對 XML 文檔的一部分或全部內(nèi)容進行數(shù)字簽名，以保證數(shù)據(jù)完整性。可以用 XML 密鑰管理規(guī)范（XML Key Management Specification，XKMS）格式封裝使用 XML 數(shù)字簽名分發(fā)的公鑰。
  三、XML 加密允許應用程序引用預先約定的對稱密鑰來加密 XML 文檔的部分或全部內(nèi)容。
  四、Web 服務安全 XML 協(xié)議簇（WS-Security）是由 IBM 和 Microsoft 認可的向 Web 服務提供安全性的完整的解決方案。它基于 XML 數(shù)字簽名、XML 加密和類似于 SAML 的認證和授權方案。
    以上所有安全性協(xié)議都可以綁定到 Web 服務消息傳遞協(xié)議。例如，我們可以將 SAML 段嵌入到 SOAP 消息頭以對所請求的服務的訪問進行認證和授權。我們還可以將 XML Digital Signature 段嵌入到 SOAP 頭以認證該消息中的信用卡號。

    現(xiàn)在，我們要討論將位置信息與 SAML 安全性規(guī)范合并到一起的好處，并研究它是如何增強無線應用程序安全性的。尤其我們要討論基于位置的認證是如何加入單點登錄體系結構的。

與 SAML 合作的位置信息
    SAML 是對供應商中立的 XML 框架，用于在因特網(wǎng)上交換安全性信息。SAML 使全異的安全性服務系統(tǒng)能夠通過交換與安全性相關的信息（稱為“斷言”）來進行互操作。用戶的認證、授權、概要和首選項，都是從用戶在會話期間選擇的原始源服務供應商傳送到后續(xù)的目的地服務供應商的。SAML 被設計用來與 HTTP、簡單郵件傳送協(xié)議（Simple Mail Transfer Protocol）、文件傳送協(xié)議和幾種 XML 框架（包括簡單對象訪問協(xié)議（Simple Object Access Protocol，SOAP）和電子商務 XML）一起工作。它提供了以 XML 文檔定義用戶認證、授權和屬性信息的標準方式。SAML 的主要組件包括：
  1.斷言。SAML 定義了三種斷言類型，都是關于用戶（人或計算機）的一個或多個事實的聲明。認證斷言要求用戶證實自己的身份。屬性斷言包含關于用戶的特定細節(jié)，如他的信用額度。授權判定斷言標識了用戶可以做什么（例如，是否授權該用戶購買某種產(chǎn)品）。
  2.請求／響應協(xié)議。這個協(xié)議定義了 SAML 請求和接收斷言的方式。例如，SAML 目前支持 HTTP 上的 SOAP。將來，SAML 請求和響應格式將綁定到其它通信和傳輸協(xié)議。
  3.綁定。這個組件確切地詳細描述了 SAML 請求應如何映射到諸如 HTTP 上的 SOAP 消息交換之類的傳輸協(xié)議。
  4.概要。這些組件規(guī)定了如何將 SAML 斷言嵌入通信系統(tǒng)或在通信系統(tǒng)之間傳遞。
    盡管 SAML 進行關于憑證的斷言，但實際上它并不對用戶進行認證或授權。那是由認證服務器和輕量級目錄訪問協(xié)議（Lightweight Directory Access Protocol）目錄一起完成的。SAML 創(chuàng)建到實際認證的鏈接并根據(jù)該事件的結果進行其斷言。簡單來說，SAML 支持基于 Web 的開放和可互操作的設計、單點登錄服務功能。基于 SAML 的應用程序的體系結構如下所示。
圖 2. SAML 體系結構

    在典型的 SAML 體系結構中，稱為信任方的符合 SAML 的服務將 SAML 請求發(fā)送到發(fā)行認證機構，該機構返回 SAML 斷言響應。所有請求和響應都是通過 HTTP 用 SOAP 封裝傳送的，但應用程序可以用各種請求／響應協(xié)議定義和交換斷言。但是，這些擴展會限制互操作性。例如，當移動設備客戶機請求訪問后端應用程序時，它向發(fā)行認證機構發(fā)送認證信息。然后，發(fā)行認證機構可以根據(jù)移動設備客戶機提供的憑證發(fā)送肯定或否定認證斷言。盡管用戶仍然擁有與無線應用程序的會話，但是發(fā)行認證機構可以使用更早的引用來發(fā)送認證斷言，聲明用戶實際上是在特定時間內(nèi)使用特殊的方法認證的。正如先前提到的，基于位置的認證可以定期進行，這意味著只要對用戶憑證的認證是肯定的，發(fā)行認證機構就會定期發(fā)表基于位置的斷言。研究下面的 SAML 認證請求。它包含用戶憑證（如用戶名和加密密碼）、認證方法、響應請求、憑證類型和位置信息。

