��Z��位置的无�U�服�?form IBMDevWorks)

铁手 — Thu, 21 Jul 2005 04:58:00 GMT

无线应用�E�序的基于位�|�的安全�?/span>

Harsha Srivatsa�Q?/span>hsrivatsa@rcn.com�Q?/span>
独立软�g��N��
2002 �q?/span> 11 �?/span>

业界分析家的研究预示�Q�对无线和移动设备的强烈需求，为无�U�设备应用程序和服务供应商创造了巨大的机遇。面对同时提高每用户�q�_��收入�Q?/span>ARPU�Q�和订户数这个日益艰隄��挑战�Q�无�U�运营商及其伙伴正在开发大量新的基于数据服务的产品、服务和业务模型。我们将研究��Z��位置的服务以及它们是如何同时提高服务和收入的�?/span>

供应商正在准备通过��Z��位置的服务和商务提供有差别的增值服务。基于位�|�的服务��在无线数据服务的发展中��L��重要作用�Q��ƈ为移动运营商和内容供应商提供巨大的收入�?/span>

��Z��位置的服务的预期增长使我们必需解决信息安全性问题，��其是对于那些访问重要的和私有的信息以及执行敏感操作�Q�如金融事务�Q�的应用�E�序�?/span>

关于��Z��位置的服�?/span>
�U�d��讑֤�的基于位�|�的服务适合于用��L��位置和状态。它们过滤�ƈ传递与用户关系最大的信息。基于位�|�的服务的一��w��要优势是�Q�用户不必向它们输入邮政�~�码或其它位�|�标识。基于位�|�服务的�C�Z��包括�Q?/span>

获得��N��指示、交通流量信息、天气和旅行时刻�?/span>
协助紧�?/span> 911 服务和定位失�H�的�U�d��电话
支付 EZPass 和其它电子通行�?/span>
��输经营者安排好车队以及扑ֈ��q�输的便利方�?/span>
定位电子目录中列�C�的人员和企�?/span>

PDA 是如�?/span>�?/span>知道位置�?/span>�?/span>
有几�U�方法可以确定无�U�设备的位置。大多数�Ҏ��涉及使用信号到达旉��差（TDOA�Q�、增��时间差�Q?/span>E-OTD�Q�和辅助全球定位�pȝ��Q?/span>GPS�Q�技术�?/span>

TDOA 需要多个基站来侦听�U�M��讉K��脉冲�Q��ƈ用三角测量法计算无线讑֤�的位�|�。这�U�方法的优点是可以��用现有的 GSM �U�d��讑֤��Q�但必需�Ҏ��持基��设施�q�行大量投资�?/span>

使用 E-OTD �Ӟ��手机侦听来自多个基站的脉冲�ƈ��量观测旉��差。��用三角测量法计算出无�U�设备的位置�?/span>E-OTD 要求�Ҏ��行更改，但所需的定位基��设施支持��于 TOA�?/span>

辅助 GPS 依赖拥有集成 GPS 接收器的无线讑֤�。可以从�|�络传送辅助数据以促进 GPS 信号搜烦�Q��ƈ有可能提高灵敏度。尽��?/span> GPS 有可能是最�_��的方法，但因为其信号来自人造卫星，所以穿透力较弱�Q�因而受到限制。象 CyberLocator �q�样的公�怋�用专利技术和专用 GPS ��g来利�?/span> GPS 数据获得位置信息�?/span>

值得注意的是�Q�提供无�U�服务的�q�营商都拥有位置信息。运营商需要位�|�信息来计算漫游费用�Q�他们还拥有满�� FCC e-911 紧急服务定位要�?/span> Phase I 必需�?/span> cell-sector-ID 位置。但 e-911 Phase II 需要更颗粒度的信息�Q�因此需要新的和昂贵的定位系�l�，�q�营商希望通过��?/span> e-911 额外收费转嫁�l�客��h��补偿 Phase II 服务的部分成本。确实，位置信息构成了移动技术的灵魂�?/span>

位置信息交换的标�?/span>
�q�去�Q�不同的各方曄��提出几种交换位置信息的提议。最�q�，他们已开始了标准化的努力�Q�以��不同的提议合�ƈ成一个公认的标准。让我们看一看部分已�l�提出的位置信息交换标准�?/span>