<samlp:Request MajorVersion="1" MinorVersion="0" 



  RequestID="<request id>">



  <samlp:RespondWith>AuthenticationStatement </samlp:RespondWith>



    <samlp:AuthenticationQuery>



      <saml:Subject>



        <saml:NameIdentifier Name="<user name>"/>



        <saml:SubjectConfirmation>



          <saml:ConfirmationMethod>



            http://www.oasis-open.org/committies/security/docs/



            draft-sstc-core-5/password



          </saml:ConfirmationMethod>



          <saml:SubjectConfirmationData>



            <password>



          </saml:SubjectConfirmationData>



        </saml:SubjectConfirmation>



        <saml:NameIdentifier Name="<location>" />



        <saml:SubjectConfirmation>



          <saml:ConfirmationMethod>



            <LocationURI> <-- For authenticating location information using 



              a SAML binding profile -->



          </saml:ConfirmationMethod>



          <saml:SubjectConfirmationData>



            <latitude>, <;longitude>,<timestamp>,



          </saml:SubjectConfirmationData>



        </saml:SubjectConfirmation>     



      </saml:Subject>



    </samlp:AuthenticationQuery>



</samlp:Request>

    對上述請求的響應（如下所示）包含帶有指定認證有效的時間段的屬性／條件的認證斷言。如果請求中提供的認證信息導致成功的認證，那么就向認證請求方返回一個表示成功的狀態(tài)碼。

<samlp:Response InResponseTo="<request id>" 



  MajorVersion="1" MinorVersion="0" 



  ResponseID="upuSGdmqx7ov01mExYlt+6bDCWE=">



  <samlp:Status>



    <samlp:StatusCode Value="samlp:Success"/>



  </samlp:Status>



  <saml:Assertion AssertionID="+1UyxJDBUza+ao+LqMrE98wmhAI="



    IssueInstant="2002-10-03T14:33:58.456" Issuer="SunONE"



    MajorVersion="1" MinorVersion="0">



    <saml:Conditions NotBefore="2002-10-03T14:33:58.466"



      NotOnOrAfter="2002-10-03T15:03:58.466"/>



      <saml:AuthenticationStatement



        AuthenticationInstant="2002-10-03T14:33:55.201"



        AuthenticationMethod="http://www.oasis-open.org/committies/security/



          docs/draft-sstc-core-25/password">



         <saml:Subject>



            <saml:NameIdentifier Name="<user>" />



            <saml:SubjectConfirmation>



              <saml:ConfirmationMethod>



                http://www.oasis-open.org/committies/security/docs/



                 draft-sstc-core-25/password



              </saml:ConfirmationMethod>



            </saml:SubjectConfirmation>           



          </saml:Subject>



        </saml:AuthenticationStatement>



     <saml:AuthenticationStatement



        AuthenticationInstant="2002-10-03T14:33:55.205"



        AuthenticationMethod="<LocationURI>" >



          <saml:Subject>



            <saml:NameIdentifier Name="<location>" />



            <saml:SubjectConfirmation>



              <saml:ConfirmationMethod>



                <LocationURI>



              </saml:ConfirmationMethod>



            </saml:SubjectConfirmation>            



          </saml:Subject>



        </saml:AuthenticationStatement>



  </saml:Assertion>



</samlp:Response>

    正如我們所見，雖然用 XML 指定安全性斷言對有限帶寬的無線網(wǎng)絡沒有特別大的意義，其好處卻遠超過帶寬開銷。XML 也是用于安全性服務的新一代開放的、可互操作的 Web 服務應用程序的通信數(shù)據(jù)格式選擇。SAML 為無線應用程序提供了符合 Web 訪問管理和安全性產(chǎn)品之間急需的互操作性。將用于認證與授權的位置信息添加到現(xiàn)有無線安全性機制，是信息保證的增值提議。

【基于位置服務的無線網(wǎng)絡應用程序】相關文章：

基于CSSCI的200108-18

基于你還愛我作文10-22

基于標準的教學設計08-06

基于高效的課堂展示08-25

為了學校 基于學校08-17

基于Internet的學習模式08-07

MicroWindows體系結構及應用程序接口08-06

應用程序指示圖標的實現(xiàn)方法研究08-06

系統(tǒng)服務與應用程序的相關性詳解08-12