�U�d��定位协议�Q?/span>Mobile Positioning Protocol�Q?/span>MPP�Q�是�?/span> Ericsson 提出的协议�?/span>MPP�Q�目前版本是 4.0�Q�是��Z��因特�|�的协议�Q?/span>�?/span>知道位置�?/span>的应用程序��用该协议与移动定位系�l�（Mobile Positioning System�Q?/span>MPS�Q�交互。通过�q�个协议�Q��h��U�d��l�端的位�|�成为可能。移动定位系�l�（MPS�Q�是 Ericsson 用于提供��Z��位置的服务的�Ҏ��解决�Ҏ��Q�作��pȝ��的一部分�Q�移动定位中心（Mobile Positioning Center�Q?/span>MPC�Q�是�U�d��|�络�?/span>�?/span>知道位置�?/span>的应用程序之间的�|�关�?/span>MPC �Ҏ��源于�|�络的信息计��移动设备的位置�Q��ƈ��它传送到应用�E�序�?/span>

MPP �q�定义了一�?/span> URL�Q?/span>�?/span>知道位置�?/span>的应用程序可以��用它来请求移动设备的位置。作为对位置��h��的响应，MPC 传送一个应�{�来把对�U�d��讑֤�位置的估计告诉应用程序�?/span>MPP 完全��Z�� HTTP�Q�这使得 MPC 可以供�Q何具�?/span> TCP/IP 功能的��^��C��用，例如�Q�负责动态生�?/span> WAP 内容�?/span> Java servlet�?/span>

IETF 及其成员公司也提��Z��另一个标准，�U�Cؓ�I�间位置协议�Q?/span>Spatial Location Protocol�Q?/span>SLoP�Q��?/span>SLoP 的目的是解决以下问题�Q�应用程序如何以可靠的、安全的和可伸羃的方式，获取因特�|�上提供的可标识资源的空间位�|�？�q�个协议��确定地球上的绝对位�|�，�q�将使用 WGS84 大地基准点作为缺省参考系�l�。位�|�信息的格式最好由下列数据��组成（假设某些��的功能可用�Q�：

用户位置�c�d��Q�例如，�l�对�Q�描�q�型位置�Q?/span>
框架�Q�例如，WGS84�?/span>UTM�Q?/span>
语法�Q�格式（例如�Q�经度、纬度和��h��高度�Q?/span>
地心位置
�_��?/span>
旉��戌��Q�日期、时间、时区）
剩余旉��
其它�Q�方向、速度、方位等�Q?/span>

�q�个协议目前支持 UDP 传输�Q��ؓ了可靠性带有重试计时器�Q�，也可选用 TCP 传输以及 RTP 和／�?/span> SCTP。因此，可从��h�� TCP/IP 功能的�Q何��^台访�?/span> SLoP 服务器。预计将来，无论�|�络是层�ơ关�p�还是对�{�关�p�，�I�间位置服务器之间都��选用 IPSec 作�ؓ通信�Ҏ��?/span>

Open GIS Consortium�Q?/span>Inc.�Q?/span>OGC�Q�是一个非赢利的国际性业界联盟，参加联盟�?/span> 230 多家公司、政府机构和大学参与了开发公开可用的地理处理规范的��p��q�程�?/span>Open GIS 规范支持�?/span> Web 和主��?/span> IT ��h��地理能力的互操作解决�Ҏ��Q��ƈ使技术开发�h员能够将复杂的空间信息和服务对于各种应用�E�序都是可访问的和有用的�?/span>

有两�U�类型的规范�Q?i>摘要�?i>实现�?/span>Open GIS 摘要规范提供�?/span> Open GIS 实现规范的框架或参考模型。这�U�高�U�指导对于了�?/span> Open GIS 规范背后的核心技术和概念模型非常有用�?/span>Open GIS 实现规范详细描述�?/span> OGC 通过其共识过�E�开发的一致同意的接口。这些是软�g工程规范 �?��M��软�g开发�h员都可以使用�q�些信息来构建实现这些规范中的一个或多个规范的��品。该软�g应该能够与实现相同规范的��M��其它软�g通信。有些规范详�l�描�q�C��?/span> OLE/COM�?/span>CORBA�?/span>SQL、地理标记语�a��Q?/span>Geography Markup Language�Q?/span>GML�Q�等的接口�?/span>

无线应用�E�序安全�?/span>
正如先前提到的，解决与无�U�应用程序相关的信息安全性问题很重要�Q�尤其是对于那些与移动电子商务相关的应用�E�序。对于实现移动商务和无处不在的移动设备所提供的机遇，安全性方面是关键因素。移动电子商务��企业暴露在大量新的威胁和��d��面前�?/span>

无线应用�E�序的整体安全性只能取决于其最薄弱环节的强度，在移动商务网�l�中�Q�最薄弱环节是移动设备。无�U�信��L��可拦截本质和大多数移动设备有限的内存和计��能力��无线�pȝ��Ҏ��受到数据�H�贼的攻凅R�?/span>

关于无线应用�E�序安全性的一些关键的安全性问题包括：

机密性�?/span>�Ҏ��密和敏感数据的访问应该仅限于那些需要它的用戗��?/span>
完整性�?/span>数据在无�U�网�l�上从一点传输到另一点的完整性需要得到极好地�l�护�?/span>
可用性�?/span>可将��d��关键数据和服务用于应急计划，以便处理诸如基础�l�构故障、安全性缺口之�cȝ��N��性事件�?/span>
隐私�?/span>无线应用�E�序开发�h员应该小心地遵守保护用户的隐�U�的法律要求。对于基于位�|�的服务�q�尤光��要，因�ؓ本来��存在着用户被跟�t�的可能性。但是，正如我们不久��要看到的，位置信息的可用性可以�{变�ؓ安全性优�ѝ�?/span>

下图全面描述了无�U�应用程序基��l�构中的不同��q��?/span>

�?/span> 1. 不安全无�U�传输的情景

那么对于无线应用�E�序完整性而言�Q�风险和威胁是什么呢�Q?/span>

可以使用数字�?/span> RF 扫描讑֤�捕获无线�|�络上传输的数据�Q�如密码和个��Z��息）。大多数无线协议不具备内�|�加密机制。尤其是对于那些传送敏感数据的应用�E�序而言�Q�确实需要额外的安全性措施（如安全连接和密码术）。但是，用于安全�q�接�?/span> HTTPS/SSL 或密码术标准�Q�如 IPSEC �?/span> WTLS�Q�的采用�Q�带来了与之相关的问题。邻�q�设备或基站的信号干��C��D��无线讑֤�和网�l�中断和不可用�?/span>
�U�d��讑֤�本来��是��型的和可移动的�Q��ƈ�Ҏ��N��地方或丢失。此外，它们的设计本�w�就有风险。它们有限的安全性特性增加了未经授权��C��用移动设备来讉K��敏感公司或个人数据的��Z��。移动设备中�?/span> SIM 卡可以被克隆�q�在另一个设备中使用。如果应用程序安全性是��Z��对设备的用户认证的（�?/span> SIM�Q�，那么假扮成真实用户也是有可能的�?/span>
�? �U�应用程序技术相当新�Q�这意味着没有针对用户、设备或应用�E�序安全性的成熟标准。大多数无线通信协议�q�没有对加密标准的内�|�支持，�q��得供应商使用�W�三�? 或专利方法来强制加密。这�U�无�U�基��l�构斚w��的不成熟�Q�再加上巨大的用户基��Q��得无�U�应用程序很�Ҏ��遭到来自病毒和恶意代码的��d��?/span>

存在着大量解决�U�d��电子商务风险和弱点的安全性解��x��案（以过�E�、技术和�l�织模型的�Ş式）。可以阅��L��U�安全性白皮书�Q�参考资料清单中的热炚w��接）中对�q�些解决�Ҏ��的详�l�描�q��?/span>

用于安全性的位置信息
�? 烦在于现有的无线安全性控制不��以提供下一波移动电子商务所要求的安全性��别。广泛采用移动商务的最大障��之一��是赢得客户的信仅R��单个安全性缺口就会以极其鲜明的姿态��无线应用�E�序开发�h员�ؓ之努力的一切都大打折扣。开发出安全性策略来解决�U�d��商务的崭新而复杂的挑战是很重要的�?/span>

现在�Q�让我们研究一下这个有��的概念�Q�将位置信息合�ƈ到无�U�应用程序和�|�络安全性机制中。合�q�到现有安全性机制中的位�|�信息可以用来增��证、授权和讉K��控制的功效�?/span>

有效的无�U�应用程序安全性依赖于认证用户和相应地授予讉K��权的能力。现有的认证和授权机制基本上依赖于用��L��道的信息�Q�密码或密钥�Q�、对认证讑֤��Q�访问��o牌或加密卡）的拥有或从唯一的个人特征（生物��量学）�z��出来的信息。这其中��M��一�U�方法都不是��d��安全的�?/span>

�U? 动设备或用户的位�|�信息（�l�度、纬度、高度等�Q��ؓ无线应用�E�序安全性增��M��W�四个新�Ҏ��。它向希望执行敏感操作（如金融事务、访问重要信息或�q�程控制重要 �pȝ��Q�的无线应用�E�序用户提供了额外的保证。它可以对现有的%8

铁手 2005-07-21 12:58 发表评论

911精品国产,久久久久国产视频,久久综合国产

��Z��位置的无�U�服�?form IBMDevWorks